Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Tema 4: Mengelola identitas
**Esensi Delapan strategi tercakup**
Batasi hak administratif, otentikasi multi-faktor
Manajemen identitas dan izin yang kuat adalah aspek penting dalam mengelola keamanan di cloud. Praktik identitas yang kuat menyeimbangkan akses yang diperlukan dan hak istimewa yang paling sedikit. Ini membantu tim pengembangan bergerak cepat tanpa mengorbankan keamanan.
Gunakan federasi identitas untuk memusatkan manajemen identitas. Ini membuatnya lebih mudah untuk mengelola akses di beberapa aplikasi dan layanan karena Anda mengelola akses dari satu lokasi. Ini juga membantu Anda menerapkan izin sementara dan otentikasi multi-faktor (MFA).
Berikan pengguna hanya izin yang mereka perlukan untuk melakukan tugas mereka. AWS Identity and Access Management Access Analyzer dapat memvalidasi kebijakan dan memverifikasi akses publik dan lintas akun. Fitur seperti kebijakan kontrol AWS Organizations layanan (SCPs), kondisi kebijakan IAM, batas izin IAM, dan set AWS IAM Identity Center izin dapat membantu Anda mengonfigurasi kontrol akses [berbutir halus](apg-gloss.md#glossary-fgac) (FGAC).
Saat melakukan jenis otentikasi apa pun, yang terbaik adalah menggunakan kredensil sementara untuk mengurangi atau menghilangkan risiko — seperti kredensil yang secara tidak sengaja diungkapkan, dibagikan, atau dicuri. Gunakan peran IAM alih-alih pengguna IAM.
Gunakan mekanisme masuk yang kuat, seperti MFA, untuk mengurangi risiko di mana kredensi masuk telah diungkapkan secara tidak sengaja atau mudah ditebak. Memerlukan MFA untuk pengguna root, dan Anda juga dapat memerlukannya di tingkat federasi. Jika penggunaan pengguna IAM tidak dapat dihindari, terapkan MFA.
Untuk memantau dan melaporkan kepatuhan, Anda harus terus bekerja untuk mengurangi izin, memantau temuan dari IAM Access Analyzer, dan menghapus sumber daya IAM yang tidak digunakan. Gunakan AWS Config aturan untuk memastikan bahwa mekanisme masuk yang kuat ditegakkan, kredensialnya berumur pendek, dan sumber daya IAM sedang digunakan.
## Praktik terbaik terkait dalam Kerangka AWS Well-Architected
+ [SEC02- BP01 Gunakan mekanisme masuk yang kuat](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_enforce_mechanisms.html)
+ [SEC02- BP02 Gunakan kredensial sementara](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_unique.html)
+ [SEC02- BP03 Simpan dan gunakan rahasia dengan aman](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_secrets.html)
+ [SEC02- BP04 Mengandalkan penyedia identitas terpusat](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html)
+ [SEC02- BP05 Audit dan putar kredensil secara berkala](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_audit.html)
+ [SEC02- BP06 Mempekerjakan grup pengguna dan atribut](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_groups_attributes.html)
+ [SEC03- BP01 Tentukan persyaratan akses](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_define.html)
+ [SEC03- BP02 Berikan akses hak istimewa paling sedikit](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_least_privileges.html)
+ [SEC03- BP03 Menetapkan proses akses darurat](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_emergency_process.html)
+ [SEC03- BP04 Mengurangi izin terus menerus](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_continuous_reduction.html)
+ [SEC03- BP05 Tentukan pagar pembatas izin untuk organisasi Anda](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_define_guardrails.html)
+ [SEC03- BP06 Mengelola akses berdasarkan siklus hidup](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_lifecycle.html)
+ [SEC03- BP07 Menganalisis akses publik dan lintas akun](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_analyze_cross_account.html)
+ [SEC03- BP08 Bagikan sumber daya dengan aman di dalam organisasi Anda](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_share_securely.html)
## Menerapkan tema ini
### Melaksanakan federasi identitas
+ [Mewajibkan pengguna manusia untuk berfederasi dengan penyedia identitas untuk mengakses AWS dengan menggunakan kredensi sementara](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html)
+ [Menerapkan akses sementara yang ditinggikan ke AWS lingkungan Anda](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/)
### Terapkan izin hak istimewa paling sedikit
+ [Lindungi kredensil pengguna root Anda dan jangan menggunakannya untuk tugas sehari-hari](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html)
+ [Gunakan IAM Access Analyzer untuk menghasilkan kebijakan hak istimewa paling sedikit berdasarkan aktivitas akses](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/dynamically-generate-an-iam-policy-with-iam-access-analyzer-by-using-step-functions.html)
+ [Verifikasi akses publik dan lintas akun ke sumber daya dengan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html)
+ [Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk izin yang aman dan fungsional](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)
+ [Menetapkan pagar pembatas izin di beberapa akun](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/organizations.html)
+ [Gunakan batas izin untuk menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)
+ [Gunakan ketentuan dalam kebijakan IAM untuk membatasi akses lebih lanjut](https://aws.amazon.com/blogs/apn/top-recommendations-for-working-with-iam-from-our-aws-heroes-part-3-permissions-boundaries-and-conditions/)
+ [Secara teratur meninjau dan menghapus pengguna, peran, izin, kebijakan, dan kredensil yang tidak digunakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_last-accessed.html)
+ [Memulai kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)
+ [Gunakan fitur set izin di IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)
### Putar kredensil
+ [Memerlukan beban kerja untuk menggunakan peran IAM untuk mengakses AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)
+ [Mengotomatiskan penghapusan peran IAM yang tidak digunakan](https://aws.amazon.com/blogs/security/how-to-centralize-findings-and-automate-deletion-for-unused-iam-roles/)
+ [Putar kunci akses secara teratur untuk kasus penggunaan yang memerlukan kredensil jangka panjang](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/automatically-rotate-iam-user-access-keys-at-scale-with-aws-organizations-and-aws-secrets-manager.html)
### Menegakkan MFA
+ [Memerlukan MFA untuk pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)
+ [Memerlukan MFA melalui IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/how-to-configure-mfa-device-enforcement.html)
+ [Pertimbangkan untuk mewajibkan MFA untuk melakukan tindakan API khusus layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html#example-scp-mfa)
## Memantau tema ini
### Pantau akses hak istimewa paling sedikit
+ [Kirim temuan IAM Access Analyzer ke AWS Security Hub CSPM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-securityhub-integration.html)
+ [Pertimbangkan untuk menyiapkan pemberitahuan untuk temuan Pusat Identitas IAM yang kritis](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-eventbridge.html)
+ [Secara teratur meninjau laporan kredensi untuk Anda Akun AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)
### Menerapkan AWS Config aturan berikut
+ `ACCESS_KEYS_ROTATED`
+ `IAM_ROOT_ACCESS_KEY_CHECK`
+ `IAM_USER_MFA_ENABLED`
+ `IAM_USER_UNUSED_CREDENTIALS_CHECK`
+ `IAM_PASSWORD_POLICY`
+ `ROOT_ACCOUNT_HARDWARE_MFA_ENABLED`