Analogi gedung kantor, badge tamu, dan akses antar lantai.

Bayangkan AWS seperti gedung perkantoran besar dengan banyak lantai, ruang server, ruang arsip, dan pintu khusus staf.

Di gedung kecil, satu kunci mungkin cukup. Tetapi ketika perusahaan tumbuh, satu kunci untuk semua orang menjadi berbahaya. Resepsionis butuh daftar tamu, karyawan butuh badge sesuai divisi, vendor butuh akses sementara, pelanggan aplikasi tidak boleh masuk ruang staf, dan cabang kantor lain butuh cara meminjam fasilitas tanpa mengambil alih gedung.

Di AWS, pola itu diterjemahkan menjadi IAM Identity Center untuk akses karyawan, federation untuk memakai identitas perusahaan, AWS STS untuk kredensial sementara, Amazon Cognito untuk pengguna aplikasi, Directory Service untuk Active Directory, cross-account access untuk berpindah akun secara aman, AWS RAM untuk berbagi resource, dan AWS Organizations untuk mengelola banyak akun sebagai satu lingkungan.

Menurut daftar layanan in-scope CLF-C02 dari AWS, topik identity, security, governance, Organizations, IAM Identity Center, Cognito, Directory Service, STS, dan RAM berada dalam area yang perlu dikenali kandidat. Modul ini tidak sedalam ujian Solutions Architect, tetapi kamu harus bisa memilih layanan yang benar dalam skenario singkat.

Sebelum memilih layanan, kenali siapa yang sedang meminta akses.

Kesalahan pemula biasanya dimulai dari satu pertanyaan yang tidak dijawab, siapa identitasnya?

Di AWS, identitas bukan hanya orang. Identitas bisa manusia internal, pengguna aplikasi, atau mesin. Setiap jenis punya layanan dan pola akses yang berbeda.

Definisi praktisnya sederhana. Authentication menjawab “siapa kamu?”, authorization menjawab “boleh melakukan apa?”, dan federation menjawab “bolehkah AWS mempercayai identitas dari sistem lain?”.

Tiga layanan yang paling sering tertukar di ujian adalah IAM, IAM Identity Center, dan Cognito. Ketiganya bicara soal akses, tetapi melayani aktor yang berbeda dan punya cakupan yang berbeda. Sebelum hafal fiturnya, kunci dulu satu pembeda inti, siapa yang login dan ke mana.

Kapan memakai apa?

Pusat akses untuk manusia internal di banyak akun dan aplikasi.

IAM Identity Center adalah “resepsionis pusat” yang mengatur siapa boleh masuk ke akun dan aplikasi mana.

AWS IAM Identity Center (nama lama: AWS Single Sign-On, diganti nama pada Juli 2022) menyediakan satu tempat untuk mengelola akses workforce user ke banyak AWS account dan aplikasi. Dalam pola multi-account modern, pengguna masuk ke AWS access portal, memilih akun, memilih permission set, lalu mendapatkan sesi akses sementara untuk bekerja. Namespace API lamanya (sso dan identitystore) tetap dipakai agar tidak merusak otomasi yang sudah ada, jadi jangan kaget bila masih melihat nama itu di dokumentasi teknis.

Komponen utamanya adalah identity source, users and groups, permission sets, account assignments, dan AWS access portal. Identity source bisa direktori bawaan IAM Identity Center, external identity provider seperti Okta atau Microsoft Entra ID, atau Active Directory melalui AWS Directory Service.

Kenapa tidak cukup pakai IAM user saja?

Bayangkan perusahaan dengan 200 karyawan dan 15 akun AWS. Tanpa Identity Center, kamu harus membuat IAM user di tiap akun, lalu mengelola 200 dikali 15 kombinasi password, rotasi, dan offboarding. Saat satu orang resign, kamu harus berburu akunnya di 15 tempat. Identity Center memindahkan daftar orang ke satu sumber, lalu menempelkan permission set ke akun yang relevan. Resign cukup dimatikan di satu tempat, dan akses ke semua akun otomatis hilang. Inilah alasan AWS merekomendasikannya sebagai jalur utama untuk akses manusia di lingkungan multi-account.

Permission set dengan analogi seragam kerja

Permission set mirip seragam kerja. Seragam “ReadOnly” hanya boleh melihat, seragam “Developer” boleh mengelola resource tertentu, dan seragam “Billing” fokus ke biaya. Saat permission set di-assign ke akun, IAM Identity Center memprovision IAM role di akun tersebut dan menempelkan kebijakan yang sesuai.

Kapan Identity Center dipakai?

Gunakan IAM Identity Center ketika organisasi punya banyak akun AWS, banyak tim, kebutuhan single sign-on, rotasi akses, atau ingin menghindari pembuatan IAM user untuk setiap karyawan di setiap akun. Untuk CLF-C02, jawaban “centralized access for workforce users across multiple AWS accounts” sangat kuat mengarah ke IAM Identity Center.

Cara AWS mempercayai identitas dari luar AWS tanpa menyalin semua password.

Federation seperti hotel yang menerima kartu identitas resmi dari perusahaan, bukan membuat KTP baru untuk setiap tamu.

Federation berarti AWS mempercayai identitas dari identity provider eksternal. Pengguna tidak harus punya password terpisah di AWS. Mereka login di IdP perusahaan, lalu AWS memberikan akses berdasarkan trust dan assignment yang sudah dikonfigurasi.

Federation dengan IAM Identity Center vs IAM langsung

AWS merekomendasikan IAM Identity Center untuk manajemen akses manusia secara terpusat pada banyak akun dalam AWS Organizations. Federation IAM langsung masih bisa dipakai untuk skenario tertentu, misalnya akun tunggal, deployment skala kecil, atau machine identity yang memakai OIDC. Untuk ujian, perhatikan kata kunci “multiple AWS accounts”, “centralized workforce access”, dan “corporate IdP”.

Kenapa federation lebih aman daripada IAM user permanen?

Dengan federation, organisasi tidak perlu mendistribusikan access key jangka panjang kepada manusia. Akses bisa dikendalikan dari IdP pusat, user yang resign bisa dinonaktifkan di satu tempat, dan sesi AWS biasanya berbasis kredensial sementara.

Kunci sementara lebih aman daripada kunci permanen.

AWS STS seperti mesin pembuat badge sementara, badge punya masa berlaku dan hanya membuka pintu tertentu.

AWS Security Token Service (AWS STS) menerbitkan temporary security credentials. Kredensial sementara bekerja mirip access key, tetapi punya masa berlaku dan menyertakan session token. Pola ini lebih aman daripada menyimpan access key jangka panjang di laptop, server, atau pipeline.

IAM role bukan user dan tidak punya password permanen. Role memiliki dua sisi penting. Trust policy menjawab siapa boleh mengambil role ini, sedangkan permissions policy menjawab apa yang boleh dilakukan setelah role berhasil diasumsikan.

Contoh pemakaian role dan STS

Aplikasi di EC2 butuh membaca S3, berikan IAM role ke instance, bukan access key di file konfigurasi. Lambda butuh menulis CloudWatch Logs, berikan execution role. Developer dari akun pusat butuh memeriksa akun produksi, gunakan cross-account role dengan sesi sementara. Pipeline GitHub Actions butuh deploy ke AWS, gunakan OIDC federation ke IAM role, bukan access key statis di secret repository.

Mengakses akun lain tanpa membagikan password akun itu.

Cross-account access seperti cabang Jakarta meminjam ruang rapat cabang Bandung dengan surat izin, bukan meminta kunci master cabang Bandung.

Dalam arsitektur multi-account, kamu sering memisahkan akun berdasarkan lingkungan atau fungsi, misalnya shared-services, security, dev, test, dan prod. Agar tim pusat bisa bekerja lintas akun, AWS menyediakan pola cross-account access dengan IAM role, resource-based policy, atau AWS RAM untuk resource tertentu.

Alur cross-account role

Resource-based policy vs role proxy

Beberapa layanan mendukung resource-based policy, misalnya bucket policy di S3. Resource policy menyatakan langsung principal mana yang boleh mengakses resource. Jika resource tidak mendukung resource-based policy, pola umum adalah memakai IAM role sebagai “proxy” di akun target.

Jangan pakai IAM Identity Center untuk pelanggan aplikasi publik.

Cognito adalah loket login untuk pengguna aplikasi, bukan meja admin AWS untuk karyawan.

Amazon Cognito membantu developer menambahkan sign-up, sign-in, dan kontrol akses untuk aplikasi web atau mobile. Cognito sering muncul di soal CLF-C02 ketika ada kata kunci pelanggan, user aplikasi, mobile app, web app, social login, atau user directory untuk aplikasi.

Urutan dua komponen ini yang sering dibalik peserta. Pengguna login dulu ke user pool dan mendapat token JWT. Kalau aplikasi cuma butuh tahu “ini siapa” dan menyimpan data lewat backend sendiri, user pool saja sudah cukup. Identity pool baru dipakai ketika aplikasi perlu memanggil AWS secara langsung dari sisi klien, misalnya upload langsung ke S3, lalu token tadi ditukar menjadi kredensial AWS sementara yang dipetakan ke IAM role.

Skenario nyata

Online shop skincare punya pelanggan yang membuat akun, login dengan email, dan melihat riwayat pesanan. Ini cocok dengan Cognito user pool. Jika aplikasi mobile perlu upload foto profil langsung ke S3 dengan izin terbatas per user, identity pool bisa memberikan kredensial sementara yang dipetakan ke role khusus.

Bedakan dari IAM Identity Center

IAM Identity Center melayani workforce user seperti developer, finance, security, dan auditor. Cognito melayani application user seperti pelanggan, member, siswa, atau pengguna SaaS. Jika soal menyebut “customer identity and access management” atau “mobile and web app users”, arahkan ke Cognito.

Saat organisasi sudah hidup dengan Microsoft AD.

Directory Service seperti jembatan antara buku telepon perusahaan lama dan gedung cloud AWS.

AWS Directory Service membantu menjalankan atau menghubungkan direktori Microsoft Active Directory dengan AWS. Ini relevan ketika perusahaan punya Windows workload, kebijakan domain, user AD, atau ingin memakai kredensial perusahaan yang sudah ada untuk aplikasi dan layanan AWS tertentu.

IAM Identity Center dapat menggunakan Active Directory sebagai identity source melalui Directory Service. Artinya user dan group tetap berasal dari AD, lalu assignment ke AWS account atau aplikasi dikelola di IAM Identity Center.

Kapan Directory Service dipilih?

Pilih Directory Service jika soal menyebut Microsoft Active Directory, domain join, Windows workload, kredensial AD, atau integrasi direktori perusahaan. Jangan memilih Cognito untuk login karyawan Windows domain, dan jangan memilih IAM user untuk menggantikan direktori perusahaan yang sudah ada.

Multi-account bukan hanya banyak akun, tetapi pola tata kelola.

AWS Organizations adalah peta gedung, SCP dan RCP adalah pagar maksimum, dan RAM adalah cara berbagi fasilitas antar ruangan.

AWS Organizations membantu mengelola banyak akun AWS secara terpusat. Kamu bisa mengelompokkan akun ke dalam Organizational Unit (OU), memakai consolidated billing, mengatur guardrail dengan Service Control Policy (SCP) dan Resource Control Policy (RCP), dan mengintegrasikan layanan seperti IAM Identity Center dan AWS RAM.

SCP bukan pemberi izin

SCP adalah guardrail maksimum. SCP tidak memberi izin. Izin tetap harus diberikan oleh identity-based policy atau resource-based policy. Jika IAM policy mengizinkan ec2:*, tetapi SCP memblokir EC2 di OU tersebut, user tetap tidak bisa menjalankan EC2. Bahkan AdministratorAccess di sebuah member account tetap terblokir bila SCP melarang aksinya.

Dua batasan SCP yang sering jadi jebakan

Ada dua hal yang sering keliru dipahami soal SCP. Pertama, SCP tidak berlaku untuk management account, hanya untuk akun member. Jadi jawaban “pasang SCP untuk mengunci management account” adalah perangkap, itu tidak bekerja. Inilah salah satu alasan kuat kenapa kamu tidak menaruh workload biasa di management account. Kedua, SCP butuh AWS Organizations dalam mode all features, ia tidak tersedia bila organisasi hanya memakai fitur consolidated billing saja. SCP juga tidak membatasi service-linked role.

RCP, pagar di sisi resource

Sejak November 2024, AWS menambahkan Resource Control Policy (RCP) sebagai tipe kebijakan otorisasi baru di Organizations. Kalau SCP membatasi apa yang boleh dilakukan oleh principal (user dan role), RCP membatasi apa yang boleh dilakukan terhadap resource. RCP adalah pagar data perimeter, awalnya mendukung S3, STS, SQS, KMS, dan Secrets Manager. Sama seperti SCP, RCP tidak memberi izin, ia hanya menyempitkan. Keduanya guardrail, bukan pemberi akses, dan tidak ada biaya tambahan.

AWS RAM untuk berbagi resource

AWS Resource Access Manager (AWS RAM) membantu share resource yang didukung ke akun lain, OU, atau seluruh organization, dan untuk sebagian tipe resource juga ke IAM role atau user tertentu. Contohnya, tim network dapat membuat subnet VPC, Transit Gateway, atau Route 53 Resolver rule di akun pusat, lalu membuatnya bisa dipakai oleh akun aplikasi tanpa menggandakan resource. RAM gratis dipakai, kamu hanya membayar resource yang dibagikan. RAM bukan alat untuk login lintas akun dan bukan cara berbagi semua jenis resource secara bebas.

Dari plumbing manual menuju landing zone yang sudah tertata.

Jika Organizations adalah rangka dan pipa gedung, Control Tower adalah kontraktor yang langsung menyerahkan gedung siap huni dengan satpam dan CCTV terpasang.

Membangun multi-account yang aman dengan Organizations saja butuh banyak keputusan manual: bikin OU, atur SCP, siapkan akun untuk log, akun untuk audit, lalu sambungkan semuanya. AWS Control Tower mengotomasi semua itu menjadi sebuah landing zone, yaitu lingkungan multi-account yang sudah tertata mengikuti praktik baik AWS sejak menit pertama.

Saat diaktifkan, Control Tower menyiapkan management account dengan consolidated billing, lalu membuat dua akun khusus: Log Archive untuk menampung log secara terpusat dan Audit untuk akses keamanan lintas akun. Di atasnya, Control Tower menerapkan controls atau guardrails: preventif (mencegah aksi, biasanya lewat SCP), detektif (mendeteksi pelanggaran), dan proaktif (menolak resource yang tidak patuh sebelum dibuat). Control Tower sendiri tidak memungut biaya terpisah, kamu hanya membayar layanan yang ia jalankan di baliknya.

Consolidated billing, satu tagihan untuk banyak akun

Salah satu manfaat paling konkret dari Organizations adalah consolidated billing. Semua akun member dibayar lewat satu tagihan di management account, jadi finance cukup melihat satu invoice, bukan belasan. Lebih dari sekadar kerapian, pemakaian semua akun digabung untuk menghitung volume discount, dan komitmen seperti Reserved Instances serta Savings Plans bisa dibagi lintas akun. Akun yang sepi memakai sisa komitmen akun yang sibuk, sehingga diskon tidak terbuang.

Latihan mental untuk membangun akses multi-account yang rapi.

Hands-on ini tidak wajib kamu jalankan sekarang, tetapi pahami urutannya seperti arsitek yang menggambar peta akses.

Mini skenario

Tim developer ingin deploy ke akun dev, membaca log di akun prod, tetapi tidak boleh menghapus resource produksi. Solusi yang sehat adalah group Developers di IAM Identity Center, permission set lebih luas untuk akun dev, permission set read-only untuk akun prod, dan pipeline deploy memakai role terpisah dengan izin minimum.

Bagian ini sengaja dibuat eksplisit karena soal CLF-C02 sering menukar istilah.

Banyak jawaban salah terasa benar karena semua berbicara tentang “akses”, padahal identitasnya berbeda.

Sumber resmi untuk review

• AWS CLF-C02 in-scope services
• AWS IAM Identity Center User Guide
• IAM identity providers and federation
• Temporary security credentials in IAM
• Amazon Cognito Developer Guide
• AWS Directory Service Administration Guide
• AWS Resource Access Manager User Guide
• AWS Organizations SCP documentation
• AWS Organizations RCP documentation
• AWS Control Tower User Guide

Peta hafalan cepat untuk CLF-C02.

Inti modul ini adalah memilih layanan identitas berdasarkan jenis pengguna dan konteks multi-account.

Pemetaan ke domain CLF-C02

Tips ujian super cepat