Pembuatan kebijakan IAM Access Analyzer - AWS Identity and Access Management
Cara kerja pembuatan kebijakanInformasi tingkat tindakan dan layananHal yang perlu diketahuiIzin diperlukanMenghasilkan kebijakan berdasarkan CloudTrail aktivitas (konsol)Buat kebijakan menggunakan AWS CloudTrail data di akun lainMenghasilkan kebijakan berdasarkan CloudTrail aktivitas (AWS CLI)Menghasilkan kebijakan berdasarkan CloudTrail aktivitas (AWS API)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pembuatan kebijakan IAM Access Analyzer

Sebagai administrator atau pengembang, Anda dapat memberikan izin kepada entitas IAM (pengguna atau peran) di luar yang mereka butuhkan. IAM menyediakan beberapa opsi untuk membantu Anda memperbaiki izin yang Anda berikan. Salah satu opsi adalah membuat kebijakan IAM yang didasarkan pada aktivitas akses untuk suatu entitas. IAM Access Analyzer meninjau AWS CloudTrail log Anda dan menghasilkan templat kebijakan yang berisi izin yang digunakan entitas dalam rentang tanggal yang ditentukan. Anda dapat menggunakan templat untuk membuat kebijakan dengan izin mendetail yang memberikan hanya izin yang diperlukan untuk mendukung kasus penggunaan khusus Anda.

Topik

Cara kerja pembuatan kebijakan

IAM Access Analyzer menganalisis CloudTrail peristiwa Anda untuk mengidentifikasi tindakan dan layanan yang telah digunakan oleh entitas IAM (pengguna atau peran). Ini kemudian menghasilkan kebijakan IAM yang didasarkan pada aktivitas itu. Anda dapat menyempurnakan izin entitas saat mengganti kebijakan izin luas yang dilampirkan ke entitas dengan kebijakan yang dibuat. Berikut ini adalah gambaran umum tingkat tinggi tentang proses pembuatan kebijakan.

  • Menyiapkan pembuatan templat kebijakan - Anda menentukan jangka waktu hingga 90 hari untuk IAM Access Analyzer untuk menganalisis peristiwa historis AWS CloudTrail Anda. Anda harus menentukan peran layanan yang sudah ada atau membuat peran layanan baru. Peran layanan memberikan IAM Access Analyzer akses ke CloudTrail jejak Anda dan informasi layanan yang terakhir diakses untuk mengidentifikasi layanan dan tindakan yang digunakan. Anda harus menentukan CloudTrail jejak yang mencatat peristiwa untuk akun sebelum Anda dapat membuat kebijakan. Untuk informasi selengkapnya tentang kuota IAM Access Analyzer untuk CloudTrail data, lihat kuota IAM Access Analyzer.

  • Buat kebijakan — IAM Access Analyzer menghasilkan kebijakan berdasarkan aktivitas akses di acara Anda CloudTrail .

  • Meninjau dan menyesuaikan kebijakan — Setelah kebijakan dibuat, Anda dapat meninjau layanan dan tindakan yang digunakan oleh entitas selama rentang tanggal yang ditentukan. Anda dapat lebih menyesuaikan kebijakan dengan menambahkan atau menghapus izin, menentukan sumber daya, dan menambahkan syarat ke templat kebijakan.

  • Buat dan lampirkan kebijakan — Anda memiliki opsi untuk menyimpan kebijakan yang dihasilkan dengan membuat kebijakan terkelola. Anda dapat melampirkan kebijakan yang Anda buat untuk pengguna atau peran yang aktivitasnya digunakan untuk menghasilkan kebijakan.

Informasi tingkat tindakan dan layanan

Saat IAM Access Analyzer membuat kebijakan IAM, informasi akan dikembalikan untuk membantu Anda menyesuaikan kebijakan lebih lanjut. Dua kategori informasi dapat dihasilkan ketika kebijakan yang membuat:

  • Kebijakan dengan informasi tingkat tindakan — Untuk beberapa AWS layanan, seperti Amazon EC2, IAM Access Analyzer dapat mengidentifikasi tindakan yang ditemukan dalam acara CloudTrail Anda dan mencantumkan tindakan yang digunakan dalam kebijakan yang dihasilkannya. Untuk daftar layanan yang didukung, lihatLayanan pembuatan kebijakan IAM Access Analyzer. Untuk beberapa layanan, IAM Access Analyzer meminta Anda untuk menambahkan tindakan untuk layanan ke kebijakan yang dihasilkan.

  • Kebijakan dengan informasi tingkat layanan — IAM Access Analyzer menggunakan informasi yang terakhir diakses untuk membuat templat kebijakan dengan semua layanan yang baru digunakan. Saat menggunakan AWS Management Console, kami meminta Anda untuk meninjau layanan dan menambahkan tindakan untuk menyelesaikan kebijakan.

Untuk daftar tindakan di setiap layanan, lihat Tindakan, Sumber Daya, dan Kunci Kondisi untuk AWS Layanan di Referensi Otorisasi Layanan.

Hal yang perlu diketahui tentang pembuatan kebijakan

Sebelum Anda membuat kebijakan, tinjau detail penting berikut ini.

  • Aktifkan CloudTrail jejak — Anda harus mengaktifkan CloudTrail jejak untuk akun Anda untuk membuat kebijakan berdasarkan aktivitas akses. Saat Anda membuat CloudTrail jejak, CloudTrail kirimkan peristiwa yang terkait dengan jejak Anda ke bucket Amazon S3 yang Anda tentukan. Untuk mempelajari cara membuat CloudTrail jejak, lihat Membuat jejak untuk AWS akun Anda di Panduan AWS CloudTrail Pengguna.

  • Peristiwa data tidak tersedia — IAM Access Analyzer tidak mengidentifikasi aktivitas tingkat tindakan untuk peristiwa data, seperti peristiwa data Amazon S3, dalam kebijakan yang dihasilkan.

  • PassRoleiam:PassRoleTindakan tidak dilacak oleh CloudTrail dan tidak termasuk dalam kebijakan yang dihasilkan.

  • Mengurangi waktu pembuatan kebijakan — Untuk menghasilkan kebijakan lebih cepat, kurangi rentang tanggal yang Anda tentukan selama penyiapan pembuatan kebijakan.

  • Gunakan CloudTrail untuk audit - Jangan gunakan pembuatan kebijakan untuk tujuan audit; gunakan CloudTrail sebagai gantinya. Untuk informasi selengkapnya tentang penggunaan CloudTrail, lihat Mencatat panggilan IAM dan AWS STS API dengan AWS CloudTrail.

  • Tindakan yang ditolak — Pembuatan kebijakan meninjau semua CloudTrail peristiwa, termasuk tindakan yang ditolak.

  • Satu konsol IAM kebijakan — Anda dapat memiliki satu kebijakan yang dihasilkan pada satu waktu di konsol IAM.

  • Konsol IAM ketersediaan kebijakan yang dihasilkan — Anda dapat meninjau kebijakan yang dihasilkan di konsol IAM hingga 7 hari setelah dibuat. Setelah 7 hari, Anda harus membuat kebijakan baru.

  • Kuota pembuatan kebijakan - Untuk informasi tambahan tentang kuota pembuatan kebijakan IAM Access Analyzer, lihat kuota IAM Access Analyzer.

  • Tarif standar Amazon S3 berlaku — Saat Anda menggunakan fitur pembuatan kebijakan, IAM Access Analyzer meninjau CloudTrail log di bucket S3 Anda. Tidak ada biaya penyimpanan tambahan untuk mengakses CloudTrail log Anda untuk pembuatan kebijakan. AWS mengenakan tarif standar Amazon S3 untuk permintaan dan transfer data CloudTrail log yang disimpan di bucket S3 Anda.

  • AWS Control Tower dukungan — Pembuatan kebijakan tidak mendukung AWS Control Tower pembuatan kebijakan.

Izin diperlukan untuk menghasilkan kebijakan

Izin yang Anda butuhkan untuk membuat kebijakan untuk pertama kalinya berbeda dari yang Anda butuhkan untuk menghasilkan kebijakan untuk penggunaan berikutnya.

Penyiapan pertama kali

Ketika Anda membuat kebijakan untuk kali pertama, Anda harus memilih opsi Peran layanan yang sudah ada di akun Anda atau buat peran layanan baru. Peran layanan memberikan IAM Access Analyzer akses ke CloudTrail dan layanan informasi yang terakhir diakses di akun Anda. Hanya administrator yang harus memiliki izin yang diperlukan untuk membuat dan mengonfigurasi peran. Oleh karena itu, kami merekomendasikan agar administrator menciptakan peran layanan selama penyiapan pertama kali. Untuk mempelajari lebih lanjut tentang izin yang diperlukan untuk membuat peran layanan, lihat Membuat peran untuk mendelegasikan izin ke layanan. AWS

Bila Anda membuat peran layanan, Anda mengonfigurasi dua kebijakan untuk peran tersebut. Anda melampirkan Kebijakan izin IAM ke peran yang menentukan apa yang dapat dilakukan peran tersebut. Anda juga melampirkan kebijakan kepercayaan peran untuk peran yang menentukan penanggung jawab yang dapat menggunakan peran.

Contoh kebijakan pertama menunjukkan kebijakan izin untuk peran layanan yang diperlukan untuk menghasilkan kebijakan. Contoh kebijakan kedua menunjukkan kebijakan kepercayaan peran yang diperlukan untuk peran layanan. Anda dapat menggunakan kebijakan ini untuk membantu Anda membuat peran layanan saat menggunakan AWS API atau AWS CLI membuat kebijakan. Saat Anda menggunakan konsol IAM untuk membuat peran layanan sebagai bagian dari proses pembuatan kebijakan, kami membuat kebijakan ini untuk Anda.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "cloudtrail:GetTrail",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetServiceLastAccessedDetails",
                "iam:GenerateServiceLastAccessedDetails"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
            ]
        }
    ]
}

Contoh kebijakan berikut menunjukkan kebijakan kepercayaan peran dengan izin yang memungkinkan IAM Access Analyzer untuk mengambil peran.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "access-analyzer.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
Penggunaan selanjutnya

Untuk membuat kebijakan di AWS Management Console, pengguna IAM harus memiliki kebijakan izin yang memungkinkan mereka meneruskan peran layanan yang digunakan untuk pembuatan kebijakan ke IAM Access Analyzer. iam:PassRolebiasanya disertai dengan iam:GetRole agar pengguna bisa mendapatkan detail peran yang akan dilewati. Dalam contoh ini, pengguna hanya dapat meneruskan peran yang ada dalam akun yang ditentukan dengan nama yang dimulai dengan AccessAnalyzerMonitorServiceRole*. Untuk mempelajari selengkapnya tentang meneruskan peran IAM ke AWS layanan, lihat Memberikan izin pengguna untuk meneruskan peran ke layanan. AWS 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowUserToPassRole",
      "Effect": "Allow",
      "Action": [
        "iam:GetRole",
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::123456789012:role/service-role/AccessAnalyzerMonitorServiceRole*"
    }
  ]
}

Anda juga harus memiliki izin IAM Access Analyzer berikut untuk membuat kebijakan di AWS API AWS Management Console, atau AWS CLI seperti yang ditunjukkan dalam pernyataan kebijakan berikut.

{
  "Sid": "AllowUserToGeneratePolicy",
  "Effect": "Allow",
  "Action": [
    "access-analyzer:CancelPolicyGeneration",
    "access-analyzer:GetGeneratedPolicy",
    "access-analyzer:ListPolicyGenerations",
    "access-analyzer:StartPolicyGeneration"
  ],
  "Resource": "*"
}
Untuk penggunaan pertama dan selanjutnya

Ketika Anda menggunakan AWS Management Console untuk membuat kebijakan, Anda harus memiliki cloudtrail:ListTrails izin untuk membuat daftar CloudTrail jejak di akun Anda seperti yang ditunjukkan dalam pernyataan kebijakan berikut.

{
  "Sid": "AllowUserToListTrails",
  "Effect": "Allow",
  "Action": [
    "CloudTrail:ListTrails"
  ],
  "Resource": "*"
}

Menghasilkan kebijakan berdasarkan CloudTrail aktivitas (konsol)

Anda dapat membuat kebijakan untuk pengguna atau peran IAM.

Langkah 1: Buat kebijakan berdasarkan CloudTrail aktivitas

Prosedur berikut menjelaskan cara menghasilkan kebijakan untuk peran yang menggunakan AWS Management Console.

Menghasilkan kebijakan untuk peran IAM

  1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Pada panel navigasi di sebelah kiri, pilih Peran.

    catatan

    Langkah-langkah untuk menghasilkan kebijakan berdasarkan aktivitas untuk pengguna IAM hampir identik. Untuk melakukannya, pilih Pengguna sebagai ganti Peran.

  3. Dalam daftar peran di akun Anda, pilih nama peran yang aktivitasnya ingin Anda gunakan untuk menghasilkan kebijakan.

  4. Pada tab Izin, di bagian Buat kebijakan berdasarkan CloudTrail peristiwa, pilih Buat kebijakan.

  5. Pada halaman Buat kebijakan, tentukan periode waktu yang Anda inginkan IAM Access Analyzer untuk menganalisis CloudTrail peristiwa Anda untuk tindakan yang diambil dengan peran tersebut. Anda dapat memilih rentang hingga 90 hari. Kami menyarankan Anda memilih periode waktu sesingkat mungkin untuk mengurangi waktu pembuatan kebijakan.

  6. Di bagian CloudTrail akses, pilih peran yang ada yang sesuai atau buat peran baru jika peran yang sesuai tidak ada. Peran tersebut memberikan izin IAM Access Analyzer untuk mengakses CloudTrail data Anda atas nama Anda guna meninjau aktivitas akses guna mengidentifikasi layanan dan tindakan yang telah digunakan. Untuk mempelajari lebih lanjut tentang izin yang diperlukan untuk peran ini, lihatIzin diperlukan untuk menghasilkan kebijakan.

  7. Di bagian CloudTrail jejak yang akan dianalisis, tentukan CloudTrail jejak yang mencatat peristiwa untuk akun tersebut.

    Jika Anda memilih CloudTrail jejak yang menyimpan log di akun yang berbeda, kotak informasi tentang akses lintas akun akan ditampilkan. Akses lintas akun memerlukan pengaturan tambahan. Untuk mempelajari lebih lanjut, lihat Choose a role for cross-account access nanti dalam topik ini.

  8. Pilih Buat kebijakan.

  9. Sementara pembuatan kebijakan sedang berlangsung, Anda akan dikembalikan ke halaman Ringkasan Peran tab Izin. Tunggu hingga status di bagian Detail permintaan kebijakanmenampilkan bagian Sukses, lalu pilih Lihat kebijakan yang dibuat. Anda dapat melihat kebijakan yang dihasilkan hingga tujuh hari. Jika Anda membuat kebijakan lain, kebijakan yang ada diganti dengan yang baru yang Anda buat.

Langkah 2: Tinjau izin dan tambahkan tindakan untuk layanan yang digunakan

Tinjau layanan dan tindakan yang diidentifikasi oleh IAM Access Analyzer bahwa peran yang digunakan. Anda dapat menambahkan tindakan untuk setiap layanan yang digunakan untuk templat kebijakan yang dihasilkan.

  1. Tinjau bagian berikut:

    • Pada Tinjau izin, tinjau daftarTindakan yang disertakan dalam kebijakan yang dihasilkan. Daftar ini menampilkan layanan dan tindakan yang diidentifikasi oleh IAM Access Analyzer yang digunakan oleh peran dalam rentang tanggal yang ditentukan.

    • Bagian Layanan yang digunakan menampilkan layanan tambahan yang diidentifikasi oleh IAM Access Analyzer yang digunakan oleh peran dalam rentang tanggal yang ditentukan. Informasi tentang tindakan yang digunakan mungkin tidak tersedia untuk layanan yang tercantum dalam bagian ini. Gunakan menu untuk setiap layanan yang tercantum untuk secara manual memilih tindakan yang ingin Anda sertakan dalam kebijakan.

  2. Setelah selesai menambahkan tindakan, pilih Next (Berikutnya).

Langkah 3: Selanjutnya sesuaikan kebijakan yang dihasilkan

Anda dapat lebih lanjut menyesuaikan kebijakan dengan menambahkan atau menghapus izin atau menentukan sumber daya.

Untuk menyesuaikan kebijakan yang dihasilkan

  1. Memperbarui templat kebijakan. Templat kebijakan berisi placeholder ARN sumber daya untuk tindakan yang mendukung izin tingkat sumber daya, seperti yang ditunjukkan pada gambar berikut. Izin tingkat sumber daya mengacu pada kemampuan untuk menentukan sumber daya mana yang boleh digunakan oleh para pengguna untuk melakukan tindakan. Kami menyarankan agar Anda menggunakan ARN untuk menentukan sumber daya individu Anda dalam kebijakan untuk tindakan yang mendukung izin tingkat sumber daya. Anda dapat mengganti sumber daya pengganti ARN dengan ARN sumber daya yang valid untuk kasus penggunaan Anda.

    Jika suatu tindakan tidak mendukung izin tingkat sumber daya, Anda harus menggunakan wildcard (*) untuk menentukan bahwa semua sumber daya dapat dipengaruhi oleh tindakan tersebut. Untuk mempelajari AWS layanan mana yang mendukung izin tingkat sumber daya, lihat AWS layanan yang berfungsi dengan IAM. Untuk daftar tindakan di setiap layanan, dan untuk mempelajari tindakan mana yang mendukung izin tingkat sumber daya, lihat Tindakan, Sumber Daya, dan Kunci Syarat untuk Layanan AWS.

    Pengganti ARN sumber daya dalam templat kebijakan

  2. (Opsional) Tambahkan, modifikasi, atau hapus pernyataan kebijakan JSON dalam templat. Untuk mempelajari selengkapnya tentang menulis kebijakan JSON, lihat Membuat kebijakan IAM (konsol).

  3. Setelah selesai menyesuaikan templat kebijakan, Anda akan memiliki opsi berikut:

    • (Opsional) Anda dapat menyalin JSON dalam templat untuk menggunakan secara terpisah di luar halaman Kebijakan yang dihasilkan. Misalnya, jika Anda ingin menggunakan JSON untuk membuat kebijakan di akun yang berbeda. Jika kebijakan dalam templat Anda melebihi batas 6.144 karakter untuk kebijakan JSON, kebijakan dibagi menjadi beberapa kebijakan.

    • Pilih Next (Berikutnya) untuk meninjau dan membuat kebijakan terkelola di akun yang sama.

Langkah 4: Tinjau dan buat kebijakan terkelola

Jika Anda memiliki izin untuk membuat dan melampirkan kebijakan IAM, Anda dapat membuat kebijakan terkelola dari kebijakan yang dibuat. Anda kemudian dapat melampirkan kebijakan ke pengguna atau peran di akun Anda.

Untuk meninjau dan membuat kebijakan

  1. Pada halaman Tinjau dan buat kebijakan terkelola, masukkan Nama dan Deskripsi (opsional) untuk kebijakan yang Anda buat.

  2. (Opsional) Di bagian Summary (Ringkasan), Anda dapat meninjau izin yang akan disertakan dalam kebijakan.

  3. (Opsional) Tambahkan metadata ke kebijakan dengan melampirkan tanda sebagai pasangan nilai kunci. Untuk informasi lebih lanjut tentang penggunaan tanda dan IAM, lihat Penandaan sumber daya IAM.

  4. Setelah selesai, lakukan salah satu hal berikut:

    • Anda dapat melampirkan kebijakan baru langsung ke peran yang digunakan untuk menghasilkan kebijakan. Untuk melakukannya, di dekat bagian bawah halaman, pilih kotak centang di samping Lampirkan kebijakan ke YourRoleNama. Kemudian pilih Create and attach policy (Membuat dan melampirkan kebijakan).

    • Atau, pilih Buat kebijakan. Anda dapat menemukan kebijakan yang Anda buat dalam daftar kebijakan di panel navigasi Kebijakan konsol IAM.

  5. Anda dapat melampirkan kebijakan yang Anda buat ke entitas di akun. Setelah Anda melampirkan kebijakan, Anda dapat menghapus kebijakan lain yang terlalu luas yang mungkin dilampirkan ke entitas. Untuk mempelajari cara melampirkan kebijakan terkelola, lihat Menambahkan izin identitas IAM (konsol).

Buat kebijakan menggunakan AWS CloudTrail data di akun lain

Anda dapat membuat CloudTrail jejak yang menyimpan data di akun pusat untuk merampingkan aktivitas yang mengatur. Misalnya, Anda dapat menggunakan AWS Organizations untuk membuat jejak yang mencatat semua peristiwa untuk semua yang ada Akun AWS di organisasi itu. Jejak itu milik akun pusat. Jika Anda ingin membuat kebijakan untuk pengguna atau peran dalam akun yang berbeda dari akun tempat data CloudTrail log Anda disimpan, Anda harus memberikan akses lintas akun. Untuk melakukannya, Anda memerlukan peran dan kebijakan bucket yang memberikan izin IAM Access Analyzer ke log Anda. CloudTrail Untuk informasi selengkapnya tentang membuat jalur Organizations, lihat Membuat jejak untuk organisasi.

Dalam contoh ini, asumsikan bahwa Anda ingin membuat kebijakan untuk pengguna atau peran di akun A. CloudTrail Jejak di akun A menyimpan CloudTrail log dalam ember di akun B. Sebelum Anda dapat membuat kebijakan, Anda harus membuat pembaruan berikut:

  1. Pilih peran yang sudah ada, atau buat peran layanan baru yang memberikan akses IAM Access Analyzer ke bucket di akun B (tempat CloudTrail log Anda disimpan).

  2. Verifikasi kebijakan kepemilikan objek bucket Amazon S3 dan izin bucket di akun B sehingga IAM Access Analyzer dapat mengakses objek di bucket.

Langkah 1: Pilih atau buat peran untuk akses lintas akun

  • Pada layar Buat kebijakan, opsi untuk Menggunakan peran yang ada telah dipilih sebelumnya untuk Anda jika peran dengan izin yang diperlukan ada di akun Anda. Jika tidak, pilih Buat dan gunakan peran layanan baru. Peran baru ini digunakan untuk memberikan IAM Access Analyzer akses ke CloudTrail log Anda di akun B.

Langkah 2: Verifikasi atau perbarui konfigurasi bucket Amazon S3 Anda di akun B

  1. Masuk ke AWS Management Console dan buka konsol Amazon S3 di https://console.aws.amazon.com/s3/.

  2. Dalam daftar Bucket, pilih nama bucket tempat log CloudTrail jejak Anda disimpan.

  3. Pilih tab Permissions dan pergi ke bagian Object Ownership.

    Gunakan setelan bucket Kepemilikan Objek Amazon S3 untuk mengontrol kepemilikan objek yang Anda unggah ke bucket. Secara default, ketika objek Akun AWS upload lain ke bucket Anda, akun upload memiliki objek. Untuk membuat kebijakan, pemilik bucket harus memiliki semua objek di ember. Bergantung pada kasus penggunaan ACL, Anda mungkin perlu mengubah setelan Kepemilikan Objek untuk bucket Anda. Tetapkan Object Ownership ke salah satu opsi berikut.

    • Pemilik bucket diberlakukan (disarankan)

    • Pemilik ember lebih disukai

    penting

    Agar berhasil menghasilkan kebijakan, objek dalam ember harus dimiliki oleh pemilik ember. Jika Anda memilih untuk menggunakan pemilik Bucket yang diinginkan, Anda hanya dapat membuat kebijakan untuk jangka waktu tersebut setelah perubahan kepemilikan objek dilakukan.

    Untuk mempelajari lebih lanjut tentang kepemilikan objek di Amazon S3, lihat Mengontrol kepemilikan objek dan menonaktifkan ACL untuk bucket Anda di Panduan Pengguna Amazon S3.

  4. Tambahkan izin ke kebijakan bucket Amazon S3 Anda di akun B untuk mengizinkan akses peran di akun A.

    Kebijakan contoh berikut memungkinkan ListBucket dan GetObject untuk bucket bernamaDOC-EXAMPLE-BUCKET. Ini memungkinkan akses jika peran yang mengakses bucket milik akun di organisasi Anda dan memiliki nama yang dimulai denganAccessAnalyzerMonitorServiceRole. Menggunakan aws:PrincipalArnsebagai Resource elemen Condition dalam memastikan bahwa peran hanya dapat mengakses aktivitas untuk akun jika itu milik akun A. Anda dapat mengganti DOC-EXAMPLE-BUCKET dengan nama bucket, optional-prefix dengan awalan opsional untuk bucket, dan organization-id dengan ID organisasi Anda.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "PolicyGenerationBucketPolicy",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "s3:GetObject",
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
        "arn:aws:s3:::DOC-EXAMPLE-BUCKET/optional-prefix/AWSLogs/organization-id/${aws:PrincipalAccount}/*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgID": "organization-id"
        },
        "StringLike": {
          "aws:PrincipalArn": "arn:aws:iam::${aws:PrincipalAccount}:role/service-role/AccessAnalyzerMonitorServiceRole*"
        }
      }
    }
  ]
}

  5. Jika Anda mengenkripsi log Anda menggunakan AWS KMS, perbarui kebijakan AWS KMS kunci Anda di akun tempat Anda menyimpan CloudTrail log untuk memberikan akses kepada IAM Access Analyzer untuk menggunakan kunci Anda, seperti yang ditunjukkan dalam contoh kebijakan berikut. Ganti CROSS_ACCOUNT_ORG_TRAIL_FULL_ARN dengan ARN untuk jejak Anda dan organization-id dengan ID organisasi Anda.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:EncryptionContext:aws:cloudtrail:arn": "CROSS_ACCOUNT_ORG_TRAIL_FULL_ARN",
          "aws:PrincipalOrgID": "organization-id"
        },
        "StringLike": {
          "kms:ViaService": [
            "access-analyzer.*.amazonaws.com",
            "s3.*.amazonaws.com"
          ]
          "aws:PrincipalArn": "arn:aws:iam::${aws:PrincipalAccount}:role/service-role/AccessAnalyzerMonitorServiceRole*"
        }
      }
    }
  ]
}

Menghasilkan kebijakan berdasarkan CloudTrail aktivitas (AWS CLI)

Anda dapat menggunakan perintah berikut untuk menghasilkan kebijakan menggunakan AWS CLI.

Untuk membuat kebijakan
Untuk melihat kebijakan yang dibuat
Untuk membatalkan permintaan pembuatan kebijakan
Untuk melihat daftar permintaan pembuatan kebijakan

Menghasilkan kebijakan berdasarkan CloudTrail aktivitas (AWS API)

Anda dapat menggunakan operasi berikut untuk membuat kebijakan menggunakan AWS API.

Untuk membuat kebijakan
Untuk melihat kebijakan yang dibuat
Untuk membatalkan permintaan pembuatan kebijakan
Untuk melihat daftar permintaan pembuatan kebijakan