Visualisasikan laporan kredensi IAM untuk semua akun AWS menggunakan Amazon QuickSight - AWS Prescriptive Guidance
RingkasanPrasyarat dan batasanArsitekturAlatEpikInformasi tambahan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Visualisasikan laporan kredensi IAM untuk semua akun AWS menggunakan Amazon QuickSight

Parag Nagwekar dan Arun Chandapillai, Amazon Web Services

Ringkasan

Peringatan: Pengguna IAM memiliki kredensyal jangka panjang, yang menghadirkan risiko keamanan. Untuk membantu mengurangi risiko ini, kami menyarankan agar Anda memberikan pengguna ini hanya izin yang mereka perlukan untuk melakukan tugas dan menghapus pengguna ini ketika mereka tidak lagi diperlukan.

Anda dapat menggunakan laporan kredensi AWS Identity and Access Management (IAM) untuk membantu Anda memenuhi persyaratan keamanan, audit, dan kepatuhan organisasi Anda. Laporan kredensi menyediakan daftar semua pengguna di akun AWS Anda dan menunjukkan status kredensialnya, seperti kata sandi, kunci akses, dan perangkat autentikasi multi-faktor (MFA). Anda dapat menggunakan laporan kredensi untuk beberapa akun AWS yang dikelola oleh AWS Organizations.

Pola ini mencakup langkah-langkah dan kode untuk membantu Anda membuat dan membagikan laporan kredensi IAM untuk semua akun AWS di organisasi Anda dengan menggunakan dasbor Amazon QuickSight . Anda dapat berbagi dasbor dengan pemangku kepentingan di organisasi Anda. Laporan dapat membantu organisasi Anda mencapai hasil bisnis yang ditargetkan berikut:

  • Identifikasi insiden keamanan yang terkait dengan pengguna IAM

  • Lacak migrasi real-time pengguna IAM ke autentikasi sistem masuk tunggal (SSO)

  • Lacak Wilayah AWS yang diakses oleh pengguna IAM

  • Tetap patuh

  • Berbagi informasi dengan pemangku kepentingan lainnya

Prasyarat dan batasan

Prasyarat

Arsitektur

Tumpukan teknologi

  • Amazon Athena

  • Amazon EventBridge

  • Amazon QuickSight

  • Amazon Simple Storage Service (Amazon S3)

  • AWS Glue

  • AWS Identity and Access Management (IAM)

  • AWS Lambda

  • AWS Organizations

Arsitektur target

Diagram berikut menunjukkan arsitektur untuk menyiapkan alur kerja yang menangkap data laporan kredensi IAM dari beberapa akun AWS.

Screenshot berikut menggambarkan diagram arsitektur

  1. EventBridge memanggil fungsi Lambda setiap hari.

  2. Fungsi Lambda mengasumsikan peran IAM di setiap akun AWS di seluruh organisasi. Kemudian, fungsi membuat laporan kredensial IAM dan menyimpan data laporan dalam bucket S3 terpusat. Anda harus mengaktifkan enkripsi dan menonaktifkan akses publik pada bucket S3.

  3. Crawler AWS Glue merayapi bucket S3 setiap hari dan memperbarui tabel Athena yang sesuai.

  4. QuickSight mengimpor dan menganalisis data dari laporan kredensi dan membangun dasbor yang dapat divisualisasikan oleh dan dibagikan dengan pemangku kepentingan.

Alat

Layanan AWS

  • Amazon Athena adalah layanan kueri interaktif yang memudahkan untuk menganalisis data di Amazon S3 dengan menggunakan SQL standar.

  • Amazon EventBridge adalah layanan bus acara tanpa server yang membantu Anda menghubungkan aplikasi Anda dengan data waktu nyata dari berbagai sumber. Misalnya, fungsi Lambda, titik akhir pemanggilan HTTP menggunakan tujuan API, atau bus acara di akun AWS lainnya.

  • Amazon QuickSight adalah layanan intelijen bisnis skala cloud (BI) yang membantu Anda memvisualisasikan, menganalisis, dan melaporkan data Anda dalam satu dasbor.

  • AWS Identity and Access Management (IAM) membantu Anda mengelola akses ke sumber daya AWS dengan aman dengan mengontrol siapa yang diautentikasi dan diberi wewenang untuk menggunakannya.

  • AWS Lambda adalah layanan komputasi yang membantu Anda menjalankan kode tanpa perlu menyediakan atau mengelola server. Ini menjalankan kode Anda hanya bila diperlukan dan skala secara otomatis, jadi Anda hanya membayar untuk waktu komputasi yang Anda gunakan.

Kode

Kode untuk pola ini tersedia di GitHub getiamcredsreport-allaccounts-orgrepositori. Anda dapat menggunakan kode dari repositori ini untuk membuat laporan kredensi IAM di seluruh akun AWS di Organizations dan menyimpannya di lokasi pusat.

Epik

TugasDeskripsiKeterampilan yang dibutuhkan

Siapkan edisi Amazon QuickSight Enterprise.

  1. Aktifkan edisi Amazon QuickSight Enterprise di akun AWS Anda. Untuk informasi selengkapnya, lihat Mengelola akses pengguna QuickSight di dalam Amazon dalam QuickSight dokumentasi.

  2. Untuk memberikan izin dasbor, dapatkan Nama Sumber Daya Amazon (ARN) pengguna. QuickSight

Administrator AWS, AWS DevOps, Administrator cloud, arsitek Cloud

Integrasikan Amazon QuickSight dengan Amazon S3 dan Athena.

Anda harus mengizinkan QuickSight untuk menggunakan Amazon S3 dan Athena sebelum menerapkan tumpukan AWS. CloudFormation

Administrator AWS, AWS DevOps, Administrator cloud, arsitek Cloud
TugasDeskripsiKeterampilan yang dibutuhkan

Kloning GitHub repositori.

  1. Kloning GitHub getiamcredsreport-allaccounts-orgrepositori ke mesin lokal Anda dengan menjalankan perintah berikut: git clone https://github.com/aws-samples/getiamcredsreport-allaccounts-org

Administrator AWS

Menyebarkan infrastruktur.

  1. Masuk ke AWS Management Console dan buka CloudFormation konsol.

  2. Di panel navigasi, pilih Buat tumpukan, lalu pilih Dengan sumber daya baru (standar).

  3. Pada halaman Identifikasi sumber daya, pilih Berikutnya.

  4. Pada halaman Tentukan templat, untuk Sumber templat, pilih Unggah file templat.

  5. Pilih Pilih file, pilih Cloudformation-createcredrepo.yaml file dari GitHub repositori kloning Anda, lalu pilih Berikutnya.

  6. Di Parameter, perbarui IAMRoleName dengan peran IAM Anda. Ini harus menjadi peran IAM yang Anda ingin Lambda untuk mengambil alih di setiap akun organisasi. Peran ini membuat laporan kredensyal. Catatan: Peran tidak harus ada di semua akun pada langkah pembuatan tumpukan ini.

  7. Di Parameter, perbarui S3BucketName dengan nama bucket S3 tempat Lambda dapat menyimpan kredensil untuk semua akun.

  8. Untuk nama Stack, masukkan nama tumpukan Anda.

  9. Pilih Kirim.

  10. Perhatikan nama peran fungsi Lambda.

Administrator AWS

Buat kebijakan izin IAM.

Buat kebijakan IAM untuk setiap akun AWS di seluruh organisasi Anda dengan izin berikut:

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:GenerateCredentialReport",
        "iam:GetCredentialReport"
        ],
      "Resource": "*"
    }
  ]
}
AWS DevOps, Administrator Cloud, Arsitek cloud, Insinyur data

Buat peran IAM dengan kebijakan kepercayaan.

  1. Buat peran IAM untuk akun AWS dan lampirkan kebijakan izin yang Anda buat di langkah sebelumnya.

  2. Lampirkan kebijakan kepercayaan berikut ke peran IAM:

{
   "Version": "2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "AWS":[
               "arn:aws:iam::<MasterAccountID>:role/<LambdaRole>"
            ]
         },
         "Action":"sts:AssumeRole"
      }
   ]
}
penting

Ganti arn:aws:iam::<MasterAccountID>:role/<LambdaRole> dengan ARN dari peran Lambda yang Anda catat sebelumnya.

catatan

Organizations biasanya menggunakan otomatisasi untuk membuat peran IAM untuk akun AWS mereka. Kami menyarankan Anda menggunakan otomatisasi ini, jika tersedia. Atau, Anda dapat menggunakan CreateRoleforOrg.py skrip dari repositori kode. Skrip memerlukan peran administratif yang ada atau peran IAM lainnya yang memiliki izin untuk membuat kebijakan dan peran IAM di setiap akun AWS.

Administrator cloud, arsitek Cloud, administrator AWS

Konfigurasikan Amazon QuickSight untuk memvisualisasikan data.

  1. Masuk QuickSight dengan kredensyal Anda.

  2. Buat kumpulan data dengan menggunakan Athena (menggunakan iamcredreportdb database "cfn_iamcredreport" dan tabel), lalu menyegarkan dataset secara otomatis.

  3. Buat analisis di QuickSight.

  4. Buat QuickSight dasbor.

AWS DevOps, Administrator Cloud, Arsitek cloud, Insinyur data

Informasi tambahan

Pertimbangan tambahan

Pertimbangkan hal berikut:

  • Setelah menggunakan CloudFormation infrastruktur, Anda dapat menunggu laporan yang dibuat di Amazon S3 dan dianalisis oleh Athena hingga Lambda dan AWS Glue berjalan sesuai jadwal mereka. Atau, Anda dapat menjalankan Lambda secara manual untuk mendapatkan laporan di Amazon S3, lalu menjalankan crawler AWS Glue untuk mendapatkan tabel Athena yang dibuat dari data.

  • QuickSight adalah alat yang ampuh untuk menganalisis dan memvisualisasikan data berdasarkan kebutuhan bisnis Anda. Anda dapat menggunakan parameter QuickSight untuk mengontrol data widget berdasarkan bidang data yang Anda pilih. Selain itu, Anda dapat menggunakan QuickSight analisis untuk membuat parameter (misalnya, bidang Akun, Tanggal, dan Pengguna sepertipartition_0,partition_1, dan user masing-masing) dari kumpulan data Anda untuk menambahkan kontrol parameter untuk Akun, Tanggal, dan Pengguna.

  • Untuk membuat QuickSight dasbor Anda sendiri, lihat QuickSight Lokakarya dari situs web AWS Workshop Studio.

  • Untuk melihat QuickSight dasbor contoh, lihat repositori GitHub getiamcredsreport-allaccounts-orgkode.

Hasil bisnis yang ditargetkan

Anda dapat menggunakan pola ini untuk mencapai hasil bisnis yang ditargetkan berikut:

  • Identifikasi insiden keamanan yang terkait dengan pengguna IAM — Selidiki setiap pengguna di setiap akun AWS di organisasi Anda dengan menggunakan satu panel kaca. Anda dapat melacak tren Wilayah AWS individual yang paling baru diakses pengguna IAM dan layanan yang mereka gunakan.

  • Lacak migrasi real-time pengguna IAM ke otentikasi SSO — Dengan menggunakan SSO, pengguna dapat masuk sekali dengan satu kredensi dan mengakses beberapa akun dan aplikasi AWS. Jika Anda berencana untuk memigrasikan pengguna IAM ke SSO, pola ini dapat membantu Anda beralih ke SSO dan melacak semua penggunaan kredensi pengguna IAM (seperti akses ke AWS Management Console atau penggunaan kunci akses) di semua akun AWS.

  • Lacak Wilayah AWS yang diakses oleh pengguna IAM — Anda dapat mengontrol akses pengguna IAM ke Wilayah untuk berbagai tujuan, seperti kedaulatan data dan pengendalian biaya. Anda juga dapat melacak penggunaan Wilayah oleh setiap pengguna IAM.

  • Tetap patuh - Dengan mengikuti prinsip hak istimewa terkecil, Anda hanya dapat memberikan izin IAM tertentu yang diperlukan untuk melakukan tugas tertentu. Selain itu, Anda dapat melacak akses ke layanan AWS, AWS Management Console, dan penggunaan kredensi jangka panjang.

  • Berbagi informasi dengan pemangku kepentingan lainnya — Anda dapat berbagi dasbor yang dikuratori dengan pemangku kepentingan lainnya, tanpa memberi mereka akses ke laporan kredensi IAM atau akun AWS.