Modul 2: Mengamankan Akun AWS Anda

1. Masuk ke Konsol Manajemen AWS.

2. Pilih Pengguna root dan masukkan alamat email yang Anda tentukan saat membuat akun, lalu pilih Berikutnya.

3. Anda mungkin diminta untuk menyelesaikan pemeriksaan keamanan. Ketik karakter dari gambar di ruang yang disediakan lalu pilih Kirim. Anda harus menyelesaikan pemeriksaan ini untuk lanjut ke langkah berikutnya.

Tip: Pilih Tombol suara guna mendengar serangkaian angka dan huruf untuk diketik. Pilih Tombol segarkan untuk mengubah gambar jika Anda tidak dapat membedakan karakter dalam gambar asli.

4. Pada halaman masuk, masukkan kata sandi Anda dan pilih Masuk.

Selamat, Anda baru saja masuk ke Konsol Manajemen AWS sebagai pengguna root. Namun, Anda tidak akan menggunakan pengguna root untuk tugas sehari-hari. Pengguna root hanya boleh digunakan untuk tugas manajemen akun tertentu, dua di antaranya akan kita lakukan di bagian selanjutnya dari tutorial ini. 

• Aktifkan MFA untuk pengguna root
• Buat pengguna administratif di Pusat Identitas IAM

Untuk daftar lengkap tugas yang mengharuskan Anda masuk sebagai pengguna root, lihat Tugas yang memerlukan kredensial pengguna root.

1. Masuk ke akun AWS yang baru dibuat menggunakan kredensial pengguna root.

3. Pada Rekomendasi keamanan, ada pemberitahuan untuk Tambahkan MFA untuk pengguna root.
4. Pilih Tambahkan MFA. 

Halaman Siapkan perangkat terbuka. Halaman ini memiliki tiga langkah untuk diselesaikan.

9. Siapkan aplikasi autentikator di perangkat seluler Anda. Beberapa aplikasi autentikator yang berbeda didukung untuk perangkat Android dan iOS. Lihat bagian Aplikasi autentikator virtual pada halaman Autentikasi Multi-Faktor (MFA) IAM untuk mengetahui daftar aplikasi yang didukung dan tautan ke lokasi unduhannya.

10. Buka aplikasi autentikator di perangkat seluler Anda.

11. Pilih tautan Tampilkan kode QR menampilkan kode QR unik akun Anda. Jika Anda tidak dapat memindai kode QR, pilih tautan Tampilkan kunci rahasia untuk menampilkan kunci teks yang dapat Anda masukkan ke aplikasi Autentikator guna mengidentifikasi akun.

12. Pindai kode QR dengan aplikasi autentikator Anda atau masukkan kode di aplikasi autentikator untuk menautkan perangkat autentikator ke akun Anda.

13. Setelah autentikator membuat tautan ke akun Anda, autentikator akan mulai menghasilkan kode rahasia yang berlaku untuk beberapa detik saja. Pada kode MFA 1, ketik kode yang Anda lihat di aplikasi. Tunggu hingga kode tersebut berubah menjadi kode berikutnya, lalu ketik kode tersebut di Kode MFA 2, lalu pilih Tambahkan MFA sebelum kode kedua kedaluwarsa.

Anda dikembalikan ke halaman Kredensial keamanan saya (pengguna root). Pesan notifikasi ditampilkan di bagian atas yang berbunyi perangkat MFA ditetapkan.

Kredensial pengguna root Anda sekarang lebih aman. 

14. Keluar dari konsol. Saat masuk menggunakan kredensial pengguna root di lain waktu, Anda harus memberikan kredensial dari perangkat MFA serta alamat email dan kata sandi.

1. Masuk ke akun AWS Anda menggunakan kredensial pengguna root.

Sumber identitas Anda adalah tempat pengguna dan grup dikelola. Setelah mengonfigurasi sumber identitas, Anda dapat mencari pengguna atau grup untuk memberi mereka akses masuk tunggal ke akun AWS, aplikasi cloud, atau keduanya.

Anda hanya dapat memiliki satu sumber identitas per organisasi. Anda dapat menggunakan:

• Direktori Pusat Identitas – Saat Anda mengaktifkan Pusat Identitas IAM untuk pertama kalinya, direktori tersebut secara otomatis dikonfigurasikan dengan direktori Pusat Identitas sebagai sumber identitas default tempat Anda akan mengelola pengguna dan grup.
• Active Directory – Pengguna dan grup dikelola di direktori AWS Managed Microsoft AD menggunakan AWS Directory Service atau direktori yang Anda kelola sendiri di Active Directory (AD).
• Penyedia identitas eksternal – Pengguna dan grup dikelola di penyedia identitas (IdP) eksternal seperti Okta atau Azure Active Directory.

Dalam tutorial ini, kami akan menggunakan direktori Pusat Identitas.

1. Arahkan ke konsol Pusat Identitas IAM dan pilih Pengguna. Kemudian, pilih Tambahkan pengguna.

• Nama pengguna – Nama pengguna digunakan untuk masuk ke portal akses AWS dan nantinya tidak dapat diubah. Pilih nama yang mudah diingat. Untuk tutorial ini, kami akan menambahkan pengguna John.
• Kata Sandi – Pilih Kirim email ke pengguna ini dengan instruksi pengaturan kata sandi (Direkomendasikan). Opsi ini mengirimkan email yang berasal dari Amazon Web Services kepada pengguna, dengan baris subjek Undangan untuk bergabung dengan Pusat Identitas IAM (penerus AWS Masuk Tunggal). Email akan datang dari no-reply@signin.aws atau no-reply@login.awsapps.com. Tambahkan alamat email ini ke daftar pengirim yang disetujui agar tidak diperlakukan sebagai sampah atau spam.

3. Di bagian Informasi utama, lengkapi detail pengguna yang diperlukan:  

• Alamat email – Masukkan alamat email pengguna tempat Anda dapat menerima email. Kemudian, masukkan lagi alamat email untuk mengonfirmasinya. Setiap pengguna harus memiliki alamat email yang unik.
  

Tip: Selama pengujian, Anda mungkin dapat menggunakan sub-alamat email untuk membuat alamat email yang valid bagi banyak pengguna fiktif. Jika penyedia email mendukungnya, Anda dapat membuat alamat email baru dengan menambahkan tanda plus (+) lalu angka atau karakter ke alamat email saat ini, seperti someone@example.com, someone+1@example.com, dan someone+test@example.com. Semua alamat email tersebut akan menyebabkan email diterima di alamat email yang sama. 

• Nama depan – Masukkan nama depan pengguna.
• Nama belakang – Masukkan nama belakang pengguna.
• Nama tampilan – Ini secara otomatis diisi dengan nama depan dan nama belakang pengguna. Jika ingin mengubah nama tampilan, Anda dapat memasukkan sesuatu yang berbeda. Nama tampilan terlihat di portal masuk dan daftar pengguna. 
• Lengkapi informasi opsional jika diinginkan. Informasi ini tidak digunakan selama tutorial dan dapat ditambahkan nanti.

4. Pilih Berikutnya.

Grup pengguna memungkinkan Anda menentukan izin untuk banyak pengguna, yang mempermudah pengelolaan izin bagi pengguna tersebut.

1. Pilih Buat grup.

2. Tab peramban baru terbuka untuk menampilkan halaman Buat grup.

3. Di Detail grup, pada Nama grup, masukkan Admin.

4. Pilih Buat grup.

Pengguna baru Anda ada tetapi tidak memiliki akses ke sumber daya, layanan, atau aplikasi apa pun, sehingga pengguna belum dapat menggantikan pengguna root untuk tugas administrasi harian. Beri pengguna baru Anda akses ke akun AWS. Karena kita memasukkan pengguna ke dalam grup, kita akan menetapkan grup ke akun, lalu menambahkan set izin yang menetapkan hal-hal yang dapat diakses oleh anggota grup.

Kami masih akan menggunakan kredensial pengguna root untuk prosedur ini.

Masuk ke akun AWS Anda menggunakan kredensial pengguna root.

Di halaman akun AWS, pada Struktur organisasi, root Anda ditampilkan dengan akun pengujian di bawahnya dalam hierarki. Pilih kotak centang untuk akun pengujian Anda, lalu pilih Tetapkan pengguna atau grup.

Alur kerja Tetapkan pengguna dan grup ditampilkan. Alur kerja ini terdiri dari langkah-langkah berikut: 

Untuk Langkah 1: Pilih pengguna dan grup, pilih grup Admin yang Anda buat sebelumnya dalam tutorial ini. Lalu, pilih Berikutnya.

Untuk Langkah 2: Pilih set izin, pilih Buat set izin untuk membuka tab baru yang memandu Anda melalui tiga sub-langkah yang terlibat dalam pembuatan set izin.

Tab peramban baru terbuka, menampilkan Langkah 1: Pilih tipe set izin. Buat pilihan berikut:

1. Untuk Tipe set Izin, pilih Set izin yang telah ditentukan sebelumnya
2. Untuk Kebijakan untuk set izin yang telah ditentukan sebelumnya, pilih AdministratorAccess
3. Kemudian, pilih Berikutnya untuk melanjutkan.

Untuk Langkah 2: Tentukan detail set izin, pertahankan pengaturan default dan pilih Berikutnya. Pengaturan default membuat set izin yang disebut AdministratorAccess dengan durasi sesi diatur ke satu jam. 

Untuk Langkah 3: Tinjau dan buat, verifikasi bahwa Tipe set Izin menggunakan AdministratorAccess kebijakan yang dikelola AWS. Pilih Buat.

Anda dikembalikan ke halaman Set izin. Notifikasi muncul di bagian atas halaman yang memberi tahu Anda bahwa set izin berhasil dibuat. Pilih X untuk menutup tab.

Pada tab peramban Tetapkan pengguna dan grup, untuk Langkah 2: Pilih set izin, di Set izin, pilih Segarkan. Set izin AdministratorAccess yang Anda buat muncul dalam daftar tersebut. Pilih kotak centang untuk set izin tersebut, lalu pilih Berikutnya. 

Untuk Langkah 3: Tinjau dan kirim, tinjau pengguna dan grup yang dipilih serta set izin, lalu pilih Kirim.

Halaman diperbarui dengan pesan bahwa akun AWS Anda sedang dikonfigurasi. Tunggu hingga proses selesai.

Anda dikembalikan ke halaman akun AWS di Pusat Identitas IAM. Pesan notifikasi memberi tahu Anda bahwa akun AWS telah disediakan ulang dan pembaruan set izin telah diterapkan. 

Anda dapat melihat di bagian Struktur organisasi bahwa akun AWS Anda sekarang menjadi akun manajemen di bawah root organisasi AWS. Dalam tutorial ini, kami menggunakan nama akun AWS placeholder Test-acct. Sebagai gantinya, Anda akan melihat nama akun AWS Anda.  

Selamat, pengguna Anda sekarang dapat masuk ke portal akses AWS dan mengakses sumber daya di akun AWS Anda. 

Sekarang Anda siap untuk masuk menggunakan pengguna administratif baru. Jika Anda sudah mencoba masuk sebelumnya, Anda hanya akan dapat menetapkan kata sandi dan mengaktifkan autentikasi multi-faktor (MFA) untuk pengguna karena tidak ada izin lain yang diberikan kepada pengguna. Sekarang pengguna akan memiliki izin penuh ke sumber daya AWS Anda, tetapi mereka masih perlu mengonfigurasi kata sandi dan menyiapkan MFA, jadi mari kita lakukan prosedur tersebut.

Email pengguna baru dikirim ke alamat email yang Anda tentukan saat membuat pengguna. Email berisi tiga item penting:

1. Tautan untuk menerima undangan untuk bergabung
2. URL portal akses AWS Anda
3. Nama pengguna yang akan Anda gunakan untuk masuk

Buka email dan catat URL portal akses AWS serta nama pengguna untuk digunakan di masa mendatang. Kemudian, pilih tautan Terima undangan. 

Tip: Jika Anda tidak melihat email Undangan untuk bergabung dengan Pusat Identitas IAM di folder kotak masuk, periksa folder spam, sampah, dan item yang dihapus (atau tempat sampah). Semua email yang dikirim oleh layanan Pusat Identitas IAM akan berasal dari alamat no-reply@signin.aws atau no-reply@login.awsapps.com. Jika Anda tidak dapat menemukan email, masuk sebagai pengguna root dan atur ulang kata sandi pengguna Pusat Identitas. Untuk instruksi, lihat Atur ulang kata sandi pengguna Pusat Identitas IAM. Atau, jika Anda masih belum menerima email, atur ulang kata sandi dan pilih opsi Buat kata sandi sekali pakai yang dapat Anda bagikan dengan pengguna.

Tautan membuka jendela peramban dan menampilkan halaman Pendaftaran pengguna baru.

Di halaman Pendaftaran pengguna baru, tentukan kata sandi baru.

Kata sandi harus:

• dengan panjang 8-64 karakter
• Terdiri dari huruf kapital dan kecil, angka, serta karakter non-alfanumerik.

Setelah mengonfirmasi kata sandi, pilih Tetapkan kata sandi baru.

Penundaan singkat terjadi saat pengguna disediakan. 

Konsol AWS terbuka.

Di sepanjang bilah atas, di samping Nama pengguna, pilih Perangkat MFA untuk menyiapkan MFA.

Halaman Perangkat autentikasi multi-faktor (MFA) terbuka. Pilih Daftarkan perangkat.

Pada halaman Daftarkan perangkat MFA, pilih Perangkat MFA yang akan digunakan dengan akun. Opsi yang tidak didukung oleh peramban atau platform Anda diredupkan dan tidak dapat dipilih.

Kami akan memandu Anda melalui layar untuk opsi aplikasi Autentikator. Proses ini mirip dengan proses yang Anda ikuti ketika menyiapkan perangkat MFA untuk pengguna root di bagian pertama tutorial. Perbedaannya adalah bahwa perangkat MFA ini sedang didaftarkan dengan Pusat Identitas IAM, alih-alih IAM. Jika memilih perangkat MFA yang berbeda, ikuti instruksi untuk perangkat yang Anda pilih. 

Pilih tautan Tampilkan kode QR guna menampilkan kode QR unik untuk organisasi AWS Anda. Jika Anda tidak dapat memindai kode QR, pilih tautan Tampilkan kunci rahasia untuk menampilkan kunci teks yang dapat Anda masukkan ke dalam aplikasi Autentikator guna mengidentifikasi organisasi Anda. Pindai kode QR dengan aplikasi autentikator Anda atau masukkan kode di aplikasi autentikator untuk menautkan perangkat autentikator ke organisasi Anda. 

Setelah autentikator membuat tautan ke organisasi Anda, autentikator akan mulai menghasilkan kode rahasia yang berlaku untuk beberapa detik saja. Di bagian Kode autentikator, ketik kode yang Anda lihat pada aplikasi, lalu pilih Tetapkan MFA. 

Catatan: Saat mendaftarkan perangkat MFA dengan Pusat identitas IAM, hanya satu kode autentikator yang diperlukan untuk pendaftaran.

Perangkat Anda berhasil terdaftar, pilih Selesai. 

Pilih akun AWS yang akan dikelola dari portal akses. Anda akan melihat izin yang dikonfigurasi untuk akun Anda dengan dua opsi koneksi.

• Pilih Konsol manajemen untuk membuka Konsol Manajemen AWS dan mengelola sumber daya AWS Anda menggunakan dasbor konsol layanan.
• Pilih Baris perintah atau akses programatik guna mendapatkan kredensial untuk mengakses sumber daya AWS secara terprogram atau dari AWS CLI. Untuk mempelajari cara mendapatkan kredensial ini selengkapnya, lihat Mendapatkan kredensial pengguna Pusat Identitas IAM untuk AWS CLI atau AWS SDK. 
  

Untuk tutorial ini, pilih Konsol manajemen.

Konsol manajemen AWS terbuka. Sebagai pengguna dengan akses administratif, Anda dapat menambahkan layanan, menambahkan pengguna tambahan, dan mengonfigurasi kebijakan serta izin. Anda tidak perlu lagi menggunakan pengguna root untuk menyelesaikan tugas-tugas ini.