Beberapa hal ini yang perlu kamu lakukan disaat pertama kali kamu buat akun AWS.

aws_blog_first_things_to_do.md

0. Ubah email address yang digunakan pada root account.

   Ini hanya berlaku kalau email yang kamu gunakan adalah email pribadi dan juga AWS account kamu bukan digunakan untuk keperluan pribadi kamu sendiri, tapi merupakan akun organisasi atau perusahaan. Email yang digunakan pada AWS account haruslah selalu dapat diakses oleh lebih dari satu orang. Kamu bisa membuat email alias misalnya aws-account@namaperusahaan.com yang diforward ke beberapa email pribadi.

   Hindarkan penggunaan email menggunakan domain gratisan seperti gmail.com, yahoo.com dan pastikan kamu secara aktif selalu membaca email dari AWS. AWS akan melakukan pengecekan fraud dan bisa saja karena hal tertentu akun kamu dianggap memiliki potensi fraud dan AWS mengirimkan email konfirmasi. Jangan sampai anda tidak mejawab email tersebut dan menyesal karena akun anda diblok.

1. Nyalakan Multi Factor Authentication (MFA) pada Root Account kamu

   Kamu bisa menggunakan Virtual MFA device yaitu aplikasi yang diinstal di handphone kamu ataupun devais khusus MFA atau devais U2F. Devais atau aplikasi tersebut akan membangkitkan 6 digit angka OTP (One-time password). Kelak AWS juga akan mendukung MFA menggunakan SMS.

   Kalau kamu pake hp Android, beberapa aplikasi yang bisa digunakan diantaranya adalah 2FA Authenticator atau Google Authenticator

2. Buat user administrator dan berhentilah menggunakan root account.

   Root account user kamu sebaiknya tidak digunakan untuk keperluan sehari-hari, gunakan saat darurat saja. Sebagai pengganti, buatlah sebuah IAM user Administrator yang memiliki policy AdministratorAccess. Saya sarankan kamu buat sebuah Group dengan nama admingroup kemudian attach policy tersebut.

   User Admin dengan policy AdministorAccess ini seperti root user tapi dia tidak memiliki akses ke informasi billing atau mengubah konfigurasi billing. Untuk itu kamu bisa tambahkan policy BillingFullAccess

   • Pasang mekanisme untuk mendeteksi aktifitas root user
   • Buat juga group atau user yang memiliki policy untuk mengakses informasi billing atau merubah konfigurasi const management.
   • Jika perusahaan kamu menggunakan Active Directory/LDAP atau SSO, sebaiknya integrasikan otentikasi AWS users kamu dengan sistem tersebut.

3. Paksakan user untuk mengikuti aturan penggunaan password dengan password policy.

   Pastikan kamu memasang password policy agar password yang digunakan oleh IAM user cukup kuat atau tidak mudah ditebak dan selalu diganti setelah jangka waktu tertentu.

4. Buat childs account dengan menggunakan AWS Organization.

   Kamu mungkin akan perlu membuat beberapa lingkungan untuk menjalankan aplikasi atau sistem kamu di AWS, misalnya lingkungan untuk bermain-main atau latihan (sering disebut sandbox), atau lingkungan development, staging dan produksi. Ada banyak alasan mengapa tiap lingkungan tersebut harus saling terisolasi, diantaranya adalah membuat sistem lebih aman, perlu memberikan akses yang berbeda kepada grup pengguna misalnya developer, support engineer, vendor dan lain-lain. Selain itu osolasi juga akan membuat blast radius-nya (efek kerusakan) tidak besar jika terjadi masalah.

   Untuk memberikan identifikasi sistem atau service kamu termasuk pada lingkungan yang mana, kamu bisa aja pakai tagging. Tapi tagging tidak memberikan lapisan isolasi, sehingga akan merepotkan jika kamu harus mengatur pembatasan antar lingkungan. Oleh karena itu sebaiknya kamu bikin lapisan isolasi sesuai kebutuhan. Bisa saja kamu menggunakan VPC yang berbeda untuk masing-masing lingkungan sehingga lingkungan terisolasi secara jaringan, tapi saya sarankan kamu membuat child account dengan AWS Organization untuk suatu lingkungan tertentu agar level isolasinya lebih kuat. Jadi kamu nantinya akan punya AWS account untuk lingkungan Development misalnya, dan punya AWS account lain untuk lingkungan Production.

   • Terapkan best practices di master account
   • Buatlah minimal 2 child accounts, masing-masing untuk Development atau Sandbox dan untuk Production.
   • Buat juga account alias untuk setiap account tersebut untuk kemudahan akses.
   • Pasang Service Policy untuk semua child accounts tersebut diantaranya:
     • Prevent IAM users and roles from making specified changes, with an exception for a specified admin role
     • Deny access to AWS based on the requested AWS Region
     • Require a tag on specified created resources
   • Poin diatas artinya kamu perlu lakukan perencanaan terkait AWS Region mana saja yang akan kamu gunakan, strategy tagging, services apa saja yg akan/boleh digunakan.
   • Buat role dan grant access ke role yang dibutuhkan untuk IAM user dari master account ke account Development dan Production
   • Beberapa tautan untuk mempelajari lebih lanjut tentang mendesain dan menggunakan AWS Organization:
     • https://d0.awsstatic.com/aws-answers/AWS_Multi_Account_Security_Strategy.pdf
     • https://aws.amazon.com/blogs/mt/best-practices-for-organizational-units-with-aws-organizations/
     • https://aws.amazon.com/blogs/mt/supercharge-multi-account-management-with-aws-cloudformation/
     • https://aws.amazon.com/blogs/security/how-to-use-a-single-iam-user-to-easily-access-all-your-accounts-by-using-the-aws-cli/

5. Aktifkan Billing Alert dan buat Billing Alarm sesuai dengan kempuan bayar kamu

   • Kamu bisa cari video tutorial/demo di Youtube buat tau bagaimana caranya.

6. Buat sebuah VPC baru sesuai kebutuhan atau paling tidak buatlah VPC dengan private dan public subnets minimal di 2 availability zones (AZ).

   • Kalau terburu-buru, kamu bisa pakai CloudFormation template yang disediakan disini untuk membuat VPC dengan arsitektur seperti ini.
   • Tapi lebih baik luangkan waktu untuk merencanakan aritektur jaringan kamu. Pertimbangakan baik-baik dalam menentukan CIDR untuk VPC & Subnet, pasang Network ACL, routing dan hal lainnya serta perhatikan kebutuhan untuk interkoneksi ke VPC lain, ke on-premise DC, atau ke cloud lain.

7. Setup CloudTrail logs pada root account untuk mendeteksi kalau ada akses dari orang yang tidak berhak.

   • Pertimbangkan untuk menyalakan CloudTrail logs pada region yang akan kamu pakai.
   • Pilih untuk menyalakan Trail untuk seluruh akun dalam organization