Kelola akses ke sumber daya - AWSControl Tower
Tentang kebijakan berbasis identitas (kebijakan) IAMKebijakan berbasis sumber daya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kelola akses ke sumber daya

Kebijakan izin menjelaskan siapa yang memiliki akses ke suatu objek. Bagian berikut menjelaskan opsi yang tersedia untuk membuat kebijakan izin.

catatan

Bagian ini membahas penggunaan IAM dalam konteks AWS Control Tower. Itu tidak memberikan informasi rinci tentang IAM layanan. Untuk IAM dokumentasi selengkapnya, lihat Apa ituIAM? dalam IAMUser Guide. Untuk informasi tentang sintaks IAM kebijakan dan deskripsi, lihat Referensi AWS IAM Kebijakan di IAMPanduan Pengguna.

Kebijakan yang melekat pada IAM identitas disebut sebagai kebijakan berbasis identitas (kebijakan)IAM. Kebijakan yang dilampirkan pada sumber daya disebut sebagai kebijakan berbasis-sumber daya.

catatan

AWSControl Tower hanya mendukung kebijakan (kebijakan) IAM berbasis identitas.

Topik

Tentang kebijakan berbasis identitas (kebijakan) IAM

Anda dapat menyematkan kebijakan pada identitas IAM. Misalnya, Anda dapat melakukan hal berikut:

  • Melampirkan kebijakan izin ke pengguna atau grup di akun Anda — Untuk memberikan izin pengguna untuk membuat sumber daya AWS Control Tower, seperti menyiapkan landing zone, Anda dapat melampirkan kebijakan izin ke pengguna atau grup tempat pengguna tersebut berada.

  • Lampirkan kebijakan izin ke peran (berikan izin lintas akun) — Anda dapat melampirkan kebijakan izin berbasis identitas ke peran untuk memberikan izin lintas akun. IAM Misalnya, administrator untuk satu AWS akun (Akun A) dapat membuat peran yang memberikan izin lintas akun ke akun lain ( AWS Akun B), atau administrator dapat membuat peran yang memberikan izin ke layanan lain. AWS

    1. Administrator Akun A membuat IAM peran dan melampirkan kebijakan izin ke peran yang memberikan izin untuk mengelola sumber daya di Akun A.

    2. Administrator Akun A melampirkan kebijakan kepercayaan ke peran tersebut. Kebijakan tersebut mengidentifikasi Akun B sebagai kepala sekolah yang dapat mengambil peran.

    3. Sebagai prinsipal, administrator Akun B dapat memberikan izin kepada pengguna di Akun B untuk mengambil peran tersebut. Dengan mengasumsikan peran tersebut, pengguna di Akun B dapat membuat atau mendapatkan akses ke sumber daya di Akun A.

    4. Untuk memberikan AWS layanan kemampuan (izin) untuk mengambil peran, prinsipal yang Anda tentukan dalam kebijakan kepercayaan dapat berupa AWS layanan.

Kebijakan berbasis sumber daya

Layanan lain, seperti Amazon S3, juga mendukung kebijakan izin berbasis sumber daya. Misalnya, Anda dapat melampirkan kebijakan ke bucket S3 untuk mengelola izin akses ke bucket tersebut. AWS Control Tower tidak mendukung kebijakan berbasis sumber daya.