Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Anda dapat menggunakan penyedia identitas alih-alih membuat IAM pengguna di situs Anda Akun AWS. Dengan penyedia identitas (iDP), Anda dapat mengelola identitas pengguna di luar AWS dan memberikan izin identitas pengguna eksternal ini untuk mengakses AWS sumber daya di akun Anda. Untuk informasi lebih lanjut tentang federasi dan penyedia identitas, lihat Penyedia dan federasi identitas.
Membuat peran untuk pengguna federasi (konsol)
Prosedur untuk membuat peran bagi pengguna federasi bergantung pada pilihan penyedia pihak ketiga Anda:
-
Untuk OpenID Connect (OIDC), lihat. Buat peran untuk federasi OpenID Connect (konsol)
-
Untuk SAML 2.0, lihatMembuat peran untuk federasi SAML 2.0 (konsol).
Membuat peran untuk akses gabungan (AWS CLI)
Langkah-langkah untuk membuat peran untuk penyedia identitas yang didukung (OIDCatauSAML) dari AWS CLI yang sama. Perbedaannya ada dalam konten kebijakan kepercayaan yang Anda buat dalam langkah-langkah prasyarat. Mulai dengan mengikuti langkah-langkah dalam bagian Prasyarat untuk jenis penyedia yang Anda gunakan:
-
Untuk OIDC penyedia, lihatPrasyarat untuk membuat peran untuk OIDC.
-
Untuk SAML penyedia, lihatPrasyarat untuk membuat peran untuk SAML.
Membuat peran dari AWS CLI melibatkan beberapa langkah. Saat Anda menggunakan konsol untuk membuat peran, banyak langkah dilakukan untuk Anda, tetapi dengan itu AWS CLI Anda harus secara eksplisit melakukan setiap langkah sendiri. Anda harus membuat peran dan kemudian menetapkan kebijakan izin untuk peran tersebut. Atau, Anda juga dapat mengatur batas izin untuk peran Anda.
Untuk membuat peran bagi federasi identitas (AWS CLI)
-
Buat peran: aws iam create-role
-
Lampirkan kebijakan izin ke peran: aws iam attach-role-policy
atau
Buat kebijakan izin sebaris untuk peran tersebut: aws iam put-role-policy
-
(Opsional) Tambahkan atribut khusus ke peran tersebut dengan melampirkan tag: aws iam tag-role
Untuk informasi selengkapnya, lihat Mengelola tag pada IAM peran (AWS CLI atau AWS API).
-
(Opsional) Tetapkan batas izin untuk peran: aws iam put-role-permissions-boundary
Batas izin mengontrol izin maksimum yang dapat dimiliki sebuah peran. Batas izin adalah AWS fitur lanjutan.
Contoh berikut menunjukkan dua langkah pertama, dan paling umum, untuk membuat peran penyedia identitas dalam lingkungan yang sederhana. Contoh ini memungkinkan setiap pengguna dalam akun 123456789012
untuk mengasumsikan peran dan melihat example_bucket
bucket Amazon S3. Contoh ini juga mengasumsikan bahwa Anda menjalankan AWS CLI pada komputer yang menjalankan Windows, dan telah mengkonfigurasi AWS CLI dengan kredensi Anda. Untuk informasi selengkapnya, lihat Mengonfigurasi AWS Command Line Interface.
Contoh kebijakan kepercayaan berikut ini dirancang untuk aplikasi seluler jika pengguna masuk dengan menggunakan Amazon Cognito. Dalam contoh ini, us-east:12345678-ffff-ffff-ffff-123456
mewakili ID kumpulan identitas yang ditetapkan oleh Amazon Cognito.
{
"Version": "2012-10-17",
"Statement": {
"Sid": "RoleForCognito",
"Effect": "Allow",
"Principal": {"Federated": "cognito-identity.amazonaws.com"},
"Action": "sts:AssumeRoleWithWebIdentity",
"Condition": {"StringEquals": {"cognito-identity.amazonaws.com:aud": "us-east:12345678-ffff-ffff-ffff-123456"}}
}
}
Kebijakan izin berikut ini memperbolehkan siapa pun yang mengasumsikan peran untuk hanya melaksanakan tindakan ListBucket
pada example_bucket
bucket Amazon S3.
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::example_bucket"
}
}
Untuk membuat peran ini Test-Cognito-Role
, Anda harus terlebih dahulu menyimpan kebijakan kepercayaan sebelumnya dengan nama trustpolicyforcognitofederation.json
dan kebijakan izin sebelumnya dengan nama permspolicyforcognitofederation.json
ke policies
direktori di lokasi Anda C:
. Kemudian Anda dapat menggunakan perintah berikut untuk membuat peran dan melampirkan kebijakan inline.
# Create the role and attach the trust policy that enables users in an account to assume the role. $
aws iam create-role --role-name Test-Cognito-Role --assume-role-policy-document file://C:\policies\trustpolicyforcognitofederation.json
# Attach the permissions policy to the role to specify what it is allowed to do.
aws iam put-role-policy --role-name Test-Cognito-Role --policy-name Perms-Policy-For-CognitoFederation --policy-document file://C:\policies\permspolicyforcognitofederation.json
Membuat peran untuk akses federasi ()AWS API
Langkah-langkah untuk membuat peran untuk penyedia identitas yang didukung (OIDCatauSAML) dari AWS CLI yang sama. Perbedaannya ada dalam konten kebijakan kepercayaan yang Anda buat dalam langkah-langkah prasyarat. Mulai dengan mengikuti langkah-langkah dalam bagian Prasyarat untuk jenis penyedia yang Anda gunakan:
-
Untuk OIDC penyedia, lihatPrasyarat untuk membuat peran untuk OIDC.
-
Untuk SAML penyedia, lihatPrasyarat untuk membuat peran untuk SAML.
Untuk membuat peran federasi identitas (AWS API)
-
Buat peran: CreateRole
-
Lampirkan kebijakan izin ke peran: AttachRolePolicy
atau
Membuat kebijakan izin sebaris untuk peran tersebut: PutRolePolicy
-
(Opsional) Tambahkan atribut khusus ke pengguna dengan melampirkan tag: TagRole
Untuk informasi selengkapnya, lihat Mengelola tag pada IAM pengguna (AWS CLI atau AWS API).
-
(Opsional) Tetapkan batas izin untuk peran: PutRolePermissionsBoundary
Batas izin mengontrol izin maksimum yang dapat dimiliki sebuah peran. Batas izin adalah AWS fitur lanjutan.