Akun Manajemen Org - AWS Panduan Preskriptif
Kebijakan kontrol layananKebijakan pengendalian sumber dayaKebijakan deklaratifAkses root terpusatPusat Identitas IAMPenasihat akses IAMAWS Systems ManagerAWS Control TowerAWS ArtifactPagar pembatas layanan keamanan terdistribusi dan terpusat

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Akun Manajemen Org

Mempengaruhi masa depan AWS Security Reference Architecture (AWS SRA) dengan mengambil survei singkat.

Diagram berikut menggambarkan layanan keamanan AWS yang dikonfigurasi di akun Manajemen Org.

Layanan keamanan untuk akun Manajemen Org

Bagian Menggunakan AWS Organizations untuk keamanan dan Akun manajemen, akses tepercaya, dan administrator yang didelegasikan sebelumnya dalam panduan ini membahas tujuan dan tujuan keamanan akun Manajemen Org secara mendalam. Ikuti praktik terbaik keamanan untuk akun Manajemen Org Anda. Ini termasuk menggunakan alamat email yang dikelola oleh bisnis Anda, menjaga informasi kontak administratif dan keamanan yang benar (seperti melampirkan nomor telepon ke akun jika AWS perlu menghubungi pemilik akun), mengaktifkan otentikasi multi-faktor (MFA) untuk semua pengguna, dan secara teratur meninjau siapa yang memiliki akses ke akun Manajemen Org. Layanan yang digunakan di akun Manajemen Organisasi harus dikonfigurasi dengan peran yang sesuai, kebijakan kepercayaan, dan izin lainnya sehingga administrator layanan tersebut (yang harus mengaksesnya di akun Manajemen Org) juga tidak dapat mengakses layanan lain secara tidak tepat.

Kebijakan kontrol layanan

Dengan AWS Organizations, Anda dapat mengelola kebijakan secara terpusat di beberapa akun AWS. Misalnya, Anda dapat menerapkan kebijakan kontrol layanan (SCPs) di beberapa akun AWS yang merupakan anggota organisasi. SCPs memungkinkan Anda menentukan layanan AWS mana yang APIs dapat dan tidak dapat dijalankan oleh entitas AWS Identity and Access Management (IAM) (seperti pengguna dan peran IAM) di akun AWS anggota organisasi Anda. SCPs dibuat dan diterapkan dari akun manajemen Org, yang merupakan akun AWS yang Anda gunakan saat membuat organisasi. Baca selengkapnya SCPs di bagian Menggunakan AWS Organizations for security sebelumnya dalam referensi ini. 

Jika Anda menggunakan AWS Control Tower untuk mengelola organisasi AWS Anda, AWS akan menerapkan serangkaian pagar pembatas pencegahan (dikategorikan SCPs sebagai wajib, sangat disarankan, atau elektif). Pagar pembatas ini membantu Anda mengatur sumber daya Anda dengan menegakkan kontrol keamanan di seluruh organisasi. Ini SCPs secara otomatis menggunakan aws-control-tower tag yang memiliki nilai managed-by-control-tower. 

Pertimbangan desain

  • SCPs hanya memengaruhi akun anggota di organisasi AWS. Meskipun mereka diterapkan dari akun Manajemen Org, mereka tidak berpengaruh pada pengguna atau peran dalam akun itu. Untuk mempelajari cara kerja logika evaluasi SCP, dan untuk melihat contoh struktur yang direkomendasikan, lihat postingan blog AWS Cara Menggunakan Kebijakan Kontrol Layanan di AWS Organizations.

Kebijakan pengendalian sumber daya

Kebijakan kontrol sumber daya (RCPs) menawarkan kontrol terpusat atas izin maksimum yang tersedia untuk sumber daya di organisasi Anda. RCP mendefinisikan pagar pembatas izin atau menetapkan batasan pada tindakan yang dapat diambil identitas terhadap sumber daya di organisasi Anda. Anda dapat menggunakan RCPs untuk membatasi siapa yang dapat mengakses sumber daya Anda dan menerapkan persyaratan tentang cara sumber daya Anda dapat diakses di akun AWS anggota organisasi Anda. Anda dapat melampirkan RCPs langsung ke akun individu OUs,, atau root organisasi. Untuk penjelasan rinci tentang cara RCPs kerja, lihat evaluasi RCP dalam dokumentasi AWS Organizations. Baca selengkapnya RCPs di bagian Menggunakan AWS Organizations for security sebelumnya dalam referensi ini.

Jika Anda menggunakan AWS Control Tower untuk mengelola organisasi AWS Anda, AWS akan menerapkan serangkaian pagar pembatas pencegahan (dikategorikan RCPs sebagai wajib, sangat disarankan, atau elektif). Pagar pembatas ini membantu Anda mengatur sumber daya Anda dengan menegakkan kontrol keamanan di seluruh organisasi. Ini SCPs secara otomatis menggunakan aws-control-tower tag yang memiliki nilaimanaged-by-control-tower.

Pertimbangan desain

  • RCPs hanya mempengaruhi sumber daya di akun anggota dalam organisasi. Mereka tidak berpengaruh pada sumber daya di akun manajemen. Ini juga berarti bahwa RCPs berlaku untuk akun anggota yang ditunjuk sebagai administrator yang didelegasikan.

  • RCPs berlaku untuk sumber daya untuk subset layanan AWS. Untuk informasi selengkapnya, lihat Daftar layanan AWS yang mendukung RCPs dalam dokumentasi AWS Organizations. Anda dapat menggunakan Aturan AWS Config dan fungsi AWS Lambda untuk memantau dan mengotomatiskan penegakan kontrol keamanan pada sumber daya yang saat ini tidak didukung oleh. RCPs

Kebijakan deklaratif

Kebijakan deklaratif adalah jenis kebijakan manajemen AWS Organizations yang membantu Anda mendeklarasikan dan menerapkan konfigurasi yang diinginkan secara terpusat untuk layanan AWS tertentu dalam skala besar di seluruh organisasi. Kebijakan deklaratif saat ini mendukung layanan Amazon Elastic Compute Cloud EC2 (Amazon), Amazon Virtual Private Cloud (Amazon VPC), dan Amazon Elastic Block Store (Amazon EBS). Atribut layanan yang tersedia termasuk menerapkan Layanan Metadata Instans Versi 2 (IMDSv2), memungkinkan pemecahan masalah melalui EC2 konsol serial, memungkinkan pengaturan Amazon Machine Image (AMI), dan memblokir akses publik untuk snapshot Amazon EBS, Amazon, dan sumber daya VPC Amazon. EC2 AMIs Untuk layanan dan atribut terbaru yang didukung, lihat Kebijakan deklaratif dalam dokumentasi AWS Organizations.

Anda dapat menerapkan konfigurasi dasar untuk layanan AWS dengan membuat beberapa pilihan pada konsol AWS Organizations dan AWS Control Tower atau dengan menggunakan beberapa perintah AWS Command Line Interface (AWS CLI) dan AWS SDK. Kebijakan deklaratif diberlakukan di bidang kontrol layanan, yang berarti bahwa konfigurasi dasar untuk layanan AWS selalu dipertahankan, bahkan ketika layanan memperkenalkan fitur baru atau APIs, ketika akun baru ditambahkan ke organisasi, atau saat prinsip dan sumber daya baru dibuat. Kebijakan deklaratif dapat diterapkan ke seluruh organisasi atau untuk spesifik OUs atau akun. Kebijakan yang efektif adalah seperangkat aturan yang diwarisi dari akar organisasi dan OUs bersama dengan kebijakan yang langsung dilampirkan ke akun. Jika kebijakan deklaratif terlepas, status atribut akan kembali ke statusnya sebelum kebijakan deklaratif dilampirkan.

Anda dapat menggunakan kebijakan deklaratif untuk membuat pesan kesalahan kustom. Misalnya, jika operasi API gagal karena kebijakan deklaratif, Anda dapat menyetel pesan kesalahan atau memberikan URL kustom—seperti tautan ke wiki internal atau tautan ke pesan yang menjelaskan kegagalan tersebut. Ini membantu memberi pengguna lebih banyak informasi sehingga mereka dapat memecahkan masalah itu sendiri. Anda juga dapat mengaudit proses pembuatan kebijakan deklaratif, memperbarui kebijakan deklaratif, dan menghapus kebijakan deklaratif dengan menggunakan AWS. CloudTrail

Kebijakan deklaratif menyediakan laporan status akun, yang memungkinkan Anda meninjau status saat ini dari semua atribut yang didukung oleh kebijakan deklaratif untuk cakupan akun. Anda dapat memilih akun dan OUs memasukkan dalam lingkup laporan atau memilih seluruh organisasi dengan memilih root. Laporan ini membantu Anda menilai kesiapan dengan memberikan rincian berdasarkan Wilayah AWS dan menentukan apakah status atribut saat ini seragam di seluruh akun (melalui numberOfMatchedAccounts nilai) atau tidak konsisten di seluruh akun (melalui nilai). numberOfUnmatchedAccounts

Pertimbangan desain

  • Saat Anda mengonfigurasi atribut layanan menggunakan kebijakan deklaratif, kebijakan tersebut dapat memengaruhi beberapa APIs atribut. Setiap tindakan yang tidak patuh akan gagal. Administrator akun tidak akan dapat mengubah nilai atribut layanan di tingkat akun individu.

Akses root terpusat

Semua akun anggota di AWS Organizations memiliki pengguna root mereka sendiri, yang merupakan identitas yang memiliki akses lengkap ke semua layanan dan sumber daya AWS di akun anggota tersebut. IAM menyediakan manajemen akses root terpusat untuk mengelola akses root di semua akun anggota. Ini membantu mencegah penggunaan pengguna root anggota dan membantu memberikan pemulihan dalam skala besar. Fitur akses root terpusat memiliki dua kemampuan penting: manajemen kredensial root dan sesi root.

  • Kemampuan manajemen kredensyal root memungkinkan manajemen pusat dan membantu mengamankan pengguna root di semua akun manajemen. Kemampuan ini mencakup penghapusan kredensi root jangka panjang, pencegahan pemulihan kredenal root oleh akun anggota, dan penyediaan akun anggota baru tanpa kredensi root secara default. Ini juga menyediakan cara mudah untuk menunjukkan kepatuhan. Ketika manajemen pengguna root terpusat, Anda dapat menghapus kata sandi pengguna root, kunci akses, dan sertifikat penandatanganan, dan menonaktifkan otentikasi multi-faktor (MFA) dari semua akun anggota.

  • Kemampuan sesi root memungkinkan Anda untuk melakukan tindakan pengguna root istimewa dengan menggunakan kredensi jangka pendek pada akun anggota dari akun Manajemen Org atau dari akun administrator yang didelegasikan. Kemampuan ini membantu Anda mengaktifkan akses root jangka pendek yang mencakup tindakan tertentu, mengikuti prinsip hak istimewa paling sedikit.

Untuk manajemen kredensi root terpusat, Anda perlu mengaktifkan manajemen kredensi root dan kemampuan sesi root di tingkat organisasi dari akun Manajemen Org atau di akun administrator yang didelegasikan. Mengikuti praktik terbaik AWS SRA, kami mendelegasikan kemampuan ini ke akun Security Tooling. Untuk informasi tentang mengonfigurasi dan menggunakan akses pengguna root terpusat, lihat postingan blog AWS Security, Mengelola akses root secara terpusat untuk pelanggan yang menggunakan AWS Organizations.

Pusat Identitas IAM

AWS IAM Identity Center (penerus AWS Single Sign-On) adalah layanan federasi identitas yang membantu Anda mengelola akses SSO secara terpusat ke semua akun AWS, prinsipal, dan beban kerja cloud Anda. IAM Identity Center juga membantu Anda mengelola akses dan izin ke aplikasi perangkat lunak pihak ketiga sebagai layanan (SaaS) yang umum digunakan. Penyedia identitas terintegrasi dengan IAM Identity Center dengan menggunakan SAMP 2.0. Massal dan just-in-time penyediaan dapat dilakukan dengan menggunakan System for Cross-Domain Identity Management (SCIM). Pusat Identitas IAM juga dapat berintegrasi dengan domain Microsoft Active Directory (AD) lokal atau yang dikelola AWS sebagai penyedia identitas melalui penggunaan AWS Directory Service. Pusat Identitas IAM menyertakan portal pengguna tempat pengguna akhir Anda dapat menemukan dan mengakses akun AWS yang ditetapkan, peran, aplikasi cloud, dan aplikasi khusus mereka di satu tempat.

IAM Identity Center terintegrasi secara native dengan AWS Organizations dan berjalan di akun Manajemen Org secara default. Namun, untuk menggunakan hak istimewa paling sedikit dan mengontrol akses ke akun manajemen dengan ketat, administrasi Pusat Identitas IAM dapat didelegasikan ke akun anggota tertentu. Di AWS SRA, akun Layanan Bersama adalah akun administrator yang didelegasikan untuk Pusat Identitas IAM. Sebelum Anda mengaktifkan administrasi yang didelegasikan untuk IAM Identity Center, tinjau pertimbangan ini. Anda akan menemukan informasi lebih lanjut tentang delegasi di bagian akun Layanan Bersama. Bahkan setelah Anda mengaktifkan delegasi, Pusat Identitas IAM masih perlu dijalankan di akun Manajemen Org untuk melakukan tugas terkait Pusat Identitas IAM tertentu, yang mencakup mengelola set izin yang disediakan di akun Manajemen Org. 

Dalam konsol Pusat Identitas IAM, akun ditampilkan oleh OU enkapsulasi mereka. Ini memungkinkan Anda menemukan akun AWS dengan cepat, menerapkan set izin umum, dan mengelola akses dari lokasi pusat. 

IAM Identity Center mencakup toko identitas tempat informasi pengguna tertentu harus disimpan. Namun, IAM Identity Center tidak harus menjadi sumber otoritatif untuk informasi tenaga kerja. Dalam kasus di mana perusahaan Anda sudah memiliki sumber otoritatif, IAM Identity Center mendukung jenis penyedia identitas berikut ()IdPs.

  • Toko Identitas Pusat Identitas IAM - Pilih opsi ini jika dua opsi berikut tidak tersedia. Pengguna dibuat, penugasan grup dibuat, dan izin ditetapkan di toko identitas. Bahkan jika sumber otoritatif Anda berada di luar Pusat Identitas IAM, salinan atribut utama akan disimpan dengan toko identitas.

  • Microsoft Active Directory (AD) — Pilih opsi ini jika Anda ingin terus mengelola pengguna di direktori Anda di AWS Directory Service untuk Microsoft Active Directory atau direktori yang dikelola sendiri di Active Directory.

  • Penyedia identitas eksternal - Pilih opsi ini jika Anda lebih suka mengelola pengguna di pihak ketiga eksternal, IDP berbasis SAML.

Anda dapat mengandalkan IDP yang sudah ada yang sudah ada di perusahaan Anda. Ini membuatnya lebih mudah untuk mengelola akses di beberapa aplikasi dan layanan, karena Anda membuat, mengelola, dan mencabut akses dari satu lokasi. Misalnya, jika seseorang meninggalkan tim Anda, Anda dapat mencabut aksesnya ke semua aplikasi dan layanan (termasuk akun AWS) dari satu lokasi. Ini mengurangi kebutuhan akan banyak kredensyal dan memberi Anda kesempatan untuk berintegrasi dengan proses sumber daya manusia (SDM) Anda.

Pertimbangan desain

  • Gunakan iDP eksternal jika opsi itu tersedia untuk perusahaan Anda. Jika IDP Anda mendukung System for Cross-Domain Identity Management (SCIM), manfaatkan kemampuan SCIM di IAM Identity Center untuk mengotomatiskan penyediaan pengguna, grup, dan izin (sinkronisasi). Hal ini memungkinkan akses AWS untuk tetap sinkron dengan alur kerja perusahaan Anda untuk karyawan baru, karyawan yang pindah ke tim lain, dan karyawan yang meninggalkan perusahaan. Pada waktu tertentu, Anda hanya dapat memiliki satu direktori atau satu penyedia identitas SAMP 2.0 yang terhubung ke IAM Identity Center. Namun, Anda dapat beralih ke penyedia identitas lain.

Penasihat akses IAM

Penasihat akses IAM menyediakan data keterlacakan dalam bentuk layanan informasi yang terakhir diakses untuk akun AWS Anda dan. OUs Gunakan kontrol detektif ini untuk berkontribusi pada strategi hak istimewa yang paling tidak. Untuk entitas IAM, Anda dapat melihat dua jenis informasi yang terakhir diakses: informasi layanan AWS yang diizinkan dan informasi tindakan yang diizinkan. Informasi tersebut meliputi tanggal dan waktu saat percobaan dilakukan. 

Akses IAM dalam akun Manajemen Org memungkinkan Anda melihat data layanan yang terakhir diakses untuk akun Manajemen Org, OU, akun anggota, atau kebijakan IAM di organisasi AWS Anda. Informasi ini tersedia di konsol IAM dalam akun manajemen dan juga dapat diperoleh secara terprogram dengan menggunakan penasihat akses IAM di APIs AWS Command Line Interface (AWS CLI) atau klien terprogram. Informasi tersebut menunjukkan penanggung jawab mana dalam suatu organisasi atau akun yang terakhir kali mencoba mengakses layanan dan kapan. Informasi yang diakses terakhir memberikan wawasan untuk penggunaan layanan aktual (lihat contoh skenario), sehingga Anda dapat mengurangi izin IAM hanya untuk layanan yang benar-benar digunakan.

AWS Systems Manager

Quick Setup dan Explorer, yang merupakan kemampuan AWS Systems Manager, keduanya mendukung AWS Organizations dan beroperasi dari akun Manajemen Org. 

Quick Setup adalah fitur otomatisasi Systems Manager. Ini memungkinkan akun Manajemen Org untuk dengan mudah menentukan konfigurasi bagi Systems Manager untuk terlibat atas nama Anda di seluruh akun di organisasi AWS Anda. Anda dapat mengaktifkan Penyiapan Cepat di seluruh organisasi AWS atau memilih yang spesifik OUs. Penyiapan Cepat dapat menjadwalkan Agen AWS Systems Manager (Agen SSM) untuk menjalankan pembaruan dua mingguan pada EC2 instans Anda dan dapat mengatur pemindaian harian instans tersebut untuk mengidentifikasi tambalan yang hilang. 

Explorer adalah dasbor operasi yang dapat disesuaikan yang melaporkan informasi tentang sumber daya AWS Anda. Explorer menampilkan tampilan agregat data operasi untuk akun AWS Anda dan di seluruh Wilayah AWS. Ini termasuk data tentang EC2 instans Anda dan detail kepatuhan tambalan. Setelah menyelesaikan Penyiapan Terpadu (yang juga mencakup Systems Manager OpsCenter) dalam AWS Organizations, Anda dapat mengumpulkan data di Explorer oleh OU atau untuk seluruh organisasi AWS. Systems Manager menggabungkan data ke akun AWS Org Management sebelum menampilkannya di Explorer.

Bagian Workloads OU nanti dalam panduan ini membahas penggunaan Agen Systems Manager (Agen SSM) pada EC2 instans di akun Aplikasi.

AWS Control Tower

AWS Control Tower menyediakan cara mudah untuk mengatur dan mengatur lingkungan AWS multi-akun yang aman, yang disebut landing zone. AWS Control Tower membuat landing zone Anda dengan menggunakan AWS Organizations, dan menyediakan pengelolaan dan tata kelola akun yang berkelanjutan serta praktik terbaik implementasi. Anda dapat menggunakan AWS Control Tower untuk menyediakan akun baru dalam beberapa langkah sambil memastikan bahwa akun tersebut sesuai dengan kebijakan organisasi Anda. Anda bahkan dapat menambahkan akun yang ada ke lingkungan AWS Control Tower baru. 

AWS Control Tower memiliki serangkaian fitur yang luas dan fleksibel. Fitur utamanya adalah kemampuannya untuk mengatur kemampuan beberapa layanan AWS lainnya, termasuk AWS Organizations, AWS Service Catalog, dan IAM Identity Center, untuk membangun landing zone. Misalnya, secara default AWS Control Tower menggunakan AWS CloudFormation untuk membuat baseline, kebijakan kontrol layanan AWS Organizations (SCPs) untuk mencegah perubahan konfigurasi, dan aturan AWS Config untuk terus mendeteksi ketidaksesuaian. AWS Control Tower menggunakan cetak biru yang membantu Anda menyelaraskan lingkungan AWS multi-akun dengan cepat dengan prinsip desain dasar keamanan AWS Well Architected. Di antara fitur tata kelola, AWS Control Tower menawarkan pagar pembatas yang mencegah penyebaran sumber daya yang tidak sesuai dengan kebijakan yang dipilih. 

Anda dapat mulai menerapkan panduan AWS SRA dengan AWS Control Tower. Misalnya, AWS Control Tower membuat organisasi AWS dengan arsitektur multi-akun yang direkomendasikan. Ini menyediakan cetak biru untuk menyediakan manajemen identitas, menyediakan akses federasi ke akun, memusatkan logging, membuat audit keamanan lintas akun, menentukan alur kerja untuk penyediaan akun baru, dan menerapkan dasar akun dengan konfigurasi jaringan. 

Di AWS SRA, AWS Control Tower berada dalam akun Manajemen Org karena AWS Control Tower menggunakan akun ini untuk menyiapkan organisasi AWS secara otomatis dan menetapkan akun tersebut sebagai akun manajemen. Akun ini digunakan untuk penagihan di seluruh organisasi AWS Anda. Ini juga digunakan untuk penyediaan akun Account Factory, untuk mengelola OUs, dan mengelola pagar pembatas. Jika Anda meluncurkan AWS Control Tower di organisasi AWS yang ada, Anda dapat menggunakan akun manajemen yang ada. AWS Control Tower akan menggunakan akun tersebut sebagai akun manajemen yang ditunjuk.

Pertimbangan desain

  • Jika Anda ingin melakukan baselining tambahan kontrol dan konfigurasi di seluruh akun Anda, Anda dapat menggunakan Kustomisasi untuk AWS Control Tower (CFCT). Dengan CFCT, Anda dapat menyesuaikan zona landing zone AWS Control Tower dengan menggunakan CloudFormation templat AWS dan kebijakan kontrol layanan (SCPs). Anda dapat menerapkan templat dan kebijakan khusus ke akun individual dan OUs di dalam organisasi Anda. CFCT terintegrasi dengan peristiwa siklus hidup AWS Control Tower untuk memastikan bahwa penerapan sumber daya tetap sinkron dengan landing zone Anda. 

AWS Artifact

AWS Artifact menyediakan akses sesuai permintaan ke laporan keamanan dan kepatuhan AWS serta perjanjian online tertentu. Laporan yang tersedia di AWS Artifact mencakup laporan Sistem dan Kontrol Organisasi (SOC), laporan Industri Kartu Pembayaran (PCI), dan sertifikasi dari badan akreditasi di seluruh geografi dan vertikal kepatuhan yang memvalidasi implementasi dan efektivitas pengoperasian kontrol keamanan AWS. AWS Artifact membantu Anda melakukan uji tuntas AWS dengan transparansi yang ditingkatkan ke dalam lingkungan kontrol keamanan kami. Ini juga memungkinkan Anda terus memantau keamanan dan kepatuhan AWS dengan akses langsung ke laporan baru. 

Perjanjian Artifact AWS memungkinkan Anda meninjau, menerima, dan melacak status perjanjian AWS seperti Business Associate Addendum (BAA) untuk akun individual dan untuk akun yang merupakan bagian dari organisasi Anda di AWS Organizations. 

Anda dapat memberikan artefak audit AWS kepada auditor atau regulator Anda sebagai bukti kontrol keamanan AWS. Anda juga dapat menggunakan panduan tanggung jawab yang disediakan oleh beberapa artefak audit AWS untuk mendesain arsitektur cloud Anda. Panduan ini membantu menentukan kontrol keamanan tambahan yang dapat Anda lakukan untuk mendukung kasus penggunaan spesifik sistem Anda. 

AWS Artifacts di-host di akun Manajemen Org untuk menyediakan lokasi pusat tempat Anda dapat meninjau, menerima, dan mengelola perjanjian dengan AWS. Ini karena perjanjian yang diterima di akun manajemen mengalir ke akun anggota. 

Pertimbangan desain

  • Pengguna dalam akun Manajemen Org harus dibatasi untuk hanya menggunakan fitur Perjanjian AWS Artifact dan tidak ada yang lain. Untuk menerapkan pemisahan tugas, Artifact AWS juga dihosting di akun Alat Keamanan tempat Anda dapat mendelegasikan izin kepada pemangku kepentingan kepatuhan dan auditor eksternal untuk mengakses artefak audit. Anda dapat menerapkan pemisahan ini dengan mendefinisikan kebijakan izin IAM berbutir halus. Sebagai contoh, lihat Contoh kebijakan IAM dalam dokumentasi AWS.

Pagar pembatas layanan keamanan terdistribusi dan terpusat

Di AWS SRA, AWS Security Hub CSPM, Amazon, AWS GuardDuty Config, IAM Access Analyzer, jalur organisasi CloudTrail AWS, dan seringkali Amazon Macie digunakan dengan administrasi atau agregasi yang didelegasikan yang sesuai ke akun Security Tooling. Ini memungkinkan serangkaian pagar pembatas yang konsisten di seluruh akun dan juga menyediakan pemantauan, manajemen, dan tata kelola terpusat di seluruh organisasi AWS Anda. Anda akan menemukan grup layanan ini di setiap jenis akun yang diwakili dalam AWS SRA. Ini harus menjadi bagian dari layanan AWS yang harus disediakan sebagai bagian dari proses orientasi dan baselining akun Anda. Repositori GitHub kode menyediakan contoh implementasi layanan yang berfokus pada keamanan AWS di seluruh akun Anda, termasuk akun AWS Org Management. 

Selain layanan ini, AWS SRA mencakup dua layanan yang berfokus pada keamanan, Amazon Detective dan AWS Audit Manager, yang mendukung integrasi dan fungsionalitas administrator yang didelegasikan di AWS Organizations. Namun, itu tidak termasuk sebagai bagian dari layanan yang direkomendasikan untuk baselining akun. Kami telah melihat bahwa layanan ini paling baik digunakan dalam skenario berikut:

  • Anda memiliki tim atau kelompok sumber daya khusus yang menjalankan fungsi forensik digital dan audit TI tersebut. Amazon Detective paling baik digunakan oleh tim analis keamanan, dan AWS Audit Manager sangat membantu tim audit atau kepatuhan internal Anda.

  • Anda ingin fokus pada seperangkat alat inti seperti GuardDuty dan Security Hub CSPM di awal proyek Anda, dan kemudian membangunnya dengan menggunakan layanan yang memberikan kemampuan tambahan.