Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengontrol akses ke AWS sumber daya menggunakan kebijakan
Anda dapat menggunakan kebijakan untuk mengontrol akses ke sumber daya dalam IAM atau semua sumber daya di dalam atau semua AWS.
Untuk menggunakan kebijakan untuk mengontrol akses masuk AWS, Anda harus memahami cara AWS memberikan akses. AWS terdiri atas koleksi dari sumber daya. Pengguna IAM adalah sebuah sumber daya. Bucket Amazon S3 adalah sebuah sumber daya. Ketika Anda menggunakan AWS API, the AWS CLI, atau AWS Management Console untuk melakukan operasi (seperti membuat pengguna), Anda mengirim permintaan untuk operasi itu. Permintaan Anda menentukan tindakan, sumber daya, sebuah entitas prinsipal (pengguna atau peran), sebuah akun prinsipal, dan informasi permintaan yang diperlukan. Semua informasi ini memberikan konteks.
AWS Kemudian memeriksa bahwa Anda (prinsipal) diautentikasi (masuk) dan diberi wewenang (memiliki izin) untuk melakukan tindakan tertentu pada sumber daya yang ditentukan. Selama otorisasi, AWS periksa semua kebijakan yang berlaku pada konteks permintaan Anda. Sebagian besar kebijakan disimpan AWS sebagai JSONdokumen dan menentukan izin untuk entitas penanggung jawab. Untuk informasi selengkapnya tentang tipe dan penggunaan kebijakan, lihat Kebijakan dan izin di AWS Identity and Access Management.
AWS mengizinkan permintaan hanya jika setiap bagian dari permintaan Anda diizinkan oleh kebijakan. Untuk melihat diagram proses ini, lihat Cara kerja IAM. Untuk detail tentang cara AWS menentukan apakah permintaan diizinkan, lihatLogika evaluasi kebijakan.
Saat Anda membuat IAM kebijakan, Anda dapat mengontrol akses ke hal berikut:
-
Prinsipal – Kontrol apa yang boleh dilakukan oleh orang yang membuat permintaan (prinsipal).
-
IAMIdentitas — Kontrol IAM identitas mana (IAMgrup, pengguna, dan peran) yang dapat diakses dan caranya.
-
IAMKebijakan — Kontrol siapa yang dapat membuat, mengubah, dan menghapus kebijakan yang dikelola pelanggan, dan siapa yang dapat melampirkan dan memisahkan semua kebijakan yang dikelola.
-
AWS Sumber Daya — Kontrol siapa yang memiliki akses ke sumber daya dengan menggunakan kebijakan berbasis identitas atau kebijakan berbasis sumber daya.
-
AWS Akun — Kontrol apakah permintaan hanya diizinkan untuk anggota akun tertentu.
Kebijakan membiarkan Anda menentukan siapa yang memiliki akses ke AWS sumber daya, dan tindakan apa yang dapat mereka lakukan di sumber daya itu. Setiap IAM pengguna memulai tanpa izin. Dengan kata lain, secara default, pengguna tidak dapat melakukan apa pun, bahkan tidak dapat melihat access key milik mereka. Untuk memberikan izin kepada pengguna untuk melakukan sesuatu, Anda dapat menambahkan izin kepada pengguna (yaitu, melampirkan kebijakan ke pengguna). Atau, Anda dapat menambahkan pengguna ke grup pengguna yang memiliki izin yang dimaksud.
Misalnya, Anda dapat memberikan izin pengguna untuk mencantumkan access key-nya sendiri. Anda juga dapat memperluas izin tersebut dan mengizinkan setiap pengguna membuat, memperbarui, serta menghapus kunci milik mereka.
Saat Anda memberikan izin kepada grup pengguna, semua pengguna dalam grup pengguna tersebut mendapatkan izin tersebut. Misalnya, Anda dapat memberikan izin kepada grup Administrator untuk melakukan IAM tindakan apa pun pada Akun AWS sumber daya. Anda dapat memberikan izin kepada grup Manajer untuk menjelaskan EC2 instans Amazon dari Akun AWS.
Untuk informasi tentang cara memberikan izin dasar bagi pengguna, IAM grup, dan peran Anda, lihat. Izin diperlukan untuk mengakses sumber daya IAM Untuk contoh tambahan dari kebijakan yang menggambarkan izin dasar, lihat Contoh kebijakan untuk mengelola sumber daya IAM.
Mengontrol akses untuk prinsipal
Anda dapat menggunakan kebijakan untuk mengontrol apa yang boleh dilakukan oleh orang yang membuat permintaan (prinsipal). Untuk melakukannya, Anda harus melampirkan kebijakan berbasis identitas pada identitas prang tersebut (pengguna, grup pengguna, atau peran). Anda juga dapat menggunakan batas izin untuk mengatur izin maksimum yang dapat dimiliki sebuah entitas (pengguna atau peran).
Misalnya, anggap bahwa Anda ingin pengguna Zhang Wei memiliki akses penuh ke, Amazon DynamoDB CloudWatch, AmazonEC2, dan Amazon S3. Anda dapat membuat dua kebijakan berbeda agar kemudian Anda dapat memisahkannya jika Anda memerlukan satu set izin untuk pengguna yang berbeda. Atau, Anda dapat menggabungkan kedua izin tersebut dalam satu kebijakan, kemudian melampirkan kebijakan tersebut ke IAM pengguna yang bernama Zhang Wei. Anda juga dapat melampirkan kebijakan ke grup pengguna di mana Zhang berada, atau peran yang dapat diambil oleh Zhang. Hasilnya, saat Zhang melihat konten di bucket S3, permintaannya diizinkan. Jika dia mencoba membuat IAM pengguna baru, permintaannya ditolak karena tidak memiliki izin.
Anda dapat menggunakan batas izin pada Zhang untuk memastikan bahwa dia tidak pernah diberi akses ke bucket S3 amzn-s3-demo-bucket1. Untuk melakukannya, tentukan maksimum izin yang Anda inginkan Zhang untuk memilikinya. Dalam kasus ini, Anda mengontrol apa yang dia lakukan dengan menggunakan kebijakan izinnya. Di sini, Anda hanya peduli bahwa dia tidak mengakses bucket rahasia. Jadi Anda menggunakan kebijakan berikut untuk menentukan batas Zhang agar mengizinkan semua AWS tindakan untuk Amazon S3 dan beberapa layanan lain tetapi menolak akses ke bucket S3. amzn-s3-demo-bucket1 Karena batas izin tidak mengizinkan IAM tindakan apa pun, hal itu mencegah Zhang menghapus batas miliknya (atau siapa pun).
{ "Version": "2012-10-17", "Statement": [ { "Sid": "PermissionsBoundarySomeServices", "Effect": "Allow", "Action": [ "cloudwatch:*", "dynamodb:*", "ec2:*", "s3:*" ], "Resource": "*" }, { "Sid": "PermissionsBoundaryNoConfidentialBucket", "Effect": "Deny", "Action": "s3:*", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket1", "arn:aws:s3:::amzn-s3-demo-bucket1/*" ] } ] }
Saat Anda menetapkan kebijakan seperti ini sebagai batas izin bagi pengguna, ingatlah bahwa itu tidak memberikan izin apa pun. Itu menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas. IAM Untuk informasi lebih lanjut tentang batas izin, lihat Batas izin untuk entitas IAM.
Untuk informasi terperinci tentang prosedur yang disebutkan sebelumnya, lihat sumber daya ini:
-
Untuk mempelajari lebih lanjut tentang membuat IAM kebijakan yang dapat Anda lampirkan ke prinsipal, lihatTentukan IAM izin khusus dengan kebijakan terkelola pelanggan.
-
Untuk mempelajari cara melampirkan IAM kebijakan pada prinsipal, lihatMenambahkan dan menghapus izin identitas IAM.
-
Untuk melihat contoh kebijakan untuk memberikan akses penuhEC2, lihatAmazon EC2: Memungkinkan akses EC2 penuh dalam Wilayah tertentu, secara terprogram dan di konsol.
-
Untuk memungkinkan akses hanya-baca ke bucket S3, gunakan dua pernyataan pertama dari contoh kebijakan berikut: Amazon S3: Memungkinkan akses baca dan tulis ke objek di Bucket S3, secara terprogram dan di konsol.
-
Untuk melihat contoh kebijakan untuk mengizinkan pengguna mengatur kredenalnya, seperti kata sandi konsol, kunci akses program, dan MFA perangkat mereka, lihat. AWS: Memungkinkan pengguna IAM yang diautentikasi MFA untuk mengelola kredensialnya sendiri di halaman kredensi Keamanan
Mengontrol akses ke identitas
Anda dapat menggunakan IAM kebijakan untuk mengontrol apa yang dapat dilakukan pengguna Anda ke identitas dengan membuat kebijakan yang Anda lampirkan ke semua pengguna melalui grup pengguna. Untuk melakukan ini, buat kebijakan yang membatasi apa yang dapat dilakukan pada sebuah identitas, atau siapa yang dapat mengaksesnya.
Misalnya, Anda dapat membuat grup pengguna dengan nama AllUsers, lalu melampirkan grup pengguna tersebut ke semua pengguna. Saat Anda membuat grup pengguna, Anda dapat memberi semua akses pengguna Anda untuk mengatur kredensialnya seperti yang dijelaskan di bagian sebelumnya. Anda kemudian dapat membuat kebijakan yang menolak akses untuk mengubah grup pengguna kecuali jika nama pengguna disertakan dalam ketentuan dari kebijakan tersebut. Namun bagian dari kebijakan tersebut hanya akan menolak akses ke siapa pun kecuali pengguna yang tercantum. Anda juga harus menyertakan izin yang mengizinkan semua tindakan manajemen grup pengguna untuk semua orang di dalam grup pengguna. Terakhir, Anda melampirkan kebijakan ini ke grup pengguna sehingga itu diterapkan ke semua pengguna. Hasilnya, saat pengguna yang tidak disebutkan dalam kebijakan mencoba melakukan perubahan pada grup pengguna, permintaannya ditolak.
Untuk membuat kebijakan ini dengan editor visual
Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/
. -
Pada panel navigasi di sebelah kiri, pilih Kebijakan.
Jika ini pertama kalinya Anda memilih Kebijakan, akan muncul halaman Selamat Datang di Kebijakan Terkelola. Pilih Memulai.
-
Pilih Buat kebijakan.
-
Pada bagian Editor kebijakan, pilih opsi Visual.
-
Di Pilih layanan pilih IAM.
-
Di Tindakan yang diizinkan,
groupketik kotak pencarian. Editor visual menunjukkan semua tindakan IAM yang berisi katagroup. Pilih semua kotak centang. -
Pilih Sumber Daya untuk menentukan sumber daya bagi kebijakan Anda. Berdasarkan tindakan yang Anda pilih, Anda akan melihat jenis sumber daya grup dan pengguna.
-
grup - Pilih Tambah ARNs. Untuk Sumber Daya di, pilih opsi Akun apa pun. Pilih kotak centang Nama grup apa pun dengan jalur lalu ketik nama
AllUsersgrup pengguna. Kemudian pilih TambahkanARNs. -
pengguna — Pilih kotak centang di sebelah Apa saja di akun ini.
Salah satu tindakan yang Anda pilih,
ListGroups, tidak mendukung penggunaan sumber daya tertentu. Anda tidak harus memilih Semua sumber daya untuk tindakan itu. Saat Anda menyimpan kebijakan Anda atau melihat kebijakan di JSONeditor, Anda dapat melihat bahwa IAM secara otomatis membuat blok izin baru yang memberikan izin tindakan ini di semua sumber daya. -
-
Untuk menambahkan blok izin lain, pilih Tambah izin lainnya.
-
Pilih Pilih layanan dan kemudian pilih IAM.
-
Pilih Tindakan yang diizinkan dan kemudian pilih Beralih untuk menolak izin. Saat Anda melakukannya, seluruh blok digunakan untuk menolak izin.
-
Jenis
groupdi kotak pencarian. Editor visual menunjukkan semuatindakan IAM yang berisi katagroup. Pilih kotak centang di sebelah tindakan berikut:-
CreateGroup
-
DeleteGroup
-
RemoveUserFromGroup
-
AttachGroupPolicy
-
DeleteGroupPolicy
-
DetachGroupPolicy
-
PutGroupPolicy
-
UpdateGroup
-
-
Pilih Sumber Daya untuk menentukan sumber daya bagi kebijakan Anda. Berdasarkan tindakan yang Anda pilih, Anda akan melihat jenis sumber daya grup. Pilih Tambah ARNs. Untuk Sumber Daya di, pilih opsi Akun apa pun. Untuk nama grup apa pun dengan jalur, ketik nama grup pengguna
AllUsers. Kemudian pilih TambahkanARNs. -
Pilih kondisi Permintaan - opsional dan kemudian pilih Tambahkan kondisi lain. Lengkapi formulir dengan nilai berikut:
-
Kunci kondisi - Pilih aws:username
-
Pengukur – Pilih Default
-
Operator – Pilih StringNotEquals
-
Nilai — Ketik
srodriguezdan kemudian pilih Tambah untuk menambahkan nilai lain. Ketikmjacksondan kemudian pilih Tambah untuk menambahkan nilai lain. Ketikadesaidan kemudian pilih Tambahkan kondisi.
Ketentuan ini memastikan bahwa akses akan ditolak untuk tindakan manajemen grup pengguna tertentu saat pengguna membuat panggilan tidak dimasukkan dalam daftar. Karena ini secara jelas menolak izin, ini menggantikan blok sebelumnya yang mengizinkan pengguna tersebut untuk memanggil tindakan. Pengguna dalam daftar tidak ditolak aksesnya, dan mereka diberikan izin pada blok izin pertama, sehingga mereka dapat sepenuhnya mengelola grup pengguna tersebut.
-
-
Setelah selesai, pilih Selanjutnya.
catatan
Anda dapat berpindah antara opsi Visual dan JSONeditor kapan pun. Namun, jika Anda membuat perubahan atau memilih Next (Berikutnya) di opsi Visual editor (Editor visual), IAM mungkin merestrukturisasi kebijakan Anda untuk mengoptimalkannya untuk editor visual. Untuk informasi selengkapnya, lihat Restrukturisasi kebijakan.
-
Pada halaman Tinjau dan buat, untuk Nama Kebijakan, ketik
LimitAllUserGroupManagement. Untuk bagian Description (Deskripsi), ketikAllows all users read-only access to a specific user group, and allows only specific users access to make changes to the user group. Tinjau Izin yang ditentukan dalam kebijakan ini untuk memastikan bahwa Anda telah memberikan izin yang dimaksud. Kemudian pilih Buat kebijakan untuk menyimpan kebijakan baru Anda. -
Lampirkan kebijakan tersebut ke grup pengguna Anda. Untuk informasi selengkapnya, lihat Menambahkan dan menghapus izin identitas IAM.
Jika tidak, Anda dapat membuat kebijakan yang sama menggunakan contoh dokumen JSON kebijakan ini. Untuk melihat JSON kebijakan ini, lihatIAM: Memungkinkan pengguna IAM tertentu untuk mengelola grup secara terprogram dan di konsol. Untuk instruksi terperinci dalam membuat kebijakan menggunakan JSON dokumen, lihatMembuat kebijakan menggunakan JSON editor.
Mengendalikan akses ke kebijakan
Anda dapat mengontrol bagaimana pengguna Anda dapat menerapkan kebijakan AWS terkelola. Untuk melakukannya, lampirkan kebijakan ini ke semua pengguna Anda. Idealnya, Anda dapat melakukan ini menggunakan sebuah grup pengguna.
Misalnya, Anda dapat membuat kebijakan yang memungkinkan pengguna hanya melampirkan kebijakan IAMUserChangePassword
Untuk kebijakan yang dikelola pelanggan, Anda dapat mengontrol siapa yang dapat membuat, memperbarui, dan menghapus kebijakan ini. Anda dapat mengontrol siapa yang dapat memberikan dan melepaskan kebijakan ke dan dari entitas prinsipal (IAMgrup, pengguna, dan peran). Anda juga dapat mengontrol kebijakan mana yang dapat diberikan atau dilepas pengguna, dan ke dan dari entitas mana.
Misalnya, Anda dapat memberikan izin kepada administrator akun untuk membuat, memperbarui, dan menghapus kebijakan. Kemudian Anda memberikan izin kepada pemimpin tim atau administrator terbatas lainnya untuk memberikan dan melepaskan kebijakan ini ke dan dari entitas prinsipal yang dikelola oleh administrator terbatas.
Untuk informasi selengkapnya, lihat sumber daya ini:
-
Untuk mempelajari lebih lanjut tentang membuat IAM kebijakan yang dapat Anda lampirkan ke prinsipal, lihatTentukan IAM izin khusus dengan kebijakan terkelola pelanggan.
-
Untuk mempelajari cara melampirkan IAM kebijakan pada prinsipal, lihatMenambahkan dan menghapus izin identitas IAM.
-
Untuk melihat contoh kebijakan untuk membatasi penggunaan kebijakan yang dikelola, lihat IAM: Membatasi kebijakan terkelola yang dapat diterapkan pada pengguna, grup, atau peran IAM.
Mengontrol izin untuk membuat, memperbarui, dan menghapus kebijakan yang dikelola pelanggan
Anda dapat menggunakan IAMkebijakan untuk mengontrol siapa yang diperbolehkan untuk membuat, memperbarui, dan menghapus kebijakan yang dikelola pelanggan di kebijakan yang dikelola pelanggan di kebijakan Anda Akun AWS. Daftar berikut berisi API operasi yang berkaitan langsung dengan pembuatan, pembaruan, dan penghapusan kebijakan atau versi kebijakan:
APIOperasi dalam daftar sebelumnya sesuai dengan tindakan yang dapat Anda izinkan atau tolak—yaitu, izin yang dapat Anda berikan—menggunakan kebijakan. IAM
Pertimbangkan contoh kebijakan berikut. Operasi ini mengizinkan pengguna membuat, memperbarui (yaitu, membuat versi kebijakan baru), menghapus, dan mengatur versi default untuk semua kebijakan yang dikelola pelanggan di Akun AWS. Contoh kebijakan juga mengizinkan pengguna untuk mencantumkan kebijakan dan mendapatkan kebijakan. Untuk mempelajari cara membuat kebijakan menggunakan contoh dokumen JSON kebijakan ini, lihatMembuat kebijakan menggunakan JSON editor.
contoh Contoh kebijakan yang mengizinkan membuat, memperbarui, menghapus, mencantumkan, mendapatkan, dan mengatur versi default untuk semua kebijakan
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:CreatePolicy", "iam:CreatePolicyVersion", "iam:DeletePolicy", "iam:DeletePolicyVersion", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:ListPolicies", "iam:ListPolicyVersions", "iam:SetDefaultPolicyVersion" ], "Resource": "*" } }
Anda dapat membuat kebijakan yang membatasi penggunaan API operasi ini agar hanya memengaruhi kebijakan terkelola yang Anda tentukan. Misalnya, Anda mungkin ingin mengizinkan pengguna untuk mengatur versi default dan menghapus versi kebijakan, tetapi hanya untuk kebijakan tertentu yang dikelola pelanggan. Anda melakukannya dengan menentukan kebijakan ARN dalam Resource elemen kebijakan yang memberikan izin ini.
Contoh berikut menunjukkan kebijakan yang mengizinkan pengguna menghapus versi kebijakan dan mengatur versi default. Namun tindakan ini hanya diizinkan untuk kebijakan yang dikelola pelanggan yang mencakup jalur/TEAM-A/. Kebijakan yang dikelola pelanggan ARN ditentukan dalam Resource elemen kebijakan. (Dalam contoh ini ARN mencakup jalur dan sebuah wildcard sehingga cocok dengan semua kebijakan yang dikelola pelanggan yang mencakup jalur/TEAM-A/). Untuk mempelajari cara membuat kebijakan menggunakan contoh dokumen JSON kebijakan ini, lihatMembuat kebijakan menggunakan JSON editor.
Untuk informasi selengkapnya tentang menggunakan jalur atas nama kebijakan yang dikelola pelanggan, lihat Nama dan jalur yang ramah.
contoh Contoh kebijakan yang mengizinkan menghapus versi kebijakan dan mengatur versi default hanya untuk kebijakan tertentu
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:DeletePolicyVersion", "iam:SetDefaultPolicyVersion" ], "Resource": "arn:aws:iam::account-id:policy/TEAM-A/*" } }
Mengontrol izin untuk memberikan dan melepaskan kebijakan yang dikelola
Anda juga dapat menggunakan IAM kebijakan untuk mengizinkan pengguna bekerja dengan hanya kebijakan terkelola khusus saja. Sebagai akibatnya, Anda dapat mengontrol izin mana yang diizinkan untuk diberikan pengguna kepada entitas prinsipal lainnya.
Daftar berikut menunjukkan API operasi yang berkaitan langsung dengan memberikan dan melepaskan kebijakan terkelola ke dan dari entitas prinsipal:
Anda dapat membuat kebijakan yang membatasi penggunaan API operasi ini agar hanya memengaruhi kebijakan terkelola dan/atau entitas prinsipal yang Anda tentukan. Misalnya, Anda mungkin ingin mengizinkan pengguna untuk melampirkan kebijakan terkelola, tetapi hanya kebijakan terkelola yang Anda tentukan. Atau, Anda mungkin ingin mengizinkan pengguna untuk memberikan kebijakan terkelola, tetapi hanya kepada entitas prinsipal yang Anda tentukan.
Contoh kebijakan berikut mengizinkan pengguna untuk memberikan kebijakan terkelola hanya ke IAM grup-grup dan peran yang mencakup jalur/TEAM-A/. Grup pengguna dan peran ARNs ditentukan dalam Resource elemen kebijakan. (Dalam contoh ini ARNs mencakup jalur dan karakter wildcard sehingga cocok dengan semua IAM grup dan peran yang mencakup jalur/TEAM-A/). Untuk mempelajari cara membuat kebijakan menggunakan contoh dokumen JSON kebijakan ini, lihatMembuat kebijakan menggunakan JSON editor.
contoh Contoh kebijakan yang mengizinkan memberikan kebijakan terkelola hanya untuk grup pengguna atau peran tertentu
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:AttachGroupPolicy", "iam:AttachRolePolicy" ], "Resource": [ "arn:aws:iam::account-id:group/TEAM-A/*", "arn:aws:iam::account-id:role/TEAM-A/*" ] } }
Anda selanjutnya dapat membatasi tindakan dalam contoh sebelumnya untuk hanya memengaruhi kebijakan tertentu. Artinya, Anda dapat mengontrol izin yang boleh diberikan pengguna ke entitas prinsipal lainnya—dengan menambahkan ketentuan ke kebijakan.
Dalam contoh berikut, ketentuan ini memastikan bahwa izin AttachGroupPolicy dan AttachRolePolicy hanya diperbolehkan jika kebijakan yang diberikan sesuai dengan salah satu kebijakan yang ditentukan. Ketentuan menggunakan iam:PolicyARN kunci ketentuan untuk menentukan kebijakan mana yang diizinkan untuk diberikan. Contoh kebijakan berikut berkembang pada contoh sebelumnya. Ini mengizinkan pengguna untuk memberikan hanya kebijakan terkelola yang mencakup path /TEAM-A/ to only the IAM groups and roles that include the path
/TEAM -A/. Untuk mempelajari cara membuat kebijakan menggunakan contoh dokumen JSON kebijakan ini, lihatMembuat kebijakan menggunakan JSON editor.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:AttachGroupPolicy", "iam:AttachRolePolicy" ], "Resource": [ "arn:aws:iam::account-id:group/TEAM-A/*", "arn:aws:iam::account-id:role/TEAM-A/*" ], "Condition": {"ArnLike": {"iam:PolicyARN": "arn:aws:iam::account-id:policy/TEAM-A/*"} } } }
Kebijakan ini menggunakan operator ArnLike kondisi, tetapi Anda juga dapat menggunakan operator ArnEquals kondisi karena kedua operator kondisi ini berperilaku identik. Untuk informasi lebih lanjut tentang ArnLike dan ArnEquals, lihat Operator ketentuan Amazon Resource Name (ARN) dalam Jenis Ketentuan bagian dari Referensi Elemen Kebijakan.
Misalnya, Anda dapat membatasi penggunaan tindakan untuk hanya melibatkan kebijakan terkelola yang Anda tentukan. Anda melakukannya dengan menentukan kebijakan ARN dalam Condition elemen kebijakan yang memberikan izin ini. Misalnya, untuk menentukan kebijakan ARN yang dikelola pelanggan:
"Condition": {"ArnEquals": {"iam:PolicyARN": "arn:aws:iam::123456789012:policy/POLICY-NAME"} }
Anda juga dapat menentukan ARN kebijakan AWS terkelola dalam Condition elemen kebijakan. Kebijakan ARN AWS terkelola menggunakan alias khusus aws dalam kebijakan sebagai ARN ganti sebuah ID akun, seperti dalam contoh ini:
"Condition": {"ArnEquals": {"iam:PolicyARN": "arn:aws:iam::aws:policy/AmazonEC2FullAccess"} }
Mengontrol akses ke sumber daya
Anda dapat mengontrol akses ke sumber daya dengan menggunakan kebijakan berbasis sumber daya. Dalam kebijakan berbasis identitas, Anda melampirkan kebijakan ke identitas dan menyebutkan sumber daya apa yang dapat diakses oleh identitas tersebut. Dalam kebijakan berbasis sumber daya, Anda memberikan kebijakan pada sumber daya yang ingin Anda kontrol. Dalam kebijakan, Anda menentukan prinsipal mana yang dapat mengakses sumber daya tersebut. Untuk informasi lebih lanjut tentang kedua jenis kebijakan, lihat Kebijakan berbasis identitas dan kebijakan berbasis sumber daya.
Untuk informasi selengkapnya, lihat sumber daya ini:
-
Untuk mempelajari lebih lanjut tentang membuat IAM kebijakan yang dapat Anda lampirkan ke prinsipal, lihatTentukan IAM izin khusus dengan kebijakan terkelola pelanggan.
-
Untuk mempelajari cara melampirkan IAM kebijakan pada prinsipal, lihatMenambahkan dan menghapus izin identitas IAM.
-
Amazon S3 mendukung penggunaan kebijakan berbasis sumber daya di bucket mereka. Untuk informasi lebih lanjut, lihat Contoh Kebijakan Bucket:
Pembuat Sumber Daya Tidak Secara Otomatis Memiliki Izin
Jika Anda masuk menggunakan Pengguna root akun AWS kredenal, Anda memiliki izin untuk melakukan tindakan apa pun pada sumber daya yang menjadi milik akun tersebut. Namun, ini tidak benar untuk IAM pengguna. IAMPengguna dapat diberikan akses untuk membuat sumber daya, tetapi izin pengguna, bahkan untuk sumber daya tersebut, terbatas untuk apa yang telah diberikan secara jelas. Itu berarti bahwa hanya karena Anda membuat sumber daya, seperti IAM peran, Anda tidak secara otomatis memiliki izin untuk mengubah atau menghapus peran tersebut. Sebagai tambahan, izin Anda dapat dicabut setiap saat oleh pemilik akun atau pengguna lain yang telah diberi akses untuk mengelola izin Anda.
Mengontrol akses ke prinsipal dalam akun tertentu
Anda dapat memberi izin IAM pengguna secara langsung di akses akun Anda sendiri ke sumber daya Anda. Jika pengguna dari akun lain memerlukan akses ke sumber daya Anda, Anda dapat membuat IAM peran. Peran adalah sebuah entitas yang mencakup izin tetapi tidak terkait dengan pengguna tertentu. Pengguna dari akun lain kemudian dapat menggunakan peran dan mengakses sumber daya sesuai dengan izin yang telah Anda tetapkan untuk peran tersebut. Untuk informasi selengkapnya, lihat Akses untuk IAM pengguna lain Akun AWS yang Anda miliki.
catatan
Beberapa layanan mendukung kebijakan berbasis sumber daya sebagaimana dijelaskan dalam Kebijakan berbasis identitas dan kebijakan berbasis sumber daya (seperti Amazon S3, Amazon, dan Amazon). SNS SQS Untuk layanan tersebut, alternatif untuk menggunakan peran adalah dengan memberikan kebijakan ke sumber daya (bucket, topik, atau antrean) yang ingin Anda bagikan. Kebijakan berbasis sumber daya dapat menentukan AWS akun yang memiliki izin untuk mengakses sumber daya.
