SEC03-BP04 Mengurangi izin secara terus-menerus
Jika tim Anda telah menentukan akses yang diperlukan, hapus izin yang tidak diperlukan dan tetapkan proses peninjauan untuk mendapatkan izin hak akses paling rendah. Pantau secara terus-menerus dan hapus identitas serta izin yang tidak diperlukan, baik untuk akses manusia maupun mesin.
Hasil yang diinginkan: Kebijakan izin harus mematuhi hak akses paling rendah. Setelah penetapan tugas dan peran pekerjaan sudah lebih baik, kebijakan izin Anda perlu ditinjau untuk menghapus izin yang tidak perlu. Pendekatan ini mempersempit cakupan dampak akibat kebocoran kredensial secara tidak sengaja, atau diakses tanpa otorisasi.
Antipola umum:
-
Memberikan izin administrator kepada para pengguna secara default.
-
Membuat kebijakan yang terlalu permisif, tetapi tanpa hak istimewa administrator penuh.
-
Menyimpan kebijakan izin meski sudah tidak diperlukan.
Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Sedang
Panduan implementasi
Setelah tim dan proyek mulai, kebijakan izin permisif mungkin digunakan untuk menumbuhkan inovasi dan ketangkasan. Misalnya, di dalam lingkungan pengembangan atau pengujian, developer dapat diberi akses ke seperangkat layanan AWS. Sebaiknya evaluasi akses secara terus-menerus dan batasi akses hanya untuk layanan dan tindakan layanan yang diperlukan untuk menyelesaikan tugas saat ini. Sebaiknya evaluasi ini dilakukan untuk identitas manusia maupun mesin. Identitas mesin, sering disebut sebagai akun layanan atau sistem, adalah identitas yang memberikan AWS akses ke aplikasi atau server. Akses ini penting terutama dalam lingkungan produksi, yang apabila izinnya terlalu permisif, dampaknya bisa luas dan berpotensi mengekspos data konsumen.
AWS menyediakan berbagai metode untuk membantu mengidentifikasi pengguna, peran, izin, dan kredensial yang tidak diperlukan. AWS juga dapat membantu menganalisis aktivitas akses oleh pengguna dan peran IAM, termasuk kunci akses terkait, dan akses ke sumber daya AWS, misalnya objek di bucket Amazon S3. Pembuatan kebijakan AWS Identity and Access Management Access Analyzer dapat membantu Anda menciptakan kebijakan pembatasan izin berdasarkan layanan dan tindakan aktual yang berinteraksi dengan pengguna utama. Kontrol akses berbasis atribut (ABAC) dapat membantu menyederhanakan manajemen izin. Dengan kontrol ini, Anda dapat memberikan izin kepada pengguna menggunakan atribut mereka tanpa perlu melampirkan kebijakan izin secara langsung ke setiap pengguna.
Langkah implementasi
-
Gunakan AWS Identity and Access Management Access Analyzer: IAM Access Analyzer membantu mengidentifikasi sumber daya di organisasi dan akun Anda, seperti bucket Amazon Simple Storage Service (Amazon S3) atau peran IAM yang dibagikan kepada entitas eksternal.
-
Gunakan pembuatan kebijakan IAM Access Analyzer: Pembuatan kebijakan IAM Access Analyzer membantu Anda membuat kebijakan izin terperinci berdasarkan aktivitas pengguna atau peran IAM.
-
Tentukan rentang waktu yang diterima serta kebijakan penggunaan untuk pengguna dan peran IAM: Gunakan stempel waktu yang terakhir diakses untuk mengidentifikasi pengguna dan peran yang tidak perlu
lalu hapus. Tinjau informasi layanan dan tindakan yang terakhir diakses untuk mengidentifikasi dan menentukan cakupan izin bagi pengguna dan peran tertentu. Misalnya, Anda dapat menggunakan informasi yang terakhir diakses untuk mengidentifikasi tindakan Amazon S3 tertentu yang diperlukan oleh peran aplikasi dan membatasi akses hanya untuk tindakan tersebut. Fitur informasi yang terakhir diakses tersedia di Konsol Manajemen AWS dan secara terprogram memungkinkan Anda menggabungkannya ke dalam alur kerja infrastruktur dan alat otomatis Anda. -
Pertimbangkan pencatatan log peristiwa data di AWS CloudTrail: Secara default, CloudTrail tidak mencatat log peristiwa data seperti aktivitas tingkat objek Amazon S3 (misalnya,
GetObjectdanDeleteObject) atau aktivitas tabel Amazon DynamoDB (misalnya,PutItemdanDeleteItem). Pertimbangkan untuk mengaktifkan pencatatan log pada peristiwa ini untuk menentukan pengguna dan peran apa yang perlu mengakses objek Amazon S3 dan item tabel DynamoDB tertentu.
Sumber daya
Dokumen terkait:
Video terkait:
