Gambaran umum manajemen akses: Izin dan kebijakan - AWS Identity and Access Management
Kebijakan dan akunKebijakan dan penggunaKebijakan dan grupPengguna gabungan dan peranKebijakan berbasis identitas dan berbasis sumber daya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Gambaran umum manajemen akses: Izin dan kebijakan

Bagian manajemen akses AWS Identity and Access Management (IAM) membantu Anda menentukan apa yang diperbolehkan dilakukan entitas utama dalam akun. Entitas penanggung jawab adalah orang atau aplikasi yang diautentikasi menggunakan entitas IAM (pengguna atau peran). Manajemen akses sering disebut sebagai otorisasi. Anda mengelola akses AWS dengan membuat kebijakan dan melampirkannya ke identitas IAM (pengguna, grup pengguna, atau peran) atau sumber daya. AWS Kebijakan adalah objek AWS yang, ketika dikaitkan dengan identitas atau sumber daya, menentukan izinnya. AWS mengevaluasi kebijakan ini ketika prinsipal menggunakan entitas IAM (pengguna atau peran) untuk membuat permintaan. Izin dalam kebijakan menentukan apakah permintaan diizinkan atau ditolak. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang tipe dan penggunaan kebijakan, lihat Kebijakan dan Izin di IAM.

Kebijakan dan akun

Jika Anda mengelola satu akun AWS, maka Anda menentukan izin dalam akun tersebut menggunakan kebijakan. Jika Anda mengelola izin di beberapa akun, akan lebih sulit untuk mengelola izin bagi pengguna Anda. Anda dapat menggunakan peran IAM, kebijakan berbasis sumber daya, atau access control list (ACL) untuk izin lintas akun. Namun, jika Anda memiliki beberapa akun, sebaiknya gunakan AWS Organizations layanan ini untuk membantu Anda mengelola izin tersebut. Untuk informasi lebih lanjut, lihat Apa itu AWS Organizations? dalam Panduan Pengguna Organizations.

Kebijakan dan pengguna

Pengguna IAM adalah identitas dalam layanan. Saat Anda membuat pengguna IAM, mereka tidak dapat mengakses apa pun di akun Anda hingga Anda memberi izin kepada mereka. Anda memberikan izin kepada pengguna dengan membuat kebijakan berbasis identitas, yang merupakan kebijakan yang dilampirkan pada pengguna atau grup tempat pengguna berada. Contoh berikut menunjukkan kebijakan JSON yang memungkinkan pengguna untuk melakukan semua dynamodb:* tindakan Amazon DynamoDB () Books pada tabel di akun 123456789012 dalam Wilayah. us-east-2

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "dynamodb:*",
    "Resource": "arn:aws:dynamodb:us-east-2:123456789012:table/Books"
  }
}

Setelah Anda melampirkan kebijakan ini ke pengguna IAM Anda, pengguna hanya memiliki izin DynamoDB tersebut. Sebagian besar pengguna memiliki beberapa kebijakan yang bersama-sama mewakili izin bagi pengguna tersebut.

Tindakan atau sumber daya yang tidak secara eksplisit diizinkan akan ditolak secara default. Misalnya, jika kebijakan sebelumnya adalah satu-satunya kebijakan yang dilampirkan ke pengguna, maka pengguna tersebut diizinkan untuk hanya melakukan tindakan DynamoDB pada tabel. Books Tindakan di semua tabel lainnya dilarang. Demikian pula, pengguna tidak diizinkan untuk melakukan tindakan apa pun di Amazon EC2, Amazon S3, atau di layanan lainnya. AWS Alasannya adalah bahwa izin untuk bekerja dengan layanan tersebut tidak termasuk dalam kebijakan.

Kebijakan dan grup

Anda dapat menata pengguna IAM menjadi Grup IAM dan melampirkan kebijakan ke grup. Dalam hal ini, pengguna individu masih memiliki kredensial mereka sendiri, tetapi semua pengguna dalam grup memiliki izin yang dilampirkan ke grup. Gunakan grup untuk pengelolaan izin yang lebih mudah, dan untuk mengikuti kam Praktik terbaik keamanan di IAM.

Pengguna dapat dibagi menjadi beberapa grup untuk mempermudah pengelolaan izin, karena pengguna memiliki izin yang ditetapkan ke satu grup.

Pengguna atau grup dapat memiliki beberapa kebijakan yang dilampirkan pada mereka yang memberikan izin yang berbeda. Dalam hal ini, izin untuk pengguna dihitung berdasarkan kombinasi kebijakan. Namun, prinsip dasar masih berlaku: Jika pengguna belum diberi izin secara eksplisit untuk tindakan dan sumber daya, pengguna tidak memiliki izin tersebut.

Pengguna gabungan dan peran

Pengguna federasi tidak memiliki identitas permanen seperti Akun AWS yang dilakukan pengguna IAM. Untuk menetapkan izin bagi pengguna gabungan, Anda dapat membuat entitas yang disebut sebagai peran dan menentukan izin untuk peran tersebut. Saat pengguna federasi masuk ke AWS, pengguna dikaitkan dengan peran tersebut dan diberikan izin yang ditentukan dalam peran tersebut. Untuk informasi selengkapnya, lihat Membuat peran untuk Penyedia Identitas pihak ketiga (federasi).

Kebijakan berbasis identitas dan berbasis sumber daya

Kebijakan berbasis identitas adalah kebijakan perizinan yang Anda lampirkan ke identitas IAM, seperti pengguna, grup, atau peran IAM. Kebijakan berbasis sumber daya adalah kebijakan izin yang Anda lampirkan ke sumber daya seperti bucket Amazon S3 atau kebijakan kepercayaan peran IAM.

Kebijakan berbasis identitas mengendalikan tindakan apa yang dapat dilakukan oleh identitas, pada sumber daya mana, dan dengan kondisi apa. Kebijakan berbasis identitas selanjutnya dapat dikategorikan menjadi:

  • Kebijakan terkelola — Kebijakan berbasis identitas mandiri yang dapat Anda lampirkan ke beberapa pengguna, grup, dan peran di Anda. Akun AWS Anda dapat menggunakan dua tipe kebijakan terkelola:

    • AWS kebijakan terkelola — Kebijakan terkelola yang dibuat dan dikelola oleh AWS. Jika Anda baru menggunakan kebijakan, kami sarankan Anda memulai dengan menggunakan kebijakan AWS terkelola.

    • Kebijakan terkelola pelanggan — Kebijakan terkelola yang Anda buat dan kelola di Anda Akun AWS. Kebijakan yang dikelola pelanggan memberikan kontrol yang lebih tepat atas kebijakan Anda daripada kebijakan yang AWS dikelola. Anda dapat membuat, mengedit, dan memvalidasi kebijakan IAM di editor visual atau dengan membuat dokumen kebijakan JSON secara langsung. Untuk informasi lebih lanjut, lihat Membuat kebijakan IAM dan Menyunting Kebijakan IAM.

  • Kebijakan inline – Kebijakan yang Anda buat dan kelola dan yang disematkan secara langsung ke dalam satu pengguna, grup, atau peran. Dalam kebanyakan kasus, kami tidak menyarankan penggunaan kebijakan inline.

Kebijakan berbasis sumber daya mengontrol tindakan apa yang dapat dilakukan oleh prinsipal tertentu pada sumber daya tersebut dan dengan kondisi seperti apa. Kebijakan berbasis sumber daya merupakan kebijakan inline, dan tidak ada kebijakan berbasis sumber daya terkelola. Untuk mengaktifkan akses lintas akun, Anda dapat menentukan seluruh akun atau entitas IAM di akun lain sebagai penanggung jawab kebijakan berbasis sumber daya.

Layanan IAM hanya mendukung satu jenis kebijakan berbasis sumber daya yang disebut kebijakan kepercayaan peran, yang terlampir pada peran IAM. Karena peran IAM merupakan sebuah identitas dan sumber daya yang mendukung kebijakan berbasis sumber daya, Anda harus melampirkan kebijakan kepercayaan dan kebijakan berbasis identitas pada peran IAM. Kebijakan kepercayaan menentukan entitas penanggung jawab mana (akun, pengguna, peran, dan pengguna gabungan) yang dapat memegang peran tersebut. Untuk mempelajari bagaimana peran IAM berbeda dengan kebijakan berbasis sumber daya lainnya, lihat Akses sumber daya lintas akun di IAM.

Untuk melihat layanan mana yang mendukung kebijakan berbasis sumber daya, lihat AWS layanan yang bekerja dengan IAM. Untuk mempelajari selengkapnya tentang kebijakan berbasis sumber daya, lihat Kebijakan berbasis identitas dan kebijakan berbasis sumber daya.