Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS Identity and Access Management di AWS Cloud Map
Untuk melakukan tindakan apa pun pada AWS Cloud Map sumber daya, seperti mendaftarkan domain atau memperbarui catatan, AWS Identity and Access Management (IAM) mengharuskan Anda untuk mengautentikasi bahwa Anda adalah pengguna yang disetujui AWS . Jika Anda menggunakan AWS Cloud Map konsol, Anda mengautentikasi identitas Anda dengan memberikan nama AWS pengguna dan kata sandi. Jika Anda mengakses AWS Cloud Map secara terprogram, aplikasi Anda mengautentikasi identitas Anda dengan menggunakan kunci akses atau dengan menandatangani permintaan.
Setelah Anda mengautentikasi identitas Anda, IAM mengontrol akses Anda AWS dengan memverifikasi bahwa Anda memiliki izin untuk melakukan tindakan dan mengakses sumber daya. Jika Anda adalah administrator akun, Anda dapat menggunakan IAM untuk mengontrol akses pengguna lain ke sumber daya yang terkait dengan akun Anda.
Bab ini menjelaskan cara menggunakan IAM dan AWS Cloud Map untuk membantu mengamankan sumber daya Anda.
Topik
Autentikasi
Anda dapat mengakses AWS sebagai salah satu dari berikut ini:
-
Pengguna root akun AWS— Saat pertama kali membuat AWS akun, Anda mulai dengan satu identitas masuk yang memiliki akses lengkap ke semua AWS layanan dan sumber daya di akun. Identitas ini disebut Pengguna root akun AWSdan diakses dengan masuk dengan alamat email dan kata sandi yang Anda gunakan untuk membuat akun. Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya di akun. Identitas ini disebut pengguna Akun AWS root dan diakses dengan masuk dengan alamat email dan kata sandi yang Anda gunakan untuk membuat akun. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Lindungi kredensial pengguna root Anda dan gunakan kredensial tersebut untuk melakukan tugas yang hanya dapat dilakukan pengguna root. Untuk daftar lengkap tugas yang mengharuskan Anda masuk sebagai pengguna root, lihat Tugas yang memerlukan kredensial pengguna root dalam Panduan Pengguna IAM.
-
Pengguna IAM — Pengguna IAM adalah identitas dalam AWS akun Anda yang memiliki izin khusus khusus (misalnya, izin untuk membuat namespace HTTP di). AWS Cloud MapAnda dapat menggunakan kredenal masuk IAM Anda untuk mengamankan AWS halaman web seperti AWS Management Console
, AWS re:Post , atau Center.AWS Support Selain kredensi masuk, Anda juga dapat membuat kunci akses untuk setiap pengguna. Anda dapat menggunakan kunci ini ketika Anda mengakses AWS layanan secara terprogram, baik melalui salah satu dari beberapa SDK
atau dengan menggunakan. AWS Command Line Interface Alat SDK dan CLI menggunakan access key untuk menandatangani permintaan Anda secara kriptografis. Jika Anda tidak menggunakan AWS alat, Anda harus menandatangani permintaan sendiri. AWS Cloud Map mendukung Signature Version 4, protokol untuk mengautentikasi permintaan API masuk. Untuk informasi selengkapnya tentang mengautentikasi permintaan, lihat Menandatangani permintaan AWS API di Panduan AWS Identity and Access Management Pengguna. -
IAM role – IAM role adalah identitas IAM yang dapat Anda buat di akun Anda yang memiliki izin spesifik. Peran IAM mirip dengan pengguna IAM karena merupakan AWS identitas dengan kebijakan izin yang menentukan apa yang dapat dan tidak dapat dilakukan identitas. AWS Namun, alih-alih secara unik terkait dengan satu orang, peran dimaksudkan untuk menjadi dapat diambil oleh siapa pun yang membutuhkannya. Selain itu, peran tidak memiliki kredensial jangka panjang standar seperti kata sandi atau kunci akses yang terkait dengannya. Sebagai gantinya, saat Anda mengambil peran, kredensial keamanan sementara untuk sesi peran Anda akan diberikan. Peran IAM dengan kredensial sementara berguna dalam situasi berikut:
-
Akses pengguna federasi — Alih-alih membuat pengguna IAM, Anda dapat menggunakan identitas pengguna yang ada dari AWS Directory Service, direktori pengguna perusahaan Anda, atau penyedia identitas web. Ini dikenal sebagai pengguna federasi. AWS memberikan peran kepada pengguna federasi ketika akses diminta melalui penyedia identitas. Untuk informasi lebih lanjut tentang pengguna gabungan, lihat Pengguna Gabungan dan Peran di Panduan Pengguna IAM.
-
AWS akses layanan — Anda dapat menggunakan peran IAM di akun Anda untuk memberikan izin AWS layanan untuk mengakses sumber daya akun Anda. Misalnya, Anda dapat membuat peran yang memungkinkan Amazon Redshift untuk mengakses bucket Amazon S3 atas nama Anda dan kemudian memuat data yang tersimpan di bucket ke dalam klaster Amazon Redshift. Untuk informasi selengkapnya, lihat Membuat Peran untuk Mendelegasikan Izin ke AWS Layanan di Panduan Pengguna IAM.
-
Aplikasi yang berjalan di Amazon EC2 - Anda dapat menggunakan peran IAM untuk mengelola kredensi sementara untuk aplikasi yang berjalan pada instans Amazon EC2 dan membuat permintaan API. AWS Ini lebih baik untuk menyimpan kunci akses dalam instans Amazon EC2. Untuk menetapkan AWS peran ke instans Amazon EC2 dan membuatnya tersedia untuk semua aplikasinya, Anda membuat profil instans yang dilampirkan ke instance. Profil instans berisi peran dan memungkinkan program yang berjalan di instans Amazon EC2 untuk mendapatkan kredensi sementara. Untuk informasi selengkapnya, lihat Menggunakan IAM role untuk memberikan izin ke aplikasi yang berjalan di instans Amazon EC2 dalam Panduan pengguna IAM.
-
Pengendalian akses
Untuk membuat, memperbarui, menghapus, atau mencantumkan AWS Cloud Map sumber daya, Anda memerlukan izin untuk melakukan tindakan, dan Anda memerlukan izin untuk mengakses sumber daya yang sesuai. Selain itu, untuk melakukan operasi secara terprogram, Anda memerlukan kunci akses yang valid.
Bagian berikut menjelaskan cara mengelola izin untuk AWS Cloud Map. Anda sebaiknya membaca gambaran umum terlebih dahulu.
