# SEC 2 Bagaimana cara mengelola autentikasi untuk manusia dan mesin?
<a name="w2aac19b7b7b5"></a>

 Ada dua jenis identitas yang harus Anda kelola ketika menentukan pendekatan terhadap pengoperasian beban kerja AWS yang aman. Pemahaman tentang jenis identitas yang harus Anda kelola dan berikan akses akan membantu Anda memastikan identitas yang tepat memiliki akses ke sumber daya yang tepat dalam kondisi yang tepat. 

Identitas Manusia: Administrator, developer, operator, dan pengguna akhir Anda memerlukan identitas untuk mengakses lingkungan dan aplikasi AWS Anda. Ini adalah anggota organisasi Anda, atau pengguna eksternal yang berkolaborasi dengan Anda, dan yang berinteraksi dengan sumber daya AWS Anda melalui browser web, aplikasi klien, atau alat baris perintah interaktif. 

Identitas Mesin: Aplikasi layanan, alat operasional, dan beban kerja Anda memerlukan identitas untuk membuat permintaan ke layanan AWS, misalnya, untuk membaca data. Identitas ini mencakup mesin yang dijalankan di lingkungan AWS Anda, seperti instans Amazon EC2 atau fungsi AWS Lambda. Anda juga dapat mengelola identitas mesin untuk pihak eksternal yang membutuhkan akses. Selain itu, Anda mungkin juga memiliki mesin di luar AWS yang memerlukan akses ke lingkungan AWS Anda. 

**Topics**
+ [SEC02-BP01 Gunakan mekanisme masuk yang kuat](sec_identities_enforce_mechanisms.md)
+ [SEC02-BP02 Menggunakan kredensial sementara](sec_identities_unique.md)
+ [SEC02-BP03 Menyimpan dan menggunakan secret secara aman](sec_identities_secrets.md)
+ [SEC02-BP04 Andalkan penyedia identitas terpusat](sec_identities_identity_provider.md)
+ [SEC02-BP05 Mengaudit dan merotasi kredensial secara berkala](sec_identities_audit.md)
+ [SEC02-BP06 Manfaatkan grup dan atribut pengguna](sec_identities_groups_attributes.md)

# SEC02-BP01 Gunakan mekanisme masuk yang kuat
<a name="sec_identities_enforce_mechanisms"></a>

 Berlakukan panjang minimum kata sandi, dan berikan edukasi bagi pengguna untuk menghindari kata sandi yang umum atau sudah pernah dibuat. Berlakukan autentikasi multi-faktor (MFA) dengan mekanisme perangkat lunak atau perangkat keras untuk memberikan lapisan verifikasi tambahan. Contohnya, ketika menggunakan IAM Identity Center sebagai sumber identitas, konfigurasikan pengaturan “sadar konteks” atau “selalu aktif” untuk MFA, dan izinkan pengguna memasukkan perangkat MFA mereka sendiri untuk mempercepat adopsi. Ketika menggunakan penyedia identitas (IdP) eksternal, konfigurasikan IdP Anda untuk MFA. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Buat kebijakan Identify and Access Management (IAM) untuk memberlakukan akses masuk MFA: Buat kebijakan IAM yang dikelola pelanggan yang melarang semua tindakan IAM kecuali yang memungkinkan pengguna untuk memegang peran, mengubah kredensial mereka sendiri, dan mengelola perangkat MFA mereka di [halaman Kredensial Keamanan Saya](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html#tutorial_mfa_step1). 
+  Aktifkan MFA di penyedia identitas Anda: Aktifkan [MFA](https:/aws.amazon.com/iam/details/mfa) di penyedia identitas atau layanan single sign-on, seperti [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/step1.html), yang Anda gunakan. 
+  Konfigurasikan kebijakan kata sandi yang kuat: Konfigurasikan [kebijakan kata sandi yang kuat](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html?ref=wellarchitected) di IAM dan sistem identitas terfederasi untuk membantu melindungi dari serangan kejam. 
+  [Rotasikan kredensial secara teratur](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials): Pastikan administrator beban kerja Anda mengubah kata sandi dan kunci akses mereka (jika digunakan) secara teratur. 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Memulai dengan AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html) 
+  [Praktik Terbaik IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Penyedia Identitas dan Federasi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 
+  [Pengguna Root Akun AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html?ref=wellarchitected) 
+  [Memulai dengan AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html?ref=wellarchitected) 
+   [Kredensial Keamanan Sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html?ref=wellarchitected) 
+  [Solusi Partner Keamanan: Akses dan Kontrol Akses](https://aws.amazon.com/security/partner-solutions/#access-control) 
+  [Kredensial Keamanan Sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) 
+  [Pengguna Root Akun AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) 

 **Video terkait:** 
+  [Praktik Terbaik untuk Mengelola, Mengambil, dan Merotasi Rahasia dalam Skala Besar](https://youtu.be/qoxxRlwJKZ4) 
+  [Mengelola izin pengguna dalam skala besar dengan IAM Identity Center](https://youtu.be/aEIqeFCcK7E) 
+  [Menguasai identitas di setiap lapisan susunan](https://www.youtube.com/watch?v=vbjFjMNVEpc) 

# SEC02-BP02 Menggunakan kredensial sementara
<a name="sec_identities_unique"></a>

 Wajibkan identitas untuk mendapatkan [kredensial sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html)secara dinamis. Untuk identitas tenaga kerja, gunakan AWS IAM Identity Center, atau federasi dengan AWS Identity and Access Management (IAM) role, untuk mengakses Akun AWS. Untuk identitas mesin, seperti instans Amazon Elastic Compute Cloud (Amazon EC2) atau fungsi AWS Lambda, gunakan IAM role, bukan pengguna IAM dengan kunci akses jangka panjang. 

Untuk identitas manusia yang menggunakan Konsol Manajemen AWS, wajibkan pengguna untuk mendapatkan kredensial sementara dan bergabung ke dalam AWS. Anda dapat melakukannya menggunakan portal pengguna AWS IAM Identity Center. Untuk pengguna yang memerlukan akses CLI, pastikan mereka menggunakan [AWS CLI v2](http://aws.amazon.com/blogs/developer/aws-cli-v2-is-now-generally-available/), yang mendukung integrasi langsung dengan IAM Identity Center. Pengguna dapat membuat profil CLI yang ditautkan ke akun dan role Pusat Identitas IAM. CLI secara otomatis mengambil kredensial AWS dari IAM Identity Center dan menyegarkannya atas nama Anda. Ini menghilangkan kebutuhan untuk menyalin dan menempel kredensial AWS sementara dari konsol IAM Identity Center. Untuk SDK, pengguna harus mengandalkan AWS Security Token Service (AWS STS) untuk mengambil role guna menerima kredensial sementara. Pada kasus-kasus tertentu, kredensial sementara mungkin tidak praktis. Anda harus menyadari risiko menyimpan kunci akses, merotasikannya secara sering, dan mewajibkan autentikasi multi-faktor (MFA) sebagai syarat apabila memungkinkan. Gunakan informasi yang terakhir diakses untuk menentukan kapan harus merotasikan atau menghapus kunci akses.

Untuk kasus-kasus di mana Anda perlu memberikan akses kepada konsumen ke sumber daya AWS Anda, gunakan pool identitas [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/role-based-access-control.html) dan beri mereka satu set kredensial istimewa terbatas sementara untuk mengakses sumber daya AWS Anda. Izin untuk setiap pengguna dikontrol melalui [IAM role](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) yang Anda buat. Anda dapat menetapkan aturan untuk memilih role untuk setiap pengguna berdasarkan klaim dalam token ID pengguna. Anda dapat menetapkan role default untuk pengguna yang diautentikasi. Anda juga dapat menetapkan IAM role terpisah dengan izin terbatas untuk pengguna tamu yang tidak diautentikasi.

Untuk identitas mesin, Anda harus mengandalkan IAM role untuk memberikan akses ke AWS. Untuk instans Amazon Elastic Compute Cloud (Amazon EC2), Anda dapat menggunakan [role untuk Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html). Anda dapat melampirkan IAM role ke instans Amazon EC2 Anda untuk memungkinkan aplikasi Anda yang berjalan di Amazon EC2 untuk menggunakan kredensial keamanan sementara yang dibuat, didistribusikan, dan dirotasi oleh AWS secara otomatis melalui Instance Metadata Service (IMDS). Versi [terbaru](https://aws.amazon.com/blogs/security/defense-in-depth-open-firewalls-reverse-proxies-ssrf-vulnerabilities-ec2-instance-metadata-service/) IMDS membantu mencegah kerentanan yang mengancam kredensial sementara dan harus diimplementasikan. Untuk mengakses instans Amazon EC2 menggunakan kunci dan kata sandi, [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html) adalah cara yang lebih aman untuk mengakses dan mengelola instans Anda menggunakan agen yang diinstal sebelumnya tanpa secret tersimpan. Selain itu, layanan AWS lainnya, seperti AWS Lambda, memungkinkan Anda untuk mengonfigurasi role layanan IAM untuk memberikan izin layanan guna melakukan tindakan AWS menggunakan kredensial sementara. Pada situasi yang tidak memungkinkan Anda untuk menggunakan kredensial sementara, gunakan alat terprogram, seperti [AWS Secrets Manager](https://aws.amazon.com/secrets-manager/), untuk mengotomatiskan rotasi dan manajemen kredensial.

**Audit dan rotasikan kredensial secara berkala: **Validasi berkala, sebaiknya melalui alat otomatis, diperlukan untuk memverifikasi diterapkannya kontrol yang tepat. Untuk identitas manusia, Anda harus mewajibkan pengguna untuk mengubah kata sandi mereka secara berkala dan memensiunkan kunci akses dan digantikan dengan kredensial sementara. Saat beralih dari pengguna IAM ke identitas terpusat, Anda dapat [menghasilkan laporan kredensial ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)untuk mengaudit pengguna IAM Anda. Kami juga menyarankan Anda menerapkan pengaturan MFA pada penyedia identitas Anda. Anda dapat menyiapkan [Aturan AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) untuk memantau pengaturan tersebut. Untuk identitas mesin, Anda harus mengandalkan kredensial sementara menggunakan IAM role. Untuk situasi yang tidak memungkinkan hal ini, diperlukan audit dan rotasi kunci akses secara sering.

**Simpan dan gunakan secret dengan aman:** Untuk kredensial yang terkait dengan IAM dan tidak dapat memanfaatkan kredensial sementara, seperti login basis data, gunakan layanan yang dirancang untuk menangani manajemen secret, seperti [Secrets Manager](https://aws.amazon.com/secrets-manager/). Secrets Manager memudahkan pengelolaan, rotasi, dan penyimpanan secret terenkripsi secara aman menggunakan [layanan yang didukung](https://docs.aws.amazon.com/secretsmanager/latest/userguide/integrating.html). Panggilan untuk mengakses secret dicatatkan di AWS CloudTrail untuk tujuan audit, dan izin IAM dapat memberinya akses dengan hak paling rendah.

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Implementasikan kebijakan hak akses paling rendah: Tetapkan kebijakan akses dengan hak paling rendah ke grup dan role IAM untuk mencerminkan peran atau fungsi pengguna yang telah Anda tetapkan. 
  +  [Memberikan hak akses paling rendah](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) 
+  Hapus izin yang tidak perlu: Implementasikan hak akses paling rendah dengan menghapus izin yang tidak diperlukan. 
  +  [Mengurangi cakupan kebijakan dengan melihat aktivitas pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html) 
  +  [Melihat akses peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#roles-delete_prerequisites) 
+  Pertimbangkan batasan izin: Batasan izin adalah fitur lanjutan untuk menggunakan kebijakan terkelola yang mengatur izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas ke sebuah entitas IAM. Batasan izin sebuah entitas memungkinkannya untuk melakukan tindakan hanya yang diizinkan oleh kebijakan berbasis identitas serta batasan izinnya. 
  +  [Lab: Batasan izin IAM yang mendelegasikan pembuatan peran](https://wellarchitectedlabs.com/Security/300_IAM_Permission_Boundaries_Delegating_Role_Creation/README.html) 
+  Pertimbangkan tag sumber daya untuk izin: Anda dapat menggunakan tag untuk mengontrol akses ke sumber daya AWS Anda yang mendukung pemberian tag. Anda juga dapat memberikan tag pada pengguna dan role IAM untuk mengontrol apa yang dapat mereka akses. 
  +  [Lab: Kontrol akses berbasis tag IAM untuk EC2](https://wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html) 
  +  [Kontrol akses berbasis atribut (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Mulai Menggunakan AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html) 
+  [Praktik Terbaik IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Penyedia Identitas dan Federasi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 
+  [Solusi Partner Keamanan: Akses dan Kontrol Akses](https://aws.amazon.com/security/partner-solutions/#access-control) 
+  [Kredensial Keamanan Sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) 
+  [Pengguna Root Akun AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) 

 **Video terkait:** 
+  [Praktik Terbaik untuk Mengelola, Mengambil, dan Merotasi Secret dalam Skala Besar](https://youtu.be/qoxxRlwJKZ4) 
+  [Mengelola izin pengguna dalam skala besar dengan AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E) 
+  [Menguasai identitas di setiap lapisan beban kerja](https://www.youtube.com/watch?v=vbjFjMNVEpc) 

# SEC02-BP03 Menyimpan dan menggunakan secret secara aman
<a name="sec_identities_secrets"></a>

 Untuk identitas tenaga kerja dan mesin yang memerlukan secret, seperti kata sandi ke aplikasi pihak ketiga, simpanlah dengan rotasi otomatis menggunakan standar industri terbaru dalam layanan yang dikhususkan, misalnya untuk kredensial yang tidak terkait dengan IAM dan tidak dapat memanfaatkan kredensial sementara, seperti login basis data, gunakan layanan yang didesain untuk menangani manajemen secret, seperti AWS Secrets Manager. Secrets Manager memudahkan Anda untuk mengelola, merotasi, dan secara aman menyimpan secret menggunakan layanan yang didukung. Panggilan untuk mengakses secret dicatat di dalam AWS CloudTrail untuk tujuan audit, dan izin IAM dapat diberikan kepada hak istimewa terendah untuk mengaksesnya. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Gunakan AWS Secrets Manager: [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) adalah layanan AWS yang memudahkan Anda mengelola secret. Secret bisa berupa kredensial basis data, kata sandi, kunci API pihak ketiga, dan bahkan teks arbitrer. 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Mulai Menggunakan AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+  [Penyedia Identitas dan Federasi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 

 **Video terkait:** 
+  [Praktik Terbaik untuk Mengelola, Mengambil, dan Merotasi Secret dalam Skala Besar](https://youtu.be/qoxxRlwJKZ4) 

# SEC02-BP04 Andalkan penyedia identitas terpusat
<a name="sec_identities_identity_provider"></a>

 Untuk identitas tenaga kerja, serahkan kepada penyedia identitas sehingga Anda dapat mengelola identitas di tempat terpusat. Ini akan mempermudah pengelolaan akses di beberapa aplikasi dan layanan, karena Anda membuat, mengelola, dan mencabut akses dari satu lokasi. Contohnya, jika seseorang meninggalkan organisasi Anda, Anda dapat mencabut akses untuk semua aplikasi dan layanan (termasuk AWS) dari satu lokasi. Hal ini akan mengurangi jumlah kredensial yang dibutuhkan dan memberikan peluang untuk berintegrasi dengan proses sumber daya manusia (HR) yang ada. 

Untuk federasi dengan akun AWS secara individu, Anda dapat menggunakan identitas terpusat untuk AWS dengan penyedia berbasis SAML 2.0 dengan AWS Identity and Access Management. Anda dapat menggunakan penyedia apa pun—baik yang di-hosting oleh Anda di AWS, eksternal terhadap AWS, atau dipasok oleh AWS Partner—yang kompatibel dengan [protokol SAML 2.0](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html) . Anda dapat menggunakan federasi antara akun AWS Anda dan penyedia pilihan Anda untuk memberikan akses aplikasi atau pengguna untuk memanggil operasi API AWS dengan menggunakan penegasan SAML guna mendapatkan kredensial keamanan sementara. Single sign-on berbasis web juga didukung, sehingga pengguna dapat masuk ke Konsol Manajemen AWS dari situs web masuk Anda.

Dari federasi ke beberapa akun di AWS Organizations Anda, Anda dapat mengonfigurasikan sumber identitas Anda di [AWS IAM Identity Center (IAM Identity Center)](http://aws.amazon.com/single-sign-on/), dan menentukan lokasi penyimpanan grup dan pengguna Anda. Setelah dikonfigurasikan, penyedia identitas Anda adalah sumber kebenaran Anda, dan informasi dapat [disinkronkan](https://docs.aws.amazon.com/singlesignon/latest/userguide/provision-automatically.html) menggunakan protokol Sistem untuk Manajemen Identitas Antar Domain (SCIM) v2.0. Kemudian Anda dapat mencari pengguna atau grup dan memberikan kepada mereka akses IAM Identity Center ke akun AWS, aplikasi cloud, atau keduanya.

IAM Identity Center berintegrasi dengan AWS Organizations, yang memampukan Anda mengonfigurasikan penyedia identitas Anda satu kali kemudian [memberikan akses ke akun yang ada dan akun baru](https://docs.aws.amazon.com/singlesignon/latest/userguide/useraccess.html) yang dikelola di organisasi Anda. IAM Identity Center memberikan kepada Anda penyimpanan default, yang dapat Anda gunakan untuk mengelola grup dan pengguna Anda. Jika Anda memilih untuk menggunakan penyimpanan IAM Identity Center, buat pengguna dan grup Anda dan tetapkan bagi mereka tingkat akses ke aplikasi dan akun AWS Anda, sambil mengingat praktik terbaik hak akses paling rendah. Alternatifnya, Anda dapat memilih untuk [Terhubung ke Penyedia Identitas Eksternal Anda ](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html)menggunakan SAML 2.0, atau [Terhubung ke Direktori Microsoft AD Anda](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html) menggunakan AWS Directory Service. Setelah dikonfigurasikan, Anda dapat masuk ke Konsol Manajemen AWS, atau aplikasi seluler AWS, dengan mengautentikasi melalui penyedia identitas pusat Anda.

Untuk mengelola pengguna akhir atau konsumen beban kerja Anda, seperti aplikasi seluler, Anda dapat menggunakan [Amazon Cognito](http://aws.amazon.com/cognito/). Ini memberikan manajemen pengguna, otorisasi, dan autentikasi untuk aplikasi seluler dan web Anda. Pengguna Anda dapat masuk secara langsung dengan nama pengguna dan kata sandi, atau melalui pihak ketiga, seperti Amazon, Apple, Facebook, atau Google.

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Pusatkan akses administrasi: Buat entitas penyedia identitas Identity and Access Management (IAM) untuk menetapkan hubungan tepercaya antara Akun AWS Anda dan penyedia identitas (IdP) Anda. IAM mendukung IdP yang kompatibel dengan OpenID Connect (OIDC) atau SAML 2.0 (Security Assertion Markup Language 2.0). 
  +  [Penyedia Identitas dan Federasi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 
+  Pusatkan akses aplikasi: Pertimbangkan Amazon Cognito untuk memusatkan akses aplikasi. Ini memungkinkan Anda untuk menambahkan kontrol akses, akses masuk, dan pendaftaran pengguna ke web dan aplikasi seluler Anda dengan cepat dan mudah. [Amazon Cognito](https://aws.amazon.com/cognito/) menskalakan jutaan pengguna dan mendukung akses masuk dengan penyedia identitas sosial, seperti Facebook, Google, dan Amazon, serta penyedia identitas perusahaan melalui SAML 2.0. 
+  Singkirkan grup dan pengguna IAM lama: Setelah Anda mulai menggunakan penyedia identitas (IdP), singkirkan grup dan pengguna IAM yang tidak lagi diperlukan. 
  +  [Menemukan kredensial yang tidak digunakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_finding-unused.html) 
  +  [Menghapus grup IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_delete.html) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Praktik Terbaik IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Solusi Partner Keamanan: Akses dan Kontrol Akses](https://aws.amazon.com/security/partner-solutions/#access-control) 
+  [Kredensial Keamanan Sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) 
+  [Pengguna Root Akun AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) 

 **Video terkait:** 
+  [Praktik Terbaik untuk Mengelola, Mengambil, dan Merotasi Rahasia dalam Skala Besar](https://youtu.be/qoxxRlwJKZ4) 
+  [Mengelola izin pengguna dalam skala besar dengan AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E) 
+  [Menguasai identitas di setiap lapisan susunan](https://www.youtube.com/watch?v=vbjFjMNVEpc) 

# SEC02-BP05 Mengaudit dan merotasi kredensial secara berkala
<a name="sec_identities_audit"></a>

 Jika Anda tidak dapat mengandalkan kredensial sementara dan memerlukan kredensial jangka panjang, lakukan audit kredensial untuk memastikan kontrol yang ditentukan, misalnya autentikasi multi-faktor (MFA), telah diterapkan, dirotasi secara rutin, dan memiliki tingkat akses yang sesuai. Validasi berkala, diutamakan melalui alat otomatis, diperlukan untuk memverifikasikan bahwa kontrol yang sesuai telah diterapkan. Untuk identitas manusia, Anda perlu mewajibkan pengguna untuk mengubah kata sandi mereka secara berkala dan menonaktifkan kunci akses yang ditukar dengan kredensial sementara. Saat Anda beralih dari pengguna AWS Identity and Access Management (IAM) ke identitas yang dipusatkan, Anda dapat [membuat laporan kredensial ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)untuk mengaudit pengguna IAM Anda. Sebaiknya terapkan pengaturan MFA di penyedia identitas Anda. Anda dapat mengonfigurasikan [Aturan AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) untuk memantau pengaturan tersebut. Untuk identitas mesin, Anda harus mengandalkan kredensial sementara menggunakan IAM role. Jika dalam situasi tertentu hal ini tidak memungkinkan, merotasi dan mengaudit kunci akses secara sering adalah hal yang diperlukan. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Sedang 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Lakukan audit kredensial secara rutin: Gunakan laporan kredensial, serta Identity and Access Management (IAM) Access Analyzer untuk mengaudit izin dan kredensial IAM. 
  +  [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) 
  +  [Mendapatkan laporan kredensial](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html) 
  +  [Lab: Pembersihan pengguna IAM otomatis](https://wellarchitectedlabs.com/Security/200_Automated_IAM_User_Cleanup/README.html?ref=wellarchitected-tool) 
+  Gunakan Tingkat Akses untuk Meninjau Izin IAM: Untuk meningkatkan keamanan Akun AWS Anda, secara rutin tinjau dan pantau setiap kebijakan IAM Anda. Pastikan bahwa kebijakan Anda memberikan hak akses paling rendah yang dibutuhkan untuk menjalankan tindakan yang diperlukan saja. 
  +  [Gunakan tingkat akses untuk meninjau izin IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-access-levels-to-review-permissions) 
+  Pertimbangkan pengotomatisan pembuatan dan pembaruan sumber daya IAM: AWS CloudFormation dapat digunakan untuk mengotomatiskan deployment sumber daya IAM, termasuk peran dan kebijakan, untuk mengurangi kesalahan akibat kelalaian manusia, karena templat dapat diverifikasi dan yang dapat dikontrol. 
  +  [Lab: Deployment yang diotomatiskan grup dan peran IAM](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_IAM_Groups_and_Roles/README.html) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Mulai Menggunakan AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html) 
+  [Praktik Terbaik IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Penyedia Identitas dan Federasi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 
+  [Solusi Partner Keamanan: Akses dan Kontrol Akses](https://aws.amazon.com/security/partner-solutions/#access-control) 
+  [Kredensial Keamanan Sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) 

 **Video terkait:** 
+  [Praktik Terbaik untuk Mengelola, Mengambil, dan Merotasi Secret dalam Skala Besar](https://youtu.be/qoxxRlwJKZ4) 
+  [Mengelola izin pengguna dalam skala besar dengan AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E) 
+  [Menguasai identitas di setiap lapisan beban kerja](https://www.youtube.com/watch?v=vbjFjMNVEpc) 

# SEC02-BP06 Manfaatkan grup dan atribut pengguna
<a name="sec_identities_groups_attributes"></a>

 Seiring meningkatnya jumlah pengguna yang dikelola, Anda perlu menentukan cara agar dapat mengelolanya dalam skala besar. Tempatkan pengguna yang memiliki persyaratan keamanan yang sama dalam grup yang ditentukan oleh penyedia identitas Anda, dan terapkan mekanisme untuk memastikan atribut pengguna yang dapat digunakan untuk kontrol akses (misalnya departemen atau lokasi) sudah benar dan diperbarui. Gunakan grup dan atribut tersebut untuk mengontrol akses, bukan pengguna individual. Dengan demikian, Anda dapat mengelola akses secara terpusat cukup dengan satu kali mengubah keanggotaan atau atribut grup pengguna dengan [seperangkat izin](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsets.html), daripada memperbarui banyak kebijakan satu per satu saat akses pengguna perlu diubah. Anda dapat menggunakan AWS IAM Identity Center (IAM Identity Center) untuk mengelola grup dan atribut pengguna. IAM Identity Center mendukung atribut yang paling sering digunakan, baik dimasukkan secara manual selama pembuatan pengguna atau disediakan secara otomatis menggunakan mesin sinkronisasi, seperti yang ditetapkan dalam spesifikasi Sistem untuk Manajemen Identitas Lintas Domain (SCIM). 

Tempatkan pengguna yang memiliki persyaratan keamanan yang sama dalam grup yang ditentukan oleh penyedia identitas Anda, dan terapkan mekanisme untuk memastikan atribut pengguna yang dapat digunakan untuk kontrol akses (misalnya departemen atau lokasi) sudah benar dan diperbarui. Gunakan grup dan atribut tersebut, bukan pengguna individual, untuk mengontrol akses. Dengan demikian, Anda dapat mengelola akses secara terpusat cukup dengan satu kali mengubah keanggotaan atau atribut grup pengguna, daripada memperbarui banyak kebijakan satu per satu saat akses pengguna perlu diubah.

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah 

## Panduan implementasi
<a name="implementation-guidance"></a>
+  Jika Anda menggunakan AWS IAM Identity Center (IAM Identity Center), konfigurasikan grup: IAM Identity Center memberikan kemampuan untuk mengonfigurasi grup pengguna dan menetapkan grup untuk tingkat izin yang diinginkan. 
  +  [AWS Masuk Tunggal - Kelola Identitas](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html) 
+  Pelajari lebih lanjut tentang kontrol akses berbasis atribut (ABAC): ABAC adalah strategi otorisasi yang menetapkan izin berdasarkan atribut. 
  +  [Apa Itu ABAC untuk AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) 
  +  [Lab: Kontrol Akses Berbasis Tanda IAM untuk EC2](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html) 

## Sumber daya
<a name="resources"></a>

 **Dokumen terkait:** 
+  [Mulai Menggunakan AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html) 
+  [Praktik Terbaik IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Penyedia Identitas dan Federasi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 
+  [Pengguna Root Akun AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) 

 **Video terkait:** 
+  [Praktik Terbaik untuk Mengelola, Mengambil, dan Merotasi Secret dalam Skala Besar](https://youtu.be/qoxxRlwJKZ4) 
+  [Mengelola izin pengguna dalam skala besar dengan AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E) 
+  [Menguasai identitas di setiap lapisan beban kerja](https://www.youtube.com/watch?v=vbjFjMNVEpc) 

 **Contoh terkait:** 
+  [Lab: Kontrol Akses Berbasis Tanda IAM untuk EC2](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)