IAMperan - AWS Identity and Access Management
Kapan membuat IAM pengguna (bukan peran)Istilah dan konsep peranSumber daya tambahan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

IAMperan

IAMPeran adalah IAM identitas yang dapat Anda buat di akun Anda yang memiliki izin khusus. IAMPeran mirip dengan IAM pengguna, karena itu adalah AWS identitas dengan kebijakan izin yang menentukan apa yang dapat dan tidak dapat dilakukan identitas AWS. Namun, alih-alih secara unik terkait dengan satu orang, peran dimaksudkan untuk menjadi dapat diambil oleh siapa pun yang membutuhkannya. Selain itu, peran tidak memiliki kredensial jangka panjang standar seperti kata sandi atau kunci akses yang terkait dengannya. Sebagai gantinya, saat Anda mengambil peran, peran tersebut akan memberikan kredensial keamanan sementara untuk sesi peran.

Anda dapat menggunakan peran untuk mendelegasikan akses ke pengguna, aplikasi, atau layanan yang biasanya tidak memiliki akses ke AWS sumber daya Anda. Misalnya, Anda mungkin ingin memberi pengguna di AWS akun Anda akses ke sumber daya yang biasanya tidak mereka miliki, atau memberikan pengguna dalam satu Akun AWS akses ke sumber daya di akun lain. Atau Anda mungkin ingin mengizinkan aplikasi seluler menggunakan AWS sumber daya, tetapi tidak ingin menyematkan AWS kunci di dalam aplikasi (di mana kunci tersebut sulit diperbarui dan di mana pengguna berpotensi mengekstraknya). Terkadang Anda ingin memberikan AWS akses ke pengguna yang sudah memiliki identitas yang ditentukan di luar AWS, seperti di direktori perusahaan Anda. Atau, Anda mungkin ingin memberikan akses ke akun Anda kepada pihak ketiga sehingga mereka dapat melakukan audit pada sumber daya Anda.

Untuk skenario ini, Anda dapat mendelegasikan akses ke AWS sumber daya menggunakan IAMperan. Bagian ini memperkenalkan peran dan berbagai cara yang dapat Anda gunakan, kapan dan bagaimana memilih di antara pendekatan, dan bagaimana membuat, mengelola, beralih ke (atau mengasumsikan), dan menghapus peran.

catatan

Saat pertama kali membuat Akun AWS, tidak ada peran yang dibuat secara default. Saat Anda menambahkan layanan ke akun Anda, mereka dapat menambahkan peran terkait layanan untuk mendukung kasus penggunaannya.

Peran terkait layanan adalah jenis peran layanan yang ditautkan ke. Layanan AWS Layanan tersebut dapat menjalankan peran untuk melakukan tindakan atas nama Anda. Peran terkait layanan muncul di Anda Akun AWS dan dimiliki oleh layanan. IAMAdministrator dapat melihat, tetapi tidak mengedit izin untuk peran terkait layanan.

Sebelum Anda dapat menghapus peran terkait layanan, Anda harus terlebih dahulu menghapus sumber daya terkait mereka. Ini melindungi sumber daya Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.

Untuk informasi tentang layanan mana yang mendukung peran yang terkait dengan layanan, lihat AWS layanan yang bekerja dengan IAM dan cari layanan yang memiliki Ya di kolom Peran Terkait-Layanan Pilih Ya dengan tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.

Topik

Kapan membuat IAM pengguna (bukan peran)

Kami menyarankan Anda hanya menggunakan IAM pengguna untuk kasus penggunaan yang tidak didukung oleh pengguna federasi. Beberapa kasus penggunaan meliputi yang berikut:

  • Beban kerja yang tidak dapat menggunakan IAM peran — Anda dapat menjalankan beban kerja dari lokasi yang perlu diakses. AWS Dalam beberapa situasi, Anda tidak dapat menggunakan IAM peran untuk memberikan kredensi sementara, seperti untuk WordPress plugin. Dalam situasi ini, gunakan kunci akses jangka panjang IAM pengguna untuk beban kerja tersebut untuk mengautentikasi. AWS

  • AWS Klien pihak ketiga — Jika Anda menggunakan alat yang tidak mendukung akses dengan Pusat IAM Identitas, seperti AWS klien pihak ketiga atau vendor yang tidak di-host AWS, gunakan kunci akses jangka panjang IAM pengguna.

  • AWS CodeCommit akses - Jika Anda menggunakan CodeCommit untuk menyimpan kode Anda, Anda dapat menggunakan IAM pengguna dengan SSH kunci atau kredensi khusus layanan untuk mengautentikasi CodeCommit ke repositori Anda. Kami menyarankan Anda melakukan ini selain menggunakan pengguna di Pusat IAM Identitas untuk otentikasi normal. Pengguna di IAM Identity Center adalah orang-orang di tenaga kerja Anda yang membutuhkan akses ke aplikasi cloud Anda Akun AWS atau ke aplikasi cloud Anda. Untuk memberi pengguna akses ke CodeCommit repositori Anda tanpa mengonfigurasi IAM pengguna, Anda dapat mengonfigurasi utilitas. git-remote-codecommit Untuk informasi lebih lanjut tentang IAM dan CodeCommit, lihatIAMkredensial untuk: Kredensial CodeCommit Git, SSH kunci, dan kunci akses AWS. Untuk informasi selengkapnya tentang mengonfigurasi git-remote-codecommit utilitas, lihat Menghubungkan ke AWS CodeCommit repositori dengan kredensi berputar di Panduan Pengguna.AWS CodeCommit

  • Akses Amazon Keyspaces (untuk Apache Cassandra) — Dalam situasi di mana Anda tidak dapat menggunakan pengguna di Pusat IAM Identitas, seperti untuk tujuan pengujian kompatibilitas Cassandra, Anda dapat menggunakan IAM pengguna dengan kredensi khusus layanan untuk mengautentikasi dengan Amazon Keyspaces. Pengguna di IAM Identity Center adalah orang-orang di tenaga kerja Anda yang membutuhkan akses ke aplikasi cloud Anda Akun AWS atau ke aplikasi cloud Anda. Anda juga dapat terhubung ke Amazon Keyspaces menggunakan kredensil sementara. Untuk informasi selengkapnya, lihat Menggunakan kredensil sementara untuk terhubung ke Amazon Keyspaces menggunakan IAM peran dan plugin SiGv4 di Panduan Pengembang Amazon Keyspaces (untuk Apache Cassandra).

  • Akses darurat — Dalam situasi di mana Anda tidak dapat mengakses penyedia identitas Anda dan Anda harus mengambil tindakan di dalamnya Akun AWS. Menetapkan IAM pengguna akses darurat dapat menjadi bagian dari rencana ketahanan Anda. Kami menyarankan agar kredensil pengguna darurat dikontrol dan diamankan dengan ketat menggunakan otentikasi multi-faktor (). MFA

Istilah dan konsep peran

Berikut ini beberapa istilah dasar untuk membantu Anda memulai dengan peran.

Peran

IAMIdentitas yang dapat Anda buat di akun Anda yang memiliki izin khusus. IAMPeran memiliki beberapa kesamaan dengan IAM pengguna. Peran dan pengguna adalah identitas AWS dengan kebijakan izin yang menentukan apa yang dapat dan tidak dapat dilakukan oleh identitas tersebut di AWS. Namun, alih-alih secara unik terkait dengan satu orang, peran dimaksudkan untuk menjadi dapat diambil oleh siapa pun yang membutuhkannya. Selain itu, peran tidak memiliki kredensial jangka panjang standar seperti kata sandi atau kunci akses yang terkait dengannya. Sebagai gantinya, saat Anda mengambil peran, peran tersebut akan memberikan kredensial keamanan sementara untuk sesi peran.

Peran dapat diasumsikan sebagai berikut:

  • IAMPengguna dalam hal yang sama Akun AWS atau yang lain Akun AWS

  • IAMperan dalam akun yang sama

  • Prinsipal layanan, untuk digunakan dengan AWS layanan dan fitur seperti:

    • Layanan yang memungkinkan Anda menjalankan kode pada layanan komputasi, seperti Amazon EC2 atau AWS Lambda

    • Fitur yang melakukan tindakan ke sumber daya Anda atas nama Anda, seperti replikasi objek Amazon S3

    • Layanan yang memberikan kredensil keamanan sementara ke aplikasi Anda yang berjalan di luar AWS, seperti IAM Roles Anywhere atau Amazon Anywhere ECS

  • Pengguna eksternal yang diautentikasi oleh layanan penyedia identitas eksternal (IDP) yang kompatibel SAML dengan 2.0 atau OpenID Connect

AWS peran layanan

Peran layanan adalah IAMperan yang diasumsikan layanan untuk melakukan tindakan atas nama Anda. IAMAdministrator dapat membuat, memodifikasi, dan menghapus peran layanan dari dalamIAM. Untuk informasi selengkapnya, lihat Membuat peran untuk mendelegasikan izin ke Layanan AWS dalam IAMPanduan Pengguna.

AWS peran terkait layanan

Peran terkait layanan adalah jenis peran layanan yang ditautkan ke. Layanan AWS Layanan tersebut dapat menjalankan peran untuk melakukan tindakan atas nama Anda. Peran terkait layanan muncul di Anda Akun AWS dan dimiliki oleh layanan. IAMAdministrator dapat melihat, tetapi tidak mengedit izin untuk peran terkait layanan.

catatan

Jika Anda sudah menggunakan layanan ketika mulai mendukung peran yang terkait dengan layanan, Anda mungkin menerima email yang mengumumkan peran baru di akun Anda. Dalam hal ini, layanan secara otomatis membuat peran terkait layanan di akun Anda. Anda tidak perlu melakukan tindakan apa pun untuk mendukung peran ini, dan Anda tidak harus menghapusnya secara manual. Untuk informasi selengkapnya, lihat Peran baru muncul di akun AWS saya.

Untuk informasi tentang layanan mana yang mendukung peran yang terkait dengan layanan, lihat AWS layanan yang bekerja dengan IAM dan cari layanan yang memiliki Ya di kolom Peran Terkait-Layanan Pilih Ya dengan tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut. Untuk informasi selengkapnya, lihat Buat peran tertaut layanan.

Rantai peran

Role chaining adalah ketika Anda menggunakan peran untuk mengambil peran kedua melalui AWS CLI atauAPI. Misalnya, RoleA memiliki izin untuk berasumsiRoleB. Anda dapat mengaktifkan User1 untuk berasumsi RoleA dengan menggunakan kredensi pengguna jangka panjang mereka dalam operasi. AssumeRole API Ini mengembalikan kredensi RoleA jangka pendek. Dengan rantai peran, Anda dapat menggunakan RoleA kredensi jangka pendek untuk mengaktifkan User1 berasumsi. RoleB

Saat Anda mengambil peran, Anda dapat melewatkan tag sesi dan mengatur tag sebagai transitif. Tag sesi transitif diteruskan ke semua sesi berikutnya dalam rantai peran. Untuk mempelajari lebih lanjut tentang tag sesi, lihat Lulus tag sesi di AWS STS.

Rantai peran membatasi sesi AWS CLI atau AWS API peran Anda hingga maksimal satu jam. Bila Anda menggunakan AssumeRoleAPIoperasi untuk mengambil peran, Anda dapat menentukan durasi sesi peran Anda dengan DurationSeconds parameter. Anda dapat menentukan nilai parameter hingga 43200 detik (12 jam), tergantung pada pengaturan durasi sesi maksimum untuk peran Anda. Akan tetapi, jika Anda berperan menggunakan rantai peran dan memberikan nilai parameter DurationSeconds lebih dari satu jam, operasi gagal.

Delegasi

Pemberian izin kepada seseorang untuk memungkinkan akses ke sumber daya yang Anda kontrol. Delegasi melibatkan terbentuknya kepercayaan antara dua akun. Yang pertama adalah akun yang memiliki sumber daya (akun terpercaya). Kedua adalah akun yang berisi pengguna yang perlu mengakses sumber daya (akun tepercaya). Akun tepercaya dan dipercaya dapat merupakan salah satu dari berikut ini:

  • Akun yang sama.

  • Pisahkan akun yang berada di bawah kendali organisasi Anda.

  • Dua akun yang dimiliki oleh organisasi yang berbeda.

Untuk mendelegasikan izin untuk mengakses sumber daya, Anda membuat IAM peran di akun kepercayaan yang memiliki dua kebijakan terlampir. Kebijakan izin memberikan izin yang diperlukan pengguna untuk melaksanakan tugas yang diinginkan pada sumber daya. Kebijakan kepercayaan menentukan anggota akun tepercaya mana yang diizinkan untuk menjalankan peran tersebut.

Saat membuat kebijakan kepercayaan, Anda tidak dapat menentukan wildcard (*) sebagai bagian dari dan ARN di elemen utama. Kebijakan terpercaya ini dilampirkan pada peran dalam akun kepercayaan, dan merupakan setengah dari izin. Setengah lainnya adalah kebijakan izin yang melekat pada pengguna dalam akun tepercaya yang memungkinkan pengguna untuk beralih, atau mengambil peran. Seorang pengguna yang mengambil peran secara sementara memberikan izinnya sendiri dan sebaliknya mengambil izin peran tersebut. Saat pengguna keluar, atau berhenti menggunakan peran tersebut, izin pengguna yang asli akan dipulihkan. Parameter tambahan yang disebut ID eksternal membantu memastikan penggunaan peran aman antar akun yang tidak dikontrol oleh organisasi yang sama.

Kebijakan kepercayaan

Dokumen JSON kebijakan di mana Anda mendefinisikan prinsip-prinsip yang Anda percayai untuk mengambil peran. Kebijakan kepercayaan peran adalah kebijakan berbasis sumber daya wajib yang melekat pada peran di dalamnya. IAM Prinsipal yang dapat Anda sebutkan dalam kebijakan kepercayaan termasuk pengguna, peran, akun, dan layanan.

Peran untuk akses lintas akun

Peran yang memberikan akses ke sumber daya dalam satu akun ke prinsipal tepercaya dalam akun yang berbeda. Peran adalah cara utama untuk memberikan akses akun silang. Namun, beberapa AWS layanan memungkinkan Anda untuk melampirkan kebijakan secara langsung ke sumber daya (alih-alih menggunakan peran sebagai proxy). Ini disebut kebijakan berbasis sumber daya, dan Anda dapat menggunakannya untuk memberikan prinsipal di akses lain ke sumber daya. Akun AWS Beberapa sumber daya ini termasuk bucket Amazon Simple Storage Service (S3), kubah S3 Glacier, topik Amazon Simple Notification Service (SNS), dan antrian Amazon Simple Queue Service (). SQS Untuk mempelajari layanan yang mendukung kebijakan berbasis sumber daya, lihat AWS layanan yang bekerja dengan IAM. Untuk informasi selengkapnya tentang kebijakan berbasis sumber daya, lihat Akses sumber daya lintas akun di IAM.

Sumber daya tambahan

Sumber daya berikut dapat membantu Anda mempelajari lebih lanjut tentang IAM terminologi yang terkait dengan IAM peran.

  • Prinsipal adalah entitas AWS yang dapat melakukan tindakan dan mengakses sumber daya. Prinsipal dapat berupa Pengguna root akun AWS, IAM pengguna, atau peran. Prinsipal yang mewakili identitas suatu AWS layanan adalah prinsipal layanan. Gunakan elemen Principal dalam kebijakan kepercayaan peran untuk menentukan prinsip yang Anda percayai untuk mengambil peran tersebut.

    Untuk informasi lebih lanjut dan contoh prinsip yang dapat Anda izinkan untuk mengambil peran, lihat. AWS JSONelemen kebijakan: Principal

  • Federasi identitas menciptakan hubungan kepercayaan antara penyedia identitas eksternal dan AWS. Anda dapat menggunakan penyedia OpenID Connect (OIDC) atau Security Assertion Markup Language (SAML) 2.0 yang sudah ada untuk mengelola siapa saja yang dapat mengakses sumber daya. AWS Saat Anda menggunakan OIDC dan SAML 2.0 untuk mengonfigurasi hubungan kepercayaan antara penyedia identitas eksternal ini dan AWS , pengguna ditetapkan ke IAM peran. Pengguna juga menerima kredensial sementara yang mengizinkan pengguna mengakses sumber daya AWS Anda.

    Untuk informasi selengkapnya tentang pengguna gabungan, lihat Penyedia dan federasi identitas.

  • Pengguna federasi adalah identitas yang ada dari AWS Directory Service, direktori pengguna perusahaan Anda, atau penyedia. OIDC Ini dikenal sebagai pengguna federasi. AWS memberikan peran kepada pengguna federasi ketika akses diminta melalui penyedia identitas.

    Untuk informasi selengkapnya tentang pengguna gabungan, lihat Pengguna gabungan dan peran.

  • Kebijakan izin adalah kebijakan berbasis identitas yang menentukan tindakan dan sumber daya apa yang dapat digunakan peran tersebut. Dokumen ini ditulis sesuai dengan aturan bahasa IAM kebijakan.

    Untuk informasi selengkapnya, lihat IAMJSONreferensi kebijakan.

  • Batas izin adalah fitur lanjutan tempat Anda menggunakan kebijakan untuk membatasi izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas untuk peran. Anda tidak dapat menerapkan batas izin untuk peran yang terkait layanan.

    Untuk informasi selengkapnya, lihat Batas izin untuk entitas IAM.