Manajemen identitas dan akses - Panduan Pengguna Tingkat Lanjut AMS
Pengamanan IAM Zona Pendaratan Multi-Akun (MALZ)Keamanan Amazon InspectorPengaturan non-default EPS landing zone multi-akun AMSPagar Pembatas AMSKebijakan kontrol layanan MALZ

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Manajemen identitas dan akses

AWS Identity and Access Management (IAM) adalah layanan web yang membantu Anda mengontrol akses ke AWS sumber daya dengan aman. Anda menggunakan IAM untuk mengontrol siapa yang diautentikasi (masuk) dan diotorisasi (memiliki izin) untuk menggunakan sumber daya. Selama onboarding AMS, Anda bertanggung jawab untuk membuat peran Admin IAM lintas akun dalam setiap akun terkelola Anda.

Pengamanan IAM Zona Pendaratan Multi-Akun (MALZ)

AMS multi-account landing zone (MALZ) memerlukan kepercayaan Active Directory (AD) sebagai tujuan desain utama manajemen akses AMS untuk memungkinkan setiap organisasi (baik AMS, dan pelanggan) mengelola siklus hidup identitas mereka sendiri. Ini menghindari kebutuhan untuk memiliki kredensil di direktori satu sama lain. Kepercayaan satu arah dikonfigurasi, sehingga Direktori Aktif Terkelola dalam Akun AWS mempercayai AD yang dimiliki atau dikelola pelanggan untuk mengautentikasi pengguna. Karena kepercayaan hanya satu arah, itu tidak berarti bahwa Managed AD dipercaya oleh Customer Active Directory.

Dalam konfigurasi ini, direktori pelanggan yang mengelola identitas pengguna dikenal sebagai Hutan Pengguna, dan AD Terkelola tempat EC2 instans Amazon dilampirkan dikenal sebagai Hutan Sumber Daya. Ini adalah pola desain Microsoft yang umum dimanfaatkan untuk otentikasi Windows; untuk informasi selengkapnya, lihat Model Desain Hutan.

Model ini memungkinkan kedua organisasi untuk mengotomatiskan siklus hidup masing-masing dan memungkinkan AMS dan Anda mencabut akses dengan cepat jika seorang karyawan meninggalkan organisasi. Tanpa model ini, jika kedua organisasi menggunakan direktori umum (atau dibuat users/groups di direktori satu sama lain), maka kedua organisasi harus memasukkan alur kerja tambahan, dan sinkronisasi pengguna, untuk memperhitungkan karyawan yang memulai dan meninggalkan. Ini menimbulkan risiko karena proses itu memiliki latensi dan dapat rawan kesalahan.

Prasyarat akses MALZ

Integrasi Penyedia Identitas MALZ untuk akses ke konsol AWS/AMS, CLI, SDK.

Hubungan antara penyedia identitas dan AWS IAM, the AWS Management Console, dan manajemen perubahan AMS.

Kepercayaan satu arah untuk EC2 instans Amazon di akun AMS Anda.

Arah kepercayaan berjalan satu arah: dari EC2 instans Amazon Anda ke Domain Direktori Aktif organisasi Anda.

Keamanan Amazon Inspector

Layanan Amazon Inspector memantau keamanan tumpukan yang dikelola AMS Anda. Amazon Inspector adalah layanan penilaian keamanan otomatis yang membantu mengidentifikasi kesenjangan dalam keamanan dan kepatuhan infrastruktur yang digunakan. AWS Penilaian keamanan Amazon Inspector memungkinkan Anda menilai tumpukan secara otomatis untuk eksposur, kerentanan, dan penyimpangan dari praktik terbaik dengan memeriksa aksesibilitas dan kerentanan jaringan yang tidak diinginkan di instans Amazon Anda. EC2 Setelah melakukan penilaian, Amazon Inspector menghasilkan daftar detail temuan keamanan yang diprioritaskan berdasarkan tingkat keparahan. Penilaian Amazon Inspector ditawarkan sebagai paket aturan yang telah ditentukan sebelumnya yang dipetakan ke praktik dan definisi terbaik keamanan umum. Aturan-aturan ini diperbarui secara berkala oleh peneliti AWS keamanan. Untuk informasi lebih lanjut tentang Amazon Inspector, kunjungi Amazon Inspector.

AMS Amazon Inspector FAQs

  • Apakah Amazon Inspector diinstal ke akun AMS saya secara default?

    Tidak. Amazon Inspector bukan bagian dari build AMI default atau konsumsi beban kerja.

  • Bagaimana cara mengakses dan menginstal Amazon Inspector?

    Kirim RFC (Manajemen | Lainnya | Lainnya | Buat) untuk meminta akses akun dan instalasi ke Inspector dan tim operasi AMS akan memodifikasi ReadOnly Customer_ _Role untuk menyediakan akses konsol Amazon Inspector (tanpa akses SSM).

  • Apakah Amazon Inspector Agent harus diinstal pada semua EC2 instans Amazon yang ingin saya nilai?

    Tidak, penilaian Amazon Inspector dengan paket aturan jangkauan jaringan dapat dijalankan tanpa agen untuk instans Amazon apa pun. EC2 Agen diperlukan untuk paket aturan penilaian tuan rumah. Untuk informasi selengkapnya tentang penginstalan agen, lihat Menginstal Agen Amazon Inspector.

  • Apakah ada biaya tambahan untuk layanan ini?

    Ya. Harga Amazon Inspector dapat ditemukan di situs harga Amazon Inspector.

  • Apa temuan Amazon Inspector?

    Temuan adalah masalah keamanan potensial yang ditemukan selama penilaian Amazon Inspector dari target penilaian yang dipilih. Temuan ditampilkan di konsol Amazon Inspector atau API, dan berisi deskripsi rinci tentang masalah keamanan dan rekomendasi untuk menyelesaikannya.

  • Apakah laporan penilaian Amazon Inspector tersedia?

    Ya. Laporan penilaian adalah dokumen yang merinci apa yang diuji dalam proses penilaian, dan hasil penilaian. Hasil penilaian Anda diformat menjadi laporan standar, yang dapat dihasilkan untuk berbagi hasil dalam tim Anda untuk tindakan remediasi, untuk memperkaya data audit kepatuhan, atau untuk menyimpan referensi di masa mendatang. Laporan penilaian Amazon Inspector dapat dibuat untuk penilaian yang dijalankan setelah berhasil diselesaikan.

  • Dapatkah saya menggunakan tag untuk mengidentifikasi tumpukan yang ingin saya jalankan laporan Amazon Inspector?

    Ya.

  • Akankah tim Operasi AMS memiliki akses ke hasil penilaian Amazon Inspector?

    Ya. Siapa pun yang memiliki akses ke konsol Amazon Inspector di AWS dapat melihat temuan dan laporan penilaian.

  • Akankah tim Operasi AMS merekomendasikan atau mengambil tindakan berdasarkan temuan laporan Amazon Inspector?

    Tidak. Jika Anda ingin perubahan dibuat berdasarkan temuan laporan Amazon Inspector, Anda harus meminta perubahan melalui RFC (Manajemen | Lainnya | Lainnya | Pembaruan).

  • Apakah AMS akan diberi tahu ketika saya menjalankan laporan Amazon Inspector?

    Saat Anda meminta akses Amazon Inspector, Operator AMS yang menjalankan RFC akan memberi tahu CSDM Anda tentang permintaan tersebut.

Untuk informasi selengkapnya, lihat Amazon Inspector FAQs.

Pengaturan non-default EPS landing zone multi-akun AMS

Bagian ini telah disunting karena berisi informasi sensitif terkait keamanan AMS. Informasi ini tersedia melalui Dokumentasi konsol AMS. Untuk mengakses Artifact AWS, Anda dapat menghubungi CSDM Anda untuk mendapatkan petunjuk atau membuka Memulai dengan Artifact AWS.

Pagar Pembatas AMS

Pagar pembatas adalah aturan tingkat tinggi yang menyediakan tata kelola berkelanjutan untuk lingkungan AMS Anda secara keseluruhan.

Bagian ini telah disunting karena berisi informasi sensitif terkait keamanan AMS. Informasi ini tersedia melalui Dokumentasi konsol AMS. Untuk mengakses Artifact AWS, Anda dapat menghubungi CSDM Anda untuk mendapatkan petunjuk atau membuka Memulai dengan Artifact AWS.

Kebijakan kontrol layanan MALZ

Bagian ini telah disunting karena berisi informasi sensitif terkait keamanan AMS. Informasi ini tersedia melalui Dokumentasi konsol AMS. Untuk mengakses Artifact AWS, Anda dapat menghubungi CSDM Anda untuk mendapatkan petunjuk atau membuka Memulai dengan Artifact AWS.