Identity and access management

Manajemen identitas dan akses adalah bagian penting dari program keamanan informasi, yang memastikan bahwa hanya pengguna dan komponen yang sah dan diautentikasi yang dapat mengakses sumber daya Anda, dan hanya melalui cara yang Anda izinkan. Misalnya, Anda harus menentukan prinsipal (yaitu, akun, pengguna, peran, dan layanan yang dapat melakukan tindakan di akun Anda), membuat kebijakan yang selaras dengan prinsipal ini, dan menerapkan manajemen kredensial yang kuat. Elemen manajemen hak istimewa ini membentuk inti autentikasi dan otorisasi.

Di AWS, manajemen hak istimewa utamanya didukung oleh layanan Manajemen Identitas dan Akses (IAM) AWS, yang dapat Anda gunakan untuk mengontrol akses program dan pengguna ke layanan dan sumber daya AWS. Anda harus menerapkan kebijakan yang terperinci, yang memberikan izin kepada pengguna, grup, peran, atau sumber daya. Anda juga dapat mewajibkan penggunaan kata sandi yang kuat, seperti tingkat kesulitan, agar kata sandi tidak digunakan kembali, dan menerapkan autentikasi multi-faktor (MFA). Anda dapat menggunakan federasi dengan layanan direktori yang ada. Untuk beban kerja yang mengharuskan sistem untuk mengakses AWS, IAM memungkinkan akses yang aman melalui peran, profil instans, federasi identitas, dan kredensial sementara.

Pertanyaan berikut ini berfokus pada pertimbangan untuk keamanan ini.

SEC 2: Bagaimana cara mengelola identitas untuk orang dan mesin?
Ada dua jenis identitas yang harus Anda kelola ketika menentukan pendekatan terhadap pengoperasian beban kerja AWS yang aman. Pemahaman tentang jenis identitas yang harus Anda kelola dan berikan akses akan membantu Anda memverifikasi identitas yang tepat memiliki akses ke sumber daya yang tepat dalam kondisi yang tepat. Identitas Manusia: Administrator, developer, operator, dan pengguna akhir Anda memerlukan identitas untuk mengakses lingkungan dan aplikasi AWS Anda. Ini adalah anggota organisasi Anda, atau pengguna eksternal yang berkolaborasi dengan Anda, dan yang berinteraksi dengan sumber daya AWS Anda melalui browser web, aplikasi klien, atau alat baris perintah interaktif. Identitas Mesin: Aplikasi layanan, alat operasional, dan beban kerja Anda memerlukan identitas untuk membuat permintaan ke layanan AWS, misalnya, untuk membaca data. Identitas ini mencakup mesin yang berjalan di lingkungan AWS Anda, seperti instans Amazon EC2 atau fungsi AWS Lambda. Anda juga dapat mengelola identitas mesin untuk pihak eksternal yang membutuhkan akses. Selain itu, Anda mungkin juga memiliki mesin di luar AWS yang memerlukan akses ke lingkungan AWS Anda.

SEC 2: Bagaimana cara mengelola identitas untuk orang dan mesin?

Ada dua jenis identitas yang harus Anda kelola ketika menentukan pendekatan terhadap pengoperasian beban kerja AWS yang aman. Pemahaman tentang jenis identitas yang harus Anda kelola dan berikan akses akan membantu Anda memverifikasi identitas yang tepat memiliki akses ke sumber daya yang tepat dalam kondisi yang tepat.

Identitas Manusia: Administrator, developer, operator, dan pengguna akhir Anda memerlukan identitas untuk mengakses lingkungan dan aplikasi AWS Anda. Ini adalah anggota organisasi Anda, atau pengguna eksternal yang berkolaborasi dengan Anda, dan yang berinteraksi dengan sumber daya AWS Anda melalui browser web, aplikasi klien, atau alat baris perintah interaktif.

Identitas Mesin: Aplikasi layanan, alat operasional, dan beban kerja Anda memerlukan identitas untuk membuat permintaan ke layanan AWS, misalnya, untuk membaca data. Identitas ini mencakup mesin yang berjalan di lingkungan AWS Anda, seperti instans Amazon EC2 atau fungsi AWS Lambda. Anda juga dapat mengelola identitas mesin untuk pihak eksternal yang membutuhkan akses. Selain itu, Anda mungkin juga memiliki mesin di luar AWS yang memerlukan akses ke lingkungan AWS Anda.

SEC 3: Bagaimana cara mengelola izin untuk orang dan mesin?
Kelola izin untuk mengontrol akses ke identitas manusia dan identitas mesin yang memerlukan akses ke AWS dan beban kerja Anda. Izin akan mengontrol siapa yang dapat mengakses hal tertentu, beserta kondisinya.

Kredensial tidak boleh dibagikan ke pengguna atau sistem lain. Akses pengguna harus diberikan menggunakan pendekatan hak akses paling rendah dan praktik terbaik, termasuk kewajiban menggunakan kata sandi dan MFA. Akses program, termasuk panggilan API ke layanan AWS harus dilakukan menggunakan kredensial sementara dengan hak istimewa terbatas seperti yang dikeluarkan oleh AWS Security Token Service.

Pengguna membutuhkan akses terprogram jika ingin berinteraksi dengan AWS di luar AWS Management Console. Cara memberikan akses programatis bergantung pada jenis pengguna yang mengakses AWS.

Untuk memberi pengguna akses programatis, pilih salah satu opsi berikut.

Pengguna mana yang membutuhkan akses programatis?	Untuk	Oleh
Identitas tenaga kerja (Pengguna yang dikelola di Pusat Identitas IAM)	Gunakan kredensial sementara untuk menandatangani permintaan programatis ke AWS CLI, SDK AWS, atau API AWS.	Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan. Untuk AWS CLI, lihat Mengonfigurasi AWS CLI untuk menggunakan AWS IAM Identity Center dalam Panduan Pengguna AWS Command Line Interface. Untuk SDK AWS, alat, dan API AWS, lihat Autentikasi Pusat Identitas IAM dalam Panduan Referensi SDK dan Alat AWS.
IAM	Gunakan kredensial sementara untuk menandatangani permintaan programatis ke AWS CLI, SDK AWS, atau API AWS.	Ikuti petunjuk dalam Menggunakan kredensial sementara dengan sumber daya AWS dalam Panduan Pengguna IAM.
IAM	(Tidak direkomendasikan) Gunakan kredensial jangka panjang untuk menandatangani permintaan programatis ke AWS CLI, AWS SDK, atau API AWS.	Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan. Untuk AWS CLI, lihat Mengautentikasi menggunakan kredensial pengguna IAM dalam Panduan Pengguna AWS Command Line Interface. Untuk SDK dan alat AWS, lihat Mengautentikasi menggunakan kredensial jangka panjang dalam Panduan Referensi SDK dan Alat AWS. Untuk API AWS, lihat Mengelola kunci akses untuk pengguna IAM dalam Panduan Pengguna IAM.

Pengguna mana yang membutuhkan akses programatis?

Untuk

Oleh

Identitas tenaga kerja

(Pengguna yang dikelola di Pusat Identitas IAM)

Gunakan kredensial sementara untuk menandatangani permintaan programatis ke AWS CLI, SDK AWS, atau API AWS.

Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan.

Untuk AWS CLI, lihat Mengonfigurasi AWS CLI untuk menggunakan AWS IAM Identity Center dalam Panduan Pengguna AWS Command Line Interface.
Untuk SDK AWS, alat, dan API AWS, lihat Autentikasi Pusat Identitas IAM dalam Panduan Referensi SDK dan Alat AWS.

IAM

Gunakan kredensial sementara untuk menandatangani permintaan programatis ke AWS CLI, SDK AWS, atau API AWS.

Ikuti petunjuk dalam Menggunakan kredensial sementara dengan sumber daya AWS dalam Panduan Pengguna IAM.

IAM

(Tidak direkomendasikan)

Gunakan kredensial jangka panjang untuk menandatangani permintaan programatis ke AWS CLI, AWS SDK, atau API AWS.

Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan.

Untuk AWS CLI, lihat Mengautentikasi menggunakan kredensial pengguna IAM dalam Panduan Pengguna AWS Command Line Interface.
Untuk SDK dan alat AWS, lihat Mengautentikasi menggunakan kredensial jangka panjang dalam Panduan Referensi SDK dan Alat AWS.
Untuk API AWS, lihat Mengelola kunci akses untuk pengguna IAM dalam Panduan Pengguna IAM.

AWS menyediakan sumber daya yang dapat membantu Anda dalam mengelola manajemen identitas dan akses. Untuk membantu mempelajari praktik terbaik, jelajahi lab langsung kami tentang mengelola kredensi & otentikasi, mengendalikan akses manusia, dan mengendalikan akses programatik.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Fondasi keamanan

Deteksi