Contoh kebijakan berbasis identitas untuk AWS Shield direktur keamanan jaringan - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, dan direktur keamanan AWS Shield jaringan
Praktik terbaik kebijakanPembaruan kebijakan berbasis identitasKebijakan berbasis identitas akses administratifKebijakan berbasis identitas akses hanya-baca

Memperkenalkan pengalaman konsol baru untuk AWS WAF

Anda sekarang dapat menggunakan pengalaman yang diperbarui untuk mengakses AWS WAF fungsionalitas di mana saja di konsol. Untuk detail selengkapnya, lihat Bekerja dengan pengalaman konsol yang diperbarui.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Contoh kebijakan berbasis identitas untuk AWS Shield direktur keamanan jaringan

catatan

Saat Anda mulai menggunakan direktur keamanan AWS Shield jaringan, kami secara otomatis membuat peran terkait layanan yang memenuhi semua persyaratan izin minimum. Membuat dan mengelola kebijakan berbasis identitas Anda sendiri adalah opsional.

Untuk memberikan akses yang sesuai ke direktur keamanan jaringan, Anda dapat membuat kebijakan berbasis identitas yang memberikan izin yang diperlukan untuk akses administratif dan hanya-baca.

Untuk informasi selengkapnya tentang membuat dan mengelola kebijakan IAM, lihat Kebijakan terkelola dan kebijakan sebaris di Panduan Pengguna IAM.

Izin ini memungkinkan direktur keamanan AWS Shield jaringan untuk melakukan analisis keamanan komprehensif dan memberikan rekomendasi keamanan jaringan yang akurat. Contoh kebijakan yang disediakan dalam panduan ini dirancang untuk kasus penggunaan umum. Anda dapat menggunakan kebijakan ini sebagai titik awal dan memodifikasinya sesuai kebutuhan untuk memenuhi persyaratan spesifik Anda.

Contoh kebijakan dalam panduan ini

Praktik terbaik kebijakan

Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus sumber daya direktur keamanan jaringan di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:

  • Mulailah dengan kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit — Untuk mulai memberikan izin kepada pengguna dan beban kerja Anda, gunakan kebijakan AWS terkelola yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Anda Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola AWS pelanggan yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat Kebijakan yang dikelola AWS atau Kebijakan yang dikelola AWS untuk fungsi tugas dalam Panduan Pengguna IAM.

  • Menerapkan izin dengan hak akses paling rendah – Ketika Anda menetapkan izin dengan kebijakan IAM, hanya berikan izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai izin dengan hak akses paling rendah. Untuk informasi selengkapnya tentang cara menggunakan IAM untuk mengajukan izin, lihat Kebijakan dan izin dalam IAM dalam Panduan Pengguna IAM.

  • Gunakan kondisi dalam kebijakan IAM untuk membatasi akses lebih lanjut – Anda dapat menambahkan suatu kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Sebagai contoh, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakan SSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui yang spesifik Layanan AWS, seperti AWS CloudFormation. Untuk informasi selengkapnya, lihat Elemen kebijakan JSON IAM: Kondisi dalam Panduan Pengguna IAM.

  • Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk memastikan izin yang aman dan fungsional – IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan tersebut mematuhi bahasa kebijakan IAM (JSON) dan praktik terbaik IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat Validasi kebijakan dengan IAM Access Analyzer dalam Panduan Pengguna IAM.

  • Memerlukan otentikasi multi-faktor (MFA) - Jika Anda memiliki skenario yang mengharuskan pengguna IAM atau pengguna root di Anda, Akun AWS aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA ketika operasi API dipanggil, tambahkan kondisi MFA pada kebijakan Anda. Untuk informasi selengkapnya, lihat Amankan akses API dengan MFA dalam Panduan Pengguna IAM.

Untuk informasi selengkapnya tentang praktik terbaik dalam IAM, lihat Praktik terbaik keamanan di IAM dalam Panduan Pengguna IAM.

Pembaruan kebijakan berbasis identitas

Karena pembaruan dan fitur ditambahkan ke direktur keamanan jaringan, Anda mungkin perlu memperbarui kebijakan berbasis identitas untuk menyertakan izin tambahan. Pantau panduan ini untuk informasi tentang izin baru yang mungkin diperlukan.

Tidak seperti kebijakan AWS terkelola, kebijakan yang dikelola pelanggan tidak diperbarui secara otomatis. Anda bertanggung jawab untuk memelihara dan memperbarui kebijakan ini sesuai kebutuhan.

Untuk informasi selengkapnya, lihat Menambah izin untuk pengguna dalam Panduan Pengguna IAM.

Kebijakan berbasis identitas akses administratif

Buat kebijakan berbasis identitas dengan contoh berikut untuk menyediakan akses administratif penuh ke operasi direktur keamanan jaringan dan kemampuan untuk membuat peran terkait layanan yang diperlukan.

Nama kebijakan: NetworkSecurityDirectorAdminPolicy

Deskripsi kebijakan: Memungkinkan akses administratif penuh ke operasi direktur keamanan AWS Shield jaringan dan juga menyediakan akses untuk membuat atau menghapus peran terkait layanan untuk Direktur Keamanan Jaringan.


 {
   "Version": "2012-10-17",
   "Statement": [
     {
       "Effect": "Allow",
       "Action": [
         "network-secusrity-director:*"
       ],
       "Resource": "*"
     },
     {
       "Effect": "Allow",
       "Action": [
         "iam:CreateServiceLinkedRole"
       ],
       "Resource": "arn:aws:iam::*:role/aws-service-role/network-security-director.amazonaws.com/AWSServiceRoleForNetworkSecurityDirector"
     }
   ]
 }

Kebijakan berbasis identitas akses hanya-baca

Buat kebijakan berbasis identitas dengan contoh kebijakan berikut untuk menyediakan akses hanya-baca ke operasi direktur keamanan jaringan.

Nama kebijakan: NetworkSecurityDirectorReadOnlyPolicy

Deskripsi kebijakan: Memungkinkan akses hanya-baca ke direktur keamanan AWS Shield jaringan.


 {
   "Version": "2012-10-17",
   "Statement": [
     {
       "Effect": "Allow",
       "Action": [
         "network-security-director:Get*",
         "network-security-director:List*"
       ],
       "Resource": "*"
     }
   ]
 }