# SEC 3 Bagaimana cara mengelola izin untuk manusia dan mesin?
Kelola izin untuk mengontrol akses ke identitas manusia dan identitas mesin yang memerlukan akses ke AWS dan beban kerja Anda. Izin akan mengontrol siapa yang dapat mengakses hal tertentu, beserta kondisinya.
**Topics**
+ [SEC03-BP01 Menetapkan persyaratan akses](sec_permissions_define.md)
+ [SEC03-BP02 Memberikan hak akses paling rendah](sec_permissions_least_privileges.md)
+ [SEC03-BP03 Menerapkan proses akses darurat](sec_permissions_emergency_process.md)
+ [SEC03-BP04 Mengurangi izin secara terus-menerus](sec_permissions_continuous_reduction.md)
+ [SEC03-BP05 Menentukan pagar pembatas izin untuk organisasi Anda](sec_permissions_define_guardrails.md)
+ [SEC03-BP06 Mengelola akses berdasarkan siklus hidup](sec_permissions_lifecycle.md)
+ [SEC03-BP07 Menganalisis akses lintas akun dan publik](sec_permissions_analyze_cross_account.md)
+ [SEC03-BP08 Membagikan sumber daya secara aman](sec_permissions_share_securely.md)
# SEC03-BP01 Menetapkan persyaratan akses
Tiap-tiap komponen atau sumber daya beban kerja Anda perlu diakses oleh administrator, pengguna akhir, atau komponen lainnya. Miliki penetapan yang jelas tentang siapa atau apa yang harus memiliki akses ke tiap-tiap komponen, pilih tipe identitas dan metode autentikasi serta otorisasi yang tepat.
**Antipola umum:**
+ Hard-coding atau menyimpan rahasia di dalam aplikasi Anda.
+ Memberikan izin kustom untuk tiap pengguna.
+ Menggunakan kredensial berumur panjang.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi
## Panduan implementasi
Tiap-tiap komponen atau sumber daya beban kerja Anda perlu diakses oleh administrator, pengguna akhir, atau komponen lainnya. Miliki penetapan yang jelas tentang siapa atau apa yang harus memiliki akses ke tiap-tiap komponen, pilih tipe identitas dan metode autentikasi serta otorisasi yang tepat.
Akses rutin ke Akun AWS di dalam organisasi harus disediakan menggunakan [akses gabungan](https://aws.amazon.com/identity/federation/) atau penyedia identitas terpusat. Anda juga sebaiknya memusatkan manajemen identitas Anda dan memastikan terdapat praktik yang matang untuk mengintegrasikan akses AWS ke siklus hidup akses karyawan Anda. Misalnya, saat seorang karyawan berganti peran pekerjaan dengan level akses berbeda, keanggotaan grupnya juga harus berubah agar sesuai dengan persyaratan akses barunya.
Saat menetapkan persyaratan akses untuk identitas non-manusia, tentukan aplikasi dan komponen mana yang memerlukan akses dan bagaimana izin diberikan. Menggunakan IAM role yang dibangun dengan model akses hak akses paling rendah adalah pendekatan yang disarankan. [Kebijakan yang Dikelola AWS](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html) menyediakan kebijakan IAM yang telah ditetapkan sebelumnya yang mencakup kasus-kasus penggunaan paling umum.
Layanan AWS, seperti [AWS Secrets Manager](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/) dan [AWS Systems Manager Parameter Store](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html), dan membantu memisahkan rahasia dari aplikasi atau beban kerja secara aman pada kasus-kasus yang tidak memungkinkan penggunaan IAM role. Di Secrets Manager, Anda dapat membuat rotasi otomatis untuk kredensial Anda. Anda dapat menggunakan Systems Manager untuk merujuk parameter di skrip, perintah, dokumen SSM, konfigurasi, dan alur kerja otomatisasi Anda menggunakan nama unik yang telah Anda tentukan saat membuat parameter tersebut.
Anda dapat menggunakan AWS Identity and Access Management Roles Anywhere untuk mendapatkan [kredensial keamanan sementara di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) untuk beban kerja yang berjalan di luar AWS. Beban kerja Anda dapat menggunakan [kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dan [IAM role](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) yang sama dengan yang Anda gunakan dengan aplikasi AWS untuk mengakses sumber daya AWS.
Jika memungkinkan, gunakan kredensial sementara jangka pendek, bukan kredensial statis jangka panjang. Untuk skenario di mana Anda memerlukan pengguna IAM dengan akses terprogram dan kredensial jangka panjang, gunakan [informasi yang terakhir digunakan kunci akses](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) untuk merotasi dan menghapus kunci akses.
## Sumber daya
**Dokumen terkait:**
+ [Kontrol akses berbasis atribut (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [AWS IAM Identity Center](https://aws.amazon.com/iam/identity-center/)
+ [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html)
+ [Kebijakan yang dikelola AWS untuk IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html)
+ [Ketentuan kebijakan AWS IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)
+ [Kasus penggunaan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_UseCases.html)
+ [Hapus kredensial yang tidak diperlukan](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [Bekerja dengan Kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
+ [Cara mengontrol akses ke sumber daya AWS berdasarkan Akun AWS, OU, atau organisasi](https://aws.amazon.com/blogs/security/how-to-control-access-to-aws-resources-based-on-aws-account-ou-or-organization/)
+ [Identifikasi, atur, dan kelola rahasia secara mudah menggunakan pencarian yang ditingkatkan di AWS Secrets Manager](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/)
**Video terkait:**
+ [Menjadi Master Kebijakan IAM dalam 60 Menit atau Kurang](https://youtu.be/YQsK4MtsELU)
+ [Pemisahan Tugas, Hak Akses Paling Rendah, Delegasi, dan CI/CD](https://youtu.be/3H0i7VyTu70)
+ [Merampingkan manajemen identitas dan akses untuk inovasi](https://www.youtube.com/watch?v=3qK0b1UkaE8)
# SEC03-BP02 Memberikan hak akses paling rendah
Berikan hanya akses yang diperlukan identitas dengan mengizinkan akses ke tindakan tertentu pada sumber daya AWS tertentu dalam kondisi tertentu. Serahkan pada grup dan atribut identitas untuk menetapkan izin secara dinamis dalam skala besar, daripada menentukan izin sendiri-sendiri untuk masing-masing pengguna. Misalnya, Anda dapat memberi sebuah grup developer akses untuk mengelola sumber daya untuk proyek mereka saja. Dengan demikian, saat seorang developer dihapus dari grup, akses untuk developer tersebut akan dicabut di mana pun grup tersebut digunakan untuk kontrol akses, tanpa memerlukan perubahan apa pun pada kebijakan akses.
**Antipola umum:**
+ Memberikan izin administrator kepada para pengguna secara default.
+ Menggunakan akun root untuk aktivitas harian.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Tinggi
## Panduan implementasi
Pembuatan prinsip [hak akses paling rendah](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) memastikan identitas hanya diizinkan untuk melakukan rangkaian fungsi paling rendah yang diperlukan untuk memenuhi tugas tertentu, sambil menyeimbangkan kegunaan dan efisiensi. Operasi dengan prinsip ini membatasi akses yang tidak diinginkan dan membantu memastikan Anda dapat mengaudit siapa yang memiliki akses ke sumber daya tertentu. Di AWS, identitas tidak memiliki izin secara default kecuali untuk pengguna root. Kredensial untuk pengguna root harus dikontrol secara ketat dan hanya digunakan untuk beberapa [tugas tertentu](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html).
Anda menggunakan kebijakan untuk memberikan izin secara eksplisit yang dilampirkan ke IAM atau entitas sumber daya, seperti IAM peran yang digunakan oleh identitas atau mesin yang difederasi, atau sumber daya (misalnya, bucket S3). Saat membuat dan melampirkan kebijakan, Anda dapat menentukan tindakan layanan, sumber daya, dan kondisi yang harus terpenuhi agar AWS dapat mengizinkan akses. AWS mendukung beragam kondisi untuk membantu Anda menyaring akses. Misalnya, menggunakan `kunci kondisi` [PrincipalOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html), pengidentifikasi AWS Organizations diverifikasi sehingga akses dapat diberikan di dalam Organisasi AWS Anda.
Anda juga dapat mengontrol permintaan yang dibuat oleh layanan AWS atas nama Anda, seperti AWS CloudFormation yang membuat fungsi AWS Lambda, dengan menggunakan `kunci kondisi` CalledVia. Anda harus membuat lapisan tipe-tipe kebijakan yang berbeda untuk membatasi keseluruhan izin secara efektif di dalam suatu akun. Misalnya, Anda dapat mengizinkan tim aplikasi Anda untuk membuat kebijakan IAM mereka sendiri, tetapi gunakan [Batasan Izin](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) untuk membatasi izin maksimum yang dapat mereka berikan.
Terdapat sejumlah kemampuan AWS untuk membantu Anda menskalakan manajemen izin dan mematuhi prinsip hak akses paling rendah. [Kontrol Akses Berbasis Atribut](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) memungkinkan Anda membatasi izin berdasarkan *[tag](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html)* suatu sumber daya, untuk mengambil keputusan otorisasi berdasarkan tag yang diterapkan ke sumber daya tersebut dan memanggil principal IAM. Hal ini memungkinkan Anda menggabungkan kebijakan pemberian tag dan izin untuk mencapai akses sumber daya yang sangat mendetail tanpa memerlukan banyak kebijakan kustom.
Cara lain untuk mempercepat pembuatan kebijakan hak akses paling rendah adalah untuk melandaskan kebijakan Anda pada izin CloudTrail setelah aktivitas berjalan. [IAM Access Analyzer dapat menghasilkan kebijakan IAM secara otomatis berdasarkan aktivitas](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/). Anda juga dapat menggunakan IAM Access Advisor pada level akun Organisasi atau individu untuk [melacak informasi yang terakhir kali diakses untuk kebijakan tertentu](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html).
Bangun rutinitas untuk meninjau detail-detail ini dan menghapus izin yang tidak diperlukan. Anda harus membuat pagar pembatas izin di dalam Organisasi AWS Anda guna mengontrol izin maksimum di dalam akun anggota mana pun. Layanan seperti [AWS Control Tower memiliki kontrol preventif terkelola preskriptif](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html) dan memungkinkan Anda menetapkan kontrol Anda sendiri.
## Sumber daya
**Dokumen terkait:**
+ [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)
+ [Teknik untuk menulis kebijakan IAM hak akses paling rendah](https://aws.amazon.com/blogs/security/techniques-for-writing-least-privilege-iam-policies/)
+ [IAM Access Analyzer mempermudah implementasi izin hak akses paling rendah dengan menghasilkan kebijakan IAM berdasarkan aktivitas akses](https://aws.amazon.com/blogs/security/iam-access-analyzer-makes-it-easier-to-implement-least-privilege-permissions-by-generating-iam-policies-based-on-access-activity/)
+ [Menyempurnakan Izin menggunakan informasi yang terakhir kali diakses](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)
+ [Tipe kebijakan IAM dan kapan harus digunakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)
+ [Menguji kebijakan IAM dengan simulator kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html)
+ [Pagar pembatas di AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html)
+ [Arsitektur Zero Trust: Sebuah perspektif AWS](https://aws.amazon.com/blogs/security/zero-trust-architectures-an-aws-perspective/)
+ [Cara mengimplementasikan prinsip hak akses paling rendah dengan CloudFormation StackSets](https://aws.amazon.com/blogs/security/how-to-implement-the-principle-of-least-privilege-with-cloudformation-stacksets/)
**Video terkait:**
+ [Manajemen izin generasi berikutnya](https://www.youtube.com/watch?v=8vsD_aTtuTo)
+ [Zero Trust: Sebuah perspektif AWS](https://www.youtube.com/watch?v=1p5G1-4s1r0)
+ [Bagaimana cara menggunakan batasan izin untuk membatasi pengguna dan peran IAM guna mencegah eskalasi hak akses paling rendah?](https://www.youtube.com/watch?v=omwq3r7poek)
**Contoh terkait:**
+ [Lab: Batasan izin IAM yang mendelegasikan pembuatan peran](https://wellarchitectedlabs.com/Security/300_IAM_Permission_Boundaries_Delegating_Role_Creation/README.html)
# SEC03-BP03 Menerapkan proses akses darurat
Proses yang memungkinkan akses darurat ke beban kerja Anda dalam peristiwa proses otomatis yang tidak diharapkan atau masalah pipeline. Proses ini akan membantu Anda mengandalkan hak akses paling rendah, tetapi memastikan pengguna dapat memperoleh tingkat akses yang sesuai ketika mereka membutuhkannya. Misalnya, menerapkan proses bagi administrator untuk memverifikasi dan menyetujui permintaan pengguna, seperti peran lintas akun AWS darurat untuk akses, atau proses tertentu yang harus diikuti administrator untuk memvalidasi atau menyetujui permintaan darurat.
**Antipola umum:**
+ Tidak ada proses darurat yang diterapkan untuk melakukan pemulihan dari pemadaman dengan konfigurasi identitas yang Anda miliki.
+ Memberikan peningkatan izin jangka panjang untuk tujuan pemecahan masalah atau pemulihan.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Sedang
## Panduan implementasi
Membangun akses darurat dapat memiliki sejumlah bentuk yang harus Anda siapkan. Pertama adalah kegagalan penyedia identitas utama Anda. Pada kasus ini, Anda harus mengandalkan metode akses kedua dengan izin yang diperlukan untuk pulih. Metode ini bisa berupa penyedia identitas cadangan atau pengguna IAM. Metode kedua ini harus [secara ketat dikontrol, dipantau, dan diberitahukan](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity/) apabila digunakan. Identitas akses darurat harus berasal dari akun yang dibuat khusus untuk tujuan ini dan hanya memiliki izin untuk mengambil peran yang dirancang secara khusus untuk pemulihan.
Anda juga harus siap dengan akses darurat di mana peningkatan akses administratif sementara diperlukan. Skenario umumnya adalah membatasi mutasi izin ke proses otomatis yang digunakan untuk men-deploy perubahan. Apabila proses ini memiliki masalah, pengguna mungkin perlu meminta peningkatan izin untuk memulihkan fungsionalitas. Pada kasus ini, bangun sebuah proses di mana pengguna dapat meminta peningkatan akses dan administrator dapat memvalidasi dan menyetujuinya. Rencana implementasi yang mengurai panduan praktik terbaik untuk menyediakan akses di awal dan menyiapkan peran darurat dan *mendesak (break-glass)*disediakan sebagai bagian dari [SEC10-BP05 Menyediakan akses di awal](sec_incident_response_pre_provision_access.md).
## Sumber daya
**Dokumen terkait:**
+ [Memantau dan Memberi Notifikasi di AWS](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity)
+ [Mengelola peningkatan akses sementara](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/)
**Video terkait:**
+ [Menjadi Master Kebijakan IAM dalam 60 Menit atau Kurang](https://youtu.be/YQsK4MtsELU)
# SEC03-BP04 Mengurangi izin secara terus-menerus
Jika tim dan beban kerja telah menentukan akses yang diperlukan, hapus izin yang tidak lagi digunakan dan tetapkan proses peninjauan untuk mendapatkan izin hak akses paling rendah. Memantau dan mengurangi secara terus-menerus identitas serta izin yang tidak digunakan.
Terkadang, saat tim dan proyek baru dimulai, Anda mungkin memilih memberikan akses yang luas (di lingkungan pengembangan atau pengujian) guna menginspirasi inovasi dan ketangkasan. Sebaiknya evaluasikan akses secara terus-menerus, khususnya di lingkungan produksi, dan batasi akses untuk izin yang diperlukan saja serta capai hak akses paling rendah. AWS menyediakan kemampuan analisis akses untuk membantu mengidentifikasi akses yang tidak digunakan. Untuk membantu Anda mengidentifikasi pengguna, peran, izin, dan kredensial yang tidak digunakan, AWS menganalisis akses aktivitas dan menyediakan kunci akses sera peran yang terakhir digunakan informasi. Anda dapat menggunakan [stempel waktu yang terakhir diakses](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data.html) untuk [mengidentifikasi pengguna dan peran yang tidak digunakan](http://aws.amazon.com/blogs/security/identify-unused-iam-roles-remove-confidently-last-used-timestamp/), dan menghapusnya. Selain itu, Anda dapat meninjau informasi layanan dan tindakan yang terakhir diakses guna mengidentifikasi dan [memperketat izin untuk pengguna dan peran tertentu.](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html). Misalnya, Anda dapat menggunakan informasi yang terakhir diakses untuk mengidentifikasi tindakan Amazon Simple Storage Service(Amazon S3) tertentu yang diperlukan peran aplikasi dan membatasi akses hanya untuk mereka. Fitur ini tersedia di Konsol Manajemen AWS dan secara terprogram agar Anda dapat menyertakannya ke dalam alur kerja infrastruktur dan alat otomatis.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Sedang
## Panduan implementasi
+ Konfigurasikan AWS Identify and Access Management (IAM) Access Analyzer: AWS IAM Access Analyzer membantu Anda mengidentifikasi sumber daya di organisasi dan akun Anda, seperti bucket Amazon Simple Storage Service (Amazon S3) atau peran IAM, yang dibagikan dengan entitas eksternal.
+ [AWS IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)
## Sumber daya
**Dokumen terkait:**
+ [Kontrol akses berbasis atribut (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [Berikan hak akses paling rendah](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ [Hapus kredensial yang tidak diperlukan](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [Bekerja dengan Kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
**Video terkait:**
+ [Menjadi Master Kebijakan IAM dalam 60 Menit atau Lebih Cepat](https://youtu.be/YQsK4MtsELU)
+ [Pemisahan Tugas, Hak Akses Paling Rendah, Delegasi, dan CI/CD](https://youtu.be/3H0i7VyTu70)
# SEC03-BP05 Menentukan pagar pembatas izin untuk organisasi Anda
Tetapkan kontrol umum yang membatasi akses ke semua identitas di organisasi Anda. Misalnya, Anda dapat membatasi akses untuk Wilayah AWS tertentu, atau mencegah operator Anda menghapus dari sumber daya umum, seperti IAM role yang digunakan untuk tim keamanan pusat Anda.
**Antipola umum:**
+ Menjalankan beban kerja di akun administrator Organisasi Anda.
+ Menjalankan beban kerja produksi dan non-produksi di akun yang sama.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Sedang
## Panduan implementasi
Seiring Anda menumbuhkan dan mengelola beban kerja tambahan di AWS, Anda harus memisahkan semua beban kerja ini menggunakan akun dan mengelola akun-akun tersebut menggunakan AWS Organizations. Kami menyarankan Anda membuat pagar pembatas izin umum yang membatasi akses ke semua identitas di organisasi Anda. Misalnya, Anda dapat membatasi akses ke Wilayah AWS tertentu, atau mencegah tim Anda menghapus sumber daya umum, seperti IAM role yang digunakan oleh tim keamanan pusat Anda.
Anda dapat memulainya dengan mengimplementasikan contoh kebijakan kontrol layanan, seperti mencegah pengguna menonaktifkan layanan utama. SCP menggunakan bahasa kebijakan IAM dan memungkinkan Anda untuk menerapkan kontrol yang dipatuhi semua principal (pengguna dan peran). Anda dapat membatasi akses ke tindakan atau sumber daya layanan tertentu, dan berdasarkan kondisi tertentu untuk memenuhi kebutuhan kontrol akses organisasi Anda. Jika perlu, Anda dapat menetapkan pengecualian pada pagar pembatas Anda. Misalnya, Anda dapat membatasi tindakan layanan untuk semua entitas IAM di dalam akun kecuali untuk peran administrator tertentu.
Kami menyarankan Anda untuk tidak menjalankan beban kerja di akun manajemen Anda. Akun manajemen sebaiknya digunakan untuk menata kelola dan men-deploy pagar pembatas keamanan yang akan memengaruhi akun-akun anggota. Beberapa layanan AWS mendukung penggunaan akun administrator yang didelegasikan. Saat tersedia, Anda harus menggunakan akun delegasi ini sebagai pengganti akun manajemen. Anda harus membatasi secara ketat akses ke akun administrator Organisasi.
Menggunakan strategi multi-akun memungkinkan Anda untuk memiliki fleksibilitas yang lebih besar dalam menerapkan pagar pembatas ke beban kerja Anda. Arsitektur Rujukan Keamanan AWS memberikan panduan preskriptif tentang cara merancang struktur akun Anda. Layanan AWS seperti AWS Control Tower menyediakan kemampuan untuk mengelola kontrol preventif serta detektif secara terpusat di seluruh organisasi Anda. Tetapkan tujuan yang jelas untuk tiap akun atau OU di dalam organisasi dan batasi kontrol yang sejalan dengan tujuan tersebut.
## Sumber daya
**Dokumen terkait:**
+ [AWS Organizations](https://aws.amazon.com/organizations/)
+ [Kebijakan kontrol layanan (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)
+ [Dapatkan hasil maksimal dari kebijakan kontrol layanan di lingkungan multi-akun](https://aws.amazon.com/blogs/security/get-more-out-of-service-control-policies-in-a-multi-account-environment/)
+ [Arsitektur Referensi Keamanan AWS (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html)
**Video terkait:**
+ [Tegakkan Pagar Pembatas Preventif menggunakan Kebijakan Kontrol Layanan](https://www.youtube.com/watch?v=mEO05mmbSms)
+ [Membangun tata kelola pada skala besar dengan AWS Control Tower](https://www.youtube.com/watch?v=Zxrs6YXMidk)
+ [Mendalami AWS Identity and Access Management](https://www.youtube.com/watch?v=YMj33ToS8cI)
# SEC03-BP06 Mengelola akses berdasarkan siklus hidup
Integrasikan kontrol akses dengan siklus hidup operator dan aplikasi serta penyedia federasi terpusat. Misalnya, hapus akses pengguna saat mereka keluar dari organisasi atau berganti peran.
Saat Anda mengelola beban kerja menggunakan akun terpisah, akan ada kasus saat Anda perlu membagikan sumber daya kepada akun-akun tersebut. Sebaiknya bagikan sumber menggunakan [AWS Resource Access Manager (AWS RAM)](http://aws.amazon.com/ram/). Layanan ini memungkinkan Anda untuk membagikan sumber daya AWS di dalam Unit Organisasi dan AWS Organizations Anda. Menggunakan AWS RAM, akses ke sumber daya bersama secara otomatis diberikan atau dicabut ketika akun dimasukkan atau dikeluarkan dari Organisasi atau Unit Organisasi mereka. Hal ini memastikan bahwa sumber daya hanya dibagikan dengan akun yang Anda maksudkan saja.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Rendah
## Panduan implementasi
Siklus hidup akses pengguna mengimplementasikan kebijakan siklus hidup akses pengguna untuk pengguna yang baru bergabung, perubahan fungsi tugas, serta pengguna yang keluar, sehingga hanya pengguna saat ini yang memiliki akses.
## Sumber daya
**Dokumen terkait:**
+ [Kontrol akses berbasis atribut (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [Berikan hak akses paling rendah](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)
+ [Hapus kredensial yang tidak diperlukan](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [Bekerja dengan Kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
**Video terkait:**
+ [Become an IAM Policy Master in 60 Minutes or Less](https://youtu.be/YQsK4MtsELU)
+ [Separation of Duties, Least Privilege, Delegation, and CI/CD](https://youtu.be/3H0i7VyTu70)
# SEC03-BP07 Menganalisis akses lintas akun dan publik
Pantau secara kontinu temuan yang menyoroti akses lintas akun dan publik. Kurangi akses publik dan akses lintas akun ke sumber daya yang memerlukan jenis akses ini saja.
**Antipola umum:**
+ Tidak mengikuti proses untuk mengatur akses untuk akses lintas akun dan publik ke sumber daya.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Rendah
## Panduan implementasi
Di AWS, Anda dapat memberikan akses kepada sumber daya di akun lain. Anda memberikan akses lintas akun langsung menggunakan kebijakan yang dilampirkan ke sumber daya (misalnya, [kebijakan bucket Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)) atau dengan mengizinkan identitas untuk mengambil peran IAM di akun yang lain. Ketika menggunakan kebijakan sumber daya, pastikan akses diberikan kepada identitas di organisasi Anda dan Anda memang berniat menjadikan sumber daya dapat diakses oleh publik. Tentukan proses untuk menyetujui semua sumber daya yang diperlukan untuk tersedia secara publik.
[IAM Access Analyzer](https://aws.amazon.com/iam/features/analyze-access/) menggunakan [keamanan yang dapat dibuktikan](https://aws.amazon.com/security/provable-security/) untuk mengidentifikasi semua jalur akses ke sumber daya dari luar akun tersebut. Dengan ini, kebijakan sumber daya Anda akan ditinjau secara kontinu, dan melaporkan temuan akses lintas akun dan publik untuk memudahkan Anda menganalisis potensi akses yang luas. Pertimbangkan untuk mengonfigurasi IAM Access Analyzer dengan AWS Organizations untuk memastikan Anda memiliki visibilitas tentang semua akun Anda. IAM Access Analyzer juga memungkinkan Anda untuk [melakukan pratinjau temuan Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-access-preview.html), sebelum men-deploy izin sumber daya. Hal ini memungkinkan Anda untuk memvalidasi bahwa perubahan kebijakan hanya memberikan akses lintas akun dan publik yang benar-benar diinginkan ke sumber daya Anda. Saat merancang untuk akses multiakun, Anda dapat menggunakan [kebijakan kepercayaan untuk mengontrol dalam kasus apa peran dapat diambil](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/). Misalnya, Anda dapat membatasi pengambilan peran pada rentang IP sumber tertentu.
Anda juga dapat menggunakan [AWS Config untuk melaporkan dan memperbaiki sumber daya](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-Publicly-Accessible-Resources.html) untuk segala konfigurasi akses publik yang tidak disengaja, melalui pemeriksaan kebijakan AWS Config. Layanan seperti [AWS Control Tower](https://aws.amazon.com/controltower) dan [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html) menyederhanakan deployment pemeriksaan dan pagar pembatas di AWS Organizations untuk mengidentifikasi dan memperbaiki sumber daya yang terpapar publik. Misalnya, AWS Control Tower memiliki pagar pembatas terkelola yang dapat mendeteksi jika terdapat [snapshot Amazon EBS yang dapat dipulihkan oleh semua akun AWS](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html).
## Sumber daya
**Dokumen terkait:**
+ [Menggunakan AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html?ref=wellarchitected)
+ [Pagar Pembatas di AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)
+ [Standar Praktik Terbaik Keamanan Dasar AWS](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html)
+ [Aturan Terkelola AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html)
+ [Referensi pemeriksaan AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor-check-reference.html)
**Video terkait:**
+ [Praktik Terbaik untuk mengamankan lingkungan multiakun Anda](https://www.youtube.com/watch?v=ip5sn3z5FNg)
+ [Memahami Lebih Dalam tentang IAM Access Analyzer](https://www.youtube.com/watch?v=i5apYXya2m0)
# SEC03-BP08 Membagikan sumber daya secara aman
Kelola pemakaian sumber daya yang dibagikan di seluruh akun atau di dalam AWS Organizations Anda. Pantau sumber daya bersama dan tinjau akses sumber daya bersama.
**Antipola umum:**
+ Menggunakan kebijakan kepercayaan IAM default ketika memberikan akses lintas akun kepada pihak ketiga.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Rendah
## Panduan implementasi
Jika Anda mengelola beban kerja Anda menggunakan beberapa akun AWS, Anda mungkin perlu membagikan sumber daya antar akun. Sering kali, ini dilakukan dengan berbagi antar akun dalam AWS Organizations. Beberapa layanan AWS, seperti [AWS Security Hub CSPM](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-securityhub.html), [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html), dan [AWS Backup](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-backup.html) memiliki fitur lintas akun yang terintegrasi dengan Organizations. Anda dapat menggunakan [AWS Resource Access Manager](https://aws.amazon.com/ram/) untuk berbagi sumber daya umum lainnya, seperti [Subnet VPC atau lampiran Gateway Transit](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-vpc), [AWS Network Firewall](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-network-firewall), atau [pipeline Amazon SageMaker Runtime](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-sagemaker). Jika Anda ingin memastikan bahwa akun Anda hanya membagikan sumber daya di Organizations Anda, sebaiknya gunakan [Kebijakan Kontrol Layanan (SCP)](https://docs.aws.amazon.com/ram/latest/userguide/scp.html) untuk mencegah akses ke principal eksternal.
Ketika membagikan sumber daya, Anda harus melakukan tindakan untuk mencehah akses yang tidak diinginkan. Sebaiknya gabungkan kontrol berbasis identitas dan kontrol jaringan untuk [membuat perimeter data bagi organisasi Anda.](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html). Kontrol ini harus menetapkan batas ketat terkait sumber daya apa yang dapat dibagikan dan mencegah berbagi atau memaparkan sumber daya yang tidak diizinkan. Misalnya, sebagai bagian dari perimeter data Anda, Anda dapat menggunakan kebijakan titik akhir VPC dan persyaratan `aws:PrincipalOrgId` untuk memastikan identitas yang mengakses bucket Amazon S3 Anda adalah milik organisasi Anda.
Dalam beberapa kasus, Anda mungkin ingin mengizinkan berbagi sumber daya di luar Organizations Anda atau memberikan akses ke akun Anda kepada pihak ketiga. Misalnya, seorang partner mungkin menyediakan solusi pemantauan yang perlu mengakses sumber daya di akun Anda. Dalam kasus tersebut, Anda harus membuat peran lintas akun IAM hanya dengan hak akses yang dibutuhkan oleh pihak ketiga tersebut. Anda juga harus membuat kebijakan kepercayaan menggunakan [persyaratan ID eksternal](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html). Ketika menggunakan ID eksternal, Anda harus membuat ID unik untuk setiap pihak ketiga. ID unik tidak boleh disediakan atau dikontrol oleh pihak ketiga. Jika pihak ketiga sudah tidak memerlukan akses ke lingkungan Anda, Anda harus menghapus peran. Bagaimana pun juga, Anda juga harus menghindari menyediakan kredensial IAM jangka panjang kepada pihak ketiga. Selalu waspadai tentang layanan AWS lain yang secara native mendukung fitur berbagi. Misalnya, AWS Well-Architected Tool mengizinkan [berbagi beban kerja](https://docs.aws.amazon.com/wellarchitected/latest/userguide/workloads-sharing.html) dengan akun AWS lain.
Ketika menggunakan layanan seperti Amazon S3, direkomendasikan untuk [menonaktifkan ACL untuk bucket Amazon S3 Anda](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) dan menggunakan kebijakan IAM untuk menetapkan kontrol akses. [Untuk membatasi akses ke asal Amazon S3](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) dari [Amazon CloudFront](https://aws.amazon.com/cloudfront/), migrasikan dari identitas akses asal (OAI) ke kontrol akses asal (OAC) yang mendukung fitur tambahan termasuk enkripsi di sisi server dengan [AWS KMS](https://aws.amazon.com/kms/).
## Sumber daya
**Dokumen terkait:**
+ [Pemilik bucket yang memberikan izin lintas akun ke objek yang tidak dimilikinya](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example4.html)
+ [Cara menggunakan Kebijakan Kepercayaan dengan IAM](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/)
+ [Membangun Perimeter Data di AWS](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html)
+ [Cara menggunakan ID eksternal saat memberikan akses ke sumber daya AWS Anda kepada pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html)
**Video terkait:**
+ [Akses Terperinci dengan AWS Resource Access Manager](https://www.youtube.com/watch?v=X3HskbPqR2s)
+ [Mengamankan perimeter data Anda dengan titik akhir VPC](https://www.youtube.com/watch?v=iu0-o6hiPpI)
+ [ Membuat perimeter data di AWS](https://www.youtube.com/watch?v=SMi5OBjp1fI)