Praktik terbaik IAM mana yang meningkatkan keamanan sebuah akun AWS? (Pilih DUA jawaban.)
Pertanyaan untuk memilih dua praktik terbaik keamanan IAM.
Memberikan PowerUserAccess kepada semua pengembang secara default agar pekerjaan tidak terhenti karena izin yang kurang.
PowerUserAccess adalah kebijakan terkelola yang sangat luas yang mengizinkan hampir semua tindakan, kecuali administrasi IAM.
Memberikan izin yang luas secara default demi kenyamanan melanggar prinsip hak istimewa terkecil dan memperbesar cakupan dampak ketika terjadi kesalahan atau kebocoran kredensial, sehingga ini salah.
Mengaktifkan MFA untuk pengguna dengan hak istimewa dan pengguna root.
Benar. MFA (autentikasi multifaktor) adalah mekanisme yang mewajibkan faktor verifikasi tambahan, seperti kode sekali pakai dari aplikasi autentikator, selain kata sandi saat masuk. Mengaktifkan MFA untuk pengguna dengan hak istimewa dan pengguna root membantu mencegah masuk yang tidak sah meskipun kata sandi bocor. Semakin penting akunnya, semakin disarankan MFA.
Memberikan kepada pengguna hanya izin minimum yang diperlukan untuk pekerjaan mereka.
Benar. Mengikuti prinsip hak istimewa terkecil dan hanya mengizinkan tindakan yang diperlukan meminimalkan dampak kebocoran atau kesalahan. Ini adalah dasar dari desain IAM.
Menerbitkan access key jangka panjang untuk aplikasi alih-alih menggunakan IAM role.
Access key jangka panjang harus dirotasi dan dicabut secara manual serta dapat disalahgunakan dalam waktu lama jika bocor.
Praktik terbaiknya adalah menggunakan kredensial sementara melalui IAM role untuk aplikasi di EC2, sehingga penggunaan rutin kunci jangka panjang tidak disarankan dan ini salah.
Jika MFA diatur pada pengguna root, MFA dapat dilewati untuk pengguna IAM.
Mengatur MFA pada pengguna root itu sendiri adalah praktik terbaik yang benar, tetapi pengguna IAM dengan hak istimewa yang disusupi juga dapat menyebabkan kerusakan besar, sehingga mereka tidak dapat dikecualikan dari MFA.
Rekomendasinya adalah mengaktifkan MFA untuk pengguna dengan hak istimewa selain pengguna root, jadi menyatakan bahwa MFA dapat dilewati adalah keliru dan ini salah.
Praktik terbaik IAM: MFA untuk pengguna dengan hak istimewa/root, memberikan hak istimewa terkecil, menghindari penggunaan root harian, tidak menanamkan access key secara langsung, serta menggunakan role dan kredensial sementara.