IAMpengujian kebijakan dengan simulator IAM kebijakan - AWS Identity and Access Management
Cara kerja simulator kebijakan IAMIzin diperlukan untuk menggunakan simulator IAM kebijakanMenggunakan simulator kebijakan IAM (konsol)Menggunakan simulator IAM kebijakan (AWS CLI dan AWS API)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

IAMpengujian kebijakan dengan simulator IAM kebijakan

Untuk informasi selengkapnya tentang bagaimana dan mengapa menggunakan IAM kebijakan, lihatKebijakan dan izin di AWS Identity and Access Management.

Anda dapat mengakses Konsol Simulator IAM Kebijakan di: https://policysim.aws.amazon.com/

penting

Hasil simulator kebijakan dapat berbeda dari AWS lingkungan hidup Anda. Kami menyarankan Anda memeriksa kebijakan Anda terhadap AWS lingkungan hidup Anda setelah pengujian menggunakan simulator kebijakan untuk mengonfirmasi bahwa Anda memiliki hasil yang diinginkan. Untuk informasi selengkapnya, lihat Cara kerja simulator kebijakan IAM.

Dengan simulator IAM kebijakan, Anda dapat menguji dan memecahkan masalah batasan izin berbasis identitas dan batasan izin. IAM Berikut adalah beberapa hal umum yang bisa Anda lakukan dengan simulator kebijakan:

  • Uji kebijakan berbasis identitas yang dilampirkan ke IAM pengguna, IAM grup, atau peran dalam Anda. Akun AWS Jika lebih dari satu kebijakan terlampir ke pengguna, grup pengguna, atau peran, Anda bisa menguji semua kebijakan, atau memilih kebijakan tertentu untuk diuji. Anda bisa menguji tindakan mana yang diizinkan atau ditolak oleh kebijakan terpilih untuk sumber daya tertentu.

  • Menguji dan memecahkan masalah efek batasan izin pada entitas. IAM Anda hanya bisa menyimulasikan satu batasan izin dalam satu waktu.

  • Uji efek kebijakan berbasis sumber daya pada IAM pengguna yang terlampir pada AWS sumber daya, seperti bucket Amazon S3, antrian Amazon, topik Amazon, atau brankas Amazon S3 SQS Glacier. SNS Untuk menggunakan kebijakan berbasis sumber daya di simulator kebijakan untuk IAM pengguna, Anda harus menyertakan sumber daya tersebut dalam simulasi. Anda juga harus memilih kotak centang untuk menyertakan kebijakan sumber daya tersebut dalam simulasi.

    catatan

    Simulasi kebijakan berbasis sumber daya tidak didukung untuk peran. IAM

  • Bila Anda Akun AWS adalah anggota sebuah organisasi di AWS Organizations, maka Anda bisa menguji dampak kebijakan kendali layanan (SCPs) pada kebijakan berbasis identitas Anda.

    catatan

    Simulator kebijakan tidak mengevaluasi SCPs yang memiliki kondisi apa pun.

  • Uji kebijakan berbasis identitas baru yang belum dilampirkan ke pengguna, grup pengguna, atau peran dengan mengetik atau menyalinnya ke simulator kebijakan. Semua ini hanya digunakan dalam simulasi dan tidak disimpan. Anda tidak bisa mengetik atau menyalin kebijakan berbasis sumber daya di simulator kebijakan.

  • Uji kebijakan berbasis identitas dengan layanan, tindakan, dan sumber daya terpilih. Misalnya, Anda bisa menguji untuk memastikan kebijakan Anda mengizinkan entitas untuk melakukan ListAllMyBuckets, CreateBucket, dan DeleteBucket tindakan di layanan Amazon S3 di bucket tertentu.

  • Simulasikan skenario dunia nyata dengan menyediakan kunci konteks, misalnya alamat IP atau tanggal, yang disertakan keCondition elemn dalam kebijakan yang diuji.

    catatan

    Simulator kebijakan tidak mensimulasikan tag yang disediakan sebagai input jika kebijakan berbasis identitas dalam simulasi tidak memiliki Condition elemen yang secara eksplisit memeriksa tag.

  • Identifikasi pernyataan tertentu mana di dalam kebijakan berbasis identitas yang menyebabkan diizinkan atau ditolaknya akses ke sumber atau tindakan tertentu.

Cara kerja simulator kebijakan IAM

Simulator kebijakan mengevaluasi pernyataan dalam kebijakan berbasis identitas dan masukan yang Anda berikan selama simulasi. Hasil simulator kebijakan dapat berbeda dari AWS lingkungan hidup Anda. Kami menyarankan Anda memeriksa kebijakan Anda terhadap AWS lingkungan hidup Anda setelah pengujian menggunakan simulator kebijakan untuk mengonfirmasi bahwa Anda memiliki hasil yang diinginkan.

Simulator kebijakan berbeda dari AWS lingkungan langsung dalam hal-hal berikut:

  • Simulator kebijakan tidak membuat permintaan AWS layanan aktual, jadi Anda bisa dengan aman menguji permintaan yang mungkin membuat perubahan yang tidak diinginkan pada AWS lingkungan Anda. Simulator kebijakan tidak mempertimbangkan nilai kunci konteks nyata dalam produksi.

  • Karena simulator kebijakan tidak menyimulasikan tindakan yang dipilih, ia tidak bisa melaporkan respons apa pun bagi permintaan simulasi. Satu-satunya hasil yang dikembalikan adalah apakah tindakan yang diminta akan diizinkan atau ditolak.

  • Jika Anda mengedit kebijakan di simulator kebijakan, perubahan ini hanya memengaruhi simulator kebijakan. Kebijakan yang terkait dalam Anda Akun AWS tetap tidak berubah.

  • Anda tidak dapat menguji kebijakan kontrol layanan (SCPs) dengan kondisi apa pun.

  • Simulator kebijakan tidak mendukung simulasi untuk kebijakan kontrol sumber daya (RCPs).

  • Simulator kebijakan tidak mendukung simulasi IAM peran dan pengguna untuk akses lintas akun.

catatan

Simulator IAM kebijakan tidak menentukan layanan mana yang mendukung kunci kondisi global untuk otorisasi. Misalnya, simulator kebijakan tidak mengidentifikasi bahwa layanan tidak mendukung aws:TagKeys.

Izin diperlukan untuk menggunakan simulator IAM kebijakan

Anda bisa menggunakan konsol simulator kebijakan atau simulator kebijakan API untuk menguji kebijakan. Secara default, pengguna konsol dapat menguji kebijakan yang belum dilampirkan ke pengguna, grup pengguna, atau peran dengan mengetik atau menyalin kebijakan tersebut ke simulator kebijakan. Kebijakan ini hanya dipakai dalam simulasi dan tidak mengungkap informasi sensitif. APIpengguna harus berizin untuk menguji kebijakan yang belum dilampirkan. Anda bisa mengizinkan konsol atau API pengguna untuk menguji kebijakan yang terlampir ke IAM pengguna, IAM grup, atau peran di situs Anda Akun AWS. Untuk melakukannya, Anda harus mengizinkan pengambilan kebijakan tersebut. Guna menguji kebijakan berbasis sumber daya, pengguna harus berizin untuk mengambil kebijakan sumber daya tersebut.

Untuk contoh konsol dan API kebijakan yang memungkinkan pengguna menyimulasikan kebijakan, lihatContoh kebijakan: AWS Identity and Access Management (IAM).

Izin diperlukan untuk menggunakan konsol simulator kebijakan

Anda bisa mengizinkan pengguna untuk menguji kebijakan yang terlampir ke IAM pengguna, IAM grup, atau peran di dalam Akun AWS. Untuk melakukannya, Anda harus mengizinkan pengguna Anda untuk mengambil kebijakan tersebut. Guna menguji kebijakan berbasis-sumber daya, pengguna harus berizin untuk mengambil kebijakan sumber daya tersebut.

Untuk melihat kebijakan contoh yang mengizinkan penggunaan konsol simulator kebijakan untuk kebijakan yang melekat ke pengguna, grup pengguna, atau peran, lihat IAM: Akses konsol simulator kebijakan.

Untuk melihat kebijakan contoh yang memungkinkan penggunaan konsol simulator kebijakan hanya untuk pengguna dengan jalur tertentu, lihat IAM: Akses konsol simulator kebijakan berdasarkan jalur pengguna.

Untuk membuat kebijakan yang memungkinkan penggunaan konsol simulator kebijakan hanya untuk satu tipe entitas, gunakan prosedur berikut.

Untuk memungkinkan pengguna konsol mensimulasikan kebijakan bagi pengguna

Sertakan tindakan berikut dalam kebijakan Anda:

  • iam:GetGroupPolicy

  • iam:GetPolicy

  • iam:GetPolicyVersion

  • iam:GetUser

  • iam:GetUserPolicy

  • iam:ListAttachedUserPolicies

  • iam:ListGroupsForUser

  • iam:ListGroupPolicies

  • iam:ListUserPolicies

  • iam:ListUsers

Untuk memungkinkan pengguna konsol mensimulasikan kebijakan untuk grup IAM

Sertakan tindakan berikut dalam kebijakan Anda:

  • iam:GetGroup

  • iam:GetGroupPolicy

  • iam:GetPolicy

  • iam:GetPolicyVersion

  • iam:ListAttachedGroupPolicies

  • iam:ListGroupPolicies

  • iam:ListGroups

Untuk memungkinkan pengguna konsol mensimulasikan kebijakan untuk peran

Sertakan tindakan berikut dalam kebijakan Anda:

  • iam:GetPolicy

  • iam:GetPolicyVersion

  • iam:GetRole

  • iam:GetRolePolicy

  • iam:ListAttachedRolePolicies

  • iam:ListRolePolicies

  • iam:ListRoles

Untuk menguji kebijakan berbasis-sumber daya, pengguna harus berizin untuk mengambil kebijakan sumber daya tersebut.

Untuk memungkinkan pengguna konsol menguji kebijakan berbasis sumber daya di bucket Amazon S3

Sertakan tindakan berikut dalam kebijakan Anda:

  • s3:GetBucketPolicy

Misalnya, kebijakan berikut memakai tindakan ini untuk memungkinkan pengguna konsol mensimulasikan kebijakan berbasis sumber daya dalam bucket Amazon S3 tertentu.

{
        "Version": "2012-10-17",
        "Statement": [
          {
            "Effect": "Allow",
            "Action": "s3:GetBucketPolicy",
            "Resource":"arn:aws:s3:::bucket-name/*"
          }
        ]
      }

Izin diperlukan untuk menggunakan simulator kebijakan API

Simulator kebijakan API beroperasi GetContextKeyForCustomPolicydan SimulateCustomPolicymemungkinkan Anda menguji kebijakan yang belum dilampirkan ke pengguna, grup pengguna, atau peran. Untuk menguji kebijakan tersebut, Anda meneruskan kebijakan sebagai string ke. API Kebijakan ini hanya dipakai dalam simulasi dan tidak mengungkap informasi sensitif. Anda juga dapat menggunakan kebijakan API untuk menguji yang dilampirkan ke IAM pengguna, IAM grup, atau peran di situs Anda Akun AWS. Untuk melakukan itu, Anda harus memberi pengguna izin untuk menelepon GetContextKeyForPrincipalPolicydan SimulatePrincipalPolicy.

Untuk melihat kebijakan contoh yang mengizinkan penggunaan simulator kebijakan API untuk kebijakan terlampir dan tidak terlampir saat ini Akun AWS, lihatIAM: Akses API simulator kebijakan.

Untuk membuat kebijakan yang memungkinkan penggunaan simulator kebijakan hanya API untuk satu tipe kebijakan, gunakan prosedur berikut.

Untuk memungkinkan API pengguna menyimulasikan kebijakan yang diteruskan secara langsung ke string API as

Sertakan tindakan berikut dalam kebijakan Anda:

  • iam:GetContextKeysForCustomPolicy

  • iam:SimulateCustomPolicy

Untuk memungkinkan API pengguna menyimulasikan kebijakan yang terlampir pada IAM pengguna, IAM grup, peran, atau sumber daya

Sertakan tindakan berikut dalam kebijakan Anda:

  • iam:GetContextKeysForPrincipalPolicy

  • iam:SimulatePrincipalPolicy

Misalnya, untuk memberi pengguna bernama Bob izin menyimulasikan kebijakan yang ditetapkan untuk pengguna bernama Alice, beri Bob akses ke sumber daya berikut ini: arn:aws:iam::777788889999:user/alice.

Untuk melihat kebijakan contoh yang memungkinkan penggunaan simulator kebijakan API hanya untuk pengguna dengan jalur tertentu, lihatIAM: Akses API simulator kebijakan berdasarkan jalur pengguna.

Menggunakan simulator kebijakan IAM (konsol)

Secara default, pengguna konsol dapat menguji kebijakan yang belum dilampirkan ke pengguna, grup pengguna, atau peran dengan mengetik atau menyalin kebijakan tersebut ke konsol simulator kebijakan. Kebijakan ini hanya dipakai dalam simulasi dan tidak mengungkap informasi sensitif.

Untuk menguji kebijakan yang tidak melekat ke pengguna, grup pengguna, atau peran (konsole)

  1. Buka konsol simulator IAM kebijakan di: https://policysim.aws.amazon.com/.

  2. Di menu Mode: pada bagian atas halaman, pilih Kebijakan Baru.

  3. Di Policy Sandbox, pilih Buat Kebijakan Baru.

  4. Ketik atau salin kebijakan ke simulator kebijakan, dan gunakan simulator kebijakan seperti yang penjelasan berikut ini.

Setelah Anda memiliki izin untuk menggunakan Konsol Simulator IAM Kebijakan, Anda bisa menggunakan simulator kebijakan untuk menguji IAM pengguna, grup pengguna, peran, atau kebijakan sumber daya.

Untuk menguji kebijakan yang melekat ke pengguna, grup pengguna, atau peran (konsole)

  1. Buka konsol simulator IAM kebijakan di https://policysim.aws.amazon.com/.

    catatan

    Untuk masuk ke simulator kebijakan sebagai IAM pengguna, gunakan masuk Anda yang unik URL untuk masuk ke simulator kebijakan. AWS Management Console Lalu pergi ke https://policysim.aws.amazon.com/. Untuk informasi lebih lanjut tentang masuk sebagai IAM pengguna, lihatCara IAM pengguna masuk AWS.

    Simulator kebijakan terbuka di mode Kebijakan yang Ada dan mencantumkan IAM pengguna di akun Anda di bagian Pengguna, Grup, dan Peran.

  2. Pilih opsi yang sesuai dengan tugas Anda:

    Untuk menguji ini: Lakukan ini:
    Kebijakan yang melekat pada pengguna Pilih Pengguna pada daftarPengguna, Grup, dan Peran. Lalu pilih pengguna.
    Kebijakan yang melekat pada grup pengguna Pilih Grup pada daftarPengguna, Grup, dan Peran. Lalu pilih grup pengguna.
    Kebijakan yang melekat pada peran Pilih Peran pada daftarPengguna, Grup, dan Peran. Lalu pilih peran.
    Kebijakan yang terlampir pada sumber daya Lihat Tahap 9.
    Kebijakan khusus untuk pengguna, grup pengguna, atau peran Pilih Buat Kebijakan Baru. Pada panel Kebijakan baru, ketik atau tempelkan kebijakan dan pilih Terapkan.
    Tips

    Untuk menguji kebijakan yang terlampir pada grup pengguna, Anda bisa meluncurkan simulator IAM kebijakan langsung dari IAMkonsol: Di panel navigasi, pilih User groups (Grup pengguna). Pilih nama grup yang dimana Anda ingin menguji kebijakan, dan kemudian pilih tabIzin. Pilih Simulasi.

    Untuk menguji kebijakan yang dikelola pelanggan yang terlampir pada pengguna: Di panel navigasi, pilih Pengguna. Pilih nama pengguna dengan siapa Anda ingin menguji kebijakan. Lalu pilih tabIzin dan perluas kebijakan yang ingin Anda uji. Di ujung kanan, pilih Simulasikan kebijakan. Simulator IAM Kebijakan terbuka di jendela baru dan menampilkan kebijakan terpilih di panel Kebijakan.

  3. (Opsional) Jika akun Anda adalah anggota organisasi AWS Organizations, pilih kotak centang di samping AWS Organizations SCPsuntuk menyertakan SCPs dalam evaluasi simulasi Anda. SCPsJSONKebijakan yang menentukan izin maksimum untuk sebuah organisasi atau unit organisasional (OU). SCPBatas izin untuk entitas di akun anggota. Jika sebuah SCP memblokir layanan atau tindakan, maka tidak ada entitas di dalam akun tersebut yang bisa mengakses layanan tersebut atau serta tidak bisa melakukan tindakan tersebut. Hal ini juga berlaku bahkan jika administrator dengan tegas mengizinkan layanan atau tindakan tersebut melalui kebijakan atau sumber daya. IAM

    Jika akun Anda bukan anggota sebuah organisasi, maka kotak centang tidak akan muncul.

  4. (Opsional) Anda bisa menguji kebijakan yang ditetapkan sebagai batasan izin untuk IAM entitas (pengguna atau peran), tapi tidak untuk grup. IAM Jika kebijakan batasan izin saat ini diatur untuk entitas, ia muncul dalam panel Kebijakan. Anda hanya bisa mengatur satu batasan izin untuk sebuah entitas. Untuk menguji batasan izin yang berbeda, Anda bisa membuat batasan izin khusus. Untuk melakukannya, pilih Buat Kebijakan Baru. Panel Kebijakan baru akan terbuka. Di menu, pilih Kebijakan Batasan IAM Izin Khusus. Masukkan nama untuk kebijakan baru dan ketik atau salin kebijakan ke ruang di bawah ini. Pilih Terapkan untuk menyimpan kebijakan tersebut. Selanjutnya, pilih Kembali untuk kembali ke panel Kebijakan awal. Lalu pilih kotak centang di samping batasan izin yang ingin Anda pakai untuk simulasi.

  5. (Opsional) Anda hanya bisa menguji subset kebijakan yang melekat pada pengguna, grup pengguna, atau peran. Untuk melakukannya, di panel Kebijakan kosongkan kotak centang di samping setiap kebijakan ingin Anda keluarkan.

  6. Di bawah Simulator Kebijakan, pilih Pilih layanan lalu pilih layanan yang ingin diuji. Lalu pilih Pilih tindakan dan pilih satu atau lebih tindakan untuk diuji. Walaupun menu menunjukkan pilihan yang tersedia hanya untuk satu layanan pada satu waktu, semua layanan dan tindakan yang telah Anda pilih muncul di Pengaturan Tindakan dan Hasil.

  7. (Opsional) Jika ada kebijakan yang Anda pilih di Tahap 2 dan Tahap 5 termasuk kondisi dengan kunci kondisi AWS global, lalu berikan nilai untuk kunci tersebut. Anda melakukan hal ini dengan memperluas bagianPengaturan Global dan mengetikkan nilai untuk nama utama yang ditampilkan di sana.

    Awas

    Jika Anda membiarkan nilai untuk kunci kondisi kosong, maka kunci tersebut akan diabaikan selama simulasi. Pada beberapa kasus, hal ini menghasilkan kesalahan, dan simulasi gagal untuk dijalankan. Pada kasus lain, simulasi berjalan, namun hasilnya mungkin tidak bisa diandalkan. Pada kasus tersebut, simulasi tidak sesuai dengan kondisi dunia nyata yang mencakup nilai untuk kunci kondisi atau variabel.

  8. (Opsional) Setiap tindakan terpilih muncul di daftarPengaturan Tindakan dan Hasil denganTidak disimulasikan muncul di kolomIzin sampai Anda benar-benar menjalankan simulasi tersebut. Sebelum menjalankan simulasi, Anda bisa mengonfigurasi setiap tindakan dengan sumber daya. Untuk mengonfigurasi tindakan individu untuk skenario tertentu, pilih panah untuk memperluas baris tindakan. Bila tindakan mendukung izin tingkat-sumber daya, Anda bisa mengetik Amazon Resource Name (ARN) dari sumber daya tertentu yang aksesnya ingin Anda uji. Secara default, setiap sumber daya diatur sebagai wildcard (*). Anda juga bisa menentukan nilai tertentu untuk kunci konteks kondisi mana pun. Seperti disebut sebelumnya, kunci dengan nilai kosong diabaikan, yang bisa menimbulkan kegagalan simulasi atau hasil yang tidak bisa diandalkan.

    1. Pilih panah di samping nama tindakan untuk memperluas setiap baris dan mengonfigurasi tambahan informasi yang diperlukan untuk secara akurat menyimulasikan tindakan pada skenario Anda. Bila tindakan tersebut membutuhkan izin tingkat-sumber daya, Anda bisa mengetik Amazon Resource Name (ARN) dari sumber daya tertentu yang Anda ingin simulasikan aksesnya. Secara default, setiap sumber daya diatur sebagai wildcard (*).

    2. Bila tindakan tersebut mendukung izin tingkat sumber daya namun tidak memerlukannya, maka Anda bisa memilih Tambah Sumber Daya untuk memilih tipe sumber daya yang ingin Anda tambahkan ke simulasi.

    3. Jika salah satu kebijakan terpilih mencakup Condition elemen yang merujuk ke kunci konteks untuk layanan tindakan ini, maka nama kunci tersebut akan muncul di bawah tindakan. Anda dapat menetapkan nilai yang akan dipakai selama simulasi tindakan tersebut untuk sumber daya yang ditentukan.

    Tindakan yang memerlukan grup tipe sumber daya berbeda

    Beberapa tindakan memerlukan tipe sumber daya yang berbeda dengan keadaan berbeda. Setiap grup tipe sumber daya terkait dengan sebuah skenario. Jika salah satunya berlaku untuk simulasi Anda, pilih dan simulator kebijakan membutuhkan tipe sumber daya yang cocok untuk skenario tersebut. Daftar berikut menunjukkan setiap opsi skenario yang didukung dan sumber daya yang harus Anda tentukan untuk menjalankan simulasi tersebut.

    Setiap EC2 skenario Amazon berikut mengharuskan Anda menentukaninstance,image, dan security-group sumber daya. Jika skenario Anda mencakup EBS volume, maka Anda harus menjelaskannya volume sebagai sumber daya. Jika EC2 skenario Amazon mencakup virtual private cloud (VPC), maka Anda harus memasok network-interface sumber dayanya. Jika termasuk IP subnet, maka Anda harus menentukan subnet sumber dayanya. Untuk informasi selengkapnya tentang opsi EC2 skenario Amazon, lihat Platform yang Didukung di Panduan EC2 Pengguna Amazon.

    • EC2-VPC-InstanceStore

      instance, image, security-group, network-interface

    • EC2- VPC - InstanceStore -Subnet

      instance, image, security-group, network-interface, subnet

    • EC2-VPC-EBS

      instance, image, security-group, network-interface, volume

    • EC2- VPC - EBS -Subnet

      instance, image, security-group, network-interface, subnet, volume

  9. (Opsional) Jika Anda ingin memasukkan kebijakan berbasis sumber daya dalam simulasi Anda, maka terlebih dahulu Anda harus memilih tindakan yang ingin Anda simulasikan pada sumber daya tersebut dalam Tahap 6. Perluas baris untuk tindakan terpilih, dan ARN ketik sumber daya tersebut dengan kebijakan yang ingin Anda simulasikan. Kemudian pilih Sertakan Kebijakan Sumber Daya di sebelah kotak ARNteks. Simulator IAM kebijakan saat ini mendukung kebijakan berbasis sumber daya hanya dari layanan berikut ini: Amazon S3 (kebijakan berbasis sumber daya saja; ACLs saat ini tidak didukung), Amazon, SQS AmazonSNS, dan brankas S3 Glacier (brankas terkunci saat ini tidak didukung).

  10. Pilih Jalankan Simulasi di sudut kanan atas.

    Izin kolom di setiap baris Pengaturan Tindakan dan Hasil menampilkan hasil simulasi dari tindakan tersebut di sumber daya yang ditentukan.

  11. Untuk melihat pernyataan mana dalam sebuah kebijakan yang mengizinkan atau menolak tindakan, pilih N pernyataan (-pernyataan) yang cocok tautkan di kolom Izin untuk memperluas baris. Lalu pilih tautanTampilkan pernyataan. Panel Kebijakan menunjukkan kebijakan yang relevan dengan pernyataan yang memengaruhi hasil simulasi yang disoroti.

    catatan

    Jika sebuah tindakan secara implisit ditolak—yaitu, jika tindakan tersebut ditolak hanya karena tidak secara eskplisit diizinkan—opsi Daftar dan Tampilkan pernyataan tidak ditampilkan.

Pemecahan masalah pesan konsol simulator kebijakan IAM

Tabel berikut mencantumkan pesan informasi dan peringatan yang mungkin Anda jumpai saat menggunakan simulator IAM kebijakan. Tabel ini juga memberikan langkah-langkah yang bisa Anda ambil untuk menyelesaikannya.

Pesan Langkah-langkah untuk menyelesaikan
Kebijakan ini telah diedit Perubahan tidak akan disimpan ke akun Anda.

Tidak ada tindakan yang diperlukan.

Pesan ini bersifat informatif Jika Anda mengedit kebijakan yang sudah ada di simulator IAM kebijakan, perubahan Anda tidak memengaruhi kebijakan Anda Akun AWS. Simulator kebijakan memungkinkan Anda melakukan perubahan pada kebijakan hanya untuk keperluan pengujian.
Tidak bisa mengambil kebijakan sumber daya. Alasan: detailed error message Simulator kebijakan tidak bisa mengakses kebijakan berbasis sumber daya yang diminta. Pastikan sumber daya yang ditentukan ARN sudah benar dan pengguna yang menjalankan simulasi memiliki izin untuk membaca kebijakan sumber daya.
Satu atau lebih kebijakan memerlukan nilai dalam pengaturan simulasi. Simulasi bisa gagal tanpa nilai ini.

Pesan ini muncul jika kebijakan yang sedang Anda uji berisi kunci kondisi atau variabel namun Anda tidak memberi nilai apa pun untuk kunci atau variabel tersebut diPengaturan Simulasi.

Untuk mengabaikan pesan ini, pilih Pengaturan Simulasi, Lalu masukkan nilai untuk setiap kunci kondisi atau variabel.
Anda telah mengubah kebijakan. Hasil ini tidak lagi valid.

Pesan ini muncul jika Anda telah mengubah kebijakan yang dipilih ketika hasil ditampilkan di panelHasil. Hasil yang ditampilkan di panel Hasil tidak diperbarui secara dinamis.

Untuk mengabaikan pesan ini, pilih Jalankan Simulasi lagi untuk menampilkan hasil simulasi baru berdasarkan perubahan yang dibuat di panelKebijakan.
Sumber daya yang Anda ketikkan untuk simulasi ini tidak cocok dengan layanan ini.

Pesan ini muncul jika Anda sudah mengetikkan Amazon Resource Name (ARN) di panel Pengaturan Simulasi yang tidak cocok dengan layanan yang Anda pilih untuk simulasi saat ini. Misalnya, pesan ini muncul jika Anda menentukan sumber daya Amazon DynamoDB namun Anda memilih Amazon Redshift sebagai layanan untuk disimulasikan. ARN

Untuk mengabaikan pesan ini, lakukan salah satu hal berikut:

  • Lepaskan ARN dari kotak di panel Pengaturan Simulasi.

  • Pilih layanan yang cocok dengan ARN yang Anda tentukan di Pengaturan Simulasi.
Tindakan ini termasuk layanan yang mendukung mekanisme kendali akses khusus sebagai tambahan kebijakan kebijakan berbasis-sumber daya, seperti Amazon S3 ACLs atau kebijakan kunci brankas S3 Glacier. Simulator kebijakan tidak mendukung mekanisme ini, sehingga hasilnya bisa berbeda dari lingkungan produksi Anda.

Tidak ada tindakan yang diperlukan.

Pesan ini bersifat informatif Dalam versi terkini, simulator kebijakan mengevaluasi kebijakan yang melekat ke pengguna dan IAM grup, dan bisa mengevaluasi kebijakan berbasis sumber daya untuk Amazon S3, Amazon, SQS Amazon, SNS dan S3 Glacier. Simulator kebijakan tidak mendukung semua mekanisme kendali akses yang didukung oleh layanan AWS lainnya.
DynamoDB saat ini FGAC tidak didukung.

Tidak ada tindakan yang diperlukan.

Pesan informatif ini merujuk ke kendali akses fine-grained. Kendali akses fine-grained adalah kemampuan untuk menggunakan kondidi IAM kebijakan untuk menentukan siapa yang boleh mengakses item data individu dan atribut di DynamoDB tabel dan indeks. Juga merujuk ke tindakan yang bisa dilakukan pada tabel dan indeks ini. Versi simulator IAM kebijakan saat ini tidak mendukung tipe kondisi kebijakan semacam ini. Untuk informasi lebih lanjut tentang DynamoDB kendali akses fine-grained, lihat Kendali Akses Fine-Grained untuk DynamoDB.
Anda memiliki kebijakan yang tidak mematuhi sintaksis kebijakan. Anda dapat menggunakan validasi kebijakan untuk meninjau pembaruan yang disarankan bagi kebijakan Anda.

Pesan ini muncul di bagian atas daftar kebijakan jika Anda memiliki kebijakan yang tidak mematuhi tata bahasa IAM kebijakan. Untuk menyimulasikan kebijakan ini, tinjau opsi validasi kebijakan di Validasi kebijakan IAM untuk mengidentifikasi dan memperbaiki kebijakan ini.
Kebijakan ini harus diperbarui agar mematuhi aturan sintaksis kebijakan terbaru.

Pesan ini muncul jika Anda memiliki kebijakan yang tidak mematuhi tata bahasa IAM kebijakan. Untuk menyimulasikan kebijakan ini, tinjau opsi validasi kebijakan di Validasi kebijakan IAM untuk mengidentifikasi dan memperbaiki kebijakan ini.

Menggunakan simulator IAM kebijakan (AWS CLI dan AWS API)

Perintah simulator kebijakan biasanya butuh memanggil API operasi untuk melakukan dua hal:

  1. Mengevaluasi kebijakan dan mengembalikan daftar kunci konteks yang mereka referensikan. Anda perlu tahu kunci konteks mana yang direferensikan sehingga Anda bisa memasok nilai bagi mereka di langkah berikutnya.

  2. Simulasikan kebijakan, berikan daftar tindakan, sumber daya, dan kunci konteks yang digunakan selama simulasi.

Untuk alasan keamanan, API operasi telah dibagi menjadi dua grup:

Di kedua kasus tersebut, API operasi menyimulasikan efek dari satu atau lebih kebijakan pada daftar tindakan dan sumber daya. Setiap tindakan dipasangkan dengan setiap sumber daya dan simulasi menentukan apakah kebijakan itu mengizinkan atau menolak tindakan untuk sumber daya tersebut. Anda juga bisa memberi nilai bagi setiap kunci konteks yang menjadi referensi kebijakan Anda. Anda bisa mendapatkan daftar kunci konteks yang referensi kebijakan dengan terlebih dahulu memanggil GetContextKeysForCustomPolicy atau GetContextKeysForPrincipalPolicy. Jika Anda tidak memberikan nilai untuk kunci konteks, simulasi masih berjalan. Namun hasilnya mungkin tidak bisa diandalkan karena simulator kebijakan tidak bisa menyertakan kunci konteks tersebut dalam evaluasi.

Untuk mendapatkan daftar kunci konteks (AWS CLI, AWS API)

Gunakan hal berikut untuk mengevaluasi daftar kebijakan dan mengembalikan daftar kunci konteks yang dipakai dalam kebijakan.

Untuk mensimulasikan IAM kebijakan (AWS CLI, AWS API)

Gunakan hal berikut untuk menyimulasikan IAM kebijakan guna menentukan izin efektif pengguna.