Buat IAM kebijakan (konsol) - AWS Identity and Access Management
Membuat IAM kebijakanMembuat kebijakan menggunakan JSON editorMembuat kebijakan dengan editor visualMengimpor kebijakan terkelola yang ada

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat IAM kebijakan (konsol)

Sebuahkebijakan adalah entitas yang, saat dilampirkan dengan sebuah identitas atau sumber daya, menjelaskan izinnya. Anda dapat menggunakan AWS Management Console untuk membuat kebijakan yang dikelola pelanggan diIAM. Kebijakan yang dikelola pelanggan adalah kebijakan yang berdiri sendiri yang Anda kelola dalam kebijakan Anda sendiri. Akun AWS Anda lalu dapat melampirkan kebijakan itu ke identitas (pengguna, grup, dan peran) di Anda Akun AWS.

Jumlah dan ukuran IAM sumber daya dalam AWS akun terbatas. Untuk informasi selengkapnya, lihat IAMdan AWS STS kuota.

Membuat IAM kebijakan

Anda bisa membuat kebijakan yang dikelola pelanggan dalam AWS Management Console menggunakan salah satu metode berikut:

  • JSON— Tempel dan sesuaikan contoh kebijakan berbasis identitas yang dipublikasikan.

  • Editor visual — Susun kebijakan baru dari nol di editor visual. Jika Anda menggunakan editor visual, Anda tidak harus memahami JSON sintaksis.

  • Impor — Impor dan sesuaikan kebijakan terkelola dari akun Anda. Anda bisa mengimpor kebijakan AWS terkelola atau kebijakan yang dikelola pelanggan yang sebelumnya telah Anda buat.

Jumlah dan ukuran IAM sumber daya dalam AWS akun terbatas. Untuk informasi selengkapnya, lihat IAMdan AWS STS kuota.

Membuat kebijakan menggunakan JSON editor

Anda dapat mengetik atau menempelkan kebijakan JSON dengan memilih JSONopsi. Metode ini berguna untuk menyalin contoh kebijakan untuk dipakai di akun Anda. Atau, Anda bisa mengetik dokumen JSON kebijakan Anda sendiri di JSON editor. Anda juga bisa menggunakan JSONopsi untuk beralih antara editor visual dan JSON membandingkan tampilan.

Saat membuat atau mengedit kebijakan di JSON editor, IAM lakukan validasi kebijakan untuk membantu Anda membuat kebijakan yang efektif. IAMmengidentifikasi kesalahan JSON sintaks, sementara IAM Access Analyzer memberikan pemeriksaan kebijakan tambahan dengan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda lebih menyempurnakan kebijakan.

Dokumen JSON kebijakan terdiri atas satu pernyataan atau lebih. Setiap pernyataan harus berisi semua tindakan yang berbagi efek yang sama (Allow atau Deny) dan mendukung sumber daya dan kondisi yang sama. Jika satu tindakan mengharuskan Anda untuk menentukan semua sumber daya ("*") dan tindakan lain mendukung Amazon Resource Name (ARN) dari sumber daya tertentu, mereka harus berada dalam dua JSON pernyataan terpisah. Untuk detail tentang ARN format, lihat Amazon Resource Name (ARN) di Referensi Umum AWS Panduan. Untuk informasi umum tentang IAM kebijakan, lihatKebijakan dan izin di AWS Identity and Access Management. Untuk informasi tentang bahasa IAM kebijakan, lihatIAMJSONreferensi kebijakan.

Untuk menggunakan editor JSON kebijakan untuk membuat kebijakan

  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi sebelah kiri, pilih Kebijakan.

  3. Pilih Buat kebijakan.

  4. Di bagian Editor kebijakan, pilih JSONopsi.

  5. Ketik atau tempel dokumen JSON kebijakan. Untuk detail tentang bahasa IAM kebijakan, lihatIAMJSONreferensi kebijakan.

  6. Selesaikan peringatan keamanan, kesalahan, atau peringatan umum yang dihasilkan selama validasi kebijakan, lalu pilih Berikutnya.

    catatan

    Anda dapat beralih antara opsi Visual dan JSONeditor kapan saja. Namun, apabila Anda melakukan perubahan atau memilih Next (Berikutnya) di Editor visual, IAM mungkin merestrukturisasi kebijakan Anda untuk mengoptimalkannya untuk editor visual. Untuk informasi selengkapnya, lihat Restrukturisasi kebijakan.

  7. (Opsional) Saat Anda membuat atau mengedit kebijakan di AWS Management Console, Anda dapat membuat JSON atau templat YAML kebijakan yang dapat Anda gunakan dalam AWS CloudFormation templat.

    Untuk melakukan ini, di editor Kebijakan pilih Tindakan, lalu pilih Buat CloudFormation templat. Untuk mempelajari selengkapnya, AWS CloudFormation lihat referensi jenis AWS Identity and Access Management sumber daya di Panduan AWS CloudFormation Pengguna.

  8. Setelah selesai menambahkan izin ke kebijakan, pilih Berikutnya.

  9. Pada halaman Tinjau dan buat, ketik Nama Kebijakan dan Deskripsi (opsional) untuk kebijakan yang Anda buat. Tinjau Izin yang ditentukan dalam kebijakan ini untuk melihat izin yang diberikan oleh kebijakan Anda.

  10. (Opsional) Tambahkan metadata ke kebijakan dengan melampirkan tanda sebagai pasangan nilai kunci. Untuk informasi selengkapnya tentang menggunakan tag diIAM, lihatTag untuk AWS Identity and Access Management sumber daya.

  11. Pilih Buat kebijakan untuk menyimpan kebijakan baru Anda.

Setelah Anda membuat kebijakan, Anda dapat melampirkannya ke grup, pengguna, atau peran Anda. Untuk informasi selengkapnya, lihat Menambahkan dan menghapus izin identitas IAM.

Membuat kebijakan dengan editor visual

Editor visual di IAM konsol akan memandu Anda dalam membuat kebijakan tanpa harus menulis JSON sintaksis. Untuk melihat contoh penggunaan editor visual dalam pembuatan kebijakan, lihat Mengontrol akses ke identitas.

Untuk menggunakan editor visual dalam pembuatan kebijakan

  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi sebelah kiri, pilih Kebijakan.

  3. Pilih Buat kebijakan.

  4. Di bagian Editor kebijakan, temukan bagian Pilih layanan, lalu pilih AWS layanan. Anda bisa menggunakan kotak pencarian di bagian atas untuk membatasi hasil pada daftar layanan. Anda bisa memilih hanya satu layanan pada blok izin editor visual. Untuk memberikan akses ke lebih dari satu layanan, tambahkan beberapa blok izin dengan memilih Tambahkan izin lainnya.

  5. Di Tindakan yang diizinkan, pilih tindakan untuk ditambahkan ke kebijakan. Anda bisa memilih tindakan dengan cara berikut:

    • Pilih kotak centang untuk semua tindakan.

    • Pilih tambah tindakan untuk mengetik nama tindakan tertentu. Anda bisa menggunakan wildcards (*) untuk menentukan beberapa tindakan.

    • Pilih satu grup Tingkat akses untuk memilih semua tindakan untuk tingkat akses tersebut (misalnya, Baca, Tulis, atau Daftar).

    • Perluas setiap grup Tingkat akses untuk memilih tindakan individu.

    Secara default, kebijakan yang Anda buat mengizinkan tindakan yang Anda pilih. Sebaliknya, untuk menolak tindakan terpilih, pilih Beralih ke menolak izin. Karena IAMmenolak secara default, kami merekomendasikan sebagai praktik terbaik keamanan agar Anda mengizinkan hanya tindakan dan sumber daya yang dibutuhkan pengguna saja. Anda harus membuat JSON pernyataan untuk menolak izin hanya jika Anda ingin membatalkan izin secara terpisah diizinkan oleh pernyataan atau kebijakan lain. Kami sarankan Anda membatasi jumlah izin penolakan seminim mungkin karena dapat meningkatkan kesulitan izin pemecahan masalah.

  6. Untuk Sumber Daya, bila layanan dan tindakan yang Anda pilih di langkah sebelumnya tidak mendukung pilihan sumber daya tertentu, semua sumber daya diperbolehkan dan Anda tidak bisa mengedit bagian ini.

    Jika Anda memilih satu atau lebih tindakan yang mendukungizin tingkat sumber daya, maka editor visual akan mendaftar sumber daya tersebut. Kemudian Anda bisa memperluas Sumber Daya untuk menentukan sumber daya bagi kebijakan Anda.

    Anda dapat menentukan sumber daya dengan cara berikut:

    • Pilih Tambah ARNs untuk menentukan sumber daya berdasarkan Amazon Resource Names (ARN). Anda bisa menggunakan ARN editor visual atau daftar ARNs secara manual. Untuk informasi selengkapnya tentang ARN sintaks, lihat Amazon Resource Name (ARN) di Referensi Umum AWS Panduan. Untuk informasi tentang penggunaan ARNs dalam Resource elemen kebijakan, lihatIAMJSONelemen kebijakan: Resource.

    • Pilih Semua di akun ini di samping sumber daya untuk mengizinkan tipe sumber daya tersebut.

    • Pilih Semua untuk memilih semua sumber daya untuk layanan ini.

  7. (Opsional) Pilih kondisi permintaan - opsional untuk menambahkan kondisi bagi kebijakan yang sedang Anda buat. Kondisi membatasi efek dari pernyataan JSON kebijakan. Misalnya, Anda dapat menentukan bahwa pengguna diizinkan melakukan tindakan pada sumber daya hanya ketika permintaan pengguna tersebut terjadi di rentang waktu tertentu. Anda juga bisa menggunakan kondisi yang umum dipakai untuk membatasi apakah seorang pengguna harus menggunakan multi-factor authentication ()MFA. Atau Anda bisa meminta agar permintaan yang berasal dari rentang alamat IP tertentu. Untuk daftar semua kunci konteks yang dapat Anda pakai dalam sebuah kebijakan, lihat Tindakan, sumber daya, dan kunci kondisi untuk AWS layanan di Referensi Otorisasi Layanan.

    Anda bisa memilih kondisi dengan cara berikut:

    • Gunakan kotak centang untuk memilih kondisi yang umum dipakai.

    • Pilih Tambahkan kondisi lain untuk menentukan kondisi lainnya. Pilih kondisi dari Kunci Kondisi, Pengukur, dan Operator, lalu ketik Nilai. Untuk menambahkan lebih dari satu nilai, pilih Tambah. Anda dapat mempertimbangkan nilai tersebut terhubung secara logika "ATAU" operator. Setelah selesai, pilih Tambahkan kondisi.

    Untuk menambahkan lebih dari satu kondisi, pilih Tambahkan kondisi lain kembali. Ulangi seperlunya. Setiap kondisi berlaku hanya untuk blok izin editor visual yang satu ini. Semua kondisi haruslah benar agar blok izin dapat dianggap cocok. Dengan kata lain, pertimbangkan kondisi yang akan dihubungkan oleh logika AND "” operator.

    Untuk informasi lebih lanjut mengenai elemen Kondisi, lihat IAMJSONelemen kebijakan: Condition di IAMJSONreferensi kebijakan.

  8. Untuk menambahkan blok izin, pilih Tambahkan izin lainnya. Untuk setiap blok, ulangi langkah 2 sampai 5.

    catatan

    Anda dapat beralih antara opsi Visual dan JSONeditor kapan saja. Namun, apabila Anda melakukan perubahan atau memilih Next (Berikutnya) di Editor visual, IAM mungkin merestrukturisasi kebijakan Anda untuk mengoptimalkannya untuk editor visual. Untuk informasi selengkapnya, lihat Restrukturisasi kebijakan.

  9. (Opsional) Saat Anda membuat atau mengedit kebijakan di AWS Management Console, Anda dapat membuat JSON atau templat YAML kebijakan yang dapat Anda gunakan dalam AWS CloudFormation templat.

    Untuk melakukan ini, di editor Kebijakan pilih Tindakan, lalu pilih Buat CloudFormation templat. Untuk mempelajari selengkapnya, AWS CloudFormation lihat referensi jenis AWS Identity and Access Management sumber daya di Panduan AWS CloudFormation Pengguna.

  10. Setelah selesai menambahkan izin ke kebijakan, pilih Berikutnya.

  11. Pada halaman Tinjau dan buat, ketik Nama Kebijakan dan Deskripsi (opsional) untuk kebijakan yang Anda buat. Tinjau izin yang ditentukan dalam kebijakan ini untuk memastikan bahwa Anda telah memberikan izin yang dimaksud.

  12. (Opsional) Tambahkan metadata ke kebijakan dengan melampirkan tanda sebagai pasangan nilai kunci. Untuk informasi selengkapnya tentang menggunakan tag diIAM, lihatTag untuk AWS Identity and Access Management sumber daya.

  13. Pilih Buat kebijakan untuk menyimpan kebijakan baru Anda.

Setelah Anda membuat kebijakan, Anda dapat melampirkannya ke grup, pengguna, atau peran Anda. Untuk informasi selengkapnya, lihat Menambahkan dan menghapus izin identitas IAM.

Mengimpor kebijakan terkelola yang ada

Cara mudah untuk membuat kebijakan baru adalah dengan mengimpor kebijakan terkelola yang ada di dalam akun Anda yang setidaknya memiliki beberapa izin yang Anda perlukan. Anda kemudian bisa mengubah kebijakan tersebut untuk menyesuaikannya dengan persyaratan baru Anda.

Anda tidak bisa mengimpor kebijakan inline. Untuk mempelajari perbedaan antara kebijakan terkelola dan kebijakan inline, lihat Kebijakan terkelola dan kebijakan inline.

Untuk mengimpor kebijakan terkelola yang sudah ada di editor visual

  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi sebelah kiri, pilih Kebijakan.

  3. Pilih Buat kebijakan.

  4. Di editor Kebijakan, pilih Visual dan kemudian di sisi kanan halaman, pilih Tindakan lalu pilih Kebijakan impor.

  5. Di jendela impor kebijakan, pilih kebijakan terkelola yang paling cocok dengan kebijakan yang ingin Anda sertakan dalam kebijakan baru Anda. Anda bisa menggunakan kotak pencarian di bagian atas untuk membatasi hasil pada daftar kebijakan.

  6. Pilih kebijakan Impor.

    Kebijakan yang diimpor ditambahkan pada blok izin baru di bagian bawah kebijakan Anda.

  7. Gunakan editor Visual atau pilih JSONuntuk menyesuaikan kebijakan Anda. Lalu pilih Berikutnya.

    catatan

    Anda dapat beralih antara opsi Visual dan JSONeditor kapan saja. Namun, apabila Anda melakukan perubahan atau memilih Next (Berikutnya) di Editor visual, IAM mungkin merestrukturisasi kebijakan Anda untuk mengoptimalkannya untuk editor visual. Untuk informasi selengkapnya, lihat Restrukturisasi kebijakan.

  8. Pada halaman Tinjau dan buat, ketik Nama Kebijakan dan Deskripsi (opsional) untuk kebijakan yang Anda buat. Anda tidak bisa mengedit pengaturan kemudian. Tinjau Izin yang ditentukan dalam kebijakan ini, lalu pilih Buat kebijakan untuk menyimpan pekerjaan Anda.

Untuk mengimpor kebijakan terkelola yang sudah ada di JSONeditor

  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi sebelah kiri, pilih Kebijakan.

  3. Pilih Buat kebijakan.

  4. Di bagian Editor kebijakan, pilih JSONopsi, lalu di sisi kanan halaman, pilih Tindakan lalu pilih Kebijakan impor.

  5. Di jendela impor kebijakan, pilih kebijakan terkelola yang paling cocok dengan kebijakan yang ingin Anda sertakan dalam kebijakan baru Anda. Anda bisa menggunakan kotak pencarian di bagian atas untuk membatasi hasil pada daftar kebijakan.

  6. Pilih kebijakan Impor.

    Pernyataan dari kebijakan yang diimpor ditambahkan di bagian bawah JSON kebijakan Anda.

  7. Sesuaikan kebijakan Anda diJSON. Selesaikan peringatan keamanan, kesalahan, atau peringatan umum yang dihasilkan selama validasi kebijakan, lalu pilih Berikutnya. Sesuaikan kebijakan Anda di JSON, atau pilih Visual editor (Editor visual). Lalu pilih Berikutnya.

    catatan

    Anda dapat beralih antara opsi Visual dan JSONeditor kapan saja. Namun, apabila Anda melakukan perubahan atau memilih Next (Berikutnya) di Editor visual, IAM mungkin merestrukturisasi kebijakan Anda untuk mengoptimalkannya untuk editor visual. Untuk informasi selengkapnya, lihat Restrukturisasi kebijakan.

  8. Pada halaman Tinjau dan buat, ketik Nama Kebijakan dan Deskripsi (opsional) untuk kebijakan yang Anda buat. Anda tidak bisa mengedit hal ini kemudian. Tinjau kebijakan Izin yang ditentukan dalam kebijakan ini, lalu pilih Buat kebijakan untuk menyimpan pekerjaan Anda.

Setelah Anda membuat kebijakan, Anda dapat melampirkannya ke grup, pengguna, atau peran Anda. Untuk informasi selengkapnya, lihat Menambahkan dan menghapus izin identitas IAM.