IAM: Mengizinkan dan menolak akses ke beberapa layanan secara terprogram dan di konsol

Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan berbasis identitas yang memungkinkan akses penuh ke beberapa layanan dan akses pengelolaan mandiri terbatas di IAM. Ia juga menolak akses ke bucket logs Amazon S3 atau contoh i-1234567890abcdef0 Amazon EC2. Kebijakan ini menetapkan izin untuk akses terprogram dan konsol. Untuk menggunakan kebijakan ini, ganti teks placeholder yang dicetak miring dalam kebijakan contoh dengan informasi Anda sendiri. Lalu, ikuti petunjuk di buat kebijakan atau edit kebijakan.

Awas

Kebijakan ini mengizinkan akses penuh ke setiap tindakan dan sumber daya dalam beberapa layanan. Kebijakan ini harus diterapkan hanya bagi administrator yang tepercaya.

Anda dapat menggunakan kebijakan ini sebagai batasan izin untuk menentukan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada pengguna IAM. Untuk informasi selengkapnya, lihat Mendelegasikan tanggung jawab kepada orang lain menggunakan batas izin. Ketika kebijakan itu digunakan sebagai batasan izin bagi pengguna, pernyataan itu menentukan batasan berikut:

Pernyataan AllowServices mengizinkan akses penuh ke layanan AWS tertentu. Artinya, tindakan pengguna dalam layanan ini hanya dibatasi oleh kebijakan izin yang melekat pada pengguna.
Pernyataan AllowIAMConsoleForCredentials mengizinkan akses untuk mencantumkan semua pengguna IAM. Akses ini diperlukan untuk menavigasi halaman Pengguna di AWS Management Console. Ia juga mengizinkan untuk melihat persyaratan kata sandi untuk akun, yang diperlukan bagi pengguna untuk mengubah kata sandinya sendiri.
Pernyataan AllowManageOwnPasswordAndAccessKeys ini mengizinkan pengguna mengelola kata sandi konsol dan kunci akses programnya sendiri. Ini penting karena jika kebijakan lain memberi akses IAM penuh ke pengguna, pengguna tersebut lalu dapat mengubah izinnya sendiri atau izin pengguna lain. Pernyataan ini mencegah hal tersebut terjadi.
Pernyataan DenyS3Logs itu secara eksplisit menolak akses ke logs bucket. Kebijakan ini menerapkan batasan perusahaan kepada pengguna.
Pernyataan DenyEC2Production secara eksplisit menolak akses ke instans i-1234567890abcdef0.

Kebijakan ini tidak mengizinkan akses ke layanan atau tindakan lain. Jika kebijakan digunakan sebagai batas izin pada pengguna, meskipun kebijakan lain yang dilampirkan pada pengguna mengizinkan tindakan tersebut, AWS menolak permintaan tersebut.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowServices",
            "Effect": "Allow",
            "Action": [
                "s3:*",
                "cloudwatch:*",
                "ec2:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowIAMConsoleForCredentials",
            "Effect": "Allow",
            "Action": [
                "iam:ListUsers",
                "iam:GetAccountPasswordPolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowManageOwnPasswordAndAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:*AccessKey*",
                "iam:ChangePassword",
                "iam:GetUser",
                "iam:*LoginProfile*"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "DenyS3Logs",
            "Effect": "Deny",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::logs",
                "arn:aws:s3:::logs/*"
            ]
        },
        {
            "Sid": "DenyEC2Production",
            "Effect": "Deny",
            "Action": "ec2:*",
            "Resource": "arn:aws:ec2:*:*:instance/i-1234567890abcdef0"
        }
    ]
}

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

IAM: Asumsikan peran yang ditandai

IAM: Tambahkan tag khusus ke pengguna yang diberi tag