Ikhtisar bahasa kebijakan akses untuk Amazon API Gateway - APIGerbang Amazon
Elemen umum dalam kebijakan akses

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Ikhtisar bahasa kebijakan akses untuk Amazon API Gateway

Halaman ini menjelaskan elemen dasar yang digunakan dalam kebijakan sumber daya Amazon API Gateway.

Kebijakan sumber daya ditentukan menggunakan sintaks yang sama dengan IAM kebijakan. Untuk informasi bahasa kebijakan selengkapnya, lihat Ringkasan IAM AWS Identity and Access Management Kebijakan dan Referensi Kebijakan di Panduan IAM Pengguna.

Untuk informasi tentang cara AWS layanan memutuskan apakah permintaan yang diberikan harus diizinkan atau ditolak, lihat Menentukan Apakah Permintaan Diizinkan atau Ditolak.

Elemen umum dalam kebijakan akses

Dalam arti yang paling mendasar, kebijakan sumber daya berisi elemen-elemen berikut:

  • Sumber daya - APIs adalah sumber daya Amazon API Gateway yang dapat Anda izinkan atau tolak izinnya. Dalam kebijakan, Anda menggunakan Amazon Resource Name (ARN) untuk mengidentifikasi sumber daya. Anda juga dapat menggunakan sintaks yang disingkat, yang secara otomatis diperluas oleh API Gateway hingga penuh ARN saat Anda menyimpan kebijakan sumber daya. Untuk mempelajari selengkapnya, lihat APIContoh kebijakan sumber daya gateway.

    Untuk format Resource elemen lengkap, lihatFormat sumber daya izin untuk mengeksekusi API di Gateway API.

  • Tindakan - Untuk setiap sumber daya, Amazon API Gateway mendukung serangkaian operasi. Anda mengidentifikasi operasi sumber daya yang Anda izinkan (atau tolak) dengan menggunakan kata kunci tindakan.

    Misalnya, execute-api:Invoke izin akan memungkinkan izin pengguna untuk memanggil API permintaan klien.

    Untuk format Action elemen, lihatFormat tindakan izin untuk mengeksekusi API di Gateway API.

  • Efek — Apa efeknya ketika pengguna meminta tindakan tertentu—ini bisa berupa salah satu atau. Allow Deny Anda juga dapat secara eksplisit menolak akses ke sumber daya, yang mungkin Anda lakukan untuk memastikan bahwa pengguna tidak dapat mengaksesnya, bahkan jika kebijakan lain memberikan akses.

    catatan

    “Penyangkalan implisit” adalah hal yang sama dengan “tolak secara default”.

    “Penyangkalan implisit” berbeda dari “penolakan eksplisit”. Untuk informasi selengkapnya, lihat Perbedaan Antara Menyangkal Secara Default dan Penolakan Eksplisit.

  • Principal — Akun atau pengguna mengizinkan akses ke tindakan dan sumber daya dalam pernyataan. Dalam kebijakan sumber daya, prinsipal adalah pengguna atau akun yang menerima izin ini.

Contoh kebijakan sumber daya berikut menunjukkan elemen kebijakan umum sebelumnya. Kebijakan memberikan akses ke bagian API bawah yang ditentukan account-id dalam yang ditentukan region untuk setiap pengguna yang alamat IP sumbernya ada di blok alamat 123.4.5.6/24. Kebijakan menolak semua akses ke API jika IP sumber pengguna tidak berada dalam jangkauan.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "execute-api:Invoke",
            "Resource": "arn:aws:execute-api:region:account-id:*"
        },
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "execute-api:Invoke",
            "Resource": "arn:aws:execute-api:region:account-id:*",
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": "123.4.5.6/24"
                }
            }
        }
    ]
}