Gunakan kunci kondisi RAM untuk melarang pengguna RAM membuat aturan grup keamanan berisiko tinggi - Elastic Compute Service

Anda dapat melampirkan kebijakan Resource Access Management (RAM) kustom yang mencakup satu atau lebih kunci kondisi kepada pengguna RAM. Hal ini membatasi izin pengguna RAM dalam membuat grup keamanan atau aturan grup keamanan. Sebagai contoh, Anda dapat menggunakan kebijakan RAM kustom untuk melarang pengguna RAM membuat aturan grup keamanan yang berisi alamat IP dan protokol tertentu, mengizinkan pengguna RAM hanya membuat aturan grup keamanan dengan objek otorisasi tertentu (sumber atau tujuan lalu lintas), atau melarang pengguna RAM menggunakan grup keamanan default saat membuat instance Elastic Compute Service (ECS). Dengan cara ini, Anda dapat meningkatkan keamanan akun Alibaba Cloud Anda. Topik ini menjelaskan cara menggunakan kunci kondisi RAM untuk melarang pengguna RAM membuat aturan grup keamanan berisiko tinggi.

Informasi latar belakang

Grup keamanan berfungsi sebagai garis pertahanan pertama dan terpenting terhadap ancaman serta menyediakan isolasi keamanan di cloud. Dalam skenario bisnis nyata, aturan grup keamanan mungkin tidak dikonfigurasi dengan benar. Sebagai contoh, aturan grup keamanan dikonfigurasi untuk membuka port sensitif seperti port 22, 3389, 80, 8080, dan 443, atau berisi 0.0.0.0/0 sebagai objek otorisasi untuk mengizinkan akses dari atau ke semua alamat IPv4. Sumber daya cloud, seperti instance ECS dan instance ApsaraDB RDS, yang terkait dengan aturan grup keamanan yang dikonfigurasi secara tidak tepat rentan terhadap serangan dan intrusi. Dalam hal ini, masalah keamanan dapat terjadi.

Jika Anda memiliki sejumlah besar pengguna RAM dengan izin dan persyaratan bisnis yang berbeda, pastikan bahwa aturan grup keamanan yang dibuat oleh pengguna RAM memenuhi standar dasar keamanan dan persyaratan dari atas ke bawah untuk meningkatkan keamanan di cloud. Anda dapat mengonfigurasi kebijakan untuk pengguna RAM di konsol RAM untuk melarang pengguna RAM membuat atau mereferensikan aturan grup keamanan berisiko tinggi dan mencapai tata kelola yang konsisten atas aturan grup keamanan.

RAM memungkinkan Anda membuat kebijakan kustom yang secara tepat menggambarkan elemen-elemen yang terlibat, seperti sumber daya, operasi, dan kondisi. Untuk akun produksi spesifik atau akun sensitif, Anda dapat menggunakan kebijakan RAM untuk memberikan izin akses spesifik kepada pengguna RAM. Anda dapat menentukan kondisi dalam kebijakan RAM untuk melarang aturan grup keamanan berisiko tinggi tertentu atau hanya mengizinkan aturan grup keamanan bebas risiko tertentu. Untuk informasi lebih lanjut, lihat bagian Kondisi dari topik "Elemen Kebijakan".

Prinsip implementasi

Anda dapat menggunakan kunci kondisi RAM untuk melarang aturan grup keamanan berisiko tinggi dengan cara-cara berikut:

Melarang aturan grup keamanan yang berisi alamat IP dan protokol tertentu, serta hanya mengizinkan aturan grup keamanan bebas risiko tertentu.
Mencegah penggunaan grup keamanan default selama pembuatan instance ECS.

Catatan

Grup keamanan default berisi aturan grup keamanan sensitif. Untuk informasi lebih lanjut, lihat Grup Keamanan Default.

Tabel berikut menjelaskan kunci kondisi RAM yang dapat Anda gunakan.

Kunci kondisi	Tipe data	Deskripsi
ecs:SecurityGroupIpProtocols	String	Protokol lapisan transport. Contoh: TCP dan ICMP.
ecs:SecurityGroupSourceCidrIps	String	Blok CIDR IPv4 sumber. Blok CIDR IPv4 dan alamat IPv4 didukung.
ecs:NotSpecifySecurityGroupId	Boolean	Menentukan apakah akan menentukan ID grup keamanan.

Catatan

Jika kunci kondisi adalah array, kondisi terpenuhi ketika aturan grup keamanan cocok dengan nilai dalam array.
Jika dua kunci kondisi ditentukan dalam kondisi yang sama, kondisi terpenuhi ketika aturan grup keamanan cocok dengan kedua kunci kondisi tersebut.

Prosedur

Buat kebijakan kustom yang berisi kunci kondisi RAM. Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom.
Dalam bagian ini dan bagian "Verifikasi Hasil", kebijakan kustom yang dijelaskan dalam bagian Contoh 2: Kebijakan Kustom yang Melarang Pengguna RAM Membuat Aturan Grup Keamanan yang Berisi 0.0.0.0/0 sebagai Objek Otorisasi dari topik ini dibuat dan diverifikasi.
Catatan
Untuk melihat contoh kebijakan kustom, lihat bagian Contoh Kebijakan Kustom dari topik ini.
Lampirkan kebijakan kustom ke pengguna RAM. Untuk informasi lebih lanjut, lihat Berikan Izin kepada Pengguna RAM.

Verifikasi hasil

Gunakan pengguna RAM untuk masuk ke konsol ECS.
Lakukan operasi berikut untuk memeriksa apakah kebijakan kustom yang dibuat berlaku pada pengguna RAM sesuai harapan:
1. Pastikan tidak ada grup keamanan kustom yang dibuat di wilayah tempat Anda ingin membuat instance ECS. Kemudian, gunakan grup keamanan default untuk membuat instance ECS. Untuk informasi tentang cara membuat instance ECS, lihat Buat Instance di Tab Peluncuran Kustom.
  Catatan
  Jika Anda tidak membuat grup keamanan kustom di wilayah yang dipilih saat Anda membuat instance ECS, sebuah grup keamanan default akan dibuat secara otomatis.
  Jika pesan kesalahan yang ditunjukkan pada gambar berikut muncul di halaman pembelian instance ECS, pengguna RAM yang Anda gunakan dilarang menggunakan grup keamanan default.
2. Pilih grup keamanan dan buat aturan grup keamanan di grup keamanan. Atur parameter Authorization Object (sumber) dari aturan grup keamanan menjadi 0.0.0.0/0. Untuk informasi lebih lanjut, lihat Tambahkan Aturan Grup Keamanan.
  Jika Anda tidak dapat membuat aturan grup keamanan dan pesan kesalahan yang ditunjukkan pada gambar berikut muncul, pengguna RAM dilarang membuat aturan grup keamanan yang parameter Authorization Object-nya diatur ke 0.0.0.0/0.

Contoh kebijakan kustom

Contoh 1: Kebijakan kustom yang mengizinkan pengguna RAM hanya membuat aturan grup keamanan yang berisi objek otorisasi tertentu

Kebijakan kustom yang mengizinkan pengguna RAM hanya membuat aturan grup keamanan yang berisi 140.205.XX.XX/27 atau 140.205.XX.XX/28 sebagai authorization object (sumber) dan melarang pengguna RAM menggunakan grup keamanan default saat pengguna RAM membuat instance ECS:

Catatan

Anda dapat mengganti XX dengan nilai aktual berdasarkan persyaratan bisnis Anda.

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "ecs:AuthorizeSecurityGroup",
        "ecs:ConfigureSecurityGroupPermissions",
        "ecs:ModifySecurityGroupRule"
      ],
      "Resource": "*",
      "Condition": {
        "ForAnyValue:StringNotLike": {
          "ecs:SecurityGroupSourceCidrIps": [
            "140.205.XX.XX/27",
            "140.205.XX.XX/28"
          ]
        }
      }
    },
    {
      "Effect": "Deny",
      "Action": [
        "ecs:CreateInstance",
        "ecs:RunInstances"
      ],
      "Resource": "*",
      "Condition": {
        "Bool": {
          "ecs:NotSpecifySecurityGroupId": [
            "true"
          ]
        }
      }
    }
  ]
}

Kebijakan kustom yang mengizinkan pengguna RAM hanya membuat aturan grup keamanan yang berisi 140.205.XX.XX/27 sebagai authorization object (sumber) dan mengontrol akses TCP dan melarang pengguna RAM menggunakan grup keamanan default saat pengguna RAM membuat instance ECS:

Catatan

Anda dapat mengganti XX dengan nilai aktual berdasarkan persyaratan bisnis Anda.

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "ecs:AuthorizeSecurityGroup",
        "ecs:ConfigureSecurityGroupPermissions",
        "ecs:ModifySecurityGroupRule"
      ],
      "Resource": "*",
      "Condition": {
        "ForAnyValue:StringNotLike": {
          "ecs:SecurityGroupSourceCidrIps": [
            "140.205.XX.XX/27"
          ]
        }
      }
    },
    {
       "Effect": "Deny",
       "Action": [
         "ecs:AuthorizeSecurityGroup",
         "ecs:ConfigureSecurityGroupPermissions",
         "ecs:ModifySecurityGroupRule"
        ],
        "Resource": "*",
        "Condition": {
          "ForAnyValue:StringNotLike": {
            "ecs:SecurityGroupIpProtocols": [
              "TCP"
            ]
          }
        }
      },
      {
        "Effect": "Deny",
        "Action": [
          "ecs:CreateInstance",
          "ecs:RunInstances"
        ],
        "Resource": "*",
        "Condition": {
          "Bool": {
            "ecs:NotSpecifySecurityGroupId": [
              "true"
            ]
          }
        }
      }
   ]
}

Contoh 2: Kebijakan kustom yang melarang pengguna RAM membuat aturan grup keamanan yang berisi 0.0.0.0/0 sebagai objek otorisasi

Kebijakan kustom yang melarang pengguna RAM membuat aturan grup keamanan yang berisi 0.0.0.0/0 sebagai authorization object (sumber) dan melarang pengguna RAM menggunakan grup keamanan default saat pengguna RAM membuat instance ECS:

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "ecs:AuthorizeSecurityGroup",
        "ecs:ConfigureSecurityGroupPermissions",
        "ecs:ModifySecurityGroupRule"
      ],
      "Resource": "*",
      "Condition": {
        "ForAnyValue:StringLike": {
          "ecs:SecurityGroupSourceCidrIps": [
            "0.0.0.0/0"
          ]
        }
      }
    },
    {
      "Effect": "Deny",
      "Action": [
        "ecs:CreateInstance",
        "ecs:RunInstances"
      ],
      "Resource": "*",
      "Condition": {
        "Bool": {
          "ecs:NotSpecifySecurityGroupId": [
            "true"
          ]
        }
      }
    }
  ]
}

Referensi

Pelajari sintaksis, struktur, dan proses evaluasi kebijakan RAM untuk membuat atau memperbarui kebijakan RAM dengan benar. Untuk informasi lebih lanjut, lihat Struktur dan Sintaksis Kebijakan dan Proses Evaluasi Kebijakan.
Untuk melihat contoh kebijakan RAM, lihat Contoh Kebijakan.