Modul 2: Mengamankan Akun AWS Anda
TUTORIAL
Mengonfigurasikan Pengguna
Dalam modul ini, Anda akan mempelajari praktik terbaik untuk mengamankan akun AWS
Hal-hal yang akan Anda capai
- Masuk sebagai pengguna root
- Mengaktifkan keamanan tambahan untuk pengguna root
- Menyiapkan pengguna Pusat Identitas AWS IAM (penerus AWS SSO) tambahan
- Masuk ke portal akses AWS
- Menyiapkan MFA untuk pengguna Pusat Identitas
Implementasi
Saat membuat akun AWS, pengguna root dibuat secara otomatis untuk akun Anda. Pengguna root adalah entitas khusus yang memiliki akses penuh ke akun dan dapat melakukan semua tindakan, termasuk mengubah metode pembayaran atau menutup akun. Saat masuk menggunakan pengguna root, Anda memiliki akses penuh ke semua layanan dan sumber daya AWS di akun tersebut. Karena tingkat izin ini, kami sarankan Anda:
- Mengaktifkan keamanan tambahan untuk pengguna root dengan autentikasi multi-faktor
- Menyiapkan pengguna tambahan untuk menjalankan tugas harian yang terkait dengan akun Anda
AWS memiliki dua layanan identitas:
- AWS Identity and Access Management (AWS IAM). Layanan ini menyediakan kebijakan kontrol akses dan mengelola pengguna jangka panjang seperti pengguna root. Jika Anda membuat pengguna di IAM, pengguna tersebut memiliki kredensial akses jangka panjang. Sebagai praktik terbaik keamanan, sebaiknya Anda minimalkan penggunaan kredensial jangka panjang di AWS. Dalam tutorial ini, Anda tidak akan membuat pengguna IAM.
- Pusat Identitas AWS IAM (penerus AWS Masuk Tunggal). Layanan ini menyediakan kredensial sementara yang diberikan setiap kali pengguna masuk untuk sebuah sesi. Layanan ini dapat diintegrasikan dengan penyedia identitas apa pun yang mungkin sudah Anda miliki, seperti Microsoft Active Directory atau Okta, sehingga pengguna dapat menggunakan proses masuk yang sama untuk AWS seperti yang mereka gunakan untuk layanan lain di organisasi Anda. Jika tidak memiliki penyedia identitas lain, Anda dapat membuat pengguna di Pusat Identitas IAM. Ini adalah cara yang disarankan untuk membuat pengguna tambahan untuk akun AWS Anda dan merupakan metode yang akan kita lakukan dalam tutorial ini.
Waktu penyelesaian
15 menit
Kebutuhan modul
- Peramban internet
- Akun AWS
Dapatkan bantuan
Masuk sebagai pengguna root
Pengguna root akun AWS diakses dengan masuk menggunakan alamat email dan kata sandi yang Anda gunakan untuk membuat akun.
1. Masuk ke Konsol Manajemen AWS.
2. Pilih Pengguna root dan masukkan alamat email yang Anda tentukan saat membuat akun, lalu pilih Berikutnya.
3. Anda mungkin diminta untuk menyelesaikan pemeriksaan keamanan. Ketik karakter dari gambar di ruang yang disediakan lalu pilih Kirim. Anda harus menyelesaikan pemeriksaan ini untuk lanjut ke langkah berikutnya.
Tip: Pilih Tombol suara guna mendengar serangkaian angka dan huruf untuk diketik. Pilih Tombol segarkan untuk mengubah gambar jika Anda tidak dapat membedakan karakter dalam gambar asli.
4. Pada halaman masuk, masukkan kata sandi Anda dan pilih Masuk.
Selamat, Anda baru saja masuk ke Konsol Manajemen AWS sebagai pengguna root. Namun, Anda tidak akan menggunakan pengguna root untuk tugas sehari-hari. Pengguna root hanya boleh digunakan untuk tugas manajemen akun tertentu, dua di antaranya akan kita lakukan di bagian selanjutnya dari tutorial ini.
- Aktifkan MFA untuk pengguna root
- Buat pengguna administratif di Pusat Identitas IAM
Untuk daftar lengkap tugas yang mengharuskan Anda masuk sebagai pengguna root, lihat Tugas yang memerlukan kredensial pengguna root.
Tambahkan lebih banyak keamanan ke proses masuk pengguna root
Untuk membantu menjaga keamanan kredensial pengguna root, kami sangat menyarankan agar Anda mengaktifkan autentikasi multi-faktor (MFA) untuk proses masuk pengguna root Anda. Ketika mengaktifkan MFA, selain memberikan alamat email dan kata sandi untuk pengguna root, Anda juga akan memberikan kredensial dari autentikator lain, sehingga jauh lebih sulit bagi seseorang untuk menggunakan kredensial pengguna root tanpa izin Anda.
Tambahkan lebih banyak keamanan ke proses masuk pengguna root. Untuk melakukannya, kami akan menggunakan layanan AWS Identity and Access Management (IAM). Untuk informasi selengkapnya, lihat Apa itu IAM?.
1. Masuk ke akun AWS yang baru dibuat menggunakan kredensial pengguna root.
2. Di bilah pencarian Konsol Manajemen AWS, masukkan IAM, lalu pilih IAM.
3. Pada Rekomendasi keamanan, ada pemberitahuan untuk Tambahkan MFA untuk pengguna root.
4. Pilih Tambahkan MFA.
5. Halaman Kredensial keamanan saya (pengguna root) terbuka. Ada peringatan yang berbunyi Anda tidak memiliki MFA yang ditetapkan. Pilih Tetapkan MFA.
6. Halaman Pilih perangkat MFA terbuka. Di bagian Tentukan nama perangkat MFA, masukkan nama untuk perangkat MFA Anda. Sebaiknya gunakan nama yang membantu Anda mengingat perangkat dan pengguna mana yang ditetapkan untuk kredensial ini.
7. Dalam tutorial ini, kita akan menggunakan aplikasi autentikator pada perangkat seluler. Masukkan phone-root nama perangkat.
8. Di Pilih perangkat MFA, pilih opsi Aplikasi autentikator, lalu pilih Berikutnya.
Tip: Jika Anda tidak memiliki akses ke perangkat seluler atau perangkat keras, Anda tidak dapat mengaktifkan MFA. Cari tahu cara mendapatkan kunci keamanan MFA gratis dari AWS.
Halaman Siapkan perangkat terbuka. Halaman ini memiliki tiga langkah untuk diselesaikan.
9. Siapkan aplikasi autentikator di perangkat seluler Anda. Beberapa aplikasi autentikator yang berbeda didukung untuk perangkat Android dan iOS. Lihat bagian Aplikasi autentikator virtual pada halaman Autentikasi Multi-Faktor (MFA) IAM untuk mengetahui daftar aplikasi yang didukung dan tautan ke lokasi unduhannya.
10. Buka aplikasi autentikator di perangkat seluler Anda.
11. Pilih tautan Tampilkan kode QR menampilkan kode QR unik akun Anda. Jika Anda tidak dapat memindai kode QR, pilih tautan Tampilkan kunci rahasia untuk menampilkan kunci teks yang dapat Anda masukkan ke aplikasi Autentikator guna mengidentifikasi akun.
12. Pindai kode QR dengan aplikasi autentikator Anda atau masukkan kode di aplikasi autentikator untuk menautkan perangkat autentikator ke akun Anda.
13. Setelah autentikator membuat tautan ke akun Anda, autentikator akan mulai menghasilkan kode rahasia yang berlaku untuk beberapa detik saja. Pada kode MFA 1, ketik kode yang Anda lihat di aplikasi. Tunggu hingga kode tersebut berubah menjadi kode berikutnya, lalu ketik kode tersebut di Kode MFA 2, lalu pilih Tambahkan MFA sebelum kode kedua kedaluwarsa.
Anda dikembalikan ke halaman Kredensial keamanan saya (pengguna root). Pesan notifikasi ditampilkan di bagian atas yang berbunyi perangkat MFA ditetapkan.
Kredensial pengguna root Anda sekarang lebih aman.
14. Keluar dari konsol. Saat masuk menggunakan kredensial pengguna root di lain waktu, Anda harus memberikan kredensial dari perangkat MFA serta alamat email dan kata sandi.
Siapkan pengguna di Pusat Identitas IAM
Tidak menggunakan akun root dalam tugas sehari-hari dianggap sebagai praktik terbaik keamanan, tetapi saat ini Anda hanya memiliki satu pengguna root. Dalam tutorial ini, kita akan menggunakan Pusat Identitas IAM untuk membuat pengguna administratif. Kita menggunakan Pusat Identitas IAM karena memberi pengguna kredensial yang unik untuk setiap sesi, disebut juga dengan kredensial sementara. Dengan menyediakan kredensial ini untuk pengguna, Anda meningkatkan keamanan akun AWS Anda karena kredensialnya dibuat setiap kali pengguna masuk. Setelah memiliki pengguna administratif, Anda dapat masuk dengan pengguna tersebut untuk membuat pengguna Pusat Identitas tambahan dan menetapkan mereka ke grup dengan izin untuk melakukan fungsi tugas tertentu. Manfaat lain dari membuat pengguna di Pusat Identitas IAM adalah pengguna secara otomatis mendapatkan akses ke konsol Manajemen Penagihan dan Biaya AWS.
Untuk informasi selengkapnya tentang penagihan, lihat panduan pengguna Penagihan AWS.
Bagian tutorial ini memuat langkah-langkah berikut:
- Mengaktifkan Pusat Identitas IAM
- Menambahkan pengguna
- Menambahkan pengguna ke grup
- Mengonfigurasi sumber identitas Anda
- Membuat set izin administratif
- Masuk ke portal akses AWS dengan kredensial administratif Anda
Mengaktifkan Pusat Identitas IAM
1. Masuk ke akun AWS Anda menggunakan kredensial pengguna root.
2. Di bilah pencarian Konsol Manajemen AWS, masukkan Pusat Identitas IAM, lalu pilih Pusat Identitas IAM.
3. Halaman gambaran umum Layanan Pusat Identitas IAM terbuka. Tinjau informasi untuk mempelajari fitur layanan Pusat Identitas IAM, lalu pada Aktifkan Pusat Identitas IAM, pilih Aktifkan.
Mengonfigurasi sumber identitas Anda
Sumber identitas Anda adalah tempat pengguna dan grup dikelola. Setelah mengonfigurasi sumber identitas, Anda dapat mencari pengguna atau grup untuk memberi mereka akses masuk tunggal ke akun AWS, aplikasi cloud, atau keduanya.
Anda hanya dapat memiliki satu sumber identitas per organisasi. Anda dapat menggunakan:
- Direktori Pusat Identitas – Saat Anda mengaktifkan Pusat Identitas IAM untuk pertama kalinya, direktori tersebut secara otomatis dikonfigurasikan dengan direktori Pusat Identitas sebagai sumber identitas default tempat Anda akan mengelola pengguna dan grup.
- Active Directory – Pengguna dan grup dikelola di direktori AWS Managed Microsoft AD menggunakan AWS Directory Service atau direktori yang Anda kelola sendiri di Active Directory (AD).
- Penyedia identitas eksternal – Pengguna dan grup dikelola di penyedia identitas (IdP) eksternal seperti Okta atau Azure Active Directory.
Dalam tutorial ini, kami akan menggunakan direktori Pusat Identitas.
1. Arahkan ke konsol Pusat Identitas IAM dan pilih Pengguna. Kemudian, pilih Tambahkan pengguna.
- Nama pengguna – Nama pengguna digunakan untuk masuk ke portal akses AWS dan nantinya tidak dapat diubah. Pilih nama yang mudah diingat. Untuk tutorial ini, kami akan menambahkan pengguna John.
- Kata Sandi – Pilih Kirim email ke pengguna ini dengan instruksi pengaturan kata sandi (Direkomendasikan). Opsi ini mengirimkan email yang berasal dari Amazon Web Services kepada pengguna, dengan baris subjek Undangan untuk bergabung dengan Pusat Identitas IAM (penerus AWS Masuk Tunggal). Email akan datang dari no-reply@signin.aws atau no-reply@login.awsapps.com. Tambahkan alamat email ini ke daftar pengirim yang disetujui agar tidak diperlakukan sebagai sampah atau spam.
3. Di bagian Informasi utama, lengkapi detail pengguna yang diperlukan:
- Alamat email – Masukkan alamat email pengguna tempat Anda dapat menerima email. Kemudian, masukkan lagi alamat email untuk mengonfirmasinya. Setiap pengguna harus memiliki alamat email yang unik.
Tip: Selama pengujian, Anda mungkin dapat menggunakan sub-alamat email untuk membuat alamat email yang valid bagi banyak pengguna fiktif. Jika penyedia email mendukungnya, Anda dapat membuat alamat email baru dengan menambahkan tanda plus (+) lalu angka atau karakter ke alamat email saat ini, seperti someone@example.com, someone+1@example.com, dan someone+test@example.com. Semua alamat email tersebut akan menyebabkan email diterima di alamat email yang sama.
- Nama depan – Masukkan nama depan pengguna.
- Nama belakang – Masukkan nama belakang pengguna.
- Nama tampilan – Ini secara otomatis diisi dengan nama depan dan nama belakang pengguna. Jika ingin mengubah nama tampilan, Anda dapat memasukkan sesuatu yang berbeda. Nama tampilan terlihat di portal masuk dan daftar pengguna.
- Lengkapi informasi opsional jika diinginkan. Informasi ini tidak digunakan selama tutorial dan dapat ditambahkan nanti.
4. Pilih Berikutnya.
Tambahkan pengguna ke grup, bersifat opsional
Grup pengguna memungkinkan Anda menentukan izin untuk banyak pengguna, yang mempermudah pengelolaan izin bagi pengguna tersebut.
1. Pilih Buat grup.
2. Tab peramban baru terbuka untuk menampilkan halaman Buat grup.
3. Di Detail grup, pada Nama grup, masukkan Admin.
4. Pilih Buat grup.
Halaman Grup ditampilkan, menunjukkan grup Admin baru Anda.
5. Keluar atau arahkan keluar dari tab peramban Grup dan kembali ke tab peramban Tambahkan pengguna.
6. Di area Grup, pilih tombol Segarkan.
Grup Admin baru muncul dalam daftar.
7. Pilih kotak centang di samping grup Admin, lalu pilih Berikutnya.
8. Pada halaman Tinjau dan tambahkan pengguna, konfirmasi hal-hal berikut:
- Informasi utama muncul seperti yang Anda inginkan
- Grup menunjukkan pengguna yang ditambahkan ke grup yang Anda buat
Jika Anda perlu membuat perubahan, pilih Edit untuk melakukan pembaruan.
9. Setelah semuanya benar, pilih Tambahkan pengguna.
Anda dikembalikan ke halaman utama Pusat Identitas IAM > Pengguna.
Pesan notifikasi memberi tahu Anda bahwa pengguna berhasil ditambahkan.
Selamat, Anda sekarang memiliki pengguna di Organisasi AWS. Anda dapat mengulangi langkah-langkah ini untuk menambahkan pengguna dan grup tambahan.
Kelola akses ke akun AWS Anda
Pengguna baru Anda ada tetapi tidak memiliki akses ke sumber daya, layanan, atau aplikasi apa pun, sehingga pengguna belum dapat menggantikan pengguna root untuk tugas administrasi harian. Beri pengguna baru Anda akses ke akun AWS. Karena kita memasukkan pengguna ke dalam grup, kita akan menetapkan grup ke akun, lalu menambahkan set izin yang menetapkan hal-hal yang dapat diakses oleh anggota grup.
Kami masih akan menggunakan kredensial pengguna root untuk prosedur ini.
Masuk ke akun AWS Anda menggunakan kredensial pengguna root.
Arahkan ke konsol Pusat Identitas IAM, pada Langkah-langkah pengaturan yang disarankan, pilih Kelola akses ke beberapa akun AWS.
Di halaman akun AWS, pada Struktur organisasi, root Anda ditampilkan dengan akun pengujian di bawahnya dalam hierarki. Pilih kotak centang untuk akun pengujian Anda, lalu pilih Tetapkan pengguna atau grup.
Alur kerja Tetapkan pengguna dan grup ditampilkan. Alur kerja ini terdiri dari langkah-langkah berikut:
Untuk Langkah 1: Pilih pengguna dan grup, pilih grup Admin yang Anda buat sebelumnya dalam tutorial ini. Lalu, pilih Berikutnya.
Untuk Langkah 2: Pilih set izin, pilih Buat set izin untuk membuka tab baru yang memandu Anda melalui tiga sub-langkah yang terlibat dalam pembuatan set izin.
Tab peramban baru terbuka, menampilkan Langkah 1: Pilih tipe set izin. Buat pilihan berikut:
- Untuk Tipe set Izin, pilih Set izin yang telah ditentukan sebelumnya
- Untuk Kebijakan untuk set izin yang telah ditentukan sebelumnya, pilih AdministratorAccess
- Kemudian, pilih Berikutnya untuk melanjutkan.
Untuk Langkah 2: Tentukan detail set izin, pertahankan pengaturan default dan pilih Berikutnya. Pengaturan default membuat set izin yang disebut AdministratorAccess dengan durasi sesi diatur ke satu jam.
Untuk Langkah 3: Tinjau dan buat, verifikasi bahwa Tipe set Izin menggunakan AdministratorAccess kebijakan yang dikelola AWS. Pilih Buat.
Anda dikembalikan ke halaman Set izin. Notifikasi muncul di bagian atas halaman yang memberi tahu Anda bahwa set izin berhasil dibuat. Pilih X untuk menutup tab.
Pada tab peramban Tetapkan pengguna dan grup, untuk Langkah 2: Pilih set izin, di Set izin, pilih Segarkan. Set izin AdministratorAccess yang Anda buat muncul dalam daftar tersebut. Pilih kotak centang untuk set izin tersebut, lalu pilih Berikutnya.
Untuk Langkah 3: Tinjau dan kirim, tinjau pengguna dan grup yang dipilih serta set izin, lalu pilih Kirim.
Halaman diperbarui dengan pesan bahwa akun AWS Anda sedang dikonfigurasi. Tunggu hingga proses selesai.
Anda dikembalikan ke halaman akun AWS di Pusat Identitas IAM. Pesan notifikasi memberi tahu Anda bahwa akun AWS telah disediakan ulang dan pembaruan set izin telah diterapkan.
Anda dapat melihat di bagian Struktur organisasi bahwa akun AWS Anda sekarang menjadi akun manajemen di bawah root organisasi AWS. Dalam tutorial ini, kami menggunakan nama akun AWS placeholder Test-acct. Sebagai gantinya, Anda akan melihat nama akun AWS Anda.
Selamat, pengguna Anda sekarang dapat masuk ke portal akses AWS dan mengakses sumber daya di akun AWS Anda.
Masuk ke portal akses AWS dengan kredensial administratif Anda
Sekarang Anda siap untuk masuk menggunakan pengguna administratif baru. Jika Anda sudah mencoba masuk sebelumnya, Anda hanya akan dapat menetapkan kata sandi dan mengaktifkan autentikasi multi-faktor (MFA) untuk pengguna karena tidak ada izin lain yang diberikan kepada pengguna. Sekarang pengguna akan memiliki izin penuh ke sumber daya AWS Anda, tetapi mereka masih perlu mengonfigurasi kata sandi dan menyiapkan MFA, jadi mari kita lakukan prosedur tersebut.
Email pengguna baru dikirim ke alamat email yang Anda tentukan saat membuat pengguna. Email berisi tiga item penting:
- Tautan untuk menerima undangan untuk bergabung
- URL portal akses AWS Anda
- Nama pengguna yang akan Anda gunakan untuk masuk
Buka email dan catat URL portal akses AWS serta nama pengguna untuk digunakan di masa mendatang. Kemudian, pilih tautan Terima undangan.
Tip: Jika Anda tidak melihat email Undangan untuk bergabung dengan Pusat Identitas IAM di folder kotak masuk, periksa folder spam, sampah, dan item yang dihapus (atau tempat sampah). Semua email yang dikirim oleh layanan Pusat Identitas IAM akan berasal dari alamat no-reply@signin.aws atau no-reply@login.awsapps.com. Jika Anda tidak dapat menemukan email, masuk sebagai pengguna root dan atur ulang kata sandi pengguna Pusat Identitas. Untuk instruksi, lihat Atur ulang kata sandi pengguna Pusat Identitas IAM. Atau, jika Anda masih belum menerima email, atur ulang kata sandi dan pilih opsi Buat kata sandi sekali pakai yang dapat Anda bagikan dengan pengguna.
Tautan membuka jendela peramban dan menampilkan halaman Pendaftaran pengguna baru.
Di halaman Pendaftaran pengguna baru, tentukan kata sandi baru.
Kata sandi harus:
- dengan panjang 8-64 karakter
- Terdiri dari huruf kapital dan kecil, angka, serta karakter non-alfanumerik.
Setelah mengonfirmasi kata sandi, pilih Tetapkan kata sandi baru.
Penundaan singkat terjadi saat pengguna disediakan.
Konsol AWS terbuka.
Di sepanjang bilah atas, di samping Nama pengguna, pilih Perangkat MFA untuk menyiapkan MFA.
Halaman Perangkat autentikasi multi-faktor (MFA) terbuka. Pilih Daftarkan perangkat.
Pada halaman Daftarkan perangkat MFA, pilih Perangkat MFA yang akan digunakan dengan akun. Opsi yang tidak didukung oleh peramban atau platform Anda diredupkan dan tidak dapat dipilih.
Kami akan memandu Anda melalui layar untuk opsi aplikasi Autentikator. Proses ini mirip dengan proses yang Anda ikuti ketika menyiapkan perangkat MFA untuk pengguna root di bagian pertama tutorial. Perbedaannya adalah bahwa perangkat MFA ini sedang didaftarkan dengan Pusat Identitas IAM, alih-alih IAM. Jika memilih perangkat MFA yang berbeda, ikuti instruksi untuk perangkat yang Anda pilih.
Pilih tautan Tampilkan kode QR guna menampilkan kode QR unik untuk organisasi AWS Anda. Jika Anda tidak dapat memindai kode QR, pilih tautan Tampilkan kunci rahasia untuk menampilkan kunci teks yang dapat Anda masukkan ke dalam aplikasi Autentikator guna mengidentifikasi organisasi Anda. Pindai kode QR dengan aplikasi autentikator Anda atau masukkan kode di aplikasi autentikator untuk menautkan perangkat autentikator ke organisasi Anda.
Setelah autentikator membuat tautan ke organisasi Anda, autentikator akan mulai menghasilkan kode rahasia yang berlaku untuk beberapa detik saja. Di bagian Kode autentikator, ketik kode yang Anda lihat pada aplikasi, lalu pilih Tetapkan MFA.
Catatan: Saat mendaftarkan perangkat MFA dengan Pusat identitas IAM, hanya satu kode autentikator yang diperlukan untuk pendaftaran.
Perangkat Anda berhasil terdaftar, pilih Selesai.
Anda dapat mendaftarkan perangkat lain, mengganti nama, atau menghapus perangkat MFA yang ada atau dari halaman perangkat MFA.
Pilih Portal akses AWS di bilah navigasi untuk kembali ke portal utama dan mengakses akun AWS.
Pilih akun AWS yang akan dikelola dari portal akses. Anda akan melihat izin yang dikonfigurasi untuk akun Anda dengan dua opsi koneksi.
- Pilih Konsol manajemen untuk membuka Konsol Manajemen AWS dan mengelola sumber daya AWS Anda menggunakan dasbor konsol layanan.
- Pilih Baris perintah atau akses programatik guna mendapatkan kredensial untuk mengakses sumber daya AWS secara terprogram atau dari AWS CLI. Untuk mempelajari cara mendapatkan kredensial ini selengkapnya, lihat Mendapatkan kredensial pengguna Pusat Identitas IAM untuk AWS CLI atau AWS SDK.
Untuk tutorial ini, pilih Konsol manajemen.
Konsol manajemen AWS terbuka. Sebagai pengguna dengan akses administratif, Anda dapat menambahkan layanan, menambahkan pengguna tambahan, dan mengonfigurasi kebijakan serta izin. Anda tidak perlu lagi menggunakan pengguna root untuk menyelesaikan tugas-tugas ini.
Kesimpulan
Selamat! Anda sekarang telah menyelesaikan proses masuk, membuat pengguna administratif di Pusat Identitas IAM, menambahkan keamanan yang ditingkatkan untuk pengguna root serta pengguna administratif, dan siap untuk mulai bekerja dengan layanan serta aplikasi AWS. Ingat, ketika masuk menggunakan pengguna administratif Pusat Identitas, Anda akan menggunakan URL portal akses yang Anda terima di email undangan.
Penting: Setiap Organisasi AWS memiliki URL portal akses yang unik. Pastikan Anda menyimpan catatan URL dengan informasi masuk pengguna Anda.