Kebijakan berbasis identitas dan kebijakan berbasis sumber daya - AWS Identity and Access Management

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kebijakan berbasis identitas dan kebijakan berbasis sumber daya

Kebijakan adalah objek AWS yang, ketika dikaitkan dengan identitas atau sumber daya, menentukan izinnya. Saat Anda membuat kebijakan izin untuk membatasi akses ke sumber daya, Anda dapat memilih kebijakan berbasis identitas atau kebijakan berbasis sumber daya.

Kebijakan berbasis identitas terlampir pada pengguna, grup, atau peran IAM. Kebijakan ini memungkinkan Anda menentukan apa yang dapat dilakukan oleh identitas (izinnya). Misalnya, Anda dapat melampirkan kebijakan ke pengguna IAM bernama John, yang menyatakan bahwa dia diizinkan untuk melakukan tindakan RunInstances Amazon EC2. Kebijakan selanjutnya dapat menyatakan bahwa John diizinkan untuk mendapatkan item dari tabel Amazon DynamoDB bernama. MyCompany Anda juga dapat mengizinkan John untuk mengelola kredensyal keamanan IAM-nya sendiri. Kebijakan berbasis identitas dapat terkelola atau inline.

Kebijakan berbasis sumber daya dilampirkan pada sumber daya. Misalnya, Anda dapat melampirkan kebijakan berbasis sumber daya ke bucket Amazon S3, antrian Amazon SQS, titik akhir VPC, kunci enkripsi, serta tabel dan aliran Amazon DynamoDB. AWS Key Management Service Untuk daftar layanan yang mendukung kebijakan berbasis sumber daya, lihat AWS layanan yang bekerja dengan IAM.

Dengan kebijakan berbasis sumber daya, Anda dapat menentukan siapa yang memiliki akses ke sumber daya tersebut dan tindakan apa yang dapat mereka lakukan di situ. Untuk mempelajari apakah prinsipal dalam akun di luar zona kepercayaan (organisasi atau akun terpercaya) memiliki akses untuk mengambil peran Anda, lihat Apa yang dimaksud dengan Penganalisis Akses IAM?. Kebijakan berbasis sumber daya hanya bersifat inline, tidak terkelola.

catatan

Kebijakan Berbasis sumber daya berbeda dari izin tingkat sumber daya. Anda dapat melampirkan kebijakan berbasis sumber daya secara langsung ke sumber daya, sebagaimana dijelaskan dalam topik ini. Izin tingkat sumber daya mengacu pada kemampuan untuk menggunakan ARN untuk menentukan sumber daya individu dalam kebijakan. Kebijakan berbasis sumber daya hanya didukung oleh beberapa layanan. AWS Untuk daftar yang layanannya didukung kebijakan berbasis sumber daya dan izin tingkat sumber daya, lihat AWS layanan yang bekerja dengan IAM.

Untuk mempelajari cara berinteraksi antara kebijakan berbasis identitas dan kebijakan berbasis sumber daya dalam akun yang sama, lihat Mengevaluasi kebijakan dalam satu akun.

Untuk mempelajari cara interaksi kebijakan di seluruh akun, lihat Logika evaluasi kebijakan lintas akun.

Untuk lebih memahami konsep ini, lihat gambar berikut. Administrator dari akun 123456789012 terlampir kebijakan berbasis identitas kepada pengguna JohnSmith, CarlosSalazar, dan MaryMajor. Beberapa tindakan dalam kebijakan ini dapat dilakukan pada sumber daya tertentu. Misalnya, pengguna JohnSmith dapat melakukan beberapa tindakan di Resource X. Ini adalah izin tingkat sumber daya dalam kebijakan berbasis identitas. Administrator juga menambahkan kebijakan berbasis sumber daya ke Resource X, Resource Y, dan Resource Z. Kebijakan berbasis sumber daya memungkinkan Anda menentukan siapa yang dapat mengakses sumber daya tersebut. Misalnya, kebijakan berbasis sumber daya di Resource X mengizinkan akses pengguna JohnSmith dan MaryMajor daftar dan baca ke sumber daya.

Kebijakan berbasis identitas vs berbasis sumber daya

Contoh akun 123456789012 mengizinkan pengguna berikut untuk melakukan tindakan yang tercantum:

  • JohnSmith— John dapat melakukan daftar dan membaca tindakan diResource X. Dia diberikan izin ini oleh kebijakan berbasis identitas pada penggunanya dan kebijakan berbasis sumber daya pada Resource X.

  • CarlosSalazarCarlos dapat melakukan daftar, membaca, dan menulis tindakanResource Y, tetapi ditolak aksesnya. Resource Z Kebijakan berbasis identitas pada Carlos memungkinkan dia untuk melakukan tindakan daftar dan baca Resource Y. Kebijakan berbasis sumber daya Resource Y juga memungkinkan dia menulis izin. Namun, meskipun kebijakan berbasis identitas miliknya mengizinkannya mengakses Resource Z, kebijakan berbasis sumber daya Resource Z menolak akses tersebut. Deny secara jelas menimpa Allow dan aksesnya ke Resource Z ditolak. Untuk informasi selengkapnya, lihat Logika evaluasi kebijakan.

  • MaryMajor— Mary dapat melakukan operasi daftar, membaca, dan menulis padaResource X,Resource Y, danResource Z. Kebijakan berbasis identitas miliknya mengizinkan tindakan yang lebih banyak terhadap lebih banyak sumber daya daripada kebijakan berbasis sumber daya, tetapi tidak ada yang menolak akses.

  • ZhangWei— Zhang memiliki akses penuh keResource Z. Zhang tidak memiliki kebijakan berbasis identitas, tetapi kebijakan berbasis sumber daya Resource Z mengizinkannya mengakses sumber daya sepenuhnya. Zhang juga dapat melakukan tindakan daftar dan baca pada Resource Y.

Kebijakan berbasis identitas dan kebijakan berbasis sumber daya keduanya adalah kebijakan izin dan dievaluasi bersama. Untuk permintaan yang hanya berlaku kebijakan izin, AWS pertama-tama periksa semua kebijakan untuk file. Deny Jika ada, maka permintaan ditolak. Kemudian AWS memeriksa setiap Allow. Jika setidaknya satu pernyataan mengizinkan tindakan dalam permintaan tersebut, permintaan tersebut diizinkan. Tidak peduli apakah Allow berada dalam kebijakan berbasis identitas atau kebijakan berbasis sumber daya.

penting

Logika ini hanya berlaku ketika permintaan dibuat dalam satu Akun AWS. Untuk permintaan yang dibuat dari satu akun ke akun lain, pemohon di Account A harus memiliki kebijakan berbasis identitas yang mengizinkan mereka mengajukan permintaan kepada sumber daya di Account B. Juga, kebijakan berbasis sumber daya di Account B harus mengizinkan pemohon di Account A untuk mengakses sumber daya. Harus ada kebijakan di kedua akun yang mengizinkan operasi, jika tidak permintaan tersebut gagal. Untuk informasi selengkapnya tentang menggunakan kebijakan berbasis sumber daya bagi akses akun silang, lihat Akses sumber daya lintas akun di IAM.

Pengguna yang memiliki izin spesifik mungkin meminta sumber daya yang juga memiliki kebijakan izin yang terlampir. Dalam hal ini, AWS mengevaluasi kedua set izin saat menentukan apakah akan memberikan akses ke sumber daya. Untuk informasi tentang bagaimana kebijakan dievaluasi, lihat Logika evaluasi kebijakan.

catatan

Amazon S3 mendukung kebijakan berbasis identitas dan kebijakan berbasis sumber daya (disebut sebagai kebijakan bucket). Sebagai tambahan, Amazon S3 mendukung mekanisme izin yang dikenal sebagai Access Control List (ACL) yang terpisah dari kebijakan dan izin IAM. Anda dapat menggunakan kebijakan IAM dalam kombinasi dengan Amazon S3 ACL. Untuk informasi selengkapnya, lihat Kontrol Akses di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.