AWS pedoman audit keamanan - AWS Identity and Access Management
Kapan melakukan audit keamananPedoman untuk auditTinjau kredensi AWS akun AndaTinjau pengguna IAM AndaTinjau grup IAM AndaTinjau IAM role AndaTinjau penyedia IAM untuk SAML and OpenID Connect (OIDC) AndaTinjau aplikasi seluler AndaTips untuk meninjau kebijakan IAM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS pedoman audit keamanan

Audit konfigurasi keamanan Anda secara berkala untuk memastikannya memenuhi kebutuhan bisnis Anda saat ini. Audit memberi Anda kesempatan untuk menghapus pengguna, peran, grup, dan kebijakan IAM yang tidak dibutuhkan, dan untuk memastikan bahwa pengguna dan perangkat lunak Anda tidak memiliki izin yang berlebihan.

Berikut ini adalah pedoman untuk meninjau dan memantau AWS sumber daya Anda secara sistematis untuk praktik terbaik keamanan.

Tip

Anda dapat memantau penggunaan IAM karena berkaitan dengan praktik terbaik keamanan dengan menggunakan. AWS Security Hub Hub Keamanan menggunakan kontrol keamanan untuk mengevaluasi konfigurasi sumber daya dan standar keamanan guna membantu Anda mematuhi berbagai kerangka kerja kepatuhan. Untuk informasi selengkapnya tentang penggunaan Security Hub untuk mengevaluasi sumber daya IAM, lihat kontrol AWS Identity and Access Management di Panduan AWS Security Hub Pengguna.

Kapan melakukan audit keamanan

Audit konfigurasi keamanan Anda dalam situasi berikut:

  • Secara periodik. Lakukan langkah-langkah yang dijelaskan dalam dokumen ini secara berkala sebagai praktik terbaik untuk keamanan.

  • Jika ada perubahan di organisasi Anda, seperti orang yang keluar.

  • Jika Anda telah berhenti menggunakan satu atau beberapa AWS layanan individual untuk memverifikasi bahwa Anda telah menghapus izin yang tidak lagi diperlukan oleh pengguna di akun Anda.

  • Jika Anda telah menambahkan atau menghapus perangkat lunak di akun Anda, seperti aplikasi di EC2 instans Amazon, AWS OpsWorks tumpukan, AWS CloudFormation templat, dll.

  • Jika Anda mencurigai bahwa orang yang tidak berwenang mungkin telah mengakses akun Anda.

Pedoman untuk audit

Saat meninjau konfigurasi keamanan akun Anda, ikuti panduan berikut:

  • Jadilah teliti. Lihatlah semua aspek konfigurasi keamanan Anda, termasuk yang jarang digunakan.

  • Jangan berasumsi. Jika Anda tidak terbiasa dengan beberapa aspek konfigurasi keamanan Anda (misalnya, alasan di balik kebijakan tertentu atau keberadaan peran), selidiki kebutuhan bisnis sampai Anda memahami potensi risikonya.

  • Tetap sederhana. Untuk mempermudah audit (dan manajemen), gunakan grup IAM, peran IAM, skema penamaan yang konsisten, dan kebijakan langsung.

Tinjau kredensi AWS akun Anda

Ambil langkah-langkah ini saat Anda mengaudit kredensi AWS akun Anda:

  1. Jika Anda memiliki kunci akses untuk pengguna root yang tidak Anda gunakan, Anda dapat menghapusnya. Kami sangat menyarankan agar Anda tidak menggunakan kunci akses root untuk pekerjaan sehari-hari AWS, dan sebaliknya Anda menggunakan pengguna dengan kredensi sementara, seperti itu. pengguna di Pusat Identitas AWS IAM

  2. Jika Anda memerlukan kunci akses untuk akun Anda, pastikan Anda memperbaruinya saat diperlukan.

Tinjau pengguna IAM Anda

Lakukan langkah-langkah berikut saat Anda mengaudit pengguna IAM yang ada:

  1. Buat daftar pengguna Anda dan kemudian hapus pengguna yang tidak diperlukan.

  2. Hapus pengguna dari grup yang tidak mereka perlukan aksesnya.

  3. Tinjau kebijakan yang dilampirkan ke grup tempat pengguna berada. Lihat Tips untuk meninjau kebijakan IAM.

  4. Hapus kredensial keamanan yang tidak dibutuhkan pengguna atau yang mungkin telah diekspos. Misalnya, pengguna IAM yang digunakan untuk aplikasi tidak memerlukan kata sandi (yang diperlukan hanya untuk masuk ke AWS situs web). Demikian pula, jika pengguna tidak menggunakan kunci akses, tidak ada alasan bagi pengguna untuk memilikinya. Untuk informasi selengkapnya, lihat Mengelola Kata Sandi untuk pengguna IAM dan Mengelola Kunci Akses untuk pengguna IAM.

    Anda dapat membuat dan mengunduh laporan kredensial yang mencantumkan semua pengguna IAM di akun Anda dan status berbagai kredensial mereka, termasuk kata sandi, access key, dan perangkat MFA. Untuk kata sandi dan kunci akses, laporan kredensi menunjukkan tanggal dan waktu ketika kata sandi atau kunci akses terakhir digunakan. Pertimbangkan untuk menghapus kredensil yang belum digunakan baru-baru ini dari akun Anda. (Jangan hapus pengguna Akses Darurat Anda.) Untuk informasi selengkapnya, lihat Mendapatkan Laporan Kredensi untuk AWS Akun Anda.

  5. Perbarui kata sandi dan kunci akses bila diperlukan untuk kasus penggunaan yang memerlukan kredensi jangka panjang. Untuk informasi selengkapnya, lihat Mengelola Kata Sandi untuk Pengguna IAM dan Mengelola Kunci Akses untuk pengguna IAM.

  6. Sebagai praktik terbaik, mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara. Jika memungkinkan, transisi dari pengguna IAM ke prinsipal federasi, seperti pengguna di IAM Identity Center. Pertahankan jumlah minimum pengguna IAM yang dibutuhkan untuk aplikasi Anda.

Tinjau grup IAM Anda

Lakukan langkah-langkah berikut saat Anda mengaudit grup IAM:

  1. Buat daftar grup Anda, lalu hapus grup yang tidak Anda gunakan.

  2. Tinjau pengguna di setiap grup dan hapus pengguna yang tidak termasuk.

  3. Tinjau kebijakan yang dilampirkan ke grup. Lihat Tips untuk meninjau kebijakan IAM.

Tinjau IAM role Anda

Lakukan langkah-langkah berikut saat Anda mengaudit IAM role:

  1. Buat daftar peran Anda, lalu hapus peran yang tidak Anda gunakan.

  2. Tinjau kebijakan kepercayaan peran. Pastikan Anda mengetahui siapa akun utamanya dan memahami mengapa akun atau pengguna tersebut harus dapat mengambil peran tersebut.

  3. Tinjau kebijakan akses untuk peran tersebut guna memastikan bahwa kebijakan akses memberikan izin yang sesuai kepada siapa pun yang mengambil peran tersebut—lihat Tips untuk meninjau kebijakan IAM.

Tinjau penyedia IAM untuk SAML and OpenID Connect (OIDC) Anda

Jika Anda telah membuat entitas IAM untuk membangun kepercayaan dengan penyedia identitas SAMP atau OIDC (IDP), lakukan langkah-langkah berikut:

  1. Hapus penyedia yang tidak digunakan.

  2. Unduh dan tinjau dokumen AWS metadata untuk setiap IDP SAMP dan pastikan dokumen tersebut mencerminkan kebutuhan bisnis Anda saat ini.

  3. Dapatkan dokumen metadata terbaru dari SAMP IdPs dan perbarui penyedia di IAM.

Tinjau aplikasi seluler Anda

Jika Anda telah membuat aplikasi seluler yang membuat permintaan AWS, lakukan langkah-langkah berikut:

  1. Pastikan aplikasi seluler tidak berisi kunci akses yang disematkan, meskipun berada di penyimpanan terenkripsi.

  2. Dapatkan kredensi sementara untuk aplikasi dengan menggunakan yang APIs dirancang untuk tujuan itu.

catatan

Sebaiknya gunakan Amazon Cognito untuk mengelola identitas pengguna di aplikasi Anda. Layanan ini memungkinkan Anda mengautentikasi pengguna menggunakan Login with Amazon, Facebook, Google, atau penyedia identitas yang kompatibel dengan OpenID Connect (OIDC). Untuk informasi selengkapnya, lihat kumpulan identitas Amazon Cognito di Panduan Pengembang Amazon Cognito.

Tips untuk meninjau kebijakan IAM

Kebijakan sangat kuat dan halus, jadi penting untuk mempelajari dan memahami izin yang diberikan oleh setiap kebijakan. Gunakan pedoman berikut saat meninjau kebijakan:

  • Lampirkan kebijakan ke grup atau peran, bukan ke pengguna individu. Jika pengguna individu memiliki kebijakan, pastikan Anda memahami mengapa pengguna tersebut memerlukan kebijakan tersebut.

  • Pastikan bahwa pengguna, grup, dan peran IAM memiliki izin yang mereka butuhkan dan tidak memiliki izin tambahan.

  • Gunakan IAM Policy Simulator untuk menguji kebijakan yang dilampirkan ke pengguna atau grup.

  • Ingatlah bahwa izin pengguna adalah hasil dari semua kebijakan yang berlaku — baik kebijakan berbasis identitas (pada pengguna, grup, atau peran) maupun kebijakan berbasis sumber daya (pada sumber daya seperti bucket Amazon S3, antrian Amazon SQS, topik Amazon SNS, dan kunci Amazon SNS). AWS KMS Penting untuk memeriksa semua kebijakan yang berlaku bagi pengguna dan untuk memahami set lengkap izin yang diberikan kepada pengguna individu.

  • Ketahuilah bahwa mengizinkan pengguna untuk membuat pengguna, grup, peran, atau kebijakan IAM dan melampirkan kebijakan ke entitas utama secara efektif memberikan pengguna tersebut semua izin ke semua sumber daya di akun Anda. Pengguna yang dapat membuat kebijakan dan melampirkannya ke pengguna, grup, atau peran dapat memberikan izin apa pun kepada diri mereka sendiri. Secara umum, jangan berikan izin IAM kepada pengguna atau peran yang tidak Anda percayai dengan akses penuh ke sumber daya di akun Anda. Saat melakukan audit keamanan, konfirmasikan bahwa izin IAM berikut diberikan kepada identitas tepercaya:

    • iam:PutGroupPolicy

    • iam:PutRolePolicy

    • iam:PutUserPolicy

    • iam:CreatePolicy

    • iam:CreatePolicyVersion

    • iam:AttachGroupPolicy

    • iam:AttachRolePolicy

    • iam:AttachUserPolicy

  • Pastikan kebijakan tidak memberikan izin untuk layanan yang tidak Anda gunakan. Misalnya, jika Anda menggunakan kebijakan AWS terkelola, pastikan kebijakan AWS terkelola yang digunakan di akun Anda adalah untuk layanan yang benar-benar Anda gunakan. Untuk mengetahui kebijakan AWS terkelola mana yang digunakan di akun Anda, gunakan GetAccountAuthorizationDetailsAPI IAM (AWS CLI perintah: aws iam get-account-authorization-details).

  • Jika kebijakan memberikan izin kepada pengguna untuk meluncurkan EC2 instance Amazon, kebijakan tersebut mungkin juga mengizinkan iam:PassRole tindakan tersebut, tetapi jika demikian, kebijakan tersebut harus secara eksplisit mencantumkan peran yang dapat diteruskan pengguna ke instance Amazon. EC2

  • Memeriksa setiap nilai untuk Action atau Resource elemen yang termasuk*. Jika memungkinkan, berikan Allow akses ke tindakan individu dan sumber daya yang dibutuhkan pengguna. Namun, berikut ini adalah alasan yang mungkin cocok untuk menggunakan * dalam kebijakan:

    • Kebijakan ini dirancang untuk memberikan izin tingkat administratif.

    • Karakter wildcard digunakan untuk set tindakan serupa (misalnya, Describe*) sebagai kenyamanan dan Anda merasa nyaman dengan daftar lengkap tindakan yang direferensikan dengan cara ini.

    • Karakter wildcard digunakan untuk menunjukkan kelas sumber daya atau jalur sumber daya (misalnya,arn:aws:iam::account-id:users/division_abc/*), dan Anda merasa nyaman memberikan akses ke semua sumber daya di kelas atau jalur itu.

    • Tindakan layanan tidak mendukung izin tingkat sumber daya, dan satu-satunya pilihan untuk sumber daya adalah. *

  • Periksa nama kebijakan untuk memastikan mereka mencerminkan fungsi kebijakan. Misalnya, meskipun kebijakan mungkin memiliki nama yang menyertakan "hanya baca", kebijakan tersebut mungkin benar-benar memberikan izin tulis atau ubah.

Untuk informasi selengkapnya tentang perencanaan audit keamanan Anda, lihat Praktik Terbaik untuk Keamanan, Identitas, dan Kepatuhan di Pusat AWS Arsitektur.