Membuat struktur akun secara manual di AWS Cloud membutuhkan tingkat pengetahuan yang tinggi dan sering kali rentan terhadap kesalahan. Jika Anda ingin cara yang lebih sederhana untuk mengelola akun di AWS, Anda bisa menggunakan layanan yang disebut AWS Control Tower.
AWS Control Tower adalah layanan manajemen dari Amazon Web Services (AWS) yang didesain untuk membantu pengguna dalam mengelola dan memantau beberapa akun AWS dengan efisien. Dengan AWS Control Tower, Anda bisa lebih mudah menyediakan dan mengonfigurasi beberapa akun dengan cepat. Akun-akun ini bisa diatur secara hirarkis dan dibangun di atas struktur AWS Organizations. Layanan ini juga secara otomatis menerapkan kebijakan kontrol layanan yang telah teruji.
Kenapa Harus Menggunakan AWS Control Tower?
AWS Control Tower membuat proses penyediaan dan pengelolaan akun menjadi lebih mudah. Dengan menggunakan AWS Control Tower, administrator dapat mengelola beberapa akun AWS dengan lebih mudah dan cepat sehingga menghemat waktu dibandingkan dengan cara manual. Dengan AWS Control Tower, Anda bisa dengan mudah membuat dan mengelola beragam akun AWS, serta memastikan agar setiap akun berjalan sesuai dengan standar keamanan dan kepatuhan yang ditetapkan.
AWS Control Tower menggunakan kontrol pencegahan dan detektif (guardrails) untuk membantu menjaga agar organisasi dan akun Anda tetap sesuai dengan best practices yang ditetapkan. AWS Control Tower juga menggabungkan kemampuan dari beberapa layanan AWS lainnya, seperti AWS Organizations, AWS Service Catalog, dan AWS Identity Center (sebelumnya dikenal sebagai AWS SSO) untuk membuat landing zone secara aman.
Fitur AWS Control Tower
Berikut adalah fitur-fitur yang dimiliki AWS Control Tower:
Landing Zone
Landing zone dirancang dengan baik untuk mematuhi best practices keamanan dan kepatuhan. Ini menggunakan best practices dalam blueprints untuk identitas dan struktur akun untuk mengotomatisasi pembuatan landing zone yang baru. Landing zone juga dapat menyediakan fitur tambahan seperti akses akun melalui SSO dan memanfaatkan logging terpusat melalui layanan Amazon CloudTrail dan AWS Config.
Regulators
AWS Control Tower memiliki guardrails otomatis yang menerapkan kebijakan keamanan dan kepatuhan secara otomatis untuk memastikan bahwa semua akun sesuai dengan kebijakan perusahaan Anda. Anda dapat memilih untuk menggunakan guardrails ini pada beberapa akun tertentu atau di seluruh akun. Guardrails terdiri dari beberapa jenis, yaitu: wajib, sangat direkomendasikan, dan opsional.
Contoh guardrails wajib, yaitu:
- Melarang mengubah peran AWS IAM yang dibuat oleh AWS Control Tower dan AWS CloudFormation
- Melarang mengubah kebijakan Amazon S3 Bucket yang dibuat oleh AWS Control Tower dalam arsip log
- Melarang jaringan lintas-Region
Contoh guardrails opsional, yaitu:
- Menentukan apakah akses untuk menulis ke bucket Amazon S3 terbuka untuk publik.
- Menentukan apakah MFA untuk pengguna root telah diaktifkan.
- Menentukan apakah enkripsi telah diaktifkan untuk volume Amazon EBS yang terpasang pada instans Amazon EC2
Account Factory
Account Factory adalah bagian dari Control Tower yang membuat proses pembuatan akun baru menjadi otomatis dan aman sesuai dengan prinsip-prinsip keamanan. Dengan menggunakan Account Factory, organisasi dapat mengotomatisasi pembuatan akun baru dengan konfigurasi keamanan yang standar sehingga memastikan lingkungan yang konsisten dan aman untuk workloads.
Dashboard
Dengan menggunakan dashboard, Anda dapat mengelola dan memantau beberapa akun dari satu tempat, yang membuatnya lebih mudah untuk menemukan dan menangani masalah keamanan dan kepatuhan di seluruh organisasi. Dashboard juga menampilkan daftar akun yang telah disiapkan oleh perusahaan Anda beserta kontrol dan kebijakannya.
Keuntungan AWS Control Tower
Anda dapat menggunakan AWS Control Tower sebagai alat utama untuk membuat akun pengguna baru dan menyiapkan server baru dengan mudah. AWS Control Tower membantu Anda mengikuti standar bisnis, aturan regulasi, dan praktik terbaik secara efisien.
Dengan bantuan AWS Control Tower dan template akun yang dapat disesuaikan dari Account Factory, Anda dapat membuat akun AWS baru dengan cepat. Sementara itu, administrator pusat Anda dapat memastikan bahwa setiap akun mengikuti panduan keamanan dan kepatuhan perusahaan. Dengan menggabungkan best pratices dari berbagai bisnis, AWS Control Tower memberikan cara yang paling cepat untuk menciptakan dan menjaga lingkungan AWS multi-akun yang aman dan sesuai.
Keamanan di AWS Control Tower
Konsep AWS Shared Responsibility berlaku dalam konteks perlindungan data di dalam AWS Control Tower. Dalam model ini, AWS bertanggung jawab atas perlindungan infrastruktur global di seluruh AWS Cloud, sementara Anda memiliki tanggung jawab untuk menjaga kendali atas data dan konfigurasi keamanan Anda sendiri untuk layanan-layanan AWS yang Anda gunakan.
Untuk melindungi data, AWS menyarankan Anda untuk menjaga keamanan kredensial akun AWS dan mengatur pengguna akun melalui AWS Identity Center atau AWS Identity and Access Management (IAM). Dengan cara ini, setiap pengguna hanya memiliki izin yang diperlukan sesuai dengan tugas pekerjaan mereka. Selain itu, AWS merekomendasikan langkah-langkah berikut untuk mengamankan data Anda:
- Menggunakan multi-factor authentication (MFA) untuk setiap akun
- Menggunakan SSL/TLS untuk berkomunikasi dengan sumber daya AWS
- Mengatur logging aktivitas pengguna dan API dengan AWS CloudTrail
- Menggunakan solusi enkripsi AWS bersama dengan semua kontrol keamanan default dalam layanan AWS
- Menggunakan layanan managed security seperti Amazon Macie yang membantu dalam mengamankan data sensitif yang disimpan di Amazon S3.
Saat data disimpan, AWS Control Tower mengenkripsi data Anda dengan Amazon S3 dan database Amazon DynamoDB dengan menggunakan Amazon S3-Managed Keys (SSE-S3) untuk menjaga keamanan landing zone. Ketika sedang transit, AWS Control Tower menggunakan Transport Layer Security (TLS) untuk mengenkripsi data Anda.
Selain itu, akses ke AWS Control Tower hanya bisa dilakukan melalui konsol yang hanya tersedia melalui endpoint HTTPS. Pengaturan ini sudah tersedia secara otomatis saat Anda mengatur landing zone Anda.
Harga AWS Control Tower
AWS Control Tower tidak dikenakan biaya, namun ketika Anda mengonfigurasinya, Anda akan mulai dikenai biaya. Biaya hanya dikenakan berdasarkan penggunaan saja.
Sebagai contoh, jika Anda memutuskan untuk mengaktifkan subnet publik melalui konfigurasi pabrik akun AWS Control Tower, maka AWS Control Tower akan mengatur Amazon VPC untuk membuat NAT Gateway. Dalam hal ini, biaya untuk penggunaan NAT Gateway akan ditanggung oleh Anda dan direkam oleh Amazon VPC.
Jika Anda menjalankan workloads sementara dari akun AWS Control Tower, Anda mungkin akan dikenakan biaya karena AWS Config akan mencatat perubahan konfigurasi yang terjadi saat Anda membuat dan menghapus sumber daya sementara tersebut.
AWS Control Tower Bersama Central Data Technology
Ada banyak keuntungan yang dapat diperoleh dengan memanfaatkan AWS Control Tower. Platform ini tidak hanya mempermudah pengaturan dan pengelolaan lingkungan multi-akun di AWS, tetapi juga memberikan Anda alat untuk menjaga standar keamanan dan kepatuhan yang konsisten di seluruh infrastruktur AWS.
Dengan menggunakan AWS Control Tower, proses pengaturan menjadi lebih sederhana dan efisien. Selain itu, Anda dapat meningkatkan tingkat keamanan dengan menerapkan best practices yang disediakan oleh AWS Control Tower, seperti penerapan guardrails atau pembatas otomatis untuk menjaga keamanan.
Tidak hanya itu, AWS Control Tower juga membantu dalam manajemen yang efisien dari akun-akun AWS. Dengan kontrol sentral yang disediakan oleh AWS Control Tower, administrator dapat dengan mudah memantau dan mengelola semua akun dari satu tempat, memastikan konsistensi dan kepatuhan di seluruh organisasi.
Sebagai Advance Partner AWS, Central Data Technology dapat membantu Anda dalam menggunakan AWS Control Tower. Kami siap membantu Anda dalam mengoptimalkan penggunaan AWS Control Tower serta infrastruktur AWS Anda, memberikan dukungan yang diperlukan untuk memastikan keberhasilan implementasi dan operasional Anda. Dengan kolaborasi ini, Anda dapat memastikan bahwa Anda memanfaatkan AWS Control Tower secara maksimal untuk mencapai tujuan bisnis Anda dengan lebih efektif dan efisien.
