Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kebijakan adalah objek AWS yang, ketika dikaitkan dengan identitas atau sumber daya, menentukan izinnya. Saat Anda membuat kebijakan izin untuk membatasi akses ke sumber daya, Anda dapat memilih kebijakan berbasis identitas atau kebijakan berbasis sumber daya.
Kebijakan berbasis identitas dilampirkan ke IAM pengguna, grup, atau peran. Kebijakan ini memungkinkan Anda menentukan apa yang dapat dilakukan oleh identitas (izinnya). Misalnya, Anda dapat melampirkan kebijakan ke IAM pengguna bernama John, yang menyatakan bahwa ia diizinkan untuk melakukan EC2 RunInstances
tindakan Amazon. Kebijakan selanjutnya dapat menyatakan bahwa John diizinkan untuk mendapatkan item dari tabel Amazon DynamoDB bernama. MyCompany
Anda juga dapat mengizinkan John untuk mengelola kredensi IAM keamanannya sendiri. Kebijakan berbasis identitas dapat terkelola atau inline.
Kebijakan berbasis sumber daya dilampirkan pada sumber daya. Misalnya, Anda dapat melampirkan kebijakan berbasis sumber daya ke bucket Amazon S3, SQS antrian Amazon, titik akhir, AWS Key Management Service kunci enkripsiVPC, serta tabel dan aliran Amazon DynamoDB. Untuk daftar layanan yang mendukung kebijakan berbasis sumber daya, lihat AWS layanan yang bekerja dengan IAM.
Dengan kebijakan berbasis sumber daya, Anda dapat menentukan siapa yang memiliki akses ke sumber daya tersebut dan tindakan apa yang dapat mereka lakukan di situ. Untuk mengetahui apakah prinsipal di akun di luar zona kepercayaan Anda (organisasi atau akun tepercaya) memiliki akses untuk mengambil peran Anda, lihat Apa itu IAM Access Analyzer? . Kebijakan berbasis sumber daya hanya bersifat inline, tidak terkelola.
catatan
Kebijakan Berbasis sumber daya berbeda dari izin tingkat sumber daya. Anda dapat melampirkan kebijakan berbasis sumber daya secara langsung ke sumber daya, sebagaimana dijelaskan dalam topik ini. Izin tingkat sumber daya mengacu pada kemampuan yang digunakan ARNsuntuk menentukan sumber daya individu dalam kebijakan. Kebijakan berbasis sumber daya hanya didukung oleh beberapa layanan. AWS Untuk daftar yang layanannya didukung kebijakan berbasis sumber daya dan izin tingkat sumber daya, lihat AWS layanan yang bekerja dengan IAM.
Untuk mempelajari cara berinteraksi antara kebijakan berbasis identitas dan kebijakan berbasis sumber daya dalam akun yang sama, lihat Evaluasi kebijakan untuk permintaan dalam satu akun.
Untuk mempelajari cara interaksi kebijakan di seluruh akun, lihat Logika evaluasi kebijakan lintas akun.
Untuk lebih memahami konsep ini, lihat gambar berikut. Administrator dari akun 123456789012
terlampir kebijakan berbasis identitas kepada pengguna JohnSmith
, CarlosSalazar
, dan MaryMajor
. Beberapa tindakan dalam kebijakan ini dapat dilakukan pada sumber daya tertentu. Misalnya, pengguna JohnSmith
dapat melakukan beberapa tindakan di Resource X
. Ini adalah izin tingkat sumber daya dalam kebijakan berbasis identitas. Administrator juga menambahkan kebijakan berbasis sumber daya ke Resource X
, Resource
Y
, dan Resource Z
. Kebijakan berbasis sumber daya memungkinkan Anda menentukan siapa yang dapat mengakses sumber daya tersebut. Misalnya, kebijakan berbasis sumber daya di Resource X
mengizinkan akses pengguna JohnSmith
dan MaryMajor
daftar dan baca ke sumber daya.
Contoh akun 123456789012
mengizinkan pengguna berikut untuk melakukan tindakan yang tercantum:
-
JohnSmith— John dapat melakukan daftar dan membaca tindakan di
Resource X
. Dia diberikan izin ini oleh kebijakan berbasis identitas pada penggunanya dan kebijakan berbasis sumber daya padaResource X
. -
CarlosSalazarCarlos dapat melakukan daftar, membaca, dan menulis tindakan
Resource Y
, tetapi ditolak aksesnya.Resource Z
Kebijakan berbasis identitas pada Carlos memungkinkan dia untuk melakukan tindakan daftar dan bacaResource Y
. Kebijakan berbasis sumber dayaResource Y
juga memungkinkan dia menulis izin. Namun, meskipun kebijakan berbasis identitas miliknya mengizinkannya mengaksesResource Z
, kebijakan berbasis sumber dayaResource Z
menolak akses tersebut.Deny
secara jelas menimpaAllow
dan aksesnya keResource Z
ditolak. Untuk informasi selengkapnya, lihat Logika evaluasi kebijakan. -
MaryMajor— Mary dapat melakukan operasi daftar, membaca, dan menulis pada
Resource X
,Resource Y
, danResource Z
. Kebijakan berbasis identitas miliknya mengizinkan tindakan yang lebih banyak terhadap lebih banyak sumber daya daripada kebijakan berbasis sumber daya, tetapi tidak ada yang menolak akses. -
ZhangWei— Zhang memiliki akses penuh ke
Resource Z
. Zhang tidak memiliki kebijakan berbasis identitas, tetapi kebijakan berbasis sumber dayaResource Z
mengizinkannya mengakses sumber daya sepenuhnya. Zhang juga dapat melakukan tindakan daftar dan baca padaResource Y
.
Kebijakan berbasis identitas dan kebijakan berbasis sumber daya keduanya adalah kebijakan izin dan dievaluasi bersama. Untuk permintaan yang hanya berlaku kebijakan izin, AWS pertama-tama periksa semua kebijakan untuk file. Deny
Jika ada, maka permintaan ditolak. Kemudian AWS
memeriksa setiap Allow
. Jika setidaknya satu pernyataan mengizinkan tindakan dalam permintaan tersebut, permintaan tersebut diizinkan. Tidak peduli apakah Allow
berada dalam kebijakan berbasis identitas atau kebijakan berbasis sumber daya.
penting
Logika ini hanya berlaku ketika permintaan dibuat dalam satu Akun AWS. Untuk permintaan yang dibuat dari satu akun ke akun lain, pemohon di Account A
harus memiliki kebijakan berbasis identitas yang mengizinkan mereka mengajukan permintaan kepada sumber daya di Account B
. Juga, kebijakan berbasis sumber daya di Account B
harus mengizinkan pemohon di Account A
untuk mengakses sumber daya. Harus ada kebijakan di kedua akun yang mengizinkan operasi, jika tidak permintaan tersebut gagal. Untuk informasi selengkapnya tentang menggunakan kebijakan berbasis sumber daya bagi akses akun silang, lihat Akses sumber daya lintas akun di IAM.
Pengguna yang memiliki izin spesifik mungkin meminta sumber daya yang juga memiliki kebijakan izin yang terlampir. Dalam hal ini, AWS mengevaluasi kedua set izin saat menentukan apakah akan memberikan akses ke sumber daya. Untuk informasi tentang bagaimana kebijakan dievaluasi, lihat Logika evaluasi kebijakan.
catatan
Amazon S3 mendukung kebijakan berbasis identitas dan kebijakan berbasis sumber daya (disebut sebagai kebijakan bucket). Selain itu, Amazon S3 mendukung mekanisme izin yang dikenal sebagai daftar kontrol akses (ACL) yang independen dari IAM kebijakan dan izin. Anda dapat menggunakan IAM kebijakan dalam kombinasi dengan Amazon S3ACLs. Untuk informasi selengkapnya, lihat Kontrol Akses di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.