# Manajemen dan pemisahan akun AWS
<a name="aws-account-management-and-separation"></a>

Sebaiknya atur beban kerja di akun terpisah dan kelompokkan akun berdasarkan fungsi, persyaratan kepatuhan, atau serangkaian kontrol umum, daripada menyamakannya dengan struktur pelaporan perusahaan Anda. Di AWS, akun adalah batas tegas. Misalnya, pemisahan di tingkat akun sangat disarankan untuk mengisolasi beban kerja produksi dari beban kerja pengembangan dan pengujian. 

 **Kelola akun secara terpusat:** AWS Organizations [mengotomatiskan pembuatan dan pengelolaan akun AWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html) dan kontrol atas akun tersebut setelah dibuat. Ketika Anda membuat akun melalui AWS Organizations, pertimbangkan dengan cermat alamat email yang Anda gunakan, karena ini akan menjadi pengguna root yang dapat mengatur ulang kata sandi. Organisasi akan memungkinkan Anda mengelompokkan akun ke dalam [unit organisasi (OU)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.html), yang dapat mewakili lingkungan yang berbeda berdasarkan persyaratan dan tujuan beban kerja. 

 **Atur kontrol secara terpusat:** Kontrol apa saja yang dapat dilakukan akun AWS Anda dengan hanya memperbolehkan layanan, Wilayah, dan tindakan layanan tertentu di tingkat yang sesuai. AWS Organizations akan memungkinkan Anda menggunakan kebijakan kontrol layanan (SCP) untuk menerapkan pagar pembatas di tingkat organisasi, unit organisasi, atau akun, yang berlaku untuk semua pengguna dan peran [AWS Identity and Access Management](https://aws.amazon.com/iam/) (IAM). Misalnya, Anda dapat menerapkan SCP yang membatasi pengguna agar tidak dapat meluncurkan sumber daya di Wilayah yang tidak Anda izinkan secara eksplisit. AWS Control Tower menawarkan cara sederhana untuk menyiapkan dan mengatur banyak akun. Ini akan mengotomatiskan pengaturan akun di Organisasi AWS Anda, mengotomatiskan penyediaan, menerapkan [pagar pembatas](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html) (yang mencakup pencegahan dan deteksi), dan memberi Anda dasbor untuk visibilitas. 

 **Konfigurasikan layanan dan sumber daya secara terpusat:** AWS Organizations akan membantu Anda mengonfigurasi [layanan-layanan AWS](https://aws.amazon.com/organizations/features/) yang berlaku untuk semua akun Anda. Misalnya, Anda dapat mengonfigurasi pencatatan log terpusat untuk semua tindakan yang dilakukan di organisasi Anda menggunakan [AWS CloudTrail](https://aws.amazon.com/cloudtrail/), dan mencegah akun anggota dari menonaktifkan pencatatan log. Anda juga dapat mengumpulkan data secara terpusat untuk aturan-aturan yang telah Anda tetapkan dengan menggunakan [AWS Config](https://aws.amazon.com/config/), sehingga Anda dapat mengaudit kepatuhan beban kerja Anda dan bereaksi cepat terhadap perubahan. AWS CloudFormation [StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html) dapat memudahkan Anda dalam mengelola tumpukan AWS CloudFormation secara terpusat di berbagai akun dan OU yang ada dalam organisasi Anda. Dengan begitu, Anda dapat secara otomatis menyediakan akun baru yang memenuhi persyaratan keamanan Anda. 

Gunakan fitur administrasi terdelegasikan dari layanan keamanan untuk memisahkan akun yang digunakan untuk manajemen dari akun tagihan (manajemen) organisasi. Beberapa layanan AWS, seperti GuardDuty, Security Hub, dan AWS Config, mendukung integrasi dengan AWS Organizations, termasuk menentukan akun spesifik untuk fungsi administratif.

**Topics**
+ [SEC01-BP01 Memisahkan beban kerja menggunakan akun](sec_securely_operate_multi_accounts.md)
+ [SEC01-BP02 Mengamankan properti dan pengguna root akun](sec_securely_operate_aws_account.md)

# SEC01-BP01 Memisahkan beban kerja menggunakan akun
<a name="sec_securely_operate_multi_accounts"></a>

 Terapkan pagar pembatas umum dan isolasi di antara lingkungan (seperti produksi, pengembangan, dan pengujian) dan beban kerja melalui strategi multi-akun. Pemisahan di tingkat akun sangat disarankan karena hal ini dapat memberikan batasan isolasi yang kuat untuk keamanan, tagihan, dan akses. 

**Hasil yang diinginkan:** Struktur akun yang mengisolasi operasi cloud, beban kerja yang tidak terkait, dan lingkungan ke dalam akun terpisah, meningkatkan keamanan di seluruh infrastruktur cloud.

**Anti-pola umum:**
+  Menempatkan beberapa beban kerja yang tidak saling berkaitan dengan berbagai tingkat sensitivitas data ke dalam akun yang sama.
+  Struktur unit organisasi (OU) yang tidak ditentukan dengan baik.

**Manfaat menjalankan praktik terbaik ini:**
+  Mengurangi cakupan dampak jika beban kerja tidak sengaja diakses.
+  Tata kelola akses secara terpusat ke layanan, sumber daya, dan Wilayah AWS.
+  Keamanan infrastruktur cloud terjaga dengan kebijakan dan administrasi tersentralisasi pada layanan keamanan.
+  Pembuatan akun dan proses pemeliharaan otomatis.
+  Audit infrastruktur terpusat untuk persyaratan kepatuhan dan peraturan.

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan**: Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>

 Akun AWS memberikan suatu batasan isolasi keamanan di antara beban kerja atau sumber daya yang beroperasi pada tingkat sensitivitas yang berbeda. AWS menyediakan alat-alat untuk mengelola beban kerja cloud Anda dalam skala yang sesuai melalui strategi multi-akun untuk memanfaatkan batasan isolasi ini. Untuk panduan tentang konsep, pola, dan implementasi strategi multi-akun pada AWS, lihat [Mengatur Lingkungan AWS Anda dengan Menggunakan Beberapa Akun](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html). 

 Ketika Anda memiliki beberapa Akun AWS di bawah manajemen pusat, akun Anda harus dikelola dalam hierarki yang ditentukan oleh lapisan unit organisasi (OU). Kontrol keamanan kemudian dapat diatur dan diterapkan ke OU dan akun anggota, sehingga menghasilkan kontrol pencegahan yang konsisten pada akun anggota di organisasi. Kontrol keamanan diwariskan, memungkinkan Anda memfilter izin yang tersedia untuk akun anggota yang berada di tingkat yang lebih rendah dalam hierarki OU. Untuk membuat desain yang baik, memanfaatkan pewarisan ini untuk mengurangi jumlah dan kerumitan kebijakan keamanan yang diperlukan untuk mencapai kontrol keamanan yang diinginkan untuk setiap akun anggota. 

 [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) dan [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) merupakan dua layanan yang dapat Anda gunakan untuk menerapkan dan mengelola struktur multi-akun ini di lingkungan AWS Anda. AWS Organizations memungkinkan Anda mengatur akun ke dalam hierarki yang ditentukan oleh satu atau beberapa lapisan OU, dengan setiap OU yang berisi beberapa akun anggota. [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) (SCP) memungkinkan administrator organisasi untuk membuat kontrol pencegahan terperinci pada akun anggota, dan [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html) dapat digunakan untuk membuat kontrol-kontrol proaktif dan detektif pada akun anggota. Banyak layanan AWS [terintegrasi dengan AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html) untuk menyediakan kontrol administratif yang didelegasikan dan melakukan tugas khusus layanan di semua akun anggota dalam organisasi. 

 Berlapis di atas AWS Organizations, [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) menyediakan pengaturan praktik terbaik satu kali klik untuk lingkungan AWS banyak akun dengan [zona landasan](https://docs.aws.amazon.com/controltower/latest/userguide/aws-multi-account-landing-zone.html). Zona landasan adalah titik masuk ke lingkungan multi-akun yang dibuat oleh Control Tower. Control Tower memberikan beberapa [manfaat](https://aws.amazon.com/blogs/architecture/fast-and-secure-account-governance-with-customizations-for-aws-control-tower/) dibanding AWS Organizations. Tiga manfaat yang memberikan tata kelola akun yang lebih baik adalah: 
+  Kontrol keamanan wajib terintegrasi yang diterapkan secara otomatis ke akun yang diterima di organisasi. 
+  Kontrol opsional yang dapat diaktifkan atau dinonaktifkan untuk serangkaian OU tertentu. 
+  [AWS Control Tower Account Factory](https://docs.aws.amazon.com/controltower/latest/userguide/account-factory.html) menyediakan deployment otomatis akun yang berisi baseline yang telah disetujui sebelumnya dan opsi konfigurasi di dalam organisasi Anda. 

 **Langkah-langkah implementasi** 

1.  **Merancang struktur unit organisasi:** Struktur unit organisasi yang dirancang dengan baik mengurangi beban manajemen yang diperlukan untuk membuat dan memelihara kebijakan kontrol layanan dan kontrol keamanan lainnya. Struktur unit organisasi Anda harus [selaras dengan kebutuhan bisnis Anda, sensitivitas data, dan struktur beban kerja](https://aws.amazon.com/blogs/mt/best-practices-for-organizational-units-with-aws-organizations/). 

1.  **Buat zona landasan untuk lingkungan multi-akun Anda:** zona landasan menyediakan fondasi keamanan dan infrastruktur yang konsisten dari mana organisasi Anda dapat dengan cepat mengembangkan, meluncurkan, dan menerapkan beban kerja. Anda dapat menggunakan [zona landasan atau AWS Control Tower yang dibuat khusus](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-aws-environment/building-landing-zones.html) untuk mengatur lingkungan Anda. 

1.  **Tetapkan pagar pembatas:** Implementasikan pagar pembatas keamanan yang konsisten untuk lingkungan Anda melalui zona landasan Anda. AWS Control Tower menyediakan daftar kontrol [wajib](https://docs.aws.amazon.com/controltower/latest/userguide/mandatory-controls.html) dan [opsional](https://docs.aws.amazon.com/controltower/latest/userguide/optional-controls.html) yang dapat digunakan. Deployment kontrol wajib dilakukan secara otomatis saat mengimplementasikan Control Tower. Lihat daftar kontrol yang sangat direkomendasikan dan opsional, kemudian implementasikan kontrol yang sesuai dengan kebutuhan Anda. 

1.  **Batasi akses ke Wilayah yang baru ditambahkan**: Untuk Wilayah AWS baru, sumber daya IAM, seperti pengguna dan peran, hanya akan disebarkan ke Wilayah yang Anda aktifkan. Tindakan ini dapat dilakukan melalui [konsol saat menggunakan Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/region-deny.html), atau dengan menyesuaikan [kebijakan izin IAM di AWS Organizations](https://aws.amazon.com/blogs/security/setting-permissions-to-enable-accounts-for-upcoming-aws-regions/). 

1.  **Pertimbangkan AWS [CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)**: StackSets membantu Anda melakukan deploy sumber daya termasuk kebijakan, peran dan grup IAM ke dalam Akun AWS dan Wilayah yang berbeda dari templat yang disetujui. 

## Sumber daya
<a name="resources"></a>

**Praktik-praktik terbaik terkait:** 
+ [SEC02-BP04 Mengandalkan penyedia identitas tersentralisasi](sec_identities_identity_provider.md)

**Dokumen terkait:** 
+  [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 
+  [AWS Pedoman Audit Keamanan](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html) 
+  [Praktik Terbaik IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Menggunakan CloudFormation StackSets untuk menyediakan sumber daya di beberapa Akun AWS dan wilayah](https://aws.amazon.com/blogs/aws/use-cloudformation-stacksets-to-provision-resources-across-multiple-aws-accounts-and-regions/) 
+  [Pertanyaan Umum tentang Organisasi](https://aws.amazon.com/organizations/faqs/) 
+  [AWS Organizations Terminologi dan konsep](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) 
+  [Praktik Terbaik untuk Kebijakan Kontrol Layanan di Lingkungan Multi-akun AWS Organizations](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/) 
+  [AWS Panduan Referensi Manajemen Akun](https://docs.aws.amazon.com/accounts/latest/reference/accounts-welcome.html) 
+  [Mengatur Lingkungan AWS Anda dengan Menggunakan Beberapa Akun](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html) 

**Video terkait:** 
+  [Aktifkan adopsi AWS dalam skala besar dengan menggunakan otomatisasi dan tata kelola](https://youtu.be/GUMSgdB-l6s) 
+  [Praktik Terbaik Keamanan dengan Cara Well-Architected](https://youtu.be/u6BCVkXkPnM) 
+  [Membangun dan Mengatur Beberapa Akun menggunakan AWS Control Tower](https://www.youtube.com/watch?v=agpyuvRv5oo) 
+  [Aktifkan Control Tower untuk Organisasi yang Ada](https://www.youtube.com/watch?v=CwRy0t8nfgM) 

# SEC01-BP02 Mengamankan properti dan pengguna root akun
<a name="sec_securely_operate_aws_account"></a>

 Pengguna root adalah pengguna yang memiliki hak istimewa paling banyak dalam sebuah Akun AWS, dengan akses administratif penuh ke semua sumber daya di dalam akun, dan dalam beberapa kasus tidak dapat dibatasi oleh kebijakan keamanan. Melakukan deaktivasi akses terprogram ke pengguna root, menerapkan kontrol yang sesuai untuk pengguna root, serta tidak menggunakan pengguna root secara rutin membantu mengurangi risiko tersebarnya kredensial root secara tidak sengaja dan penyusupan di lingkungan cloud. 

**Hasil yang diinginkan: **Mengamankan pengguna root membantu mengurangi kemungkinan kerusakan yang tidak disengaja atau disengaja dapat terjadi melalui penyalahgunaan kredensial pengguna root. Menerapkan kontrol-kontrol detektif juga dapat memberikan peringatan kepada personel yang tepat saat ada tindakan dilakukan menggunakan pengguna root.

**Anti-pola umum:**
+  Menggunakan pengguna root untuk tugas selain yang memerlukan kredensial pengguna root.  
+  Tidak melakukan pengujian terhadap rencana-rencana darurat secara rutin untuk memverifikasi fungsi infrastruktur, proses, dan personel penting dalam keadaan darurat. 
+  Hanya mempertimbangkan alur masuk akun biasa dan tidak mempertimbangkan atau menguji metode pemulihan akun lainnya. 
+  Tidak menangani hal-hal yang digunakan dalam alur pemulihan akun seperti DNS, server email, dan penyedia telepon sebagai bagian dari perimeter keamanan penting. 

 **Manfaat menjalankan praktik terbaik ini:** Mengamankan akses ke pengguna root akan membangun keyakinan bahwa tindakan-tindakan yang dilakukan di akun Anda sudah dikontrol dan diaudit. 

 **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan**: Tinggi 

## Panduan implementasi
<a name="implementation-guidance"></a>

 AWS menawarkan banyak alat untuk membantu mengamankan akun Anda. Namun, karena beberapa tindakan ini tidak dinyalakan secara default, Anda harus mengambil tindakan langsung untuk mengimplementasikannya. Pertimbangkan rekomendasi berikut sebagai langkah-langkah dasar untuk mengamankan Akun AWS Anda. Saat mengimplementasikan langkah-langkah ini, penting halnya untuk membangun sebuah proses yang dilakukan untuk menilai dan memantau kontrol keamanan secara berkelanjutan. 

 Saat pertama kali membuat Akun AWS, Anda memulai dengan satu identitas yang memiliki akses lengkap ke semua layanan dan sumber daya AWS di akun tersebut. Identitas ini disebut pengguna root Akun AWS. Anda dapat masuk sebagai pengguna root menggunakan alamat email dan kata sandi yang Anda gunakan untuk membuat akun. Karena peningkatan akses yang diberikan kepada pengguna root AWS, Anda harus membatasi penggunaan pengguna root AWS untuk melakukan tugas-tugas yang [secara khusus memerlukannya](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). Kredensial masuk pengguna root harus diamankan secara ketat, dan selalu gunakan autentikasi multi-faktor (MFA) untuk pengguna root Akun AWS. 

 Selain alur autentikasi normal untuk masuk log in ke pengguna root Anda yang menggunakan nama pengguna, kata sandi, perangkat autentikasi multi-faktor (MFA), ada alur pemulihan akun untuk masuk ke pengguna root Akun AWS Anda yang mendapatkan akses ke alamat email dan nomor telepon yang dikaitkan dengan akun Anda. Oleh karena itu, pastikan Anda mengamankan akun email pengguna root yang digunakan untuk mengirimkan email pemulihan dan nomor telepon yang terkait dengan akun tersebut. Selain itu, Anda juga perlu mempertimbangkan potensi rantai dependensi apabila alamat email yang terkait dengan pengguna root di-host di server email atau sumber daya layanan nama domain (DNS) dari Akun AWS yang sama. 

 Saat menggunakan AWS Organizations, ada beberapa Akun AWS yang masing-masing memiliki satu pengguna root. Satu akun ditetapkan sebagai akun manajemen dan beberapa lapisan akun anggota kemudian dapat ditambahkan di bawah akun manajemen. Prioritaskan pengamanan pengguna root di akun manajemen Anda, lalu hubungi pengguna root akun anggota Anda. Strategi pengamanan pengguna root akun manajemen Anda dapat berbeda dari pengguna root akun anggota, dan Anda dapat menerapkan kontrol keamanan preventif pada pengguna root akun anggota Anda. 

 **Langkah-langkah implementasi** 

 Langkah-langkah implementasi berikut direkomendasikan untuk membuat kontrol bagi pengguna root tersebut. Jika berlaku, rekomendasi direferensikan silang ke [benchmark CIS AWS Foundations versi 1.4.0](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cis-controls-1.4.0.html). Selain langkah-langkah ini, konsultasikan [pedoman praktik terbaik AWS](https://aws.amazon.com/premiumsupport/knowledge-center/security-best-practices/) untuk mengamankan Akun AWS dan sumber daya Anda. 

 **Kontrol pencegahan** 

1.  Siapkan [informasi kontak](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-primary.html) yang akurat untuk akun tersebut. 

   1.  Informasi ini digunakan untuk alur pemulihan kehilangan kata sandi, alur pemulihan kehilangan akun perangkat MFA, dan untuk komunikasi penting terkait keamanan dengan tim Anda. 

   1.  Gunakan alamat email yang di-host oleh domain perusahaan Anda, sebaiknya dari daftar distribusi, sebagai alamat email pengguna root Anda. Menggunakan daftar distribusi memberikan redundansi tambahan dan keberlanjutan akses ke akun root dalam waktu lama dibanding menggunakan akun email individu. 

   1.  Nomor telepon yang tercantum pada informasi kontak harus berupa telepon khusus dan aman untuk tujuan ini. Nomor telepon ini tidak boleh dicantumkan atau dibagikan kepada siapa pun. 

1.  Jangan membuat kunci akses untuk pengguna root. Jika ada kunci akses, langsung hapus (CIS 1.4). 

   1.  Hilangkan kredensial terprogram yang sudah lama (kunci rahasia dan akses) untuk pengguna root. 

   1.  Jika kunci akses pengguna root sudah ada, Anda harus melakukan transisi proses menggunakan kunci tersebut untuk menggunakan kunci akses sementara dari peran (IAM) AWS Identity and Access Management, kemudian [hapus kunci akses pengguna root](https://docs.aws.amazon.com/accounts/latest/reference/root-user-access-key.html#root-user-delete-access-key). 

1.  Tentukan apakah Anda perlu menyimpan kredensial untuk pengguna root. 

   1.  Jika Anda menggunakan AWS Organizations untuk membuat akun anggota baru, kata sandi awal untuk pengguna root pada akun anggota baru tersebut akan ditetapkan ke nilai acak yang tidak akan ditampilkan kepada Anda. Pertimbangkan untuk menggunakan alur pengaturan ulang kata sandi dari akun manajemen Organisasi AWS Anda untuk [mendapatkan akses ke akun anggota](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_access.html#orgs_manage_accounts_access-as-root) jika diperlukan. 

   1.  Untuk Akun AWS atau akun AWS Organization manajemen terpisah, Anda disarankan untuk membuat dan menyimpan kredensial dengan aman untuk pengguna root. Gunakan MFA untuk pengguna root. 

1.  Aktifkan kontrol pencegahan untuk pengguna root akun anggota di lingkungan multi-akun AWS. 

   1.  Pertimbangkan untuk menggunakan pagar penjaga pencegahan [Jangan Izinkan Pembuatan Kunci Akses Root untuk Pengguna Root](https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-controls.html#disallow-root-access-keys) untuk akun anggota. 

   1.  Pertimbangkan untuk menggunakan pagar penjaga pencegahan [Jangan Izinkan Tindakan sebagai Pengguna Root](https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-controls.html#disallow-root-auser-actions) untuk akun anggota. 

1.  Jika Anda memerlukan kredensial untuk pengguna root: 

   1.  Gunakan kata sandi yang kompleks. 

   1.  Nyalakan autentikasi multi-faktor (MFA) untuk pengguna root, khususnya untuk akun manajemen (pembayar) AWS Organizations (CIS 1.5). 

   1.  Pertimbangkan perangkat MFA pada perangkat keras untuk ketahanan dan keamanan, karena perangkat sekali pakai dapat mengurangi kemungkinan perangkat yang berisi kode MFA Anda dapat digunakan kembali untuk tujuan lain. Pastikan baterai pada perangkat MFA perangkat keras diganti secara rutin. (CIS 1.6) 
      +  Untuk mengkonfigurasi MFA untuk pengguna root, ikuti instruksi untuk membuat [MFA virtual](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html#enable-virt-mfa-for-root) atau [perangkat keras MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_physical.html#enable-hw-mfa-for-root). 

   1.  Pertimbangkan untuk mendaftarkan beberapa perangkat MFA untuk cadangan. [Hingga 8 perangkat MFA diperbolehkan per akun](https://aws.amazon.com/blogs/security/you-can-now-assign-multiple-mfa-devices-in-iam/). 
      +  Perhatikan bahwa mendaftarkan lebih dari satu perangkat MFA untuk pengguna root secara otomatis mematikan [alur untuk memulihkan akun Anda jika perangkat MFA hilang](https://aws.amazon.com/premiumsupport/knowledge-center/reset-root-user-mfa/). 

   1.  Simpan kata sandi dengan aman, dan pertimbangkan dependensi melingkar jika menyimpan kata sandi secara elektronik. Jangan gunakan cara penyimpanan kata sandi yang memerlukan akses ke Akun AWS yang sama untuk mendapatkannya. 

1.  Opsional: Coba terapkan jadwal rotasi kata sandi untuk pengguna root secara berkala. 
   +  Praktik terbaik manajemen kredensial bergantung pada persyaratan peraturan dan kebijakan Anda. Pengguna root yang dilindungi oleh MFA tidak mengandalkan kata sandi sebagai satu faktor autentikasi. 
   +  [Mengubah kata sandi pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_change-root.html) secara berkala mengurangi risiko bahwa kata sandi yang diketahui orang lain secara tidak sengaja dapat disalahgunakan. 

 **Kontrol detektif** 
+  Buat alarm untuk mendeteksi penggunaan kredensial root (CIS 1.7). [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html) dapat memantau dan memperingatkan penggunaan kredensial API pengguna root melalui temuan [RootCredentialUsage](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#policy-iam-rootcredentialusage). 
+  Evaluasi dan implementasikan kontrol-kontrol detektif yang termasuk dalam [paket kesesuaian Pilar Keamanan AWS Well-Architected untuk AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-wa-Security-Pillar.html), atau jika menggunakan AWS Control Tower, [kontrol yang sangat disarankan](https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-controls.html) yang tersedia di dalam Control Tower. 

 **Panduan operasional** 
+  Tentukan siapa di organisasi Anda yang harus memiliki akses ke kredensial pengguna root. 
  +  Gunakan aturan dua orang sehingga tidak ada satu orang pun yang memiliki akses ke semua kredensial dan MFA yang diperlukan untuk mendapatkan akses pengguna root. 
  +  Pastikan bahwa organisasi, dan bukan perorangan, yang memegang kendali atas nomor telepon dan alias email yang terkait dengan akun (yang digunakan untuk alur pengaturan ulang kata sandi dan MFA). 
+  Gunakan pengguna root hanya untuk keperluan khusus (CIS 1.7). 
  +  Pengguna root AWS tersebut tidak boleh digunakan untuk tugas sehari-hari, bahkan tugas administratif. Hanya masuk sebagai pengguna root untuk melakukan [tugas-tugas AWS yang membutuhkan pengguna root](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). Semua tindakan lainnya harus dilakukan oleh pengguna lain dengan peran yang sesuai. 
+  Periksa secara berkala apakah akses ke pengguna root berfungsi dengan baik sehingga prosedurnya telah teruji sebelum terjadi situasi darurat yang memerlukan penggunaan kredensial pengguna root. 
+  Periksa secara berkala apakah alamat email yang terkait dengan akun dan yang tercantum di bawah [Kontak Alternatif](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-alternate.html) berfungsi. Pantau kotak masuk email untuk melihat apakah ada notifikasi keamanan yang Anda terima dari abuse@amazon.com. Selain itu, pastikan semua nomor telepon yang terkait dengan akun saat ini berfungsi dengan baik. 
+  Siapkan prosedur respons insiden untuk merespons penyalahgunaan akun root. Lihat [Panduan Respons Insiden Keamanan AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html) dan praktik-praktik terbaik di [bagian Respons Insiden dalam laporan resmi Pilar Keamanan](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/incident-response.html) untuk mendapatkan informasi lebih lanjut tentang cara membangun strategi respons insiden untuk Akun AWS Anda. 

## Sumber daya
<a name="resources"></a>

**Praktik-praktik terbaik terkait:** 
+ [SEC01-BP01 Memisahkan beban kerja menggunakan akun](sec_securely_operate_multi_accounts.md)
+ [SEC02-BP01 Gunakan mekanisme masuk yang kuat](sec_identities_enforce_mechanisms.md)
+ [SEC03-BP02 Memberikan hak akses paling rendah](sec_permissions_least_privileges.md)
+ [SEC03-BP03 Menerapkan proses akses darurat](sec_permissions_emergency_process.md)
+ [SEC10-BP05 Menyediakan akses di awal](sec_incident_response_pre_provision_access.md)

**Dokumen terkait:** 
+  [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 
+  [AWS Pedoman Audit Keamanan](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html) 
+  [Praktik Terbaik IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Amazon GuardDuty - peringatan penggunaan kredensial root](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#policy-iam-rootcredentialusage) 
+  [Panduan langkah demi langkah tentang pemantauan untuk penggunaan kredensial root melalui CloudTrail](https://docs.aws.amazon.com/securityhub/latest/userguide/iam-controls.html#iam-20) 
+  [Token MFA yang disetujui untuk digunakan dengan AWS](https://aws.amazon.com/iam/features/mfa/) 
+  Menerapkan [akses break glass](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/break-glass-access.html) pada AWS 
+  [10 item keamanan teratas untuk ditingkatkan di Akun AWS Anda](https://aws.amazon.com/blogs/security/top-10-security-items-to-improve-in-your-aws-account/) 
+  [Apa yang harus saya lakukan jika saya melihat aktivitas tanpa izin dalam Akun AWS saya?](https://aws.amazon.com/premiumsupport/knowledge-center/potential-account-compromise/) 

**Video terkait:** 
+  [Aktifkan adopsi AWS dalam skala besar dengan menggunakan otomatisasi dan tata kelola](https://youtu.be/GUMSgdB-l6s) 
+  [Praktik Terbaik Keamanan dengan Cara Well-Architected](https://youtu.be/u6BCVkXkPnM) 
+  [Membatasi penggunaan kredensial root AWS](https://youtu.be/SMjvtxXOXdU?t=979) dari AWS re:inforce 2022 – Praktik terbaik keamanan dengan AWS IAM