Saat pertama kali AWS account root user membuat akun AWS, anda mulai dengan identitas masuk tunggal yang lengkap akses ke semua layanan dan sumber daya AWS di akun. Identitas ini disebut akun AWS pengguna root dan diakses dengan masuk ke AWS Management Console dengan alamat email dan kata sandi yang anda gunakan untuk membuat akun. Pengguna root akun AWS memiliki (dan mempertahankan) penuh akses ke semua sumber daya di akun. Oleh karena itu, AWS sangat menyarankan agar anda tidak menggunakannya kredensial pengguna root akun untuk interaksi sehari-hari dengan akun.

AWS account root user access versus IAM Access

Anda dapat menggunakan peran atau IAM Roles untuk mendelegasikan akses ke pengguna, aplikasi, atau layanan yang biasanya tidak dimiliki akses ke sumber daya AWS anda. Misalnya, anda mungkin ingin memberikan pengguna di akun AWS anda akses ke sumber daya yang biasanya tidak mereka miliki, atau berikan akses kepada pengguna dalam satu akun AWS sumber daya di akun lain. atau anda mungkin ingin mengizinkan aplikasi seluler untuk menggunakan sumber daya AWS, tetapi anda tidak ingin menyematkan kunci AWS di dalam aplikasi (di mana kuncinya sulit untuk diputar dan di mana pengguna berpotensi dapat mengekstraknya dan menyalahgunakannya). Juga, terkadang anda mungkin menginginkannya untuk memberikan akses AWS kepada pengguna yang telah memiliki identitas yang ditentukan di luar AWS, misalnya seperti di direktori perusahaan anda. atau, anda mungkin ingin memberikan akses ke akun anda kepada pihak ketiga sehingga mereka dapat melakukan audit pada sumber daya anda.

Sebagai gantinya, AWS menyarankan agar anda menggunakan IAM untuk membuat pengguna tambahan dan memberikan izin pengguna ini, mengikuti prinsip hak istimewa terkecil. Misalnya, jika anda memerlukan izin tingkat administrator, anda dapat membuat pengguna IAM, memberikan akses penuh kepada pengguna tersebut, lalu menggunakannya kredensial untuk berinteraksi dengan akun. Nanti, jika anda perlu mencabut atau mengubah izin anda, anda dapat menghapus atau mengubah kebijakan apa pun yang terkait dengan pengguna IAM tersebut.

Selain itu, jika anda memiliki banyak pengguna yang memerlukan akses ke akun, anda dapat membuat yang unik kredensial untuk setiap pengguna dan tentukan pengguna mana yang akan memiliki akses ke sumber daya mana. Misalnya, anda dapat membuat pengguna IAM dengan akses hanya baca ke sumber daya di akun AWS anda dan mendistribusikannya kredensial tersebut kepada pengguna yang memerlukan akses baca. Anda harus menghindari berbagi kredensial yang sama dengan banyak pengguna.

Meskipun pengguna root akun tidak boleh digunakan untuk tugas rutin, ada beberapa tugas yang bisa hanya dapat dilakukan dengan masuk sebagai pengguna root akun.

Artikel Lainnya :

• IAM permissions : AWS Cloud Security
• IAM Roles : AWS Cloud Security
• IAM Groups : AWS Cloud Security

Referensi

• AWS security credentials – AWS Identity and Access Management (amazon.com)