# SEC03-BP01 Menetapkan persyaratan akses
Tiap-tiap komponen atau sumber daya beban kerja Anda perlu diakses oleh administrator, pengguna akhir, atau komponen-komponen lainnya. Penetapan harus jelas tentang siapa atau apa yang harus memiliki akses ke tiap-tiap komponen, pilih tipe identitas dan metode autentikasi serta otorisasi yang sesuai.
**Anti-pola umum:**
+ Melakukan hard-coding atau menyimpan rahasia di dalam aplikasi Anda.
+ Memberikan izin kustom untuk masing-masing pengguna.
+ Menggunakan kredensial yang sudah berumur panjang.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi
## Panduan implementasi
Tiap-tiap komponen atau sumber daya beban kerja Anda perlu diakses oleh administrator, pengguna akhir, atau komponen-komponen lainnya. Penetapan harus jelas tentang siapa atau apa yang harus memiliki akses ke tiap-tiap komponen, pilih tipe identitas dan metode autentikasi serta otorisasi yang sesuai.
Akses rutin ke Akun AWS dalam organisasi harus disediakan dengan menggunakan [akses federasi](https://aws.amazon.com/identity/federation/) atau penyedia identitas tersentralisasi. Anda juga sebaiknya melakukan sentralisasi manajemen identitas Anda dan memastikan terdapat praktik yang mapan yang digunakan untuk mengintegrasikan akses AWS ke siklus hidup akses karyawan Anda. Misalnya, saat ada seorang karyawan yang berganti peran pekerjaan dengan level akses berbeda, maka keanggotaan grupnya juga harus berubah agar sesuai dengan persyaratan akses baru yang berlaku padanya.
Saat Anda menetapkan persyaratan akses untuk identitas selain manusia, Anda harus menentukan aplikasi dan komponen mana yang memerlukan akses dan bagaimana izin diberikan. Menggunakan peran IAM yang dibangun dengan model akses hak akses paling rendah adalah pendekatan yang disarankan. [AWS Kebijakan terkelola](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html) menyediakan kebijakan IAM yang telah ditetapkan sebelumnya yang mencakup kasus-kasus penggunaan paling umum.
Layanan-layanan AWS, seperti [AWS Secrets Manager](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/) dan [Penyimpanan Parameter AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html), dapat membantu Anda memisahkan rahasia dari aplikasi atau beban kerja dengan aman. Di Secrets Manager, Anda dapat membuat rotasi otomatis untuk kredensial Anda. Anda dapat menggunakan Systems Manager untuk merujuk parameter di skrip, perintah, dokumen SSM, konfigurasi, dan alur kerja otomatisasi Anda menggunakan nama unik yang telah Anda tentukan saat membuat parameter tersebut.
Anda dapat menggunakan [AWS IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html) untuk mendapatkan [kredensial keamanan sementara di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) untuk beban kerja yang berjalan di luar AWS. Beban kerja Anda dapat menggunakan [kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dan [peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) yang sama yang Anda gunakan dengan aplikasi AWS untuk mengakses sumber daya AWS.
Jika memungkinkan, Anda sebaiknya menggunakan kredensial sementara jangka pendek, bukan kredensial statis jangka panjang. Untuk skenario di mana Anda memerlukan pengguna dengan akses yang terprogram dan kredensial jangka panjang, gunakan [informasi kunci akses yang terakhir digunakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) untuk merotasi dan menghapus kunci akses.
Pengguna membutuhkan akses terprogram jika ingin berinteraksi dengan AWS di luar Konsol Manajemen AWS. Cara memberikan akses programatis bergantung pada jenis pengguna yang mengakses AWS.
Untuk memberi pengguna akses programatis, pilih salah satu opsi berikut.
****
| Pengguna mana yang membutuhkan akses programatis? | Untuk | Oleh |
| --- | --- | --- |
| IAM | (Direkomendasikan) Gunakan kredensial konsol sebagai kredensial sementara untuk menandatangani permintaan programatis ke AWS CLI, SDK AWS, atau API AWS. | Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/wellarchitected/latest/security-pillar/sec_permissions_define.html) |
| Identitas tenaga kerja (Pengguna yang dikelola di Pusat Identitas IAM) | Gunakan kredensial sementara untuk menandatangani permintaan programatis ke AWS CLI, SDK AWS, atau API AWS. | Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/wellarchitected/latest/security-pillar/sec_permissions_define.html) |
| IAM | Gunakan kredensial sementara untuk menandatangani permintaan programatis ke AWS CLI, SDK AWS, atau API AWS. | Ikuti petunjuk dalam [Menggunakan kredensial sementara dengan sumber daya AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) dalam Panduan Pengguna IAM. |
| IAM | (Tidak direkomendasikan)Gunakan kredensial jangka panjang untuk menandatangani permintaan programatis ke AWS CLI, AWS SDK, atau API AWS. | Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/wellarchitected/latest/security-pillar/sec_permissions_define.html) |
## Sumber daya
**Dokumen terkait:**
+ [Kontrol akses berbasis atribut (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [AWS IAM Identity Center](https://aws.amazon.com/iam/identity-center/)
+ [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html)
+ [AWS Kebijakan terkelola untuk Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html)
+ [AWS Ketentuan kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)
+ [Kasus penggunaan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_UseCases.html)
+ [Hapus kredensial yang tidak perlu](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [Bekerja dengan Kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
+ [Cara mengontrol akses ke sumber daya AWS berdasarkan Akun AWS, OU, atau organisasi](https://aws.amazon.com/blogs/security/how-to-control-access-to-aws-resources-based-on-aws-account-ou-or-organization/)
+ [Identifikasi, atur, dan kelola rahasia secara mudah dengan menggunakan pencarian yang ditingkatkan di AWS Secrets Manager](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/)
**Video terkait:**
+ [Menjadi Master Kebijakan IAM dalam 60 Menit atau Kurang](https://youtu.be/YQsK4MtsELU)
+ [Pemisahan Tugas, Hak Akses Paling Rendah, Delegasi, dan CI/CD](https://youtu.be/3H0i7VyTu70)
+ [Merampingkan manajemen identitas dan akses untuk inovasi](https://www.youtube.com/watch?v=3qK0b1UkaE8)