Ikhtisar mengelola izin akses ke sumber daya AWS Control Tower - AWS Control Tower
AWSSumber daya dan operasi Control TowerTentang kepemilikan sumber dayaTentukan elemen kebijakan: Tindakan, Efek, dan PrinsipMenentukan kondisi dalam kebijakan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Ikhtisar mengelola izin akses ke sumber daya AWS Control Tower

Setiap AWS sumber daya dimiliki oleh Akun AWS, dan izin untuk membuat atau mendapatkan akses ke sumber daya diatur oleh kebijakan izin. Administrator akun dapat melampirkan kebijakan izin ke IAM identitas (yaitu, pengguna, grup, dan peran). Beberapa layanan (seperti AWS Lambda) juga mendukung melampirkan kebijakan izin ke sumber daya.

catatan

Administrator akun (atau administrator) adalah pengguna dengan hak administrator. Untuk informasi selengkapnya, lihat Praktik IAM Terbaik di Panduan IAM Pengguna.

Ketika Anda bertanggung jawab untuk memberikan izin kepada pengguna atau peran, Anda harus mengetahui dan melacak pengguna dan peran yang memerlukan izin, sumber daya yang setiap pengguna dan peran memerlukan izin, dan tindakan spesifik yang harus diizinkan untuk mengoperasikan sumber daya tersebut.

Topik

AWSSumber daya dan operasi Control Tower

Di AWS Control Tower, sumber daya utamanya adalah landing zone. AWS Control Tower juga mendukung jenis sumber daya tambahan, kontrol, kadang-kadang disebut sebagai pagar pembatas. Namun, untuk AWS Control Tower, Anda dapat mengelola kontrol hanya dalam konteks landing zone yang ada. Kontrol dapat disebut sebagai subresource.

Resource dan subresource AWS memiliki Amazon Resource Names (ARNs) unik yang terkait dengannya, seperti yang ditunjukkan pada contoh berikut.

Jenis Sumber Daya ARNFormat
Sistem file arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id

AWSControl Tower menyediakan serangkaian API operasi untuk bekerja dengan sumber daya AWS Control Tower. Untuk daftar operasi yang tersedia, lihat AWS Control Tower APIReferensi AWS Control Tower.

Untuk informasi selengkapnya tentang AWS CloudFormation sumber daya di AWS Control Tower, lihat Panduan AWS CloudFormation Pengguna.

Tentang kepemilikan sumber daya

AWS Akun memiliki sumber daya yang dibuat di akun, terlepas dari siapa yang membuat sumber daya. Secara khusus, pemilik sumber daya adalah AWS akun entitas utama (yaitu, pengguna Akun AWS root, pengguna Pusat IAM Identitas, IAM pengguna, atau IAM peran) yang mengautentikasi permintaan pembuatan sumber daya. Contoh berikut menggambarkan cara kerjanya:

  • Jika Anda menggunakan kredensi pengguna root AWS akun AWS akun Anda untuk menyiapkan landing zone, AWS akun Anda adalah pemilik sumber daya.

  • Jika Anda membuat IAM pengguna di AWS akun Anda dan memberikan izin untuk menyiapkan landing zone kepada pengguna tersebut, pengguna dapat menyiapkan landing zone selama akun mereka memenuhi prasyarat. Namun, AWS akun Anda, tempat pengguna berada, memiliki sumber daya landing zone.

  • Jika Anda membuat IAM peran di AWS akun dengan izin untuk menyiapkan landing zone, siapa pun yang dapat mengambil peran tersebut dapat menyiapkan landing zone. AWS Akun Anda, tempat perannya berada, memiliki sumber daya landing zone.

Tentukan elemen kebijakan: Tindakan, Efek, dan Prinsip

Anda dapat mengatur dan mengelola landing zone Anda melalui konsol AWS Control Tower, atau landing zone APIs. Untuk menyiapkan landing zone, Anda harus menjadi IAM pengguna dengan izin administratif sebagaimana didefinisikan dalam IAM kebijakan.

Elemen-elemen berikut adalah yang paling dasar yang dapat Anda identifikasi dalam suatu kebijakan:

  • Sumber Daya — Dalam kebijakan, Anda menggunakan Amazon Resource Name (ARN) untuk mengidentifikasi sumber daya yang diterapkan kebijakan tersebut. Untuk informasi selengkapnya, lihat AWSSumber daya dan operasi Control Tower.

  • Tindakan – Anda menggunakan kata kunci tindakan untuk mengidentifikasi operasi sumber daya yang ingin Anda izinkan atau tolak. Untuk informasi tentang jenis tindakan yang tersedia untuk dilakukan, lihat Tindakan yang ditentukan oleh AWS Control Tower.

  • Efek – Anda menentukan efek ketika pengguna meminta tindakan tertentu—efek ini dapat berupa pemberian izin atau penolakan. Jika Anda tidak secara eksplisit memberikan akses ke (mengizinkan) sumber daya, akses akan ditolak secara implisit. Anda juga dapat secara eksplisit menolak akses ke sumber daya, yang mungkin Anda lakukan untuk memastikan bahwa pengguna tidak dapat mengaksesnya, meskipun ada akses memberikan kebijakan yang berbeda.

  • Principal — Dalam kebijakan (IAMkebijakan) berbasis identitas, pengguna yang melekat pada kebijakan tersebut adalah prinsipal implisit. Untuk kebijakan berbasis sumber daya, Anda menentukan pengguna, akun, layanan, atau entitas lain yang ingin Anda terima izin (hanya berlaku untuk kebijakan berbasis sumber daya). AWS Control Tower tidak mendukung kebijakan berbasis sumber daya.

Untuk mempelajari lebih lanjut tentang sintaks dan deskripsi IAM kebijakan, lihat Referensi AWS IAM Kebijakan di IAMPanduan Pengguna.

Menentukan kondisi dalam kebijakan

Saat Anda memberikan izin, Anda dapat menggunakan bahasa kebijakan IAM untuk menentukan kondisi saat kebijakan menjadi berlaku. Misalnya, Anda mungkin ingin kebijakan diterapkan hanya setelah tanggal tertentu. Untuk informasi selengkapnya tentang menentukan kondisi dalam bahasa kebijakan, lihat Kondisi di Panduan IAM Pengguna.

Untuk menyatakan kondisi, Anda dapat menggunakan kunci kondisi yang telah ditentukan. Tidak ada tombol kondisi khusus untuk AWS Control Tower. Namun, ada tombol kondisi AWS-wide yang dapat Anda gunakan sesuai kebutuhan. Untuk daftar lengkap tombol AWS-wide, lihat Kunci yang Tersedia untuk Ketentuan di Panduan IAM Pengguna.