View a markdown version of this page

Batasi hak administratif - AWS Panduan Preskriptif

Batasi hak administratif

Kontrol Esential Delapan	Panduan implementasi	AWS sumber daya	AWS Panduan Well-Architected
Permintaan untuk akses istimewa ke sistem dan aplikasi divalidasi saat pertama kali diminta.	Tema 4: Mengelola identitas: Menerapkan federasi identitas	Mewajibkan pengguna manusia untuk berfederasi dengan penyedia identitas untuk mengakses AWS dengan menggunakan kredensi sementara	SEC02- BP04 Mengandalkan penyedia identitas terpusat SEC03- BP01 Tentukan persyaratan akses
Akses istimewa ke sistem dan aplikasi dinonaktifkan secara otomatis setelah 12 bulan kecuali divalidasi ulang.	Tema 4: Mengelola identitas: Menerapkan federasi identitas	Mewajibkan pengguna manusia untuk berfederasi dengan penyedia identitas untuk mengakses AWS dengan menggunakan kredensi sementara	SEC02- BP04 Mengandalkan penyedia identitas terpusat
	Tema 4: Mengelola identitas: Putar kredensi	Memerlukan beban kerja untuk menggunakan peran IAM untuk mengakses AWS Mengotomatiskan penghapusan peran IAM yang tidak digunakan Putar kunci akses secara teratur untuk kasus penggunaan yang memerlukan kredensil jangka panjang AWS Summit ANZ 2023: Perjalanan Anda menuju kredensil sementara di cloud (video) YouTube	SEC02- BP05 Audit dan putar kredensi secara berkala
Akses istimewa ke sistem dan aplikasi dinonaktifkan secara otomatis setelah 45 hari tidak aktif.	Tema 4: Mengelola identitas: Menerapkan federasi identitas Tema 4: Mengelola identitas: Putar kredensi	Mewajibkan pengguna manusia untuk berfederasi dengan penyedia identitas untuk mengakses AWS dengan menggunakan kredensi sementara Memerlukan beban kerja untuk menggunakan peran IAM untuk mengakses AWS Mengotomatiskan penghapusan peran IAM yang tidak digunakan Putar kunci akses secara teratur untuk kasus penggunaan yang memerlukan kredensil jangka panjang AWS Summit ANZ 2023: Perjalanan Anda menuju kredensil sementara di cloud (video) YouTube	SEC02- BP04 Mengandalkan penyedia identitas terpusat SEC02- BP05 Audit dan putar kredensi secara berkala
Akses istimewa ke sistem dan aplikasi terbatas hanya pada apa yang diperlukan bagi pengguna dan layanan untuk menjalankan tugas mereka.	Tema 4: Mengelola identitas: Terapkan izin hak istimewa paling sedikit	Lindungi kredensil pengguna root Anda dan jangan menggunakannya untuk tugas sehari-hari Gunakan IAM Access Analyzer untuk menghasilkan kebijakan hak istimewa paling sedikit berdasarkan aktivitas akses Verifikasi akses publik dan lintas akun ke sumber daya dengan IAM Access Analyzer Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk izin yang aman dan fungsional Menetapkan pagar pembatas izin di beberapa akun Gunakan batas izin untuk menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas Gunakan ketentuan dalam kebijakan IAM untuk membatasi akses lebih lanjut Tinjau dan hapus pengguna, peran, izin, kebijakan, dan kredensil yang tidak digunakan secara teratur Memulai kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit Gunakan fitur set izin di IAM Identity Center	SEC01- Pengguna root akun BP02 aman dan properti SEC03- BP02 Berikan akses hak istimewa paling sedikit
Akun istimewa dicegah mengakses internet, email, dan layanan web.	Lihat Contoh teknis: Batasi hak administratif (situs web ACSC)	Pertimbangkan untuk menerapkan SCP yang mencegah VPC apa pun yang belum memiliki akses internet mendapatkannya	Tidak berlaku
Pengguna istimewa menggunakan lingkungan operasi istimewa dan tidak memiliki hak istimewa yang terpisah.	Tema 5: Menetapkan perimeter data	Membuat perimeter data. Pertimbangkan untuk menerapkan batas data antara lingkungan dengan klasifikasi data yang berbeda, seperti `OFFICIAL:SENSITIVE` atau`PROTECTED`, atau tingkat risiko yang berbeda, seperti pengembangan, pengujian, atau produksi.	SEC06- BP03 Mengurangi manajemen manual dan akses interaktif
Lingkungan operasi istimewa tidak tervirtualisasi dalam lingkungan operasi yang tidak memiliki hak istimewa.
Akun yang tidak memiliki hak istimewa tidak dapat masuk ke lingkungan operasi yang memiliki hak istimewa.
Akun istimewa (tidak termasuk akun administrator lokal) tidak dapat masuk ke lingkungan operasi yang tidak memiliki hak istimewa.
Just-in-time administrasi digunakan untuk mengelola sistem dan aplikasi.	Tema 4: Mengelola identitas: Menerapkan federasi identitas	Mewajibkan pengguna manusia untuk berfederasi dengan penyedia identitas untuk mengakses AWS dengan menggunakan kredensi sementara Menerapkan akses sementara yang ditinggikan ke AWS lingkungan Anda (posting AWS blog)	SEC02- BP04 Mengandalkan penyedia identitas terpusat
Kegiatan administratif dilakukan melalui server lompat.	Tema 1: Gunakan layanan terkelola Tema 3: Kelola infrastruktur yang bisa berubah dengan otomatisasi: Gunakan otomatisasi daripada proses manual	Gunakan Session Manager atau Run Command alih-alih akses SSH atau RDP langsung	SEC01- BP05 Mengurangi ruang lingkup manajemen keamanan SEC06- BP03 Mengurangi manajemen manual dan akses interaktif
Kredensi untuk akun administrator lokal dan akun layanan unik, tidak dapat diprediksi, dan dikelola.	Lihat Contoh teknis: Batasi hak administratif (situs web ACSC)	Tidak berlaku	Tidak berlaku
Windows Defender Credential Guarddan Windows Defender Remote Credential Guard diaktifkan.		Tidak berlaku	Tidak berlaku
Penggunaan akses istimewa dicatat secara terpusat dan dilindungi dari modifikasi dan penghapusan yang tidak sah, dipantau untuk tanda-tanda kompromi, dan ditindaklanjuti ketika peristiwa keamanan cyber terdeteksi.	Tema 7: Memusatkan logging dan monitoring: Aktifkan pencatatan Tema 7: Memusatkan logging dan monitoring: Memusatkan log	Gunakan CloudWatch Agen untuk mempublikasikan log tingkat OS ke Log CloudWatch Aktifkan CloudTrail untuk organisasi Anda Sentralisasi CloudWatch Log dalam akun untuk audit dan analisis (AWS posting blog) Memusatkan manajemen Amazon Inspector Memusatkan manajemen Security Hub CSPM Buat agregator seluruh organisasi di AWS Config(posting blog)AWS Memusatkan manajemen GuardDuty Pertimbangkan untuk menggunakan Amazon Security Lake Menerima CloudTrail log dari beberapa akun Kirim log ke akun arsip log	SEC04- BP01 Konfigurasikan layanan dan pencatatan aplikasi SEC04- BP02 Tangkap log, temuan, dan metrik di lokasi standar
Perubahan pada akun dan grup istimewa dicatat secara terpusat dan dilindungi dari modifikasi dan penghapusan yang tidak sah, dipantau untuk tanda-tanda kompromi, dan ditindaklanjuti ketika peristiwa keamanan siber terdeteksi.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Pengerasan aplikasi pengguna

Sistem operasi patch