Kontrol perimeter data Perimeter identitas Perimeter sumber daya Perimeter jaringan Sumber daya untuk mempelajari lebih lanjut tentang perimeter data

Tetapkan pagar pembatas izin dengan menggunakan perimeter data

Pagar perimeter data dimaksudkan untuk berfungsi sebagai batas yang selalu aktif untuk membantu melindungi data Anda di seluruh rangkaian akun dan sumber daya yang luas. AWS Perimeter data mengikuti praktik terbaik keamanan IAM untuk membuat pagar pembatas izin di beberapa akun. Pagar pembatas izin di seluruh organisasi ini tidak menggantikan kontrol akses berbutir halus yang ada. Sebaliknya, mereka bekerja sebagai kontrol akses kasar yang membantu meningkatkan strategi keamanan Anda dengan memastikan pengguna, peran, dan sumber daya mematuhi serangkaian standar keamanan yang ditetapkan.

Perimeter data adalah set pagar pembatas izin di AWS lingkungan Anda yang membantu memastikan bahwa hanya identitas tepercaya Anda yang mengakses sumber daya tepercaya dari jaringan yang diharapkan.

Identitas tepercaya: Prinsipal (peran atau pengguna IAM) di AWS akun dan AWS layanan Anda yang bertindak atas nama Anda.
Sumber daya tepercaya: Sumber daya yang dimiliki oleh AWS akun Anda atau oleh AWS layanan yang bertindak atas nama Anda.
Jaringan yang diharapkan: Pusat data lokal Anda dan awan pribadi virtual (VPCs), atau jaringan AWS layanan yang bertindak atas nama Anda.

catatan

Dalam beberapa kasus, Anda mungkin perlu memperluas perimeter data Anda untuk juga menyertakan akses oleh mitra bisnis tepercaya Anda. Anda harus mempertimbangkan semua pola akses data yang dimaksudkan ketika Anda membuat definisi identitas tepercaya, sumber daya tepercaya, dan jaringan yang diharapkan khusus untuk perusahaan Anda dan penggunaan Layanan AWS Anda.

Kontrol perimeter data harus diperlakukan sebagai kontrol keamanan lainnya dalam program keamanan informasi dan manajemen risiko. Ini berarti Anda harus melakukan analisis ancaman untuk mengidentifikasi potensi risiko dalam lingkungan cloud Anda, dan kemudian, berdasarkan kriteria penerimaan risiko Anda sendiri, pilih dan terapkan kontrol perimeter data yang sesuai. Untuk lebih menginformasikan pendekatan berbasis risiko berulang untuk implementasi perimeter data, Anda perlu memahami risiko keamanan dan vektor ancaman apa yang ditangani oleh kontrol perimeter data serta prioritas keamanan Anda.

Kontrol perimeter data

Kontrol berbutir kasar perimeter data membantu Anda mencapai enam tujuan keamanan yang berbeda di tiga perimeter data melalui penerapan kombinasi yang berbeda dari dan kunci kondisi. Jenis kebijakan

Perimeter	Tujuan kontrol	Penggunaan	Diterapkan pada	Kunci konteks kondisi global
Identitas	Hanya identitas tepercaya yang dapat mengakses sumber daya saya	RCP	Sumber daya	aws: PrincipalOrg ID aws: PrincipalOrgPaths aws: PrincipalAccount aws: PrincipalIsAwsService aws: SourceOrg ID aws: SourceOrgPath aws: SourceAccount
Identitas	Hanya identitas tepercaya yang diizinkan dari jaringan saya	Kebijakan titik akhir VPC	Jaringan
Sumber daya	Identitas Anda hanya dapat mengakses sumber daya tepercaya	SCP	Identitas	aws: ResourceOrg ID aws: ResourceOrgPaths aws: ResourceAccount
Sumber daya	Hanya sumber daya tepercaya yang dapat diakses dari jaringan Anda	Kebijakan titik akhir VPC	Jaringan
Jaringan	Identitas Anda hanya dapat mengakses sumber daya dari jaringan yang diharapkan	SCP	Identitas	aws: SourceIp aws: SourceVpc aws: SourceVpce AWS: melalui AWSService aws: PrincipalIsAwsService
Jaringan	Sumber daya Anda hanya dapat diakses dari jaringan yang diharapkan	RCP	Sumber daya

Anda dapat menganggap perimeter data sebagai membuat batas yang kuat di sekitar data Anda untuk mencegah pola akses yang tidak diinginkan. Meskipun perimeter data dapat mencegah akses luas yang tidak diinginkan, Anda masih perlu membuat keputusan kontrol akses yang halus. Membuat perimeter data tidak mengurangi kebutuhan untuk terus menyempurnakan izin dengan menggunakan alat seperti IAM Access Analyzer sebagai bagian dari perjalanan Anda menuju hak istimewa yang paling sedikit.

Untuk menerapkan kontrol perimeter data pada sumber daya yang saat ini tidak didukung oleh RCPs, Anda dapat menggunakan kebijakan berbasis sumber daya yang dilampirkan ke sumber daya secara langsung. Untuk daftar layanan yang mendukung RCPs dan kebijakan berbasis sumber daya, lihat Kebijakan kontrol sumber daya () dan. RCPs AWS layanan yang bekerja dengan IAM

Perimeter identitas

Perimeter identitas adalah serangkaian kontrol akses pencegahan kasar yang membantu memastikan hanya identitas tepercaya yang dapat mengakses sumber daya Anda dan hanya identitas tepercaya yang diizinkan dari jaringan Anda. Identitas tepercaya mencakup kepala sekolah (peran atau pengguna) di AWS akun dan AWS layanan Anda yang bertindak atas nama Anda. Semua identitas lainnya dianggap tidak dipercaya dan dicegah oleh perimeter identitas kecuali pengecualian eksplisit diberikan.

Kunci kondisi global berikut membantu menegakkan kontrol perimeter identitas. Gunakan kunci ini dalam kebijakan kontrol sumber daya untuk membatasi akses ke sumber daya, atau dalam kebijakan titik akhir VPC untuk membatasi akses ke jaringan Anda.

aws:PrincipalOrgID— Anda dapat menggunakan kunci kondisi ini untuk memastikan bahwa kepala sekolah IAM yang membuat permintaan milik organisasi yang ditentukan di. AWS Organizations
aws:PrincipalOrgPaths— Anda dapat menggunakan kunci kondisi ini untuk memastikan bahwa pengguna IAM, peran IAM, prinsipal pengguna AWS STS federasi, prinsipal federasi SALL, kepala federasi OIDC, atau Pengguna root akun AWS membuat permintaan milik unit organisasi tertentu (OU) di. AWS Organizations
aws:PrincipalAccount— Anda dapat menggunakan kunci kondisi ini untuk memastikan sumber daya hanya dapat diakses oleh akun utama yang Anda tentukan dalam kebijakan.
aws:PrincipalIsAWSServicedan aws:SourceOrgID (secara bergantian aws:SourceOrgPaths danaws:SourceAccount) — Anda dapat menggunakan kunci kondisi ini untuk memastikan bahwa ketika Layanan AWS kepala sekolah mengakses sumber daya Anda, mereka melakukannya hanya atas nama sumber daya di organisasi tertentu, unit organisasi, atau akun di. AWS Organizations

Untuk informasi selengkapnya, lihat Membuat perimeter data di AWS: Izinkan hanya identitas tepercaya untuk mengakses data perusahaan.

Perimeter sumber daya

Perimeter sumber daya adalah serangkaian kontrol akses pencegahan kasar yang membantu memastikan identitas Anda hanya dapat mengakses sumber daya tepercaya dan hanya sumber daya tepercaya yang dapat diakses dari jaringan Anda. Sumber daya tepercaya mencakup sumber daya yang dimiliki oleh AWS akun Anda atau oleh AWS layanan yang bertindak atas nama Anda.

Kunci kondisi global berikut membantu menegakkan kontrol perimeter sumber daya. Gunakan kunci ini dalam Kebijakan kontrol Layanan (SCPs) untuk membatasi sumber daya mana yang dapat diakses oleh identitas Anda, atau dalam kebijakan titik akhir VPC untuk membatasi sumber daya mana yang dapat diakses dari jaringan Anda.

aws:ResourceOrgID— Anda dapat menggunakan kunci kondisi ini untuk memastikan sumber daya yang sedang diakses milik organisasi tertentu di AWS Organizations.
aws:ResourceOrgPaths— Anda dapat menggunakan kunci kondisi ini untuk memastikan sumber daya yang sedang diakses milik unit organisasi tertentu (OU) di AWS Organizations.
aws:ResourceAccount— Anda dapat menggunakan kunci kondisi ini untuk memastikan sumber daya yang sedang diakses milik akun yang ditentukan di AWS Organizations.

Dalam beberapa kasus, Anda mungkin perlu mengizinkan akses ke sumber daya yang AWS dimiliki, sumber daya yang bukan milik organisasi Anda dan yang diakses oleh kepala sekolah Anda atau oleh AWS layanan yang bertindak atas nama Anda. Untuk informasi selengkapnya tentang skenario ini, lihat Membuat perimeter data di AWS: Izinkan hanya sumber daya tepercaya dari organisasi saya.

Perimeter jaringan

Perimeter jaringan adalah seperangkat kontrol akses pencegahan kasar yang membantu memastikan identitas Anda dapat mengakses sumber daya hanya dari jaringan yang diharapkan dan sumber daya Anda hanya dapat diakses dari jaringan yang diharapkan. Jaringan yang diharapkan mencakup pusat data lokal dan cloud pribadi virtual (VPCs) dan jaringan AWS layanan yang bertindak atas nama Anda.

Kunci kondisi global berikut membantu menegakkan kontrol perimeter jaringan. Gunakan kunci ini dalam kebijakan kontrol layanan (SCPs) untuk membatasi jaringan yang dapat dikomunikasikan oleh identitas Anda, atau dalam kebijakan kontrol sumber daya (RCPs) untuk membatasi akses sumber daya ke jaringan yang diharapkan.

aws:SourceIp— Anda dapat menggunakan kunci kondisi ini untuk memastikan alamat IP pemohon berada dalam rentang IP tertentu.
aws:SourceVpc— Anda dapat menggunakan kunci kondisi ini untuk memastikan titik akhir VPC yang dilalui permintaan milik VPC yang ditentukan.
aws:SourceVpce— Anda dapat menggunakan kunci kondisi ini untuk memastikan permintaan berjalan melalui titik akhir VPC yang ditentukan.
aws:ViaAWSService— Anda dapat menggunakan kunci kondisi ini untuk memastikan bahwa Layanan AWS dapat membuat permintaan atas nama kepala sekolah Anda menggunakan Teruskan sesi akses (FAS).
aws:PrincipalIsAWSService— Anda dapat menggunakan kunci kondisi ini untuk memastikan bahwa Layanan AWS dapat mengakses sumber daya Anda menggunakanAWS prinsipal layanan.

Ada skenario tambahan di mana Anda perlu mengizinkan akses ke Layanan AWS sumber daya Anda dari luar jaringan Anda. Untuk informasi selengkapnya, lihat Membuat perimeter data pada AWS: Izinkan akses ke data perusahaan hanya dari jaringan yang diharapkan.

Sumber daya untuk mempelajari lebih lanjut tentang perimeter data

Sumber daya berikut dapat membantu Anda mempelajari lebih lanjut tentang perimeter data. AWS

Perimeter data aktif AWS— Pelajari tentang perimeter data dan manfaat serta kasus penggunaannya.
Seri Posting Blog: Membangun Perimeter Data pada AWS — Posting blog ini mencakup panduan preskriptif tentang menetapkan perimeter data Anda dalam skala besar, termasuk pertimbangan keamanan dan implementasi utama.
Contoh kebijakan perimeter data — GitHub Repositori ini berisi contoh kebijakan yang mencakup beberapa pola umum untuk membantu Anda menerapkan perimeter data. AWS
Pembantu perimeter data — Alat ini membantu Anda merancang dan mengantisipasi dampak kontrol perimeter data Anda dengan menganalisis aktivitas akses di log Anda AWS CloudTrail.
Whitepaper: Membangun Perimeter Data pada AWS — Paper ini menguraikan praktik terbaik dan layanan yang tersedia untuk membuat perimeter di sekitar identitas, sumber daya, dan jaringan Anda. AWS
Webinar: Membangun perimeter data di AWS - Pelajari di mana dan bagaimana menerapkan kontrol perimeter data berdasarkan skenario risiko yang berbeda.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Kebijakan terkelola usang AWS

Batas izin