IAMpengujian kebijakan dengan simulator IAM kebijakan - AWS Identity and Access Management
Cara kerja simulator kebijakan IAMIzin yang diperlukan untuk menggunakan simulator IAM kebijakanMenggunakan simulator kebijakan IAM (konsol)Menggunakan simulator IAM kebijakan (AWS CLI dan AWS API)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

IAMpengujian kebijakan dengan simulator IAM kebijakan

Untuk informasi selengkapnya tentang cara dan mengapa menggunakan IAM kebijakan, lihatKebijakan dan izin di AWS Identity and Access Management.

Anda dapat mengakses Konsol Simulator IAM Kebijakan di: https://policysim.aws.amazon.com/

penting

Hasil simulator kebijakan dapat berbeda dari AWS lingkungan hidup Anda. Kami menyarankan Anda memeriksa kebijakan Anda terhadap AWS lingkungan hidup Anda setelah pengujian menggunakan simulator kebijakan untuk mengonfirmasi bahwa Anda memiliki hasil yang diinginkan. Untuk informasi selengkapnya, lihat Cara kerja simulator kebijakan IAM.

Dengan simulator IAM kebijakan, Anda dapat menguji dan memecahkan masalah batasan kebijakan dan izin berbasis identitas. IAM Berikut adalah beberapa hal umum yang bisa Anda lakukan dengan simulator kebijakan:

  • Uji kebijakan berbasis identitas yang dilampirkan ke IAM pengguna, IAM grup, atau peran dalam Anda. Akun AWS Jika lebih dari satu kebijakan terlampir ke pengguna, grup pengguna, atau peran, Anda bisa menguji semua kebijakan, atau memilih kebijakan tertentu untuk diuji. Anda bisa menguji tindakan mana yang diizinkan atau ditolak oleh kebijakan terpilih untuk sumber daya tertentu.

  • Uji dan pecahkan masalah efek batas izin pada entitas. IAM Anda hanya dapat mensimulasikan satu batas izin pada satu waktu.

  • Uji efek kebijakan berbasis sumber daya pada IAM pengguna yang dilampirkan ke AWS sumber daya, seperti bucket Amazon S3, antrian Amazon, topik Amazon, atau kubah Amazon S3 SQS Glacier. SNS Untuk menggunakan kebijakan berbasis sumber daya dalam simulator kebijakan bagi IAM pengguna, Anda harus menyertakan sumber daya dalam simulasi. Anda juga harus memilih kotak centang untuk menyertakan kebijakan sumber daya tersebut dalam simulasi.

    catatan

    Simulasi kebijakan berbasis sumber daya tidak didukung untuk peran. IAM

  • Jika Anda Akun AWS adalah anggota organisasi di AWS Organizations, maka Anda dapat menguji dampak kebijakan kontrol layanan (SCPs) pada kebijakan berbasis identitas Anda.

    catatan

    Simulator kebijakan tidak mengevaluasi SCPs yang memiliki kondisi apa pun.

  • Uji kebijakan berbasis identitas baru yang belum dilampirkan ke pengguna, grup pengguna, atau peran dengan mengetik atau menyalinnya ke dalam simulator kebijakan. Semua ini hanya digunakan dalam simulasi dan tidak disimpan. Anda tidak dapat mengetik atau menyalin kebijakan berbasis sumber daya di simulator kebijakan.

  • Uji kebijakan berbasis identitas dengan layanan, tindakan, dan sumber daya yang dipilih. Misalnya, Anda bisa menguji untuk memastikan kebijakan Anda mengizinkan entitas untuk melakukan ListAllMyBuckets, CreateBucket, dan DeleteBucket tindakan di layanan Amazon S3 di bucket tertentu.

  • Simulasikan skenario dunia nyata dengan menyediakan kunci konteks, misalnya alamat IP atau tanggal, yang disertakan keCondition elemn dalam kebijakan yang diuji.

    catatan

    Simulator kebijakan tidak mensimulasikan tag yang disediakan sebagai input jika kebijakan berbasis identitas dalam simulasi tidak memiliki Condition elemen yang secara eksplisit memeriksa tag.

  • Identifikasi pernyataan spesifik mana dalam kebijakan berbasis identitas yang menghasilkan mengizinkan atau menolak akses ke sumber daya atau tindakan tertentu.

Cara kerja simulator kebijakan IAM

Simulator kebijakan mengevaluasi pernyataan dalam kebijakan berbasis identitas dan masukan yang Anda berikan selama simulasi. Hasil simulator kebijakan dapat berbeda dari AWS lingkungan hidup Anda. Kami menyarankan Anda memeriksa kebijakan Anda terhadap AWS lingkungan hidup Anda setelah pengujian menggunakan simulator kebijakan untuk mengonfirmasi bahwa Anda memiliki hasil yang diinginkan.

Simulator kebijakan berbeda dari AWS lingkungan hidup dengan cara berikut:

  • Simulator kebijakan tidak membuat permintaan AWS layanan yang sebenarnya, sehingga Anda dapat menguji permintaan dengan aman yang mungkin membuat perubahan yang tidak diinginkan pada AWS lingkungan hidup Anda. Simulator kebijakan tidak mempertimbangkan nilai kunci konteks nyata dalam produksi.

  • Karena simulator kebijakan tidak mensimulasikan menjalankan tindakan yang dipilih, simulator kebijakan tidak dapat melaporkan respons apa pun terhadap permintaan yang disimulasikan. Satu-satunya hasil yang dikembalikan adalah apakah tindakan yang diminta akan diizinkan atau ditolak.

  • Jika Anda mengedit kebijakan di simulator kebijakan, perubahan ini hanya memengaruhi simulator kebijakan. Kebijakan terkait di Anda Akun AWS tetap tidak berubah.

  • Anda tidak dapat menguji kebijakan kontrol layanan (SCPs) dengan kondisi apa pun.

  • Simulator kebijakan tidak mendukung simulasi untuk kebijakan kontrol sumber daya (RCPs).

  • Simulator kebijakan tidak mendukung simulasi IAM peran dan pengguna untuk akses lintas akun.

catatan

Simulator IAM kebijakan tidak menentukan layanan mana yang mendukung kunci kondisi global untuk otorisasi. Misalnya, simulator kebijakan tidak mengidentifikasi bahwa layanan tidak mendukung aws:TagKeys.

Izin yang diperlukan untuk menggunakan simulator IAM kebijakan

Anda dapat menggunakan konsol simulator kebijakan atau simulator kebijakan API untuk menguji kebijakan. Secara default, pengguna konsol dapat menguji kebijakan yang belum dilampirkan ke pengguna, grup pengguna, atau peran dengan mengetik atau menyalin kebijakan tersebut ke dalam simulator kebijakan. Kebijakan ini hanya dipakai dalam simulasi dan tidak mengungkap informasi sensitif. APIpengguna harus memiliki izin untuk menguji kebijakan yang tidak dilampirkan. Anda dapat mengizinkan konsol atau API pengguna untuk menguji kebijakan yang dilampirkan ke IAM pengguna, IAM grup, atau peran dalam Anda Akun AWS. Untuk melakukannya, Anda harus mengizinkan pengambilan kebijakan tersebut. Guna menguji kebijakan berbasis sumber daya, pengguna harus berizin untuk mengambil kebijakan sumber daya tersebut.

Untuk contoh konsol dan API kebijakan yang memungkinkan pengguna mensimulasikan kebijakan, lihatContoh kebijakan: AWS Identity and Access Management (IAM).

Izin diperlukan untuk menggunakan konsol simulator kebijakan

Anda dapat mengizinkan pengguna untuk menguji kebijakan yang dilampirkan ke IAM pengguna, IAM grup, atau peran dalam Anda Akun AWS. Untuk melakukannya, Anda harus mengizinkan pengguna Anda untuk mengambil kebijakan tersebut. Guna menguji kebijakan berbasis-sumber daya, pengguna harus berizin untuk mengambil kebijakan sumber daya tersebut.

Untuk melihat kebijakan contoh yang mengizinkan penggunaan konsol simulator kebijakan untuk kebijakan yang melekat ke pengguna, grup pengguna, atau peran, lihat IAM: Akses konsol simulator kebijakan.

Untuk melihat kebijakan contoh yang memungkinkan penggunaan konsol simulator kebijakan hanya untuk pengguna dengan jalur tertentu, lihat IAM: Akses konsol simulator kebijakan berdasarkan jalur pengguna.

Untuk membuat kebijakan yang memungkinkan penggunaan konsol simulator kebijakan hanya untuk satu tipe entitas, gunakan prosedur berikut.

Untuk memungkinkan pengguna konsol mensimulasikan kebijakan bagi pengguna

Sertakan tindakan berikut dalam kebijakan Anda:

  • iam:GetGroupPolicy

  • iam:GetPolicy

  • iam:GetPolicyVersion

  • iam:GetUser

  • iam:GetUserPolicy

  • iam:ListAttachedUserPolicies

  • iam:ListGroupsForUser

  • iam:ListGroupPolicies

  • iam:ListUserPolicies

  • iam:ListUsers

Untuk memungkinkan pengguna konsol mensimulasikan kebijakan untuk grup IAM

Sertakan tindakan berikut dalam kebijakan Anda:

  • iam:GetGroup

  • iam:GetGroupPolicy

  • iam:GetPolicy

  • iam:GetPolicyVersion

  • iam:ListAttachedGroupPolicies

  • iam:ListGroupPolicies

  • iam:ListGroups

Untuk memungkinkan pengguna konsol mensimulasikan kebijakan untuk peran

Sertakan tindakan berikut dalam kebijakan Anda:

  • iam:GetPolicy

  • iam:GetPolicyVersion

  • iam:GetRole

  • iam:GetRolePolicy

  • iam:ListAttachedRolePolicies

  • iam:ListRolePolicies

  • iam:ListRoles

Untuk menguji kebijakan berbasis-sumber daya, pengguna harus berizin untuk mengambil kebijakan sumber daya tersebut.

Untuk memungkinkan pengguna konsol menguji kebijakan berbasis sumber daya di bucket Amazon S3

Sertakan tindakan berikut dalam kebijakan Anda:

  • s3:GetBucketPolicy

Misalnya, kebijakan berikut memakai tindakan ini untuk memungkinkan pengguna konsol mensimulasikan kebijakan berbasis sumber daya dalam bucket Amazon S3 tertentu.

{
        "Version": "2012-10-17",
        "Statement": [
          {
            "Effect": "Allow",
            "Action": "s3:GetBucketPolicy",
            "Resource":"arn:aws:s3:::bucket-name/*"
          }
        ]
      }

Izin yang diperlukan untuk menggunakan simulator kebijakan API

Simulator kebijakan API beroperasi GetContextKeyForCustomPolicydan SimulateCustomPolicymemungkinkan Anda untuk menguji kebijakan yang belum dilampirkan ke pengguna, grup pengguna, atau peran. Untuk menguji kebijakan tersebut, Anda meneruskan kebijakan sebagai string ke. API Kebijakan ini hanya dipakai dalam simulasi dan tidak mengungkap informasi sensitif. Anda juga dapat menggunakan kebijakan API untuk menguji yang dilampirkan ke IAM pengguna, IAM grup, atau peran di situs Anda Akun AWS. Untuk melakukan itu, Anda harus memberi pengguna izin untuk menelepon GetContextKeyForPrincipalPolicydan SimulatePrincipalPolicy.

Untuk melihat contoh kebijakan yang memungkinkan penggunaan simulator kebijakan API untuk kebijakan terlampir dan tidak terikat saat ini Akun AWS, lihatIAM: Akses API simulator kebijakan.

Untuk membuat kebijakan yang memungkinkan penggunaan simulator kebijakan hanya API untuk satu jenis kebijakan, gunakan prosedur berikut.

Untuk memungkinkan API pengguna mensimulasikan kebijakan yang diteruskan langsung ke string API as

Sertakan tindakan berikut dalam kebijakan Anda:

  • iam:GetContextKeysForCustomPolicy

  • iam:SimulateCustomPolicy

Untuk memungkinkan API pengguna mensimulasikan kebijakan yang dilampirkan pada IAM pengguna, IAM grup, peran, atau sumber daya

Sertakan tindakan berikut dalam kebijakan Anda:

  • iam:GetContextKeysForPrincipalPolicy

  • iam:SimulatePrincipalPolicy

Misalnya, untuk memberi pengguna bernama Bob izin menyimulasikan kebijakan yang ditetapkan untuk pengguna bernama Alice, beri Bob akses ke sumber daya berikut ini: arn:aws:iam::777788889999:user/alice.

Untuk melihat contoh kebijakan yang memungkinkan penggunaan simulator kebijakan API hanya untuk pengguna dengan jalur tertentu, lihatIAM: Akses API simulator kebijakan berdasarkan jalur pengguna.

Menggunakan simulator kebijakan IAM (konsol)

Secara default, pengguna konsol dapat menguji kebijakan yang belum dilampirkan ke pengguna, grup pengguna, atau peran dengan mengetik atau menyalin kebijakan tersebut ke konsol simulator kebijakan. Kebijakan ini hanya dipakai dalam simulasi dan tidak mengungkap informasi sensitif.

Untuk menguji kebijakan yang tidak melekat ke pengguna, grup pengguna, atau peran (konsole)

  1. Buka konsol simulator IAM kebijakan di: https://policysim.aws.amazon.com/.

  2. Di menu Mode: pada bagian atas halaman, pilih Kebijakan Baru.

  3. Di Policy Sandbox, pilih Buat Kebijakan Baru.

  4. Ketik atau salin kebijakan ke dalam simulator kebijakan, dan gunakan simulator kebijakan seperti yang dijelaskan dalam langkah-langkah berikut.

Setelah memiliki izin untuk menggunakan Konsol Simulator IAM Kebijakan, Anda dapat menggunakan simulator kebijakan untuk menguji kebijakan IAM pengguna, grup pengguna, peran, atau sumber daya.

Untuk menguji kebijakan yang melekat ke pengguna, grup pengguna, atau peran (konsole)

  1. Buka konsol simulator IAM kebijakan di https://policysim.aws.amazon.com/.

    catatan

    Untuk masuk ke simulator kebijakan sebagai IAM pengguna, gunakan login unik Anda URL untuk masuk ke AWS Management Console. Lalu pergi ke https://policysim.aws.amazon.com/. Untuk informasi selengkapnya tentang masuk sebagai IAM pengguna, lihatCara IAM pengguna masuk AWS.

    Simulator kebijakan terbuka dalam mode Kebijakan yang Ada dan mencantumkan IAM pengguna di akun Anda di bawah Pengguna, Grup, dan Peran.

  2. Pilih opsi yang sesuai dengan tugas Anda:

    Untuk menguji ini: Lakukan ini:
    Kebijakan yang melekat pada pengguna Pilih Pengguna pada daftarPengguna, Grup, dan Peran. Lalu pilih pengguna.
    Kebijakan yang melekat pada grup pengguna Pilih Grup pada daftarPengguna, Grup, dan Peran. Lalu pilih grup pengguna.
    Kebijakan yang melekat pada peran Pilih Peran pada daftarPengguna, Grup, dan Peran. Lalu pilih peran.
    Kebijakan yang terlampir pada sumber daya Lihat Tahap 9.
    Kebijakan khusus untuk pengguna, grup pengguna, atau peran Pilih Buat Kebijakan Baru. Pada panel Kebijakan baru, ketik atau tempelkan kebijakan dan pilih Terapkan.
    Kiat

    Untuk menguji kebijakan yang dilampirkan ke grup pengguna, Anda dapat meluncurkan simulator IAM kebijakan langsung dari IAMkonsol: Di panel navigasi, pilih Grup pengguna. Pilih nama grup yang dimana Anda ingin menguji kebijakan, dan kemudian pilih tabIzin. Pilih Simulasi.

    Untuk menguji kebijakan yang dikelola pelanggan yang terlampir pada pengguna: Di panel navigasi, pilih Pengguna. Pilih nama pengguna dengan siapa Anda ingin menguji kebijakan. Lalu pilih tabIzin dan perluas kebijakan yang ingin Anda uji. Di ujung kanan, pilih Simulasikan kebijakan. Simulator IAM Kebijakan terbuka di jendela baru dan menampilkan kebijakan yang dipilih di panel Kebijakan.

  3. (Opsional) Jika akun Anda adalah anggota organisasi AWS Organizations, pilih kotak centang di samping AWS Organizations SCPsuntuk menyertakan SCPs dalam evaluasi simulasi Anda. SCPsadalah JSON kebijakan yang menentukan izin maksimum untuk organisasi atau unit organisasi (OU). SCPMembatasi izin untuk entitas di akun anggota. Jika SCP memblokir layanan atau tindakan, maka tidak ada entitas di akun itu yang dapat mengakses layanan tersebut atau melakukan tindakan itu. Hal ini berlaku bahkan jika administrator secara eksplisit memberikan izin untuk layanan atau tindakan tersebut melalui kebijakan atau sumber daya. IAM

    Jika akun Anda bukan anggota sebuah organisasi, maka kotak centang tidak akan muncul.

  4. (Opsional) Anda dapat menguji kebijakan yang ditetapkan sebagai batas izin untuk IAM entitas (pengguna atau peran), tetapi tidak untuk grup. IAM Jika kebijakan batasan izin saat ini diatur untuk entitas, ia muncul dalam panel Kebijakan. Anda hanya bisa mengatur satu batasan izin untuk sebuah entitas. Untuk menguji batasan izin yang berbeda, Anda bisa membuat batasan izin khusus. Untuk melakukannya, pilih Buat Kebijakan Baru. Panel Kebijakan baru akan terbuka. Di menu, pilih Kebijakan Batas IAM Izin Kustom. Masukkan nama untuk kebijakan baru dan ketik atau salin kebijakan ke ruang di bawah ini. Pilih Terapkan untuk menyimpan kebijakan tersebut. Selanjutnya, pilih Kembali untuk kembali ke panel Kebijakan awal. Lalu pilih kotak centang di samping batasan izin yang ingin Anda pakai untuk simulasi.

  5. (Opsional) Anda hanya bisa menguji subset kebijakan yang melekat pada pengguna, grup pengguna, atau peran. Untuk melakukannya, di panelKebijakan kosongkan kotak centang di samping setiap kebijakan ingin Anda keluarkan.

  6. Di bawah Simulator Kebijakan, pilih Pilih layanan lalu pilih layanan yang ingin diuji. Lalu pilih Pilih tindakan dan pilih satu atau lebih tindakan untuk diuji. Walaupun menu menunjukkan pilihan yang tersedia hanya untuk satu layanan pada satu waktu, semua layanan dan tindakan yang telah Anda pilih muncul di Pengaturan Tindakan dan Hasil.

  7. (Opsional) Jika salah satu kebijakan yang Anda pilih Tahap 2 dan Tahap 5 menyertakan kondisi dengan kunci kondisi AWS global, berikan nilai untuk kunci tersebut. Anda melakukan hal ini dengan memperluas bagianPengaturan Global dan mengetikkan nilai untuk nama utama yang ditampilkan di sana.

    Awas

    Jika Anda membiarkan nilai untuk kunci kondisi kosong, maka kunci tersebut akan diabaikan selama simulasi. Pada beberapa kasus, hal ini menghasilkan kesalahan, dan simulasi gagal untuk dijalankan. Pada kasus lain, simulasi berjalan, namun hasilnya mungkin tidak bisa diandalkan. Pada kasus tersebut, simulasi tidak sesuai dengan kondisi dunia nyata yang mencakup nilai untuk kunci kondisi atau variabel.

  8. (Opsional) Setiap tindakan terpilih muncul di daftarPengaturan Tindakan dan Hasil denganTidak disimulasikan muncul di kolomIzin sampai Anda benar-benar menjalankan simulasi tersebut. Sebelum menjalankan simulasi, Anda bisa mengonfigurasi setiap tindakan dengan sumber daya. Untuk mengonfigurasi tindakan individu untuk skenario tertentu, pilih panah untuk memperluas baris tindakan. Jika tindakan mendukung izin tingkat sumber daya, Anda dapat mengetikkan Amazon Resource Name (ARN) sumber daya tertentu yang aksesnya ingin Anda uji. Secara default, setiap sumber daya diatur sebagai wildcard (*). Anda juga bisa menentukan nilai tertentu untuk kunci konteks kondisi mana pun. Seperti disebut sebelumnya, kunci dengan nilai kosong diabaikan, yang bisa menimbulkan kegagalan simulasi atau hasil yang tidak bisa diandalkan.

    1. Pilih panah di samping nama tindakan untuk memperluas setiap baris dan mengonfigurasi tambahan informasi yang diperlukan untuk secara akurat menyimulasikan tindakan pada skenario Anda. Jika tindakan memerlukan izin tingkat sumber daya apa pun, Anda dapat mengetikkan Amazon Resource Name (ARN) sumber daya tertentu yang ingin Anda simulasikan aksesnya. Secara default, setiap sumber daya diatur sebagai wildcard (*).

    2. Bila tindakan tersebut mendukung izin tingkat sumber daya namun tidak memerlukannya, maka Anda bisa memilih Tambah Sumber Daya untuk memilih tipe sumber daya yang ingin Anda tambahkan ke simulasi.

    3. Jika salah satu kebijakan terpilih mencakup Condition elemen yang merujuk ke kunci konteks untuk layanan tindakan ini, maka nama kunci tersebut akan muncul di bawah tindakan. Anda dapat menetapkan nilai yang akan dipakai selama simulasi tindakan tersebut untuk sumber daya yang ditentukan.

    Tindakan yang memerlukan grup tipe sumber daya berbeda

    Beberapa tindakan memerlukan tipe sumber daya yang berbeda dengan keadaan berbeda. Setiap grup tipe sumber daya terkait dengan sebuah skenario. Jika salah satu dari ini berlaku untuk simulasi Anda, pilih dan simulator kebijakan memerlukan jenis sumber daya yang sesuai untuk skenario itu. Daftar berikut menunjukkan setiap opsi skenario yang didukung dan sumber daya yang harus Anda tentukan untuk menjalankan simulasi tersebut.

    Setiap EC2 skenario Amazon berikut mengharuskan Anda menentukaninstance,image, dan security-group sumber daya. Jika skenario Anda menyertakan EBS volume, maka Anda harus menentukannya volume sebagai sumber daya. Jika EC2 skenario Amazon menyertakan virtual private cloud (VPC), maka Anda harus menyediakan network-interface sumber daya. Jika termasuk IP subnet, maka Anda harus menentukan subnet sumber dayanya. Untuk informasi selengkapnya tentang opsi EC2 skenario Amazon, lihat Platform yang Didukung di Panduan EC2 Pengguna Amazon.

    • EC2-VPC-InstanceStore

      instance, image, security-group, network-interface

    • EC2- VPC - InstanceStore -Subnet

      instance, image, security-group, network-interface, subnet

    • EC2-VPC-EBS

      instance, image, security-group, network-interface, volume

    • EC2- VPC - EBS -Subnet

      instance, image, security-group, network-interface, subnet, volume

  9. (Opsional) Jika Anda ingin memasukkan kebijakan berbasis sumber daya dalam simulasi Anda, maka terlebih dahulu Anda harus memilih tindakan yang ingin Anda simulasikan pada sumber daya tersebut dalam Tahap 6. Perluas baris untuk tindakan yang dipilih, dan ARN ketik sumber daya dengan kebijakan yang ingin Anda simulasikan. Kemudian pilih Sertakan Kebijakan Sumber Daya di sebelah kotak ARNteks. Simulator IAM kebijakan saat ini mendukung kebijakan berbasis sumber daya hanya dari layanan berikut: Amazon S3 (hanya kebijakan berbasis sumber daya; saat ini tidak didukung), Amazon, Amazon, dan brankas S3 Glacier yang tidak terkunci (SQSbrankas terkunci ACLs saat ini tidak didukung). SNS

  10. Pilih Jalankan Simulasi di sudut kanan atas.

    Izin kolom di setiap baris Pengaturan Tindakan dan Hasil menampilkan hasil simulasi dari tindakan tersebut di sumber daya yang ditentukan.

  11. Untuk melihat pernyataan mana dalam sebuah kebijakan yang mengizinkan atau menolak tindakan, pilih N pernyataan (-pernyataan) yang cocok tautkan di kolom Izin untuk memperluas baris. Lalu pilih tautanTampilkan pernyataan. Panel Kebijakan menunjukkan kebijakan yang relevan dengan pernyataan yang memengaruhi hasil simulasi yang disoroti.

    catatan

    Jika sebuah tindakan secara implisit ditolak—yaitu, jika tindakan tersebut ditolak hanya karena tidak secara eskplisit diizinkan—opsi Daftar dan Tampilkan pernyataan tidak ditampilkan.

Pemecahan masalah pesan konsol simulator kebijakan IAM

Tabel berikut mencantumkan pesan informasi dan peringatan yang mungkin Anda temui saat menggunakan simulator IAM kebijakan. Tabel ini juga memberikan langkah-langkah yang bisa Anda ambil untuk menyelesaikannya.

Pesan Langkah-langkah untuk menyelesaikan
Kebijakan ini telah diedit Perubahan tidak akan disimpan ke akun Anda.

Tidak ada tindakan yang diperlukan.

Pesan ini bersifat informatif Jika Anda mengedit kebijakan yang ada di simulator IAM kebijakan, perubahan Anda tidak akan memengaruhi kebijakan Anda Akun AWS. Simulator kebijakan memungkinkan Anda membuat perubahan pada kebijakan hanya untuk tujuan pengujian.
Tidak bisa mengambil kebijakan sumber daya. Alasan: detailed error message Simulator kebijakan tidak dapat mengakses kebijakan berbasis sumber daya yang diminta. Pastikan sumber daya yang ditentukan ARN sudah benar dan pengguna yang menjalankan simulasi memiliki izin untuk membaca kebijakan sumber daya.
Satu atau lebih kebijakan memerlukan nilai dalam pengaturan simulasi. Simulasi bisa gagal tanpa nilai ini.

Pesan ini muncul jika kebijakan yang sedang Anda uji berisi kunci kondisi atau variabel namun Anda tidak memberi nilai apa pun untuk kunci atau variabel tersebut diPengaturan Simulasi.

Untuk mengabaikan pesan ini, pilih Pengaturan Simulasi, Lalu masukkan nilai untuk setiap kunci kondisi atau variabel.
Anda telah mengubah kebijakan. Hasil ini tidak lagi valid.

Pesan ini muncul jika Anda telah mengubah kebijakan yang dipilih ketika hasil ditampilkan di panelHasil. Hasil yang ditampilkan di panel Hasil tidak diperbarui secara dinamis.

Untuk mengabaikan pesan ini, pilih Jalankan Simulasi lagi untuk menampilkan hasil simulasi baru berdasarkan perubahan yang dibuat di panelKebijakan.
Sumber daya yang Anda ketikkan untuk simulasi ini tidak cocok dengan layanan ini.

Pesan ini muncul jika Anda telah mengetik Amazon Resource Name (ARN) di panel Pengaturan Simulasi yang tidak cocok dengan layanan yang Anda pilih untuk simulasi saat ini. Misalnya, pesan ini muncul jika Anda menentukan sumber daya Amazon DynamoDB ARN untuk Amazon tetapi Anda memilih Amazon Redshift sebagai layanan yang akan disimulasikan.

Untuk mengabaikan pesan ini, lakukan salah satu hal berikut:

  • Hapus ARN dari kotak di panel Pengaturan Simulasi.

  • Pilih layanan yang cocok dengan ARN yang Anda tentukan di Pengaturan Simulasi.
Tindakan ini termasuk dalam layanan yang mendukung mekanisme kontrol akses khusus selain kebijakan berbasis sumber daya, seperti kebijakan kunci Amazon S3 ACLs atau S3 Glacier vault. Simulator kebijakan tidak mendukung mekanisme ini, sehingga hasilnya bisa berbeda dari lingkungan produksi Anda.

Tidak ada tindakan yang diperlukan.

Pesan ini bersifat informatif Dalam versi saat ini, simulator kebijakan mengevaluasi kebijakan yang dilampirkan pada pengguna dan IAM grup, dan dapat mengevaluasi kebijakan berbasis sumber daya untuk Amazon S3, Amazon, SQS Amazon, SNS dan S3 Glacier. Simulator kebijakan tidak mendukung semua mekanisme kendali akses yang didukung oleh layanan AWS lainnya.
DynamoDB saat ini FGAC tidak didukung.

Tidak ada tindakan yang diperlukan.

Pesan informatif ini merujuk ke kendali akses fine-grained. Kontrol akses berbutir halus adalah kemampuan untuk menggunakan kondisi IAM kebijakan untuk menentukan siapa yang dapat mengakses item dan atribut data individual dalam tabel dan indeks DynamoDB. Juga merujuk ke tindakan yang bisa dilakukan pada tabel dan indeks ini. Versi simulator IAM kebijakan saat ini tidak mendukung jenis kondisi kebijakan ini. Untuk informasi selengkapnya tentang kontrol akses berbutir halus DynamoDB, lihat Kontrol Akses Berbutir Baik untuk DynamoDB.
Anda memiliki kebijakan yang tidak mematuhi sintaksis kebijakan. Anda dapat menggunakan validasi kebijakan untuk meninjau pembaruan yang disarankan bagi kebijakan Anda.

Pesan ini muncul di bagian atas daftar kebijakan jika Anda memiliki kebijakan yang tidak sesuai dengan tata bahasa IAM kebijakan. Untuk menyimulasikan kebijakan ini, tinjau opsi validasi kebijakan di Validasi kebijakan IAM untuk mengidentifikasi dan memperbaiki kebijakan ini.
Kebijakan ini harus diperbarui agar mematuhi aturan sintaksis kebijakan terbaru.

Pesan ini ditampilkan jika Anda memiliki kebijakan yang tidak sesuai dengan tata bahasa IAM kebijakan. Untuk menyimulasikan kebijakan ini, tinjau opsi validasi kebijakan di Validasi kebijakan IAM untuk mengidentifikasi dan memperbaiki kebijakan ini.

Menggunakan simulator IAM kebijakan (AWS CLI dan AWS API)

Perintah simulator kebijakan biasanya memerlukan API operasi panggilan untuk melakukan dua hal:

  1. Mengevaluasi kebijakan dan mengembalikan daftar kunci konteks yang mereka referensikan. Anda perlu tahu kunci konteks mana yang direferensikan sehingga Anda bisa memasok nilai bagi mereka di langkah berikutnya.

  2. Simulasikan kebijakan, berikan daftar tindakan, sumber daya, dan kunci konteks yang digunakan selama simulasi.

Untuk alasan keamanan, API operasi telah dipecah menjadi dua kelompok:

Dalam kedua kasus, API operasi mensimulasikan efek dari satu atau lebih kebijakan pada daftar tindakan dan sumber daya. Setiap tindakan dipasangkan dengan setiap sumber daya dan simulasi menentukan apakah kebijakan itu mengizinkan atau menolak tindakan untuk sumber daya tersebut. Anda juga bisa memberi nilai bagi setiap kunci konteks yang menjadi referensi kebijakan Anda. Anda bisa mendapatkan daftar kunci konteks yang referensi kebijakan dengan terlebih dahulu memanggil GetContextKeysForCustomPolicy atau GetContextKeysForPrincipalPolicy. Jika Anda tidak memberikan nilai untuk kunci konteks, simulasi masih berjalan. Tetapi hasilnya mungkin tidak dapat diandalkan karena simulator kebijakan tidak dapat memasukkan kunci konteks itu dalam evaluasi.

Untuk mendapatkan daftar kunci konteks (AWS CLI, AWS API)

Gunakan hal berikut untuk mengevaluasi daftar kebijakan dan mengembalikan daftar kunci konteks yang dipakai dalam kebijakan.

Untuk mensimulasikan IAM kebijakan (AWS CLI, AWS API)

Gunakan yang berikut ini untuk mensimulasikan IAM kebijakan guna menentukan izin efektif pengguna.