Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Apa itu IAM?
<a name="introduction"></a>

AWS Identity and Access Management (IAM) adalah layanan web yang membantu Anda mengontrol akses ke AWS sumber daya dengan aman. Dengan IAM, Anda dapat mengelola izin yang mengontrol AWS sumber daya mana yang dapat diakses pengguna. Anda menggunakan IAM untuk mengontrol siapa yang dapat terautentikasi (masuk) dan berwenang (memiliki izin) untuk menggunakan sumber daya. IAM menyediakan infrastruktur yang diperlukan untuk mengontrol autentikasi dan otorisasi untuk Akun AWS Anda.

**Identitas**

 Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang disebut *pengguna Akun AWS root* yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Untuk tugas yang memerlukan kredensial pengguna root, lihat [Tugas yang memerlukan kredensial pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dalam *Panduan Pengguna IAM*. 

Gunakan IAM untuk mengatur identitas lain selain pengguna root Anda, seperti administrator, analis, dan pengembang, dan memberi mereka akses ke sumber daya yang mereka butuhkan untuk berhasil dalam tugas mereka. 

**Manajemen akses**

Setelah pengguna diatur di IAM, mereka menggunakan kredensi masuk mereka untuk mengautentikasi. AWS Otentikasi disediakan dengan mencocokkan kredensi masuk ke prinsipal (pengguna IAM, prinsipal AWS STS federasi, peran IAM, atau aplikasi) yang dipercaya oleh. Akun AWS Selanjutnya, permintaan dibuat untuk memberikan akses kepada principal ke sumber daya. Akses diberikan sebagai tanggapan atas permintaan otorisasi jika pengguna telah diberi izin ke sumber daya. Misalnya, saat pertama kali masuk ke konsol dan berada di halaman Beranda konsol, Anda tidak mengakses layanan tertentu. Ketika Anda memilih layanan, permintaan otorisasi dikirim ke layanan tersebut dan layanan akan melihat apakah identitas Anda ada dalam daftar pengguna yang diberi otorisasi, kebijakan apa yang diberlakukan untuk mengontrol tingkat akses yang diberikan, dan kebijakan lain yang mungkin berlaku. Permintaan otorisasi dapat dibuat oleh kepala sekolah di dalam Anda Akun AWS atau dari orang lain Akun AWS yang Anda percayai.

Setelah diberi otorisasi, principal dapat mengambil tindakan atau melakukan pengoperasian pada sumber daya di Akun AWS Anda. Misalnya, prinsipal dapat meluncurkan Amazon Elastic Compute Cloud instance baru, memodifikasi keanggotaan grup IAM, atau menghapus Amazon Simple Storage Service bucket.

**Tip**  
AWS Pelatihan dan Sertifikasi menyediakan pengenalan video 10 menit untuk IAM:  
[Pengantar AWS Identity and Access Management](https://www.aws.training/learningobject/video?id=16448).

**Ketersediaan layanan**

IAM, seperti banyak AWS layanan lainnya, [pada akhirnya konsisten](https://wikipedia.org/wiki/Eventual_consistency). IAM mencapai ketersediaan tinggi dengan mereplikasi data di beberapa server di dalam pusat data Amazon di seluruh dunia. Jika permintaan untuk mengubah beberapa data berhasil, perubahan tersebut akan dilakukan dan disimpan dengan aman. Namun, perubahan harus direplikasi di seluruh IAM, yang dapat memakan waktu. Perubahan tersebut mencakup membuat atau memperbarui pengguna, grup, peran, atau kebijakan. Kami sarankan Anda tidak memasukkan perubahan IAM seperti itu di jalur kode penting dengan ketersediaan tinggi di aplikasi Anda. Sebaliknya, buat perubahan IAM dalam inisialisasi terpisah atau rutinitas pengaturan yang lebih jarang Anda lakukan. Selain itu, pastikan untuk memverifikasi bahwa perubahan telah dibuat merata sebelum alur kerja produksi bergantung padanya. Untuk informasi selengkapnya, lihat [Perubahan yang saya buat tidak selalu langsung terlihat](troubleshoot.md#troubleshoot_general_eventual-consistency).

**Informasi biaya layanan**

AWS Identity and Access Management (IAM), AWS IAM Identity Center dan AWS Security Token Service (AWS STS) adalah fitur AWS akun Anda yang ditawarkan tanpa biaya tambahan. Anda dikenakan biaya hanya ketika Anda mengakses AWS layanan lain menggunakan pengguna IAM Anda atau kredensi keamanan AWS STS sementara. 

Analisis akses eksternal IAM Access Analyzer ditawarkan tanpa biaya tambahan. Namun, Anda akan dikenakan biaya untuk analisis akses yang tidak digunakan dan pemeriksaan kebijakan pelanggan. Untuk daftar lengkap biaya dan harga IAM Access Analyzer, lihat harga IAM [Access](https://aws.amazon.com/iam/access-analyzer/pricing) Analyzer.

Untuk informasi tentang harga AWS produk lain, lihat [halaman harga Amazon Web Services](https://aws.amazon.com/pricing/).

**Integrasi dengan AWS layanan lain**

IAM terintegrasi dengan banyak AWS layanan. Untuk daftar AWS layanan yang bekerja dengan IAM dan IAM menampilkan dukungan layanan, lihat. [AWS layanan yang bekerja dengan IAM](reference_aws-services-that-work-with-iam.md) 

# Mengapa saya harus menggunakan IAM?
<a name="intro-iam-features"></a>

AWS Identity and Access Management adalah alat yang ampuh untuk mengelola akses ke AWS sumber daya Anda dengan aman. Salah satu manfaat utama menggunakan IAM adalah kemampuan untuk memberikan akses bersama ke AWS akun Anda. Selain itu, IAM memungkinkan Anda untuk menetapkan izin granular, memungkinkan Anda untuk mengontrol dengan tepat tindakan apa yang dapat dilakukan pengguna yang berbeda pada sumber daya tertentu. Tingkat kontrol akses ini sangat penting untuk menjaga keamanan AWS lingkungan Anda. IAM juga menyediakan beberapa fitur keamanan lainnya. Anda dapat menambahkan otentikasi multi-faktor (MFA) untuk lapisan perlindungan ekstra, dan memanfaatkan federasi identitas untuk mengintegrasikan pengguna dengan mulus dari jaringan perusahaan Anda atau penyedia identitas lainnya. IAM juga terintegrasi dengan AWS CloudTrail, menyediakan informasi pencatatan dan identitas terperinci untuk mendukung persyaratan audit dan kepatuhan. Dengan memanfaatkan kemampuan ini, Anda dapat membantu memastikan bahwa akses ke AWS sumber daya penting Anda dikontrol dengan ketat dan aman.

## Akses bersama ke Akun AWS
<a name="intro-shared-access"></a>

Anda dapat memberikan izin kepada orang lain untuk mengelola dan menggunakan sumber daya dalam akun AWS Anda yang tanpa harus membagikan kata sandi atau access key Anda. 

## Izin granular
<a name="intro-granular-permissions"></a>

Anda dapat memberikan izin yang berbeda kepada orang yang berbeda untuk sumber daya yang berbeda. Misalnya, Anda mungkin mengizinkan beberapa pengguna menyelesaikan akses ke Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), Amazon DynamoDB, Amazon Redshift, dan layanan lainnya. AWS Untuk pengguna lain, Anda dapat mengizinkan akses hanya-baca ke beberapa bucket Amazon S3 saja, atau izin untuk mengelola hanya beberapa instans Amazon EC2, atau untuk mengakses informasi penagihan Anda tetapi tidak ada yang lain.

## Akses aman ke AWS sumber daya untuk aplikasi yang berjalan di Amazon EC2
<a name="intro-secure-access"></a>

Anda dapat menggunakan fitur IAM untuk memberikan kredensial secara aman untuk aplikasi yang berjalan pada instans EC2. Kredensil ini memberikan izin bagi aplikasi Anda untuk mengakses sumber daya lain. AWS Contohnya termasuk bucket S3 dan tabel DynamoDB. 

## Multi-factor authentication (MFA)
<a name="intro-mfa-iam"></a>

Anda dapat menambahkan autentikasi dua faktor ke akun Anda dan ke pengguna individu untuk keamanan ekstra. Dengan MFA, Anda atau pengguna Anda harus memberikan tidak hanya kata sandi atau kunci akses untuk menangani akun Anda, tetapi juga kode dari perangkat yang dikonfigurasi secara khusus. Jika Anda sudah menggunakan kunci keamanan FIDO dengan layanan lain, dan memiliki konfigurasi yang AWS didukung, Anda dapat menggunakannya WebAuthn untuk keamanan MFA. Untuk informasi selengkapnya, lihat [Konfigurasi yang didukung untuk menggunakan kunci sandi dan kunci keamanan](id_credentials_mfa_fido_supported_configurations) 

## Federasi identitas
<a name="intro-identity-federation-iam"></a>

Anda dapat mengizinkan pengguna yang sudah memiliki kata sandi di tempat lain—misalnya, di jaringan perusahaan Anda atau dengan penyedia identitas internet—untuk mengakses Anda. Akun AWS Pengguna ini diberikan kredensil sementara yang mematuhi rekomendasi praktik terbaik IAM. Menggunakan federasi identitas meningkatkan keamanan AWS akun Anda.

## Informasi identitas untuk jaminan
<a name="intro-identity-assurance"></a>

Jika menggunakan [AWS CloudTrail](https://aws.amazon.com/cloudtrail/), Anda menerima catatan log yang memuat informasi tentang pihak yang meminta sumber daya di akun Anda. Informasi tersebut didasarkan pada identitas IAM.

## Kepatuhan PCI DSS
<a name="intro-pci-dss-compliance"></a>

IAM mendukung pemrosesan, penyimpanan, dan transmisi data kartu kredit oleh pedagang atau penyedia layanan, dan telah divalidasi sebagai sesuai dengan Standar Keamanan Data (DSS) Industri Kartu Pembayaran (PCI). Untuk informasi selengkapnya tentang PCI DSS, termasuk cara meminta salinan PCI AWS Compliance Package, lihat [PCI](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/) DSS Level 1. 

# Kapan saya harus menggunakan IAM?
<a name="when-to-use-iam"></a>

AWS Identity and Access Management adalah layanan infrastruktur inti yang menyediakan dasar untuk kontrol akses berdasarkan identitas di dalamnya AWS. Anda menggunakan IAM setiap kali Anda mengakses AWS akun Anda. Cara Anda menggunakan IAM akan tergantung pada tanggung jawab spesifik dan fungsi pekerjaan dalam organisasi Anda. Pengguna AWS layanan menggunakan IAM untuk mengakses AWS sumber daya yang diperlukan untuk day-to-day pekerjaan mereka, dengan administrator memberikan izin yang sesuai. Administrator IAM, di sisi lain, bertanggung jawab untuk mengelola identitas IAM dan menulis kebijakan untuk mengontrol akses ke sumber daya. Terlepas dari peran Anda, Anda berinteraksi dengan IAM setiap kali Anda mengautentikasi dan mengotorisasi akses ke sumber daya. AWS Ini bisa melibatkan masuk sebagai pengguna IAM, dengan asumsi peran IAM, atau memanfaatkan federasi identitas untuk akses tanpa batas. Memahami berbagai kemampuan IAM dan kasus penggunaan sangat penting untuk mengelola akses aman ke AWS lingkungan Anda secara efektif. Ketika datang untuk membuat kebijakan dan izin, IAM menyediakan pendekatan yang fleksibel dan terperinci. Anda dapat menentukan kebijakan kepercayaan untuk mengontrol prinsipal mana yang dapat mengambil peran, selain kebijakan berbasis identitas yang menentukan tindakan dan sumber daya yang dapat diakses pengguna atau peran. Dengan mengonfigurasi kebijakan IAM ini, Anda dapat membantu memastikan bahwa pengguna dan aplikasi memiliki tingkat izin yang sesuai untuk melakukan tugas yang diperlukan.

## Saat Anda melakukan fungsi pekerjaan yang berbeda
<a name="security_iam_audience"></a>

AWS Identity and Access Management adalah layanan infrastruktur inti yang menyediakan dasar untuk kontrol akses berdasarkan identitas di dalamnya AWS. Anda menggunakan IAM setiap kali Anda mengakses AWS akun Anda.

 Cara Anda menggunakan IAM berbeda, tergantung pada pekerjaan yang Anda lakukan. AWS
+ Pengguna layanan — Jika Anda menggunakan AWS layanan untuk melakukan pekerjaan Anda, administrator Anda memberi Anda kredensi dan izin yang Anda butuhkan. Saat Anda menggunakan fitur yang lebih canggih untuk melakukan pekerjaan Anda, Anda mungkin memerlukan izin tambahan. Memahami cara akses dikelola dapat membantu Anda meminta izin yang tepat dari administrator Anda.
+ Administrator layanan — Jika Anda bertanggung jawab atas AWS sumber daya di perusahaan Anda, Anda mungkin memiliki akses penuh ke IAM. Tugas Anda adalah menentukan fitur dan sumber daya IAM mana yang harus diakses pengguna layanan Anda. Kemudian, Anda harus mengirimkan permintaan kepada administrator IAM untuk mengubah izin pengguna layanan Anda. Tinjau informasi di halaman ini untuk memahami konsep dasar IAM. 
+ Administrator IAM - Jika Anda seorang administrator IAM, Anda mengelola identitas IAM dan menulis kebijakan untuk mengelola akses ke IAM. 

 

## Ketika Anda berwenang untuk mengakses AWS sumber daya
<a name="security_iam_authentication-intro"></a>

Otentikasi adalah cara Anda masuk AWS menggunakan kredensi identitas Anda. Anda harus diautentikasi sebagai Pengguna root akun AWS, pengguna IAM, atau dengan mengasumsikan peran IAM.

Anda dapat masuk sebagai identitas federasi menggunakan kredensil dari sumber identitas seperti AWS IAM Identity Center (Pusat Identitas IAM), autentikasi masuk tunggal, atau kredensional. Google/Facebook Untuk informasi selengkapnya tentang cara masuk, lihat [Cara masuk ke Akun AWS Anda](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dalam *Panduan Pengguna AWS Sign-In *.

Untuk akses terprogram, AWS sediakan SDK dan CLI untuk menandatangani permintaan secara kriptografis. Untuk informasi selengkapnya, lihat [AWS Signature Version 4 untuk permintaan API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dalam *Panduan Pengguna IAM*.

## Saat Anda masuk sebagai pengguna IAM
<a name="security_iam_authentication-iamuser"></a>

*[Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* adalah identitas dengan izin khusus untuk satu orang atau aplikasi. Sebaiknya gunakan kredensial sementara alih-alih pengguna IAM dengan kredensial jangka panjang. Untuk informasi selengkapnya, lihat [Mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) di Panduan Pengguna *IAM*.

[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) menentukan kumpulan pengguna IAM dan mempermudah pengelolaan izin untuk pengguna dalam jumlah besar. Untuk mempelajari selengkapnya, lihat [Kasus penggunaan untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dalam *Panduan Pengguna IAM*.

## Ketika Anda mengambil peran IAM
<a name="security_iam_authentication-iamrole"></a>

*[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* adalah identitas dengan izin khusus yang menyediakan kredensial sementara. Anda dapat mengambil peran dengan [beralih dari pengguna ke peran IAM (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) atau dengan memanggil operasi AWS CLI atau AWS API. Untuk informasi selengkapnya, lihat [Metode untuk mengambil peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dalam *Panduan Pengguna IAM*.

Peran IAM berguna untuk akses pengguna terfederasi, izin pengguna IAM sementara, akses lintas akun, akses lintas layanan, dan aplikasi yang berjalan di Amazon EC2. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.

## Saat Anda membuat kebijakan dan izin
<a name="getting-started_trust-policies"></a>

Anda memberikan izin kepada pengguna dengan membuat kebijakan, yaitu dokumen yang mencantumkan tindakan yang dapat dilakukan pengguna dan sumber daya yang dapat memengaruhi tindakan tersebut. Setiap tindakan atau sumber daya yang tidak diizinkan secara eksplisit ditolak secara default. Kebijakan dapat dibuat dan dilampirkan ke prinsipal (pengguna, kelompok pengguna, peran yang diasumsikan oleh pengguna, dan sumber daya).

Anda dapat menggunakan kebijakan ini dengan peran IAM:
+ **Kebijakan kepercayaan** — Mendefinisikan [prinsipal](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#principal) mana yang dapat mengambil peran, dan dalam kondisi apa. Kebijakan kepercayaan adalah jenis kebijakan berbasis sumber daya khusus untuk peran IAM. Peran hanya dapat memiliki satu kebijakan kepercayaan.
+ **Kebijakan berbasis identitas (sebaris dan terkelola)** — Kebijakan ini menentukan izin yang dapat dilakukan oleh pengguna peran (atau ditolak untuk melakukan), dan sumber daya mana.

Gunakan [Contoh kebijakan berbasis identitas IAM](access_policies_examples.md) untuk membantu Anda menentukan izin untuk identitas IAM Anda. Setelah menemukan kebijakan yang diperlukan, pilih lihat kebijakan untuk melihat JSON untuk kebijakan tersebut. Anda dapat menggunakan dokumen kebijakan JSON sebagai contoh untuk kebijakan Anda sendiri.

**catatan**  
Jika Anda menggunakan Pusat Identitas IAM untuk mengelola pengguna, Anda menetapkan set izin di Pusat Identitas IAM alih-alih melampirkan kebijakan izin ke prinsipal. Saat Anda menetapkan izin yang disetel ke grup atau pengguna di Pusat Identitas AWS IAM, Pusat Identitas IAM akan membuat peran IAM yang sesuai di setiap akun, dan melampirkan kebijakan yang ditentukan dalam izin yang disetel ke peran tersebut. IAM Identity Center mengelola peran, dan memungkinkan pengguna resmi yang telah Anda tentukan untuk mengambil peran tersebut. Jika Anda mengubah set izin, Pusat Identitas IAM memastikan bahwa kebijakan dan peran IAM terkait diperbarui sesuai dengan itu.  
Untuk informasi selengkapnya tentang Pusat Identitas IAM, lihat [Apa itu Pusat Identitas IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dalam *AWS IAM Identity Center User Guide*.

# Bagaimana cara mengelola IAM?
<a name="intro-managing-iam"></a>

Mengelola AWS Identity and Access Management dalam suatu AWS lingkungan melibatkan pemanfaatan berbagai alat dan antarmuka. Metode yang paling umum adalah melalui Konsol Manajemen AWS, antarmuka berbasis web yang memungkinkan Anda melakukan berbagai tugas administratif IAM, mulai dari membuat pengguna dan peran hingga mengonfigurasi izin.

Untuk pengguna yang lebih nyaman dengan antarmuka baris perintah, AWS menyediakan dua set alat baris perintah - AWS Command Line Interface dan. AWS Tools for Windows PowerShell Ini memungkinkan Anda untuk mengeluarkan perintah terkait IAM langsung dari terminal, seringkali lebih efisien daripada menavigasi konsol. Selain itu, AWS CloudShell memungkinkan Anda menjalankan perintah CLI atau SDK langsung dari browser web Anda, menggunakan izin yang terkait dengan login konsol Anda.

Di luar konsol dan baris perintah, AWS menawarkan Software Development Kits (SDKs) untuk berbagai bahasa pemrograman, memungkinkan Anda untuk mengintegrasikan fungsionalitas manajemen IAM langsung ke aplikasi Anda. Atau, Anda dapat mengakses IAM secara terprogram menggunakan IAM Query API, yang memungkinkan Anda mengeluarkan permintaan HTTPS langsung ke layanan. Memanfaatkan pendekatan manajemen yang berbeda ini memberi Anda fleksibilitas untuk memasukkan IAM ke dalam alur kerja dan proses yang ada.

## Gunakan Konsol Manajemen AWS
<a name="intro-managing-iam-section-1"></a>

 AWS Management Console adalah aplikasi web yang terdiri dan mengacu pada koleksi luas konsol layanan untuk mengelola AWS sumber daya. Saat pertama kali masuk, Anda akan melihat halaman beranda konsol. Halaman beranda menyediakan akses ke setiap konsol layanan dan menawarkan satu tempat untuk mengakses informasi untuk melakukan tugas AWS terkait Anda. Layanan dan aplikasi mana yang tersedia untuk Anda setelah masuk ke konsol bergantung pada AWS sumber daya mana yang dapat Anda akses. Anda dapat diberikan izin untuk sumber daya baik melalui asumsi peran, menjadi anggota grup yang telah diberikan izin, atau secara eksplisit diberikan izin. Untuk AWS akun yang berdiri sendiri, pengguna root atau administrator IAM mengonfigurasi akses ke sumber daya. Untuk AWS Organizations, akun manajemen atau administrator yang didelegasikan mengonfigurasi akses ke sumber daya.

[Jika Anda berencana untuk memiliki orang yang menggunakan Konsol AWS Manajemen untuk mengelola AWS sumber daya, sebaiknya mengonfigurasi pengguna dengan kredensi sementara sebagai praktik terbaik keamanan.](best-practices.md) Pengguna IAM yang telah mengambil peran, prinsipal federasi, dan pengguna di IAM Identity Center memiliki kredensi sementara, sedangkan pengguna IAM dan pengguna root memiliki kredensi jangka panjang. Kredensi pengguna root menyediakan akses penuh ke Akun AWS, sementara pengguna lain memiliki kredenal yang menyediakan akses ke sumber daya yang diberikan oleh kebijakan IAM.

Pengalaman masuk berbeda untuk berbagai jenis Konsol Manajemen AWS pengguna.
+ Pengguna IAM dan pengguna root masuk dari URL AWS masuk utama (). https://signin.aws.amazon.com Setelah mereka masuk, mereka memiliki akses ke sumber daya di akun yang telah diberikan izin kepada mereka.

  Untuk masuk sebagai pengguna root, Anda harus memiliki alamat email dan kata sandi pengguna root.

  Untuk masuk sebagai pengguna IAM, Anda harus memiliki Akun AWS nomor atau alias, nama pengguna IAM, dan kata sandi pengguna IAM. 

  Kami menyarankan Anda membatasi pengguna IAM di akun Anda untuk situasi tertentu yang memerlukan kredensi jangka panjang, seperti untuk akses darurat, dan bahwa Anda menggunakan pengguna root hanya untuk [tugas-tugas yang memerlukan](id_root-user.md#root-user-tasks) kredensi pengguna root.

  Untuk kenyamanan, halaman AWS masuk menggunakan cookie browser untuk mengingat nama pengguna IAM dan informasi akun. Lain kali pengguna membuka halaman mana pun di Konsol Manajemen AWS, konsol menggunakan cookie untuk mengarahkan pengguna ke halaman masuk akun.

  Keluar dari konsol saat Anda menyelesaikan sesi untuk mencegah penggunaan kembali login sebelumnya.
+ Pengguna IAM Identity Center masuk menggunakan portal AWS akses khusus yang unik untuk organisasi mereka. Setelah mereka masuk, mereka dapat memilih akun atau aplikasi mana yang akan diakses. Jika mereka memilih untuk mengakses akun, mereka memilih set izin yang ingin mereka gunakan untuk sesi manajemen. 
+ Prinsipal federasi OIDC dan SALL dikelola di penyedia identitas eksternal yang ditautkan ke Akun AWS login menggunakan portal akses perusahaan khusus. Sumber AWS daya yang tersedia bagi pengguna tergantung pada kebijakan yang dipilih oleh organisasi mereka.

**catatan**  
Untuk memberikan tingkat keamanan tambahan, pengguna root, pengguna IAM, dan pengguna di IAM Identity Center dapat memiliki otentikasi multi-faktor (MFA) yang AWS diverifikasi sebelum memberikan akses ke sumber daya. AWS Ketika MFA diaktifkan, Anda juga harus memiliki akses ke perangkat MFA untuk masuk.

Untuk mempelajari lebih lanjut tentang cara pengguna yang berbeda masuk ke konsol manajemen, lihat [Masuk ke Konsol AWS Manajemen](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html) di *Panduan Pengguna AWS Masuk*.

## AWS Alat Baris Perintah
<a name="management-method-cli"></a>

Anda dapat menggunakan alat baris AWS perintah untuk mengeluarkan perintah di baris perintah sistem Anda untuk melakukan IAM dan AWS tugas. Menggunakan baris perintah dapat lebih cepat dan lebih nyaman dibandingkan konsol. Alat baris perintah juga berguna jika Anda ingin membangun skrip yang melakukan AWS tugas.

AWS menyediakan dua set alat baris perintah: [AWS Command Line Interface](https://aws.amazon.com/cli/)(AWS CLI) dan [AWS Tools for Windows PowerShell](https://aws.amazon.com/powershell/). Untuk informasi tentang menginstal dan menggunakan AWS CLI, lihat [Panduan AWS Command Line Interface Pengguna](https://docs.aws.amazon.com/cli/latest/userguide/). Untuk informasi tentang menginstal dan menggunakan Alat untuk Windows PowerShell, lihat [Panduan Alat AWS untuk PowerShell Pengguna](https://docs.aws.amazon.com/powershell/latest/userguide/).

Setelah masuk ke konsol, Anda dapat menggunakan AWS CloudShell dari browser untuk menjalankan perintah CLI atau SDK. Izin untuk mengakses AWS sumber daya didasarkan pada kredenal yang Anda gunakan untuk masuk ke konsol. Tergantung pada pengalaman Anda, Anda mungkin menemukan CLI menjadi metode yang lebih efisien untuk mengelola Anda. Akun AWS Untuk informasi selengkapnya, lihat [Gunakan AWS CloudShell untuk bekerja dengan AWS Identity and Access Management](using-aws-with-cloudshell.md)

### AWS Antarmuka Baris Perintah (CLI) dan Kit Pengembangan Perangkat Lunak () SDKs
<a name="management-method-cli-sdk"></a>

Pengguna IAM Identity Center dan IAM menggunakan metode yang berbeda untuk mengautentikasi kredensialnya ketika mereka mengautentikasi melalui CLI atau antarmuka aplikasi () yang terkait. APIs SDKs 

Kredensi dan pengaturan konfigurasi terletak di beberapa tempat, seperti variabel sistem atau lingkungan pengguna, file AWS konfigurasi lokal, atau secara eksplisit dideklarasikan pada baris perintah sebagai parameter. Lokasi tertentu lebih diutamakan daripada yang lain.

Baik IAM Identity Center dan IAM menyediakan kunci akses yang dapat digunakan dengan CLI atau SDK. Kunci akses Pusat Identitas IAM adalah kredensi sementara yang dapat disegarkan secara otomatis dan direkomendasikan melalui kunci akses jangka panjang yang terkait dengan pengguna IAM.

Untuk mengelola Anda Akun AWS menggunakan CLI atau SDK Anda dapat menggunakan AWS CloudShell dari browser Anda. Jika Anda menggunakan CloudShell untuk menjalankan perintah CLI atau SDK, Anda harus terlebih dahulu masuk ke konsol. Izin untuk mengakses AWS sumber daya didasarkan pada kredenal yang Anda gunakan untuk masuk ke konsol. Tergantung pada pengalaman Anda, Anda mungkin menemukan CLI menjadi metode yang lebih efisien untuk mengelola Anda. Akun AWS

Untuk pengembangan aplikasi, Anda dapat mengunduh CLI atau SDK ke komputer Anda dan masuk dari prompt perintah atau jendela Docker. Dalam skenario ini, Anda mengonfigurasi otentikasi dan mengakses kredensil sebagai bagian dari skrip CLI atau aplikasi SDK. Anda dapat mengonfigurasi akses terprogram ke sumber daya dengan cara yang berbeda, tergantung pada lingkungan dan akses yang tersedia untuk Anda. 
+ Opsi yang disarankan untuk mengautentikasi kode lokal dengan AWS layanan adalah IAM Identity Center dan IAM Roles Anywhere
+ Opsi yang disarankan untuk mengautentikasi kode yang berjalan dalam AWS lingkungan adalah dengan menggunakan peran IAM atau menggunakan kredensil Pusat Identitas IAM.

Saat masuk menggunakan portal AWS akses, Anda bisa mendapatkan kredensi jangka pendek dari halaman awal tempat Anda memilih set izin. Kredensi ini memiliki durasi yang ditentukan dan tidak disegarkan secara otomatis. Jika Anda ingin menggunakan kredensil ini, setelah masuk ke AWS portal, pilih Akun AWS dan kemudian pilih set izin. Pilih **Baris perintah atau akses terprogram** untuk melihat opsi yang dapat Anda gunakan untuk mengakses AWS sumber daya secara terprogram atau dari CLI. Untuk informasi selengkapnya tentang metode ini, lihat [Mendapatkan dan menyegarkan kredensi sementara di Panduan Pengguna Pusat](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtogetcredentials.html#how-to-get-temp-credentials) *Identitas IAM*. Kredensi ini sering digunakan selama pengembangan aplikasi untuk menguji kode dengan cepat.

Sebaiknya gunakan kredensil IAM Identity Center yang secara otomatis menyegarkan saat mengotomatiskan akses ke sumber daya Anda. AWS Jika Anda telah mengonfigurasi pengguna dan set izin di IAM Identity Center, Anda menggunakan `aws configure sso` perintah untuk menggunakan wizard baris perintah yang akan membantu Anda mengidentifikasi kredensi yang tersedia untuk Anda dan menyimpannya di profil. Untuk informasi selengkapnya tentang mengonfigurasi profil Anda, lihat [Mengkonfigurasi profil Anda dengan `aws configure sso` wizard](https://docs.aws.amazon.com/cli/latest/userguide/sso-configure-profile-token.html#sso-configure-profile-token-auto-sso) di *Panduan Pengguna Antarmuka Baris AWS Perintah untuk Versi 2*.

**catatan**  
Banyak contoh aplikasi menggunakan kunci akses jangka panjang yang terkait dengan pengguna IAM atau pengguna root. Anda hanya boleh menggunakan kredensil jangka panjang dalam lingkungan kotak pasir sebagai bagian dari latihan pembelajaran. Tinjau [alternatif untuk kunci akses jangka panjang](security-creds-programmatic-access.md#security-creds-alternatives-to-long-term-access-keys) dan rencanakan untuk mentransisikan kode Anda untuk menggunakan kredensi alternatif, seperti kredensi Pusat Identitas IAM atau peran IAM, sesegera mungkin. Setelah mentransisikan kode Anda, hapus kunci akses. 

*Untuk mempelajari lebih lanjut tentang mengonfigurasi CLI, [lihat Menginstal atau memperbarui versi terbaru AWS CLI di](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) *Panduan Pengguna Antarmuka Baris Perintah untuk Versi 2 [dan Otentikasi dan akses](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-authentication.html) kredensional di AWS Panduan Pengguna Antarmuka Baris* Perintah AWS *

*Untuk mempelajari lebih lanjut tentang mengonfigurasi SDK, lihat [Autentikasi Pusat Identitas IAM](https://docs.aws.amazon.com/sdkref/latest/guide/access-sso.html) di *Panduan Referensi Alat AWS SDKs dan [Peran IAM Di Mana Saja](https://docs.aws.amazon.com/sdkref/latest/guide/access-rolesanywhere.html) di Panduan Referensi Alat* dan Alat.AWS SDKs *

## Gunakan AWS SDKs
<a name="intro-managing-iam-section-2"></a>

AWS menyediakan SDKs (kit pengembangan perangkat lunak) yang terdiri dari pustaka dan kode sampel untuk berbagai bahasa dan platform pemrograman (Java, Python, Ruby, .NET, iOS, Android, dll.). SDKs Menyediakan cara mudah untuk membuat akses terprogram ke IAM dan. AWS Misalnya, SDKs mengurus tugas-tugas seperti menandatangani permintaan secara kriptografis, mengelola kesalahan, dan mencoba ulang permintaan secara otomatis. Untuk informasi tentang AWS SDKs, termasuk cara mengunduh dan menginstalnya, lihat halaman [Alat untuk Amazon Web Services](https://aws.amazon.com/tools/).

## Gunakan API Kueri IAM
<a name="intro-managing-iam-section-3"></a>

Anda dapat mengakses IAM dan AWS secara terprogram menggunakan IAM Query API, yang memungkinkan Anda mengeluarkan permintaan HTTPS langsung ke layanan. Saat Anda menggunakan Query API, Anda harus menyertakan kode untuk menandatangani permintaan secara digital menggunakan kredensi Anda. Untuk informasi lebih lanjut, lihat [Memanggil API IAM menggunakan permintaan kueri HTTP](programming.md) dan [Referensi IAM API](https://docs.aws.amazon.com/IAM/latest/APIReference/).

# Cara kerja IAM
<a name="intro-structure"></a>

AWS Identity and Access Management menyediakan infrastruktur yang diperlukan untuk mengontrol otentikasi dan otorisasi untuk Anda. Akun AWS

Pertama, pengguna yang berupa manusia atau aplikasi menggunakan kredensial masuk mereka untuk mengautentikasi AWS. IAM mencocokkan kredensi masuk dengan prinsipal (pengguna IAM, prinsipal pengguna AWS STS federasi, peran IAM, atau aplikasi) yang dipercaya oleh dan mengautentikasi izin untuk mengakses. Akun AWS AWS

Selanjutnya, IAM membuat permintaan untuk memberikan akses utama ke sumber daya. IAM memberikan atau menolak akses sebagai tanggapan atas permintaan otorisasi. Misalnya, saat pertama kali masuk ke konsol dan berada di halaman Beranda konsol, Anda tidak mengakses layanan tertentu. Ketika Anda memilih layanan, Anda mengirim permintaan otorisasi ke IAM untuk layanan tersebut. IAM memverifikasi bahwa identitas Anda ada dalam daftar pengguna yang berwenang, menentukan kebijakan apa yang mengontrol tingkat akses yang diberikan, dan mengevaluasi kebijakan lain yang mungkin berlaku. Prinsipal di dalam Anda Akun AWS atau dari orang lain Akun AWS yang Anda percayai dapat membuat permintaan otorisasi.

Setelah diotorisasi, kepala sekolah dapat melakukan tindakan atau operasi pada sumber daya di Anda Akun AWS. Misalnya, prinsipal dapat meluncurkan Amazon Elastic Compute Cloud instance baru, memodifikasi keanggotaan grup IAM, atau menghapus Amazon Simple Storage Service bucket. Diagram berikut menggambarkan proses ini melalui infrastruktur IAM:

![\[Diagram ini menunjukkan bagaimana prinsipal diautentikasi dan diberi wewenang oleh layanan IAM untuk melakukan tindakan atau operasi pada AWS layanan atau sumber daya lain.\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/intro-diagram _policies_800.png)


## Komponen permintaan
<a name="intro-structure-request"></a>

Ketika seorang prinsipal mencoba menggunakan Konsol Manajemen AWS, AWS API, atau AWS CLI, prinsipal tersebut mengirimkan *permintaan* ke AWS. Permintaan tersebut mencakup informasi berikut:
+ **Tindakan atau operasi** — Tindakan atau operasi yang ingin dilakukan oleh prinsipal, seperti tindakan dalam Konsol Manajemen AWS, atau operasi di AWS API AWS CLI atau.
+ **Resources** — Objek AWS sumber daya di mana prinsipal meminta untuk melakukan tindakan atau operasi.
+ **Penanggung jawab** – Orang atau aplikasi yang menggunakan entitas (pengguna atau peran) untuk mengirim permintaan. Informasi tentang kepala sekolah termasuk kebijakan izin. 
+ **Data lingkungan** — Informasi tentang alamat IP, agen pengguna, status yang diaktifkan SSL, dan stempel waktu.
+ **Data sumber daya** — Data yang terkait dengan sumber daya yang diminta, seperti nama tabel DynamoDB atau tag pada instans Amazon EC2.

AWS mengumpulkan informasi permintaan ke dalam *konteks permintaan*, yang IAM evaluasi untuk mengotorisasi permintaan.

## Bagaimana prinsipal diautentikasi
<a name="intro-structure-authentication"></a>

Seorang kepala sekolah masuk untuk AWS menggunakan kredensialnya yang diautentikasi IAM untuk mengizinkan kepala sekolah mengirim permintaan. AWS Beberapa layanan, seperti Amazon S3 dan AWS STS, memungkinkan permintaan khusus dari pengguna anonim. Namun, mereka adalah pengecualian dari aturan tersebut. Setiap jenis pengguna melewati otentikasi.
+ **Pengguna root** - Kredensyal masuk Anda yang digunakan untuk otentikasi adalah alamat email yang Anda gunakan untuk membuat Akun AWS dan kata sandi yang Anda tentukan pada saat itu. 
+ **Prinsipal Federasi** — Penyedia identitas Anda mengautentikasi Anda dan meneruskan kredensyal Anda ke AWS, Anda tidak perlu masuk langsung ke. AWS Baik IAM Identity Center dan IAM mendukung federasi identitas.
+ **Pengguna di Direktori Pusat Identitas AWS IAM** *(tidak terfederasi)* - Pengguna yang dibuat langsung di direktori default IAM Identity Center masuk menggunakan portal AWS akses dan memberikan nama pengguna dan kata sandi Anda. 
+ **Pengguna IAM** — Anda masuk dengan memberikan ID akun atau alias, nama pengguna, dan kata sandi Anda. Untuk mengautentikasi beban kerja dari API atau AWS CLI, Anda dapat menggunakan kredensyal sementara dengan mengasumsikan peran atau Anda mungkin menggunakan kredensyal jangka panjang dengan menyediakan kunci akses dan kunci rahasia Anda.

  Untuk mempelajari lebih lanjut tentang entitas IAM, lihat [Pengguna IAM:](id_users.md) dan[Peran IAM](id_roles.md).

AWS merekomendasikan agar Anda menggunakan otentikasi multi-faktor (MFA) dengan semua pengguna untuk meningkatkan keamanan akun Anda. Untuk mempelajari lebih lanjut tentang MFA, lihat. [AWS Otentikasi multi-faktor di IAM](id_credentials_mfa.md) 

## Dasar-dasar kebijakan otorisasi dan izin
<a name="intro-structure-authorization"></a>

Otorisasi mengacu pada prinsipal yang memiliki izin yang diperlukan untuk menyelesaikan permintaan mereka. Selama otorisasi, IAM mengidentifikasi kebijakan yang berlaku untuk permintaan menggunakan nilai dari konteks permintaan. Kemudian menggunakan kebijakan untuk menentukan apakah akan mengizinkan atau menolak permintaan. IAM menyimpan sebagian besar kebijakan izin sebagai [dokumen JSON](access_policies.md#access_policies-json) yang menentukan izin untuk entitas utama. 

Ada [beberapa jenis kebijakan](access_policies.md) yang dapat memengaruhi permintaan otorisasi. Untuk memberi pengguna izin untuk mengakses AWS sumber daya di akun, Anda dapat menggunakan kebijakan berbasis identitas. [Kebijakan berbasis sumber daya dapat memberikan akses lintas akun.](access_permissions-required.md#UserPermissionsAcrossAccounts) Untuk membuat permintaan di akun yang berbeda, kebijakan di akun lain harus memungkinkan Anda mengakses sumber daya *dan* entitas IAM yang Anda gunakan untuk membuat permintaan harus memiliki kebijakan berbasis identitas yang memungkinkan permintaan tersebut.

IAM memeriksa setiap kebijakan yang berlaku untuk konteks permintaan Anda. Evaluasi kebijakan IAM menggunakan penolakan *eksplisit*, yang berarti bahwa jika kebijakan izin tunggal menyertakan tindakan yang ditolak, IAM menolak seluruh permintaan dan berhenti mengevaluasi. Karena permintaan *ditolak secara default*, kebijakan izin yang berlaku harus mengizinkan setiap bagian dari permintaan IAM untuk mengotorisasi permintaan Anda. Logika evaluasi untuk permintaan dalam satu akun mengikuti aturan dasar ini:
+ Secara default, semua permintaan ditolak. (Secara umum, permintaan yang dibuat menggunakan kredensial Pengguna root akun AWS untuk sumber daya di akun selalu diperbolehkan.) 
+ Izin eksplisit dalam kebijakan izin apa pun (berbasis identitas atau berbasis sumber daya) menggantikan pengaturan bawaan ini.
+ Adanya kebijakan kontrol AWS Organizations layanan (SCP) atau kebijakan kontrol sumber daya (RCP), batas izin IAM, atau kebijakan sesi mengesampingkan izin. Jika ada satu atau lebih jenis kebijakan ini, maka semuanya harus mengizinkan permintaan tersebut. Kalau tidak, itu secara implisit ditolak. Untuk informasi selengkapnya tentang SCPs dan RCPs, lihat [Kebijakan otorisasi AWS Organizations di](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_authorization_policies.html) *Panduan AWS Organizations Pengguna*.
+ Penolakan eksplisit dalam kebijakan apa pun mengesampingkan izin apa pun dalam kebijakan apa pun.

Untuk mempelajari selengkapnya, lihat [Logika evaluasi kebijakan](reference_policies_evaluation-logic.md). <a name="intro-structure-actions"></a>

Setelah IAM mengotentikasi dan mengotorisasi kepala sekolah, IAM menyetujui tindakan atau operasi dalam permintaan mereka dengan mengevaluasi kebijakan izin yang berlaku untuk kepala sekolah. Setiap AWS layanan mendefinisikan tindakan (operasi) yang mereka dukung, dan menyertakan hal-hal yang dapat Anda lakukan untuk sumber daya, seperti melihat, membuat, mengedit, dan menghapus sumber daya tersebut. Kebijakan izin yang berlaku untuk kepala sekolah harus mencakup tindakan yang diperlukan untuk melakukan operasi. Untuk mempelajari selengkapnya tentang cara IAM mengevaluasi kebijakan izin, lihat. [Logika evaluasi kebijakan](reference_policies_evaluation-logic.md)

Layanan mendefinisikan serangkaian tindakan yang dapat dilakukan oleh prinsipal pada setiap sumber daya. Saat membuat kebijakan izin, pastikan untuk menyertakan tindakan yang Anda ingin pengguna dapat lakukan. Misalnya, IAM mendukung lebih dari 40 tindakan untuk sumber daya pengguna, termasuk tindakan dasar berikut:
+ `CreateUser`
+ `DeleteUser`
+ `GetUser`
+ `UpdateUser`

Selain itu, Anda dapat menentukan kondisi dalam kebijakan izin yang menyediakan akses ke sumber daya saat permintaan memenuhi ketentuan yang ditentukan. Misalnya, Anda mungkin ingin pernyataan kebijakan berlaku setelah tanggal tertentu atau mengontrol akses saat nilai tertentu muncul di API. Untuk menentukan kondisi, Anda menggunakan [`Condition`](reference_policies_elements_condition_operators.md)elemen pernyataan kebijakan. 

Setelah IAM menyetujui operasi dalam permintaan, kepala sekolah dapat bekerja dengan sumber daya terkait di akun Anda. Sumber daya adalah objek yang ada di dalam layanan. Contohnya meliputi instans Amazon EC2, pengguna IAM, dan bucket Amazon S3. Jika prinsipal membuat permintaan untuk melakukan tindakan pada sumber daya yang tidak disertakan dalam kebijakan izin, layanan menolak permintaan tersebut. Misalnya, jika Anda memiliki izin untuk menghapus peran IAM tetapi meminta untuk menghapus grup IAM, permintaan gagal jika Anda tidak memiliki izin untuk menghapus grup IAM. Untuk mempelajari selengkapnya tentang tindakan, sumber daya, dan kunci kondisi yang didukung berbagai AWS layanan, lihat [Tindakan, Sumber Daya, dan Kunci Kondisi untuk AWS Layanan](reference_policies_actions-resources-contextkeys.html).

# Bandingkan identitas dan kredensi IAM
<a name="introduction_identity-management"></a>

Identitas yang dikelola AWS Identity and Access Management adalah pengguna IAM, peran IAM, dan grup IAM. Identitas ini merupakan tambahan dari pengguna root Anda yang AWS dibuat bersama dengan Anda Akun AWS.

Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari, bahkan tugas administratif. Sebagai gantinya, berikan pengguna tambahan dan beri mereka izin yang diperlukan untuk melakukan tugas yang diperlukan. Anda dapat menambahkan pengguna baik dengan menambahkan orang ke direktori Pusat Identitas IAM Anda, menggabungkan penyedia identitas eksternal dengan Pusat Identitas IAM atau IAM atau membuat pengguna IAM dengan hak istimewa paling sedikit.

Untuk keamanan tambahan, kami sarankan untuk memusatkan akses root untuk membantu Anda mengamankan kredensyal pengguna root secara terpusat dari penggunaan yang Anda kelola. Akun AWS AWS Organizations[Kelola akses root untuk akun anggota secara terpusat](id_root-user.md#id_root-user-access-management)memungkinkan Anda menghapus dan mencegah pemulihan kredensi pengguna root jangka panjang secara terpusat, mencegah akses root yang tidak diinginkan dalam skala besar. Setelah Anda mengaktifkan akses root terpusat, Anda dapat mengasumsikan sesi istimewa untuk melakukan tindakan pada akun anggota.

Setelah menyiapkan pengguna, Anda dapat memberikan akses ke orang tertentu dan memberi mereka izin untuk mengakses sumber daya. Akun AWS 

Sebagai [praktik terbaik](best-practices.md), AWS merekomendasikan agar Anda meminta pengguna manusia untuk mengambil peran IAM untuk mengakses AWS sehingga mereka menggunakan kredensyal sementara. Jika Anda mengelola identitas di direktori Pusat Identitas IAM atau menggunakan federasi dengan penyedia identitas, Anda mengikuti praktik terbaik.

## Ketentuan
<a name="intro-structure-terms"></a>

Istilah-istilah ini biasanya digunakan saat bekerja dengan identitas IAM:

**Sumber Daya IAM**  
Layanan IAM menyimpan sumber daya ini. Anda dapat menambahkan, mengedit, dan menghapusnya dari Konsol.  
+ Pengguna IAM
+ Grup IAM
+ IAM Role
+ Kebijakan izin
+ Objek penyedia identitas

**Entitas IAM**  
Sumber daya IAM yang AWS digunakan untuk otentikasi. Tentukan entitas sebagai Principal dalam kebijakan berbasis sumber daya.   
+ Pengguna IAM
+ IAM Role

**Identitas IAM**  
Sumber daya IAM yang diizinkan dalam kebijakan untuk melakukan tindakan dan mengakses sumber daya. Identitas termasuk pengguna IAM, grup IAM, dan peran IAM.   
  

![\[Diagram ini menunjukkan bahwa pengguna IAM dan peran IAM adalah prinsip yang juga entitas dan identitas, tetapi pengguna root adalah prinsipal yang bukan entitas atau identitas. Diagram juga memberi tahu Anda bahwa grup IAM adalah identitas. Autentikasi IAM mengontrol akses identitas menggunakan kebijakan, tetapi pengguna root memiliki akses AWS sumber daya penuh dan tidak dapat dibatasi oleh identitas atau kebijakan IAM berbasis sumber daya.\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/iam-terms-2.png)


**Kepala Sekolah**  
Seorang Pengguna root akun AWS, pengguna IAM atau peran IAM yang dapat membuat permintaan untuk tindakan atau operasi pada sumber daya. AWS Prinsipal termasuk pengguna manusia, beban kerja, kepala sekolah federasi, dan peran yang diasumsikan. Setelah otentikasi, IAM memberikan kredensi permanen atau sementara kepada prinsipal untuk mengajukan permintaan AWS, tergantung pada jenis prinsipnya.   
*Pengguna manusia* juga dikenal sebagai *identitas manusia*, seperti orang, administrator, pengembang, operator, dan konsumen aplikasi Anda.  
*Beban kerja* adalah kumpulan sumber daya dan kode yang memberikan nilai bisnis, seperti aplikasi, proses, alat operasional, dan komponen lainnya.  
*Prinsip federasi adalah pengguna yang identitas dan kredensialnya dikelola oleh penyedia identitas lain, seperti Active Directory, Okta, atau Microsoft Entra*.  
*Peran IAM* adalah identitas IAM yang dapat Anda buat di akun Anda yang memiliki izin khusus yang menentukan apa yang dapat dan tidak dapat dilakukan oleh identitas tersebut. Namun, alih-alih secara unik terkait dengan satu orang, peran dimaksudkan untuk menjadi dapat diambil oleh siapa pun yang membutuhkannya.  
IAM memberikan kredensyal jangka panjang kepada pengguna IAM dan pengguna root serta kredensyal sementara peran IAM. pengguna di Pusat Identitas AWS IAM, Kepala sekolah federasi OIDC dan SAMP mengambil peran IAM ketika mereka masuk, yang memberi mereka kredensyal sementara. AWS Sebagai [praktik terbaik](best-practices.md), kami menyarankan Anda meminta pengguna manusia dan beban kerja untuk mengakses AWS sumber daya menggunakan kredensyal sementara.

## Perbedaan antara pengguna IAM dan pengguna di IAM Identity Center
<a name="intro-identity-users"></a>

 **Pengguna IAM** bukan akun terpisah; mereka adalah pengguna individu dalam akun Anda. Setiap pengguna memiliki kata sandi mereka sendiri untuk akses ke file Konsol Manajemen AWS. Anda juga dapat membuat access key individu untuk setiap pengguna sehingga pengguna dapat membuat permintaan terprogram untuk bekerja dengan sumber daya di akun Anda.

Pengguna IAM dan kunci akses mereka memiliki kredensi jangka panjang untuk sumber daya Anda. AWS Penggunaan utama bagi pengguna IAM adalah untuk memberikan beban kerja yang tidak dapat menggunakan peran IAM kemampuan untuk membuat permintaan terprogram ke AWS layanan menggunakan API atau CLI. 

**catatan**  
Untuk skenario di mana Anda memerlukan pengguna IAM dengan akses terprogram dan kredensyal jangka panjang, kami sarankan Anda memperbarui kunci akses bila diperlukan. Untuk informasi selengkapnya, lihat [Perbarui kunci akses](id-credentials-access-keys-update.md).

Identitas tenaga kerja (orang **pengguna di Pusat Identitas AWS IAM**) memiliki kebutuhan izin yang berbeda tergantung pada peran yang mereka lakukan dan dapat bekerja di Akun AWS berbagai organisasi. Jika Anda memiliki kasus penggunaan yang memerlukan kunci akses, Anda dapat mendukung kasus penggunaan tersebut pengguna di Pusat Identitas AWS IAM. Orang yang masuk melalui portal AWS akses dapat memperoleh kunci akses dengan kredensyal jangka pendek ke sumber daya Anda. AWS Untuk manajemen akses terpusat, kami sarankan Anda menggunakan [AWS IAM Identity Center (IAM Identity Center)](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) untuk mengelola akses ke akun Anda dan izin dalam akun tersebut. Pusat Identitas IAM secara otomatis dikonfigurasi dengan direktori Pusat Identitas sebagai sumber identitas default tempat Anda dapat menambahkan orang dan grup, dan menetapkan tingkat akses mereka ke sumber daya Anda AWS . Untuk informasi selengkapnya, lihat [Apa itu AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dalam * Panduan Pengguna AWS IAM Identity Center *.

Perbedaan utama antara kedua jenis pengguna ini adalah bahwa pengguna di IAM Identity Center secara otomatis mengambil peran IAM ketika mereka masuk AWS sebelum mereka mengakses konsol manajemen atau sumber daya. AWS Peran IAM memberikan kredensi sementara setiap kali pengguna masuk. AWS Agar pengguna IAM dapat masuk menggunakan peran IAM, mereka harus memiliki izin untuk mengambil dan beralih peran dan mereka harus secara eksplisit memilih untuk beralih ke peran yang ingin mereka ambil setelah mengakses akun. AWS 

## Pengguna federasi dari sumber identitas yang ada
<a name="intro-identity-federation"></a>

Jika pengguna di organisasi Anda sudah diautentikasi saat mereka masuk ke jaringan perusahaan Anda, Anda tidak perlu membuat pengguna IAM atau pengguna terpisah di Pusat Identitas IAM untuk mereka. Sebagai gantinya, Anda dapat *menggabungkan* identitas pengguna tersebut ke dalam AWS menggunakan IAM atau. AWS IAM Identity Center Prinsipal federasi OIDC dan SAMP mengambil peran IAM yang memberi mereka izin untuk mengakses sumber daya tertentu. Untuk informasi lebih lanjut tentang peran, lihat [Istilah dan konsep peran](id_roles.md#id_roles_terms-and-concepts).

![\[Diagram ini menunjukkan bagaimana kepala sekolah federasi bisa mendapatkan kredensyal AWS keamanan sementara untuk mengakses sumber daya di Anda. Akun AWS\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/iam-intro-federation.diagram.png)


Federasi berguna dalam kasus ini: 
+ **Pengguna Anda sudah ada di direktori perusahaan.** 

  Jika direktori perusahaan Anda kompatibel dengan Security Assertion Markup Language 2.0 (SAMP 2.0), Anda dapat mengonfigurasi direktori perusahaan Anda untuk menyediakan akses single-sign on (SSO) ke untuk pengguna Anda. Konsol Manajemen AWS Untuk informasi selengkapnya, lihat [Skenario umum untuk kredensial sementara](id_credentials_temp.md#sts-introduction). 

  Jika direktori perusahaan Anda tidak kompatibel dengan SAMP 2.0, Anda dapat membuat aplikasi broker identitas untuk menyediakan akses single-sign on (SSO) ke untuk pengguna Anda. Konsol Manajemen AWS Untuk informasi selengkapnya, lihat [Aktifkan akses broker identitas khusus ke AWS konsol](id_roles_providers_enable-console-custom-url.md). 

  Jika direktori perusahaan Anda adalah Microsoft Active Directory, Anda dapat menggunakan AWS IAM Identity Center untuk menghubungkan direktori yang dikelola sendiri di Active Directory atau direktori [AWS Directory Service](https://aws.amazon.com/directoryservice/)untuk membangun kepercayaan antara direktori perusahaan Anda dan direktori Anda Akun AWS. 

  Jika Anda menggunakan penyedia identitas eksternal (iDP) seperti Okta atau Microsoft Entra untuk mengelola pengguna, Anda dapat menggunakan AWS IAM Identity Center untuk membangun kepercayaan antara IDP Anda dan Anda. Akun AWS Untuk informasi selengkapnya, lihat [Connect ke penyedia identitas eksternal](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html) di *Panduan AWS IAM Identity Center Pengguna*.
+ **Pengguna Anda sudah memiliki identitas Internet.**

  Jika Anda membuat aplikasi seluler atau aplikasi berbasis web yang memungkinkan pengguna mengidentifikasi diri mereka melalui penyedia identitas Internet seperti Login with Amazon, Facebook, Google, atau penyedia identitas apa pun yang kompatibel dengan OpenID Connect (OIDC), aplikasi dapat menggunakan federasi untuk mengakses AWS. Untuk informasi selengkapnya, lihat [Federasi OIDC](id_roles_providers_oidc.md). 
**Tip**  
Untuk menggunakan federasi identitas dengan penyedia identitas Internet, kami sarankan Anda menggunakan [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/what-is-amazon-cognito.html).

## Metode berbeda untuk menyediakan akses pengguna
<a name="AccessControlMethods"></a>

Berikut adalah cara Anda dapat menyediakan akses ke AWS sumber daya Anda.


****  

| Jenis akses pengguna | Kapan itu digunakan? | Dimana informasi lebih lanjut? | 
| --- | --- | --- | 
|  Akses masuk tunggal untuk orang-orang, seperti pengguna tenaga kerja Anda, ke AWS sumber daya yang menggunakan IAM Identity Center  |  IAM Identity Center menyediakan tempat sentral yang menyatukan administrasi pengguna dan akses mereka ke Akun AWS dan aplikasi cloud. Anda dapat mengatur penyimpanan identitas dalam IAM Identity Center atau Anda dapat mengonfigurasi federasi dengan penyedia identitas yang ada (iDP). Praktik terbaik keamanan merekomendasikan pemberian kredensyal terbatas kepada pengguna manusia Anda ke sumber daya. AWS  Orang-orang memiliki pengalaman masuk yang lebih mudah dan Anda mempertahankan kendali atas akses mereka ke sumber daya dari satu sistem. IAM Identity Center mendukung otentikasi multi-faktor (MFA) untuk keamanan akun tambahan.  |  Untuk informasi selengkapnya tentang menyiapkan Pusat Identitas IAM, lihat [Memulai](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) di *AWS IAM Identity Center Panduan Pengguna* *Untuk informasi selengkapnya tentang penggunaan MFA di Pusat Identitas IAM, lihat [Autentikasi multi-faktor](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-mfa.html) di Panduan Pengguna AWS IAM Identity Center *  | 
| Akses gabungan untuk pengguna manusia, seperti pengguna tenaga kerja Anda, ke AWS layanan yang menggunakan penyedia identitas IAM () IdPs | Dukungan IAM IdPs yang kompatibel dengan OpenID Connect (OIDC) atau SAMP 2.0 (Security Assertion Markup Language 2.0). Setelah Anda membuat penyedia identitas IAM, buat satu atau beberapa peran IAM yang dapat ditetapkan secara dinamis ke prinsipal federasi. | Untuk informasi lebih lanjut tentang penyedia identitas dan federasi IAM, lihat[Penyedia identitas dan federasi ke AWS](id_roles_providers.md). | 
|  Akses lintas akun antara Akun AWS  |  Anda ingin berbagi akses ke AWS sumber daya tertentu dengan pengguna lain Akun AWS. Peran adalah cara utama untuk memberikan akses lintas akun. Namun, beberapa AWS layanan mendukung kebijakan berbasis sumber daya yang memungkinkan Anda melampirkan kebijakan secara langsung ke sumber daya (alih-alih menggunakan peran sebagai proxy).   | Untuk informasi selengkapnya tentang peran IAM, lihat[Peran IAM](id_roles.md). Untuk mengetahui informasi selengkapnya tentang peran terkait layanan, lihat [Buat peran tertaut layanan](id_roles_create-service-linked-role.md). Untuk informasi tentang layanan mana yang mendukung penggunaan peran terkait layanan, lihat. [AWS layanan yang bekerja dengan IAM](reference_aws-services-that-work-with-iam.md) Temukan layanan yang memiliki **Ya di kolom** **Peran Tertaut Layanan**. Untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut, pilih tautan yang terkait dengan **Ya di kolom** tersebut.  | 
|  Kredensi jangka panjang untuk pengguna IAM yang ditunjuk di Akun AWS  |  Anda mungkin memiliki kasus penggunaan khusus yang memerlukan kredensyal jangka panjang dengan pengguna IAM di. AWS Anda dapat menggunakan IAM untuk membuat pengguna IAM ini di Anda Akun AWS, dan menggunakan IAM untuk mengelola izin mereka. Beberapa kasus penggunaan meliputi yang berikut: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/introduction_identity-management.html) Sebagai [praktik terbaik](best-practices.md) dalam skenario di mana Anda memerlukan pengguna IAM dengan [akses terprogram dan kredensyal jangka panjang](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html), kami sarankan Anda memperbarui kunci akses saat diperlukan. Untuk informasi selengkapnya, lihat [Perbarui kunci akses](id-credentials-access-keys-update.md).  | Untuk informasi selengkapnya tentang menyiapkan pengguna IAM, lihat[Buat pengguna IAM di Akun AWS](id_users_create.md). Untuk informasi selengkapnya tentang kunci akses pengguna IAM, lihat[Kelola access key untuk pengguna IAM](id_credentials_access-keys.md). Untuk informasi selengkapnya tentang kredensyal khusus layanan untuk atau AWS CodeCommit Amazon Keyspaces, lihat dan. [Kredensi IAM untuk: Kredensi CodeCommit Git, kunci SSH, dan kunci akses AWS](id_credentials_ssh-keys.md) [Gunakan IAM dengan Amazon Keyspaces (untuk Apache Cassandra)](id_credentials_keyspaces.md)   | 

## Mendukung akses pengguna terprogram
<a name="gs-get-keys"></a>

Pengguna membutuhkan akses terprogram jika mereka ingin berinteraksi dengan AWS luar. Konsol Manajemen AWS Cara untuk memberikan akses terprogram tergantung pada jenis pengguna yang mengakses AWS:
+ Jika Anda mengelola identitas di Pusat Identitas IAM, AWS APIs memerlukan profil, dan AWS Command Line Interface memerlukan profil atau variabel lingkungan.
+ Jika Anda memiliki pengguna IAM, AWS APIs dan AWS Command Line Interface memerlukan kunci akses. Jika memungkinkan, buat kredensial sementara yang terdiri dari ID kunci akses, kunci akses rahasia, dan token keamanan yang menunjukkan masa berlaku kredensial.

Untuk memberi pengguna akses programatis, pilih salah satu opsi berikut.


| Pengguna mana yang membutuhkan akses programatis? | Opsi | Informasi selengkapnya | 
| --- | --- | --- | 
|  Identitas tenaga kerja  (Orang dan pengguna dikelola di Pusat Identitas IAM)  | Gunakan kredensi jangka pendek untuk menandatangani permintaan terprogram ke AWS CLI atau AWS APIs (secara langsung atau dengan menggunakan). AWS SDKs |  *Untuk itu AWS CLI, ikuti petunjuk dalam [Mendapatkan kredensyal peran IAM untuk akses CLI](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtogetcredentials.html) di Panduan Pengguna.AWS IAM Identity Center * Untuk itu AWS APIs, ikuti petunjuk dalam [kredensyal SSO di Panduan Referensi](https://docs.aws.amazon.com//sdkref/latest/guide/feature-sso-credentials.html) Alat *AWS SDKs dan Alat*.  | 
| Pengguna IAM: | Gunakan kredensi jangka pendek untuk menandatangani permintaan terprogram ke AWS CLI atau AWS APIs (secara langsung atau dengan menggunakan). AWS SDKs | Ikuti petunjuk di [Menggunakan kredensial sementara dengan AWS](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_credentials_temp_use-resources.html) sumber daya. | 
| Pengguna IAM: | Gunakan kredensi jangka panjang untuk menandatangani permintaan terprogram ke AWS CLI atau AWS APIs (secara langsung atau dengan menggunakan). AWS SDKs(Tidak direkomendasikan) | Ikuti petunjuk dalam [Mengelola kunci akses untuk pengguna IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_credentials_access-keys.html). | 
| Kepala sekolah federasi | Gunakan operasi AWS STS API untuk membuat sesi baru dengan kredensyal keamanan sementara yang menyertakan access key pair dan session token. | Untuk penjelasan tentang operasi API, lihat [Minta kredensil keamanan sementara](id_credentials_temp_request.md) | 

# Bagaimana izin dan kebijakan menyediakan manajemen akses
<a name="introduction_access-management"></a>

Bagian manajemen akses AWS Identity and Access Management (IAM) membantu Anda menentukan apa yang dapat dilakukan entitas utama dalam akun. Entitas utama adalah orang atau aplikasi yang diautentikasi menggunakan entitas IAM (pengguna IAM atau peran IAM). Manajemen akses sering disebut sebagai *otorisasi*. Anda mengelola akses AWS dengan membuat kebijakan dan melampirkannya ke identitas IAM (pengguna IAM, grup IAM, atau peran IAM) atau sumber daya. AWS Kebijakan adalah objek AWS yang, ketika dikaitkan dengan identitas atau sumber daya, menentukan izinnya. AWS mengevaluasi kebijakan ini ketika prinsipal menggunakan entitas IAM (pengguna IAM atau peran IAM) untuk membuat permintaan. Izin dalam kebijakan menentukan apakah permintaan diizinkan atau ditolak. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang tipe dan penggunaan kebijakan, lihat [Kebijakan dan izin di AWS Identity and Access Management](access_policies.md).

## Kebijakan dan akun
<a name="intro-access-accounts"></a>

Jika Anda mengelola satu akun AWS, maka Anda menentukan izin dalam akun tersebut menggunakan kebijakan. Jika Anda mengelola izin di beberapa akun, akan lebih sulit untuk mengelola izin untuk pengguna IAM Anda. Anda dapat menggunakan peran IAM, kebijakan berbasis sumber daya, atau daftar kontrol akses () ACLs untuk izin lintas akun. Namun, jika Anda memiliki beberapa akun, sebaiknya gunakan AWS Organizations layanan ini untuk membantu Anda mengelola izin tersebut. Untuk informasi lebih lanjut, lihat [Apa itu AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) dalam *AWS Organizations User Guide*.

## Kebijakan dan pengguna
<a name="intro-access-users"></a>

Pengguna IAM adalah identitas di. Akun AWS Saat Anda membuat pengguna IAM, mereka tidak dapat mengakses apa pun di akun Anda hingga Anda memberi izin kepada mereka. Anda memberikan izin kepada pengguna IAM dengan membuat kebijakan berbasis identitas, yang merupakan kebijakan yang dilampirkan pada pengguna IAM atau grup IAM yang menjadi milik pengguna IAM. Contoh berikut menunjukkan kebijakan JSON yang mengizinkan pengguna IAM untuk melakukan semua tindakan Amazon DynamoDB (`dynamodb:*`) pada `Books` tabel di akun dalam Wilayah. `123456789012` `us-east-2`

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": "dynamodb:*",
    "Resource": "arn:aws:dynamodb:us-east-2:123456789012:table/Books"
  }
}
```

------

 Setelah Anda melampirkan kebijakan ini ke pengguna IAM Anda, pengguna memiliki izin untuk melakukan semua tindakan dalam `Books` tabel instance DynamoDB Anda. Sebagian besar pengguna IAM memiliki beberapa kebijakan yang digabungkan untuk mewakili total izin yang diberikan.

Tindakan atau sumber daya yang tidak diizinkan secara eksplisit oleh kebijakan ditolak secara default. Misalnya, jika kebijakan sebelumnya adalah kebijakan tunggal yang dilampirkan ke pengguna, maka pengguna tersebut dapat melakukan tindakan DynamoDB pada `Books` tabel, tetapi tidak dapat melakukan tindakan pada tabel lain. Demikian pula, pengguna tidak diizinkan untuk melakukan tindakan apa pun di Amazon EC2, Amazon S3, atau di layanan AWS lain karena izin untuk bekerja dengan layanan tersebut tidak disertakan dalam kebijakan. 

## Kebijakan dan grup IAM
<a name="intro-access-groups"></a>

Anda dapat mengatur pengguna IAM ke dalam *grup IAM* dan melampirkan kebijakan ke grup IAM. Dalam hal ini, pengguna IAM individu masih memiliki kredensialnya sendiri, tetapi semua pengguna IAM di grup IAM memiliki izin yang dilampirkan ke grup IAM. Gunakan grup IAM untuk pengelolaan izin yang lebih mudah. 

![\[Diagram ini menunjukkan bagaimana pengguna IAM dapat diatur ke dalam grup IAM untuk membuatnya lebih mudah untuk mengelola izin, karena setiap pengguna IAM memiliki izin yang ditetapkan ke grup IAM.\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/iam-intro-users-and-groups.diagram.png)


Pengguna IAM atau grup IAM dapat memiliki beberapa kebijakan yang dilampirkan padanya yang memberikan izin berbeda. Dalam hal ini, kombinasi kebijakan menentukan izin efektif untuk prinsipal. Jika prinsipal tidak memiliki `Allow` izin eksplisit untuk tindakan dan sumber daya, prinsipal tidak memiliki izin tersebut. 

## Sesi dan peran pengguna gabungan
<a name="intro-access-roles"></a>

Prinsipal federasi tidak memiliki identitas permanen seperti yang dilakukan pengguna Akun AWS IAM. Untuk menetapkan izin ke prinsipal federasi, Anda dapat membuat entitas yang disebut *peran dan menentukan izin untuk peran* tersebut. Saat prinsipal federasi SAMl atau OIDC masuk ke AWS, pengguna dikaitkan dengan peran tersebut dan diberikan izin yang ditentukan dalam peran tersebut. Untuk informasi selengkapnya, lihat [Membuat peran untuk penyedia identitas pihak ketiga](id_roles_create_for-idp.md).

## Kebijakan berbasis identitas dan berbasis sumber daya
<a name="intro-access-resource-based-policies"></a>

Kebijakan berbasis identitas adalah kebijakan perizinan yang Anda lampirkan ke identitas IAM, seperti pengguna, grup, atau peran IAM. Kebijakan berbasis sumber daya adalah kebijakan izin yang Anda lampirkan ke sumber daya seperti bucket Amazon S3 atau kebijakan kepercayaan peran IAM.

***Kebijakan berbasis identitas*** mengendalikan tindakan apa yang dapat dilakukan oleh identitas, pada sumber daya mana, dan dengan kondisi apa. Kebijakan berbasis identitas selanjutnya dapat dikategorikan menjadi:
+ **Kebijakan terkelola — Kebijakan** berbasis identitas mandiri yang dapat Anda lampirkan ke beberapa pengguna, grup, dan peran di Anda. Akun AWS Anda dapat menggunakan dua tipe kebijakan terkelola: 
  + **AWS kebijakan terkelola** — Kebijakan terkelola yang dibuat dan dikelola oleh AWS. Jika Anda baru menggunakan kebijakan, kami sarankan Anda memulai dengan menggunakan kebijakan AWS terkelola.
  + **Kebijakan terkelola pelanggan — Kebijakan** terkelola yang Anda buat dan kelola di Anda Akun AWS. Kebijakan yang dikelola pelanggan memberikan kontrol yang lebih tepat atas kebijakan Anda daripada kebijakan yang AWS dikelola. Anda dapat membuat, mengedit, dan memvalidasi kebijakan IAM di editor visual atau dengan membuat dokumen kebijakan JSON secara langsung. Untuk informasi selengkapnya, lihat [Tentukan izin IAM khusus dengan kebijakan terkelola pelanggan](access_policies_create.md) dan [Edit kebijakan IAM](access_policies_manage-edit.md).
+ **Kebijakan inline** – Kebijakan yang Anda buat dan kelola dan yang disematkan secara langsung ke dalam satu pengguna, grup, atau peran. Dalam kebanyakan kasus, kami tidak menyarankan penggunaan kebijakan inline.

***Kebijakan berbasis sumber daya*** mengontrol tindakan apa yang dapat dilakukan oleh prinsipal tertentu pada sumber daya tersebut dan dengan kondisi seperti apa. Kebijakan berbasis sumber daya merupakan kebijakan inline, dan tidak ada kebijakan berbasis sumber daya terkelola. Untuk mengaktifkan akses lintas akun, Anda dapat menentukan seluruh akun atau entitas IAM di akun lain sebagai prinsipal dalam kebijakan berbasis sumber daya. ****

Layanan IAM mendukung satu jenis kebijakan berbasis sumber daya yang disebut *kebijakan kepercayaan* peran, yang Anda lampirkan ke peran IAM. Karena peran IAM adalah identitas dan sumber daya yang mendukung kebijakan berbasis sumber daya, Anda harus melampirkan kebijakan kepercayaan dan kebijakan berbasis identitas ke peran IAM. Kebijakan kepercayaan menentukan entitas utama mana (akun, pengguna, peran, dan prinsip pengguna AWS STS federasi) yang dapat mengambil peran tersebut. Untuk mempelajari bagaimana peran IAM berbeda dengan kebijakan berbasis sumber daya lainnya, lihat [Akses sumber daya lintas akun di IAM](access_policies-cross-account-resource-access.md).

Untuk melihat layanan mana yang mendukung kebijakan berbasis sumber daya, lihat [AWS layanan yang bekerja dengan IAM](reference_aws-services-that-work-with-iam.md). Untuk mempelajari selengkapnya tentang kebijakan berbasis sumber daya, lihat [Kebijakan berbasis identitas dan kebijakan berbasis sumber daya](access_policies_identity-vs-resource.md).

# Tentukan izin berdasarkan atribut dengan otorisasi ABAC
<a name="introduction_attribute-based-access-control"></a>

Attribute-based access control (ABAC) adalah strategi otorisasi yang mendefinisikan izin berdasarkan atribut. AWS memanggil *tag* atribut ini. Anda dapat melampirkan tag ke sumber daya IAM, termasuk entitas IAM (pengguna IAM atau peran IAM) dan ke sumber daya. AWS Anda dapat membuat kebijakan ABAC tunggal atau set kecil kebijakan untuk penanggung jawab IAM Anda. Anda dapat mendesain kebijakan ABAC yang mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Sistem atribut ABAC yang menyediakan konteks pengguna tinggi dan kontrol akses granular. Karena ABAC berbasis atribut, ABAC dapat melakukan otorisasi dinamis untuk data atau aplikasi yang memberikan atau mencabut akses secara real time. ABAC membantu dalam lingkungan yang skala dan dalam situasi di mana identitas atau manajemen kebijakan sumber daya telah menjadi kompleks.

Misalnya, Anda dapat membuat tiga peran IAM dengan kunci `access-project` tag. Tetapkan nilai tag dari peran IAM pertama ke`Heart`, yang kedua ke`Star`, dan yang ketiga ke`Lightning`. Anda kemudian dapat menggunakan kebijakan tunggal yang memungkinkan akses ketika peran IAM dan AWS sumber daya memiliki nilai `access-project` tag. Untuk tutorial terperinci yang menunjukkan cara menggunakan ABAC di AWS, lihat [Tutorial IAM: Tentukan izin untuk mengakses AWS sumber daya berdasarkan tag](tutorial_attribute-based-access-control.md). Untuk mempelajari tentang layanan yang mendukung ABAC, lihat[AWS layanan yang bekerja dengan IAM](reference_aws-services-that-work-with-iam.md).

![\[Diagram ini menggambarkan bahwa tag yang diterapkan pada prinsipal harus cocok dengan tag yang diterapkan ke sumber daya agar pengguna diberikan izin ke sumber daya. Tag diterapkan ke grup IAM, grup sumber daya, pengguna individu, dan sumber daya individu.\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/tutorial-abac-concept-23.png)


## Perbandingan ABAC dengan model RBAC tradisional
<a name="introduction_attribute-based-access-control_compare-rbac"></a>

Model otorisasi tradisional yang digunakan dalam IAM adalah kontrol akses berbasis peran (RBAC). RBAC mendefinisikan izin berdasarkan fungsi pekerjaan seseorang, atau *peran, yang berbeda dari peran* IAM. IAM mencakup [kebijakan terkelola untuk fungsi kerja](access_policies_job-functions.md) yang menyelaraskan izin fungsi pekerjaan dalam model RBAC.

Di IAM, Anda menerapkan RBAC dengan membuat kebijakan yang berbeda untuk fungsi pekerjaan yang berbeda. Anda kemudian melampirkan kebijakan ke identitas (pengguna IAM, grup IAM, atau peran IAM). Sebagai [praktik terbaik](best-practices.md), Anda memberikan izin minimum yang diperlukan untuk fungsi pekerjaan. Ini menghasilkan akses [hak istimewa paling sedikit](best-practices.md#grant-least-privilege). Setiap kebijakan fungsi pekerjaan mencantumkan sumber daya spesifik yang dapat diakses oleh identitas yang ditetapkan kebijakan tersebut. Kerugian menggunakan model RBAC tradisional adalah ketika Anda atau pengguna menambahkan sumber daya baru ke lingkungan Anda, Anda harus memperbarui kebijakan untuk mengizinkan akses ke sumber daya tersebut. 

Misalnya, anggaplah Anda memiliki tiga proyek bernama `Heart`, `Star`, dan `Lightning`, yang dikerjakan karyawan Anda. Anda membuat peran IAM untuk setiap proyek. Anda kemudian melampirkan kebijakan ke setiap peran IAM untuk menentukan sumber daya yang dapat diakses oleh siapa pun yang diizinkan untuk mengambil peran IAM. Jika seorang karyawan berganti pekerjaan dalam perusahaan Anda, Anda menetapkan mereka ke peran IAM yang berbeda. Anda dapat menetapkan orang atau program untuk lebih dari satu peran IAM. Namun, `Star` proyek ini mungkin memerlukan sumber daya tambahan, seperti wadah Amazon EC2 baru. Dalam hal ini, Anda harus memperbarui kebijakan yang dilampirkan ke peran `Star` IAM untuk menentukan sumber daya kontainer baru. Jika tidak, anggota `Star` proyek tidak diizinkan mengakses kontainer baru.

![\[Diagram ini menggambarkan bahwa kontrol akses berbasis peran mengharuskan setiap identitas diberi kebijakan berbasis fungsi pekerjaan tertentu untuk mengakses sumber daya yang berbeda.\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/tutorial-abac-rbac-concept-23.png)


**ABAC memberikan keuntungan berikut dibandingkan model RBAC tradisional:**
+ **Skala izin ABAC dengan inovasi.** Administrator idak perlu lagi memperbarui kebijakan yang ada untuk memungkinkan akses ke sumber daya baru. Misalnya, anggap Anda merancang strategi ABAC Anda dan tanda `access-project`. Pengembang menggunakan peran IAM dengan `Heart` tag `access-project` =. Saat orang-orang di proyek `Heart` perlu sumber daya Amazon EC2 tambahan, pengembang dapat menciptakan instans Amazon EC2 baru dengan tag `access-project` = `Heart`. Lalu, siapa pun di proyek `Heart` dapat memulai dan menghentikan instans tersebut karena nilai tanda mereka cocok.
+ **ABAC membutuhkan lebih sedikit kebijakan.** Karena Anda tidak perlu membuat kebijakan yang berbeda untuk fungsi pekerjaan yang berbeda, Anda membuat kebijakan yang lebih sedikit. Kebijakan tersebut lebih mudah dikelola.
+ **Dengan menggunakan ABAC, tim dapat merespons perubahan dan pertumbuhan secara dinamis.** Karena izin untuk sumber daya baru secara otomatis diberikan berdasarkan atribut, Anda tidak perlu menetapkan kebijakan identitas secara manual. Misalnya, jika perusahaan Anda sudah mendukung proyek `Heart` dan `Star` menggunakan ABAC, mudah untuk menambahkan proyek `Lightning` baru. Administrator IAM membuat peran IAM baru dengan tag `access-project` =`Lightning`. Tidak perlu mengubah kebijakan untuk mendukung proyek baru. Siapa pun yang memiliki izin untuk mengambil peran IAM dapat membuat dan melihat instance yang ditandai dengan =. `access-project` `Lightning` Skenario lain adalah ketika seorang anggota tim pindah dari `Heart` proyek ke `Lightning` proyek. Untuk memberikan akses anggota tim ke `Lightning` proyek, administrator IAM menugaskan mereka ke peran IAM yang berbeda. Tidak perlu mengubah kebijakan izin.
+ **Izin granular dimungkinkan menggunakan ABAC.** Saat Anda membuat kebijakan, [memberikan hak istimewa terkecil](best-practices.md#grant-least-privilege) adalah praktik terbaik. Menggunakan RBAC tradisional, Anda menulis kebijakan yang memungkinkan akses ke sumber daya tertentu. Namun, saat Anda menggunakan ABAC, Anda dapat mengizinkan tindakan pada semua sumber daya jika tag sumber daya cocok dengan tag prinsipal.
+ **Gunakan atribut karyawan dari direktori perusahaan Anda dengan ABAC.** Anda dapat mengonfigurasi penyedia SAFL atau OIDC Anda untuk meneruskan tag sesi ke IAM. Ketika karyawan Anda bergabung AWS, IAM menerapkan atribut mereka ke kepala sekolah yang dihasilkan. Kemudian, Anda dapat menggunakan ABAC untuk mengizinkan atau menolak izin berdasarkan atribut tersebut.

Untuk tutorial terperinci yang menunjukkan cara menggunakan ABAC di AWS, lihat. [Tutorial IAM: Tentukan izin untuk mengakses AWS sumber daya berdasarkan tag](tutorial_attribute-based-access-control.md)