Memperkuat keamanan IAM Roles Anywhere dengan menggunakan kontrol akses berbasis sertifikat - AWS Bimbingan Preskriptif
Audiens yang ditujuTujuan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memperkuat keamanan IAM Roles Anywhere dengan menggunakan kontrol akses berbasis sertifikat

Alberto Sagrado Amador, Amazon Web Services

Juli 2025 (sejarah dokumen)

Ketika organisasi memperluas jejak cloud mereka dan merangkul otomatisasi, semakin penting untuk mengelola akses aman untuk identitas non-manusia, seperti aplikasi, server, dan wadah. Pendekatan tradisional menggunakan kredensil jangka panjang atau rahasia kode keras, tetapi pendekatan ini dapat menciptakan risiko keamanan dan overhead operasional. AWS Identity and Access Management Roles Anywheremengatasi tantangan ini dengan memungkinkan beban kerja di luar AWS Cloud untuk mengakses AWS sumber daya dengan aman melalui sertifikat X.509 (Wikipedia) alih-alih kredensil jangka panjang.

Organizations umumnya berjuang dengan proliferasi kunci akses, rotasi kredenal yang kompleks, dan kemampuan terbatas untuk menegakkan kontrol akses berbutir halus. Kerangka keamanan modern menekankan prinsip Zero Trust, just-in-time akses, dan prinsip hak istimewa paling tidak — yang semuanya dapat dicapai melalui implementasi otentikasi berbasis sertifikat yang tepat.

Panduan ini menunjukkan cara meningkatkan keamanan IAM Roles Anywhere dengan mengelola atribut sertifikat dan hubungan kepercayaan peran AWS Identity and Access Management (IAM) secara efektif. Ini menggunakan contoh arsitektur praktis untuk menunjukkan bagaimana menerapkan kontrol akses berbutir halus dan menegakkan prinsip hak istimewa paling sedikit dalam sesi. IAM Roles Anywhere

Arsitektur menggunakan IAM Roles Anywhere dan AWS Private Certificate Authority (AWS Private CA). AWS Private CA bertindak sebagai jangkar kepercayaan, dan AWS Certificate Manager (ACM) mengelola sertifikat. Yayasan ini mencerminkan konfigurasi keamanan dunia nyata dan implikasinya.

Tanpa konfigurasi kebijakan yang tepat untuk peran IAM, sertifikat apa pun yang dikeluarkan oleh AWS Private CA berpotensi digunakan untuk mengambil peran. Ini dapat menciptakan kerentanan keamanan yang signifikan, termasuk asumsi peran yang tidak sah, pelanggaran data, dan kompromi kredenal. Panduan ini menunjukkan cara membantu mengurangi risiko ini melalui konfigurasi kebijakan dan pengelolaan atribut sertifikat yang tepat.

Diagram berikut menunjukkan alur kerja bagaimana aplikasi dapat meminta akses melalui IAM Roles Anywhere dan kemudian melakukan tindakan yang diizinkan dalam target Akun AWS.

Menggunakan otentikasi berbasis sertifikat untuk mendapatkan kredensil akses sementara untuk sumber daya. AWS

Diagram menunjukkan alur kerja berikut:

  1. Aplikasi meminta kredensi keamanan sementara dari IAM Roles Anywhere dan memberikan sertifikat untuk otentikasi.

  2. IAM Roles Anywhere menggunakan hubungan kepercayaan untuk mengautentikasi aplikasi dengan AWS Private CA.

  3. IAM Roles Anywhere menghasilkan file JSON yang berisi kredensil keamanan sementara dan mengembalikannya ke aplikasi.

  4. Menggunakan kredensil keamanan sementara, aplikasi mengasumsikan peran IAM dalam. Akun AWS

Aplikasi melakukan tindakan yang diizinkan oleh kebijakan yang dilampirkan pada peran IAM dan di akun. Misalnya, mungkin mengakses bucket Amazon Simple Storage Service (Amazon S3).

Audiens yang dituju

Panduan ini ditujukan untuk arsitek cloud, insinyur keamanan, dan DevOps insinyur yang menerapkan kontrol akses untuk lingkungan cloud hybrid atau mengotomatiskan manajemen izin untuk identitas non-manusia. Panduan ini juga dapat membantu Anda mematuhi peraturan atau memenuhi praktik terbaik keamanan. Untuk memahami konsep dan rekomendasi dalam panduan ini, Anda harus terbiasa dengan hal-hal berikut:

  • Dasar-dasar IAM

  • Infrastruktur kunci publik (PKI) dan manajemen sertifikat X.509

  • Prinsip keamanan Zero Trust dan akses hak istimewa paling sedikit

  • Layanan AWS untuk otentikasi berbasis sertifikat, seperti dan IAM Roles Anywhere AWS Private CA

Tujuan

Menggunakan IAM Roles Anywhere dan sertifikat X.509 untuk otentikasi dapat memberikan hasil bisnis utama berikut:

  • Keamanan yang ditingkatkan — Menghilangkan risiko yang terkait dengan penggunaan kredensi jangka panjang

  • Mengurangi overhead operasional - Mengotomatiskan manajemen kredensi dan rotasi

  • Kepatuhan yang ditingkatkan - Menyediakan jalur audit terperinci dan memberlakukan akses hak istimewa paling sedikit

  • Manajemen yang dapat diskalakan - Memusatkan kontrol akses di seluruh lingkungan hibrida

  • Efisiensi biaya — Mengurangi biaya yang terkait dengan upaya respons insiden keamanan dan kompleksitas manajemen