# SEC02-BP06 Manfaatkan grup dan atribut pengguna
Penentuan izin sesuai dengan grup pengguna dan atribut akan membantu mengurangi jumlah dan kompleksitas kebijakan, sehingga prinsip hak akses paling rendah dapat diwujudkan dengan lebih mudah. Anda dapat menggunakan grup pengguna untuk mengelola izin bagi banyak orang di satu tempat berdasarkan fungsi yang mereka lakukan di organisasi Anda. Atribut, seperti departemen atau lokasi, dapat menyediakan lapisan tambahan cakupan izin ketika orang melakukan fungsi serupa, tetapi untuk subset sumber daya yang berbeda.
**Hasil yang diinginkan:** Anda dapat menerapkan perubahan izin berdasarkan fungsi kepada semua pengguna yang melakukan fungsi tersebut. Keanggotaan grup dan atribut mengatur izin pengguna, sehingga mengurangi kebutuhan untuk mengelola izin di tingkat pengguna individual. Grup dan atribut yang Anda tentukan di penyedia identitas (IdP) disebarkan secara otomatis ke lingkungan AWS Anda.
**Antipola umum:**
+ Mengelola izin untuk pengguna individual dan menduplikasinya kepada banyak pengguna.
+ Menentukan grup pada tingkat yang terlalu tinggi, sehingga memberikan izin yang terlalu luas.
+ Menentukan grup pada tingkat yang terlalu terperinci, sehingga menghasilkan duplikasi dan kebingungan terkait keanggotaan.
+ Menggunakan grup dengan izin duplikat di seluruh subset sumber daya ketika atribut dapat digunakan sebagai gantinya.
+ Tidak mengelola grup, atribut, dan keanggotaan melalui penyedia identitas standar yang terintegrasi dengan lingkungan AWS Anda.
**Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan:** Sedang
## Panduan implementasi
Izin AWS ditentukan dalam dokumen yang disebut *kebijakan* yang terkait dengan prinsipal, seperti pengguna, grup, peran, atau sumber daya. Untuk tenaga kerja Anda, hal ini memungkinkan Anda menentukan grup berdasarkan fungsi yang dilakukan pengguna untuk organisasi Anda, bukan berdasarkan sumber daya yang diakses. Misalnya, grup `WebAppDeveloper` mungkin memiliki kebijakan yang dilampirkan untuk mengonfigurasi layanan seperti Amazon CloudFront dalam akun pengembangan. Grup `AutomationDeveloper` mungkin memiliki beberapa izin CloudFront yang sama dengan grup `WebAppDeveloper`. Izin ini dapat disertakan dalam kebijakan terpisah dan dikaitkan dengan kedua grup tersebut, bukan memasukkan pengguna dari kedua fungsi ke grup `CloudFrontAccess`.
Selain grup, Anda dapat menggunakan *atribut* untuk menentukan cakupan akses lebih lanjut. Misalnya, Anda mungkin memiliki atribut `Project` bagi pengguna di grup `WebAppDeveloper` Anda guna menentukan cakupan akses ke sumber daya yang khusus untuk proyek mereka. Dengan teknik ini, tidak diperlukan grup yang berbeda untuk developer aplikasi yang bekerja di proyek yang berbeda jika izin mereka sama. Cara Anda merujuk ke atribut dalam kebijakan izin didasarkan pada sumbernya, apakah atribut tersebut ditentukan sebagai bagian dari protokol federasi Anda (seperti SAML, OIDC, atau SCIM), sebagai pernyataan SAML kustom, atau ditetapkan dalam IAM Identity Center.
### Langkah implementasi
1. Tetapkan di mana Anda akan menentukan grup dan atribut.
1. Dengan mengikuti panduan dalam [SEC02-BP04 Mengandalkan penyedia identitas terpusat](sec_identities_identity_provider.md), Anda dapat mengetahui apakah Anda perlu menentukan grup dan atribut dalam penyedia identitas Anda, dalam IAM Identity Center, atau menggunakan grup IAM user di akun tertentu.
1. Tentukan grup.
1. Tentukan grup Anda berdasarkan fungsi dan cakupan akses yang diperlukan.
1. Jika menentukan dalam IAM Identity Center, buat grup dan kaitkan tingkat akses yang diinginkan menggunakan kumpulan izin.
1. Jika menentukan dalam penyedia identitas eksternal, tentukan apakah penyedia tersebut mendukung protokol SCIM dan pertimbangkan untuk mengaktifkan penyediaan otomatis dalam IAM Identity Center. Kemampuan ini akan menyinkronkan pembuatan, keanggotaan, dan penghapusan grup antara penyedia Anda dan IAM Identity Center.
1. Tentukan atribut.
1. Jika menggunakan penyedia identitas eksternal, protokol SCIM dan SAML 2.0 akan menyediakan atribut tertentu secara default. Atribut tambahan dapat ditentukan dan diteruskan dengan pernyataan SAML menggunakan nama atribut `https://aws.amazon.com/SAML/Attributes/PrincipalTag`.
1. Jika menentukan dalam IAM Identity Center, aktifkan fitur *kontrol akses berbasis atribut* (ABAC) dan tentukan atribut sesuai keinginan.
1. Tentukan cakupan izin berdasarkan grup dan atribut.
1. Pertimbangkan untuk menyertakan kondisi dalam kebijakan izin Anda yang membandingkan atribut pengguna utama Anda dengan atribut sumber daya yang diakses. Misalnya, Anda dapat menentukan kondisi untuk mengizinkan akses ke sebuah sumber daya hanya jika nilai kunci kondisi `PrincipalTag` cocok dengan nilai kunci `ResourceTag` dengan nama yang sama.
## Sumber daya
**Praktik Terbaik Terkait:**
+ [SEC02-BP04 Mengandalkan penyedia identitas terpusat](sec_identities_identity_provider.md)
+ [SEC03-BP02 Memberikan hak akses paling rendah](sec_permissions_least_privileges.md)
+ [COST02-BP04 Implementasikan grup dan peran](https://docs.aws.amazon.com/wellarchitected/latest/framework/cost_govern_usage_groups_roles.html)
**Dokumen terkait:**
+ [Praktik Terbaik IAM](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html)
+ [Kelola Identitas di IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html)
+ [Apa Itu ABAC untuk AWS?](https://docs.aws.amazon.com//latest/UserGuide/introduction_attribute-based-access-control.html)
+ [ABAC di IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/configure-abac.html)
**Video terkait:**
+ [Mengelola izin pengguna dalam skala besar dengan AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E)
+ [Menguasai identitas di setiap lapisan susunan](https://www.youtube.com/watch?v=vbjFjMNVEpc)