Kebijakan IAM versioning - AWS Identity and Access Management
Pembatasan versiGunakan versi untuk memutar kembali perubahanIzin untuk mengatur versi default kebijakanMengatur versi default kebijakan terkelola pelanggan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kebijakan IAM versioning

Saat Anda membuat perubahan pada kebijakan yang dikelola IAM pelanggan, dan saat AWS membuat perubahan pada kebijakan AWS terkelola, kebijakan yang diubah tidak akan menimpa kebijakan yang ada. Sebagai gantinya, IAM buat versi baru dari kebijakan terkelola. IAMmenyimpan hingga lima versi kebijakan yang dikelola pelanggan Anda. IAMtidak mendukung pembuatan versi untuk kebijakan sebaris.

Diagram berikut mengilustrasikan versioning untuk kebijakan terkelola pelanggan. Dalam contoh ini, versi 1-4 disimpan. Anda dapat menyimpan hingga lima versi kebijakan terkelolaIAM. Saat mengedit kebijakan yang akan membuat versi tersimpan keenam, Anda dapat memilih versi lama yang tidak akan disimpan lagi. Anda dapat kembali ke salah satu dari empat versi tersimpan lainnya kapan saja.

Perubahan kebijakan terkelola menjadi versi baru kebijakan tersebut

Versi kebijakan berbeda dengan Version elemen kebijakan. Elemen kebijakan Version digunakan dalam kebijakan dan menentukan versi bahasa kebijakan. Untuk mempelajari lebih lanjut tentang Version elemen kebijakan lihat IAMJSONelemen kebijakan: Version.

Anda dapat menggunakan beberapa versi untuk melacak perubahan pada kebijakan terkelola. Misalnya, Anda mungkin melakukan perubahan pada kebijakan terkelola dan kemudian menemukan bahwa perubahan tersebut memiliki efek yang tak diinginkan. Dalam kejadian ini, Anda dapat kembali ke kebijakan terkelola versi sebelumnya dengan mengatur versi sebelumnya sebagai versi default.

Topik berikut menjelaskan bagaimana Anda dapat menggunakan pembuatan versi untuk kebijakan terkelola.

Pembatasan versi

Kebijakan terkelola dapat memiliki sampai dengan lima versi. Jika Anda perlu membuat perubahan pada kebijakan terkelola di luar lima versi dari AWS Command Line Interface, atau AWS API, Anda harus menghapus satu atau beberapa versi yang ada terlebih dahulu. Jika Anda menggunakan AWS Management Console, Anda tidak perlu menghapus versi sebelum mengedit kebijakan Anda. Ketika Anda menyimpan versi keenam, muncul kotak dialog yang menyarankan Anda menghapus satu atau beberapa versi non-default kebijakan Anda. Anda dapat melihat dokumen JSON kebijakan untuk setiap versi untuk membantu Anda memutuskan. Untuk detail tentang kotak dialog ini, lihat Edit IAM kebijakan.

Anda dapat menghapus versi kebijakan terkelola apa pun yang Anda inginkan, kecuali versi default. Ketika Anda menghapus suatu versi, pengidentifikasi versi untuk sisanya tidak berubah. Hasilnya, pengidentifikasi versi mungkin tak berurutan. Sebagai contoh, apabila Anda menghapus kebijakan terkelola versi v2 dan v4 dan menambahkan dua versi baru, pengidentifikasi versi lainnya mungkin adalah v1, v3, v5, v6, dan v7.

Gunakan versi untuk memutar kembali perubahan

Anda dapat mengatur versi default kebijakan terkelola pelanggan untuk mengembalikan perubahan Anda. Sebagai contoh, pertimbangkan alur perencanaan berikut ini:

Anda membuat kebijakan terkelola pelanggan yang memungkinkan pengguna mengelola bucket Amazon S3 tertentu menggunakan. AWS Management Console Setelah pembuatan, kebijakan terkelola pelanggan Anda hanya memiliki satu versi, yang diidentifikasi sebagai v1, sehingga versi tersebut secara otomatis diatur sebagai default. Kebijakan ini bekerja sebagaimana mestinya.

Kemudian, Anda memperbaharui kebijakan untuk menambahkan izin mengelola bucket Amazon S3 kedua. IAMmembuat versi baru kebijakan, diidentifikasi sebagai v2, yang berisi perubahan Anda. Anda mengatur versi v2 sebagai standar, dan tidak lama kemudian pengguna Anda melaporkan bahwa mereka tidak memiliki izin untuk menggunakan konsol Amazon S3. Dalam hal ini, Anda dapat kembali ke kebijakan versi v1, yang Anda tahu bekerja sebagaimana mestinya. Untuk melakukannya, Anda menetapkan versi v1 sebagai versi standar. Pengguna Anda sekarang dapat menggunakan konsol Amazon S3 untuk mengelola bucket asli.

Kemudian, setelah Anda menentukan kesalahan dalam kebijakan versi v2, Anda memperbaharui kebijakannya lagi untuk menambahkan izin mengelola bucket Amazon S3 yang kedua. IAMmembuat versi baru kebijakan lainnya, yang diidentifikasi sebagai v3. Anda mengatur versi v3 sebagai default, dan versi ini berjalan sebagaimana mestinya. Pada tahap ini, Anda menghapus versi v2 kebijakan.

Izin untuk mengatur versi default kebijakan

Izin yang diperlukan untuk menyetel versi default kebijakan sesuai dengan AWS API operasi untuk tugas tersebut. Anda dapat menggunakan CreatePolicyVersion atau SetDefaultPolicyVersion API operasi untuk menyetel versi default kebijakan. Untuk memperbolehkan seseorang mengatur versi kebijakan default dari kebijakan yang ada, Anda dapat mengizinkan akses untuk tindakan iam:CreatePolicyVersion atau tindakan iam:SetDefaultPolicyVersion. Tindakan iam:CreatePolicyVersion memungkinkan mereka membuat kebijakan versi baru dan mengatur versi tersebut sebagai default. Tindakan iam:SetDefaultPolicyVersion memungkinkan mereka mengatur versi kebijakan yang ada sebagai kebijakan default.

penting

Menolak tindakan iam:SetDefaultPolicyVersion dalam kebijakan pengguna tidak menghentikan pengguna untuk membuat versi kebijakan baru dan mengaturnya sebagai default.

Anda dapat menggunakan kebijakan berikut untuk menolak akses pengguna untuk mengubah kebijakan terkelola pelanggan yang sudah ada:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "iam:CreatePolicyVersion",
                "iam:SetDefaultPolicyVersion"
            ],
            "Resource": "arn:aws:iam::*:policy/POLICY-NAME"
        }
    ]
}

Mengatur versi default kebijakan terkelola pelanggan

Salah satu versi kebijakan terkelola ditetapkan sebagai versi default. Versi default kebijakan adalah versi operatif—yaitu, ini adalah versi yang berlaku untuk semua entitas utama (IAMpengguna, IAM grup, dan IAM peran) tempat kebijakan terkelola dilampirkan.

Ketika Anda membuat kebijakan terkelola pelanggan, kebijakan tersebut dimulai versi tunggal yang diidentifikasi sebagai v1. Untuk kebijakan terkelola dengan versi tunggal saja, versi tersebut secara otomatis diatur sebagai default. Untuk kebijakan terkelola pelanggan dengan lebih dari satu versi, Anda memilih versi mana yang akan ditetapkan sebagai default. Untuk kebijakan AWS terkelola, versi default ditetapkan oleh AWS. Diagram berikut mengilustrasikan hal ini.

Kebijakan terkelola dengan versi tunggal saja, yang merupakan versi default

Kebijakan terkelola pelanggan tiga versi, dengan versi v2 yang merupakan versi default.

Anda dapat menyetel versi default kebijakan terkelola pelanggan untuk menerapkan versi tersebut ke setiap IAM identitas (pengguna, grup pengguna, dan peran) tempat kebijakan dilampirkan. Anda tidak dapat menyetel versi default untuk kebijakan AWS terkelola atau kebijakan sebaris.

Untuk mengatur versi default kebijakan terkelola pelanggan (konsol)

  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Kebijakan.

  3. Dari daftar kebijakan, pilih nama kebijakan untuk diatur menjadi versi default. Anda dapat menggunakan kotak pencarian untuk memfilter daftar kebijakan.

  4. Pilih tab Versi kebijakan. Centang kotak di samping versi yang ingin Anda tetapkan sebagai versi default, lalu pilih Atur sebagai default.

Untuk mempelajari cara menyetel versi default kebijakan terkelola pelanggan dari AWS Command Line Interface atau kebijakan AWS API, lihatEdit IAM kebijakan (AWS CLI).