Konsep kunci untuk menggunakan kontrol akses berbasis sertifikat di AWS - AWS Bimbingan Preskriptif
Keistimewaan paling sedikitOtentikasi berbasis sertifikatPercaya jangkar dan model kepercayaanKredensial keamanan sementaraIzin lapisan ganda di IAMAWS Pembantu Kredensi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konsep kunci untuk menggunakan kontrol akses berbasis sertifikat di AWS

Kontrol akses berbasis sertifikat AWS memerlukan pemahaman beberapa konsep otentikasi dan otorisasi yang saling bergantung. Misalnya, prinsip hak istimewa terkecil menentukan ruang lingkup izin yang diberikan melalui otentikasi berbasis sertifikat, yang secara langsung mempengaruhi peran AWS Identity and Access Management (IAM) dan desain kebijakan. Otentikasi berbasis sertifikat itu sendiri bergantung pada validasi sertifikat X.509 terhadap jangkar kepercayaan yang dikonfigurasi, yang menentukan rantai kepercayaan kriptografi untuk verifikasi sertifikat. Kredensi keamanan sementara yang dihasilkan melalui proses ini memiliki karakteristik siklus hidup tertentu yang memengaruhi manajemen sesi dan strategi rotasi kredensi. Selain itu, AWS Identity and Access Management Roles Anywhere mengimplementasikan model izin dua lapis di mana kebijakan peran IAM dan konfigurasi profil harus mengotorisasi akses. Tanpa memahami bagaimana konsep-konsep ini berinteraksi, implementasi dapat mengakibatkan kegagalan otentikasi, akses yang terlalu istimewa, atau kesenjangan keamanan dalam rantai validasi sertifikat. Konsep-konsep ini membentuk dasar teknis yang diperlukan untuk mengkonfigurasi hubungan kepercayaan, batas izin, dan siklus hidup kredenal dengan benar dalam sistem kontrol akses berbasis sertifikat AWS .

Keistimewaan paling sedikit

Prinsip hak istimewa terkecil adalah konsep keamanan yang menyarankan pemberian tingkat akses minimal (atau izin) yang diperlukan bagi pengguna, program, atau sistem untuk melakukan tugas mereka. Filosofi panduannya sederhana — semakin sedikit izin yang dimiliki entitas, semakin rendah risiko kerusakan berbahaya atau tidak disengaja.

Dalam konteks AWS, prinsip ini sangat relevan. AWS menyediakan berbagai sumber daya dan layanan, dari mesin virtual hingga sumber daya penyimpanan. Saat Anda membangun dan mengelola AWS infrastruktur Anda, menerapkan prinsip hak istimewa terkecil memastikan bahwa setiap entitas (pengguna, layanan, atau aplikasi) hanya memiliki izin yang diperlukan untuk berfungsi dengan benar, dan tidak lebih.

Menerapkan hak istimewa paling sedikit dalam AWS menawarkan manfaat berikut:

  • Keamanan — Dengan membatasi akses, Anda mengurangi dampak potensial dari pelanggaran keamanan. Jika pengguna atau layanan memiliki izin minimum, maka ruang lingkup kerusakan berkurang secara signifikan.

  • Kepatuhan — Banyak kerangka peraturan memerlukan kontrol akses yang ketat. Mengikuti prinsip hak istimewa paling sedikit membantu Anda memenuhi persyaratan kepatuhan ini.

  • Kesederhanaan operasional — Mengelola izin dapat menjadi kompleks. Menerapkan hak istimewa paling sedikit dapat menjaga konfigurasi sesederhana dan semudah mungkin.

Otentikasi berbasis sertifikat

Otentikasi berbasis sertifikat menggunakan sertifikat digital untuk memverifikasi identitas perangkat, layanan, atau aplikasi. Sertifikat X.509 berisi atribut yang mengidentifikasi entitas dan ditandatangani oleh otoritas sertifikat tepercaya. Metode otentikasi ini menghilangkan kebutuhan akan kredensil statis dan menyediakan cara yang aman secara kriptografis untuk membangun kepercayaan.

Sedangkan otentikasi berbasis identitas bergantung pada kredensi yang secara langsung terkait dengan peran IAM atau pengguna, otentikasi berbasis sertifikat menggunakan sertifikat X.509 untuk menetapkan identitas. Otentikasi berbasis sertifikat menawarkan keuntungan di lingkungan hybrid dengan memberikan postur keamanan yang lebih kuat, rotasi kredenal otomatis, dan kemampuan untuk menyandikan atribut yang dapat digunakan untuk kontrol akses berbutir halus.

Percaya jangkar dan model kepercayaan

Anda membangun kepercayaan antara IAM Roles Anywhere dan otoritas sertifikat (CA) Anda dengan membuat jangkar kepercayaan. Trust anchor adalah referensi ke salah satu AWS Private CAatau sumber CA eksternal. Beban kerja Anda di luar AWS autentikasi dengan jangkar kepercayaan dengan menggunakan sertifikat yang dikeluarkan oleh CA tepercaya dengan imbalan kredensi sementara. AWS Mungkin ada beberapa jangkar kepercayaan dalam satu Akun AWS. Untuk informasi lebih lanjut, lihat model IAM Roles Anywhere kepercayaan. Model kepercayaan mendefinisikan bagaimana sertifikat divalidasi dan atribut sertifikat mana yang diperlukan untuk otentikasi yang berhasil.

Kredensial keamanan sementara

Kredensi keamanan sementara menyediakan akses terbatas waktu ke AWS sumber daya, biasanya berlangsung dari beberapa menit hingga beberapa jam. Tidak seperti kunci akses jangka panjang, kredensil ini secara otomatis kedaluwarsa. Ini secara signifikan mengurangi risiko kompromi kredensi dan menyederhanakan manajemen akses di seluruh sistem terdistribusi. Untuk informasi selengkapnya tentang kredensil sementara, lihat Memerlukan beban kerja untuk menggunakan kredensil sementara dengan peran IAM untuk mengakses praktik AWS terbaik dalam dokumentasi IAM.

Izin lapisan ganda di IAM

IAM Roles Anywhere mengimplementasikan model izin dual-layer melalui kombinasi peran dan profil IAM. Di profil, Anda dapat menentukan kebijakan sesi IAM yang membatasi izin yang dibuat untuk sesi. Profil dapat memiliki banyak peran IAM tetapi hanya satu kebijakan sesi. Model izin dual-layer memberikan keamanan yang ditingkatkan dengan mewajibkan izin secara eksplisit diizinkan di kedua lapisan sebelum akses diberikan. Berikut ini adalah dua lapisan:

  • Lapisan peran IAM mendefinisikan hal berikut:

    • Kebijakan kepercayaan yang menentukan entitas mana yang dapat mengambil peran

    • Kebijakan izin yang menentukan AWS sumber daya mana yang dapat diakses peran dan tindakan apa yang dapat dilakukannya

    • Elemen kondisi yang dapat membatasi akses lebih lanjut berdasarkan kriteria tertentu

  • Lapisan IAM Roles Anywhere profil melakukan hal berikut:

    • Mendefinisikan peran IAM mana yang dapat diasumsikan melalui IAM Roles Anywhere

    • Memberikan kontrol tambahan untuk asumsi peran

    • Bertindak sebagai filter izin, bahkan jika peran IAM itu sendiri memungkinkan akses yang lebih luas

Misalnya, jika peran IAM memungkinkan akses ke Amazon Simple Storage Service (Amazon S3) dan Amazon DynamoDB tetapi profil hanya mengizinkan akses Amazon S3, aplikasi hanya dapat mengakses sumber daya Amazon S3. Pendekatan dual-layer ini menegakkan prinsip hak istimewa terkecil dengan meminta izin eksplisit di kedua lapisan.

AWS Pembantu Kredensi

Dengan menggunakan Credential Helper (GitHub) for IAM Roles Anywhere, Anda menentukan melalui AWS Command Line Interface (AWS CLI) yang mempercayai jangkar, profil, dan peran yang ingin Anda gunakan saat mengizinkan aplikasi mengakses sumber daya. AWS Berikut ini adalah contoh panggilan yang menggunakan alat AWS Credential Helper:

./aws_signing_helper credential-process 
   \--certificate <Path to certificate>
   \--private-key <Path to private key> 
   \--trust-anchor-arn <Trust anchor ARN> 
   \--profile-arn <Profile 1 ARN>
   \--role-arn <Role 1 ARN>

Alat ini kompatibel dengan credential_process fitur yang tersedia di seluruh bahasa SDKs. Saat digunakan dengan AWS SDK, kredensil ini secara otomatis disegarkan sebelum kedaluwarsa, tidak memerlukan implementasi tambahan untuk perpanjangan kredensi. Credential Helper mengelola proses pembuatan tanda tangan dengan sertifikat dan memanggil titik akhir untuk mendapatkan kredensi sesi. Kemudian, ia mengembalikan kredensil keamanan sementara ke proses panggilan dalam format JSON standar.

Untuk informasi selengkapnya, lihat Mendapatkan kredensil keamanan sementara dari. IAM Roles Anywhere