Kebijakan IAM versioning - AWS Identity and Access Management
Pembatasan versiMenggunakan beberapa versi untuk mengembalikan perubahanIzin untuk mengatur versi default kebijakanMengatur versi default kebijakan terkelola pelanggan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kebijakan IAM versioning

Ketika Anda melakukan perubahan pada kebijakan terkelola IAM pelanggan, dan ketika AWS melakukan perubahan pada kebijakan AWS terkelola, kebijakan yang telah berubah tidak mengesampingkan kebijakan yang ada. Sebagai gantinya, IAM buat versi baru dari kebijakan terkelola. IAMmenyimpan hingga lima versi kebijakan terkelola pelanggan Anda. IAMtidak mendukung peningkatan versi untuk kebijakan selaras.

Diagram berikut mengilustrasikan versioning untuk kebijakan terkelola pelanggan. Dalam contoh ini, versi 1-4 disimpan. Kebijakan terkelola dapat memiliki sampai dengan lima versi yang disimpanIAM. Saat mengedit kebijakan yang akan membuat versi tersimpan keenam, Anda dapat memilih versi lama yang tidak akan disimpan lagi. Anda dapat kembali ke salah satu dari empat versi tersimpan lainnya kapan saja.

Perubahan kebijakan terkelola menjadi versi baru kebijakan tersebut

Versi kebijakan berbeda dengan Version elemen kebijakan. Elemen kebijakan Version digunakan dalam kebijakan dan menentukan versi bahasa kebijakan. Untuk mempelajari lebih lanjut tentang Version elemen kebijakan lihat IAMJSONelemen kebijakan: Version.

Anda dapat menggunakan beberapa versi untuk melacak perubahan pada kebijakan terkelola. Misalnya, Anda mungkin melakukan perubahan pada kebijakan terkelola dan kemudian menemukan bahwa perubahan tersebut memiliki efek yang tak diinginkan. Dalam kejadian ini, Anda dapat kembali ke kebijakan terkelola versi sebelumnya dengan mengatur versi sebelumnya sebagai versi default.

Topik berikut menjelaskan cara menggunakan versioning untuk kebijakan terkelola.

Pembatasan versi

Kebijakan terkelola dapat memiliki sampai dengan lima versi. Apabila Anda perlu melakukan perubahan pada kebijakan terkelola di luar lima versi dari AWS Command Line Interface, atau AWS API, Anda harus terlebih dahulu menghapus satu atau beberapa versi yang ada. Apabila Anda menggunakan versi AWS Management Console, Anda tidak perlu menghapus versi sebelum mengedit kebijakan Anda. Ketika Anda menyimpan versi keenam, muncul kotak dialog yang menyarankan Anda menghapus satu atau beberapa versi non-default kebijakan Anda. Anda dapat melihat berkas JSON kebijakan untuk setiap versi untuk membantu Anda mengambil keputusan. Untuk detail tentang kotak dialog ini, lihat Edit IAM kebijakan.

Anda dapat menghapus versi kebijakan terkelola apa pun yang Anda inginkan, kecuali versi default. Ketika Anda menghapus suatu versi, pengidentifikasi versi untuk sisanya tidak berubah. Hasilnya, pengidentifikasi versi mungkin tak berurutan. Sebagai contoh, apabila Anda menghapus kebijakan terkelola versi v2 dan v4 dan menambahkan dua versi baru, pengidentifikasi versi lainnya mungkin adalah v1, v3, v5, v6, dan v7.

Menggunakan beberapa versi untuk mengembalikan perubahan

Anda dapat mengatur versi default kebijakan terkelola pelanggan untuk mengembalikan perubahan Anda. Sebagai contoh, pertimbangkan alur perencanaan berikut ini:

Anda membuat kebijakan terkelola pelanggan yang memungkinkan pengguna untuk mengelola bucket Amazon S3 tertentu menggunakan. AWS Management Console Setelah pembuatan, kebijakan terkelola pelanggan Anda hanya memiliki satu versi, yang diidentifikasi sebagai v1, sehingga versi tersebut secara otomatis diatur sebagai default. Kebijakan ini bekerja sebagaimana mestinya.

Kemudian, Anda memperbaharui kebijakan untuk menambahkan izin mengelola bucket Amazon S3 kedua. IAMmembuat versi baru kebijakan, yang diidentifikasi sebagai v2, yang berisi perubahan Anda. Anda mengatur versi v2 sebagai standar, dan tidak lama kemudian pengguna Anda melaporkan bahwa mereka tidak memiliki izin untuk menggunakan konsol Amazon S3. Dalam hal ini, Anda dapat kembali ke kebijakan versi v1, yang Anda tahu bekerja sebagaimana mestinya. Untuk melakukannya, Anda menetapkan versi v1 sebagai versi standar. Pengguna Anda sekarang dapat menggunakan konsol Amazon S3 untuk mengelola bucket asli.

Kemudian, setelah Anda menentukan kesalahan dalam kebijakan versi v2, Anda memperbaharui kebijakannya lagi untuk menambahkan izin mengelola bucket Amazon S3 yang kedua. IAMmembuat versi baru kebijakan lainnya, yang diidentifikasi sebagai v3. Anda mengatur versi v3 sebagai default, dan versi ini berjalan sebagaimana mestinya. Pada tahap ini, Anda menghapus versi v2 kebijakan.

Izin untuk mengatur versi default kebijakan

Izin yang diperlukan untuk mengatur versi default kebijakan sesuai dengan AWS API operasi untuk tugas tersebut. Anda dapat menggunakan CreatePolicyVersion atau SetDefaultPolicyVersion API operasi untuk menyetel versi default kebijakan. Untuk memperbolehkan seseorang mengatur versi kebijakan default dari kebijakan yang ada, Anda dapat mengizinkan akses untuk tindakan iam:CreatePolicyVersion atau tindakan iam:SetDefaultPolicyVersion. Tindakan iam:CreatePolicyVersion memungkinkan mereka membuat kebijakan versi baru dan mengatur versi tersebut sebagai default. Tindakan iam:SetDefaultPolicyVersion memungkinkan mereka mengatur versi kebijakan yang ada sebagai kebijakan default.

penting

Menolak tindakan iam:SetDefaultPolicyVersion dalam kebijakan pengguna tidak menghentikan pengguna untuk membuat versi kebijakan baru dan mengaturnya sebagai default.

Anda dapat menggunakan kebijakan berikut untuk menolak akses pengguna untuk mengubah kebijakan terkelola pelanggan yang sudah ada:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "iam:CreatePolicyVersion",
                "iam:SetDefaultPolicyVersion"
            ],
            "Resource": "arn:aws:iam::*:policy/POLICY-NAME"
        }
    ]
}

Mengatur versi default kebijakan terkelola pelanggan

Salah satu versi kebijakan terkelola ditetapkan sebagai versi default. Versi default kebijakan yakni versi operasi—yaitu, versi yang berlaku untuk seluruh entitas utama (IAMpengguna, IAM grup, dan IAM peran) yang mendapat lampiran kebijakan terkelola.

Ketika Anda membuat kebijakan terkelola pelanggan, kebijakan tersebut dimulai versi tunggal yang diidentifikasi sebagai v1. Untuk kebijakan terkelola dengan versi tunggal saja, versi tersebut secara otomatis diatur sebagai default. Untuk kebijakan terkelola pelanggan dengan lebih dari satu versi, Anda memilih versi mana yang akan ditetapkan sebagai default. Untuk kebijakan AWS terkelola, versi default diatur oleh AWS. Diagram berikut mengilustrasikan hal ini.

Kebijakan terkelola dengan versi tunggal saja, yang merupakan versi default

Kebijakan terkelola pelanggan tiga versi, dengan versi v2 yang merupakan versi default.

Anda dapat mengatur versi default kebijakan yang dikelola pelanggan untuk menerapkan versi tersebut pada setiap IAM identitas (pengguna, grup pengguna, dan peran) yang terlampir dengan kebijakan tersebut. Anda tidak dapat mengatur versi default untuk kebijakan AWS terkelola atau kebijakan inline.

Untuk mengatur versi default kebijakan terkelola pelanggan (konsol)

  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Kebijakan.

  3. Dari daftar kebijakan, pilih nama kebijakan untuk diatur menjadi versi default. Anda dapat menggunakan kotak pencarian untuk memfilter daftar kebijakan.

  4. Pilih tab Versi kebijakan. Centang kotak di samping versi yang ingin Anda tetapkan sebagai versi default, lalu pilih Atur sebagai default.

Untuk mempelajari cara menyetel versi default kebijakan terkelola pelanggan dari AWS Command Line Interface atau yang terkelola AWS API, lihatEdit IAM kebijakan (AWS CLI).