Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Ikhtisar mengelola izin akses ke sumber daya AWS Control Tower Anda
Setiap AWS Sumber daya dimiliki oleh Akun AWS, dan izin untuk membuat atau mendapatkan akses ke sumber daya diatur oleh kebijakan izin. Administrator akun dapat melampirkan kebijakan izin ke IAM identitas (yaitu, pengguna, grup, dan peran). Beberapa layanan (seperti AWS Lambda) juga mendukung melampirkan kebijakan izin ke sumber daya.
catatan
Administrator akun (atau administrator) adalah pengguna dengan hak administrator. Untuk informasi selengkapnya, lihat Praktik IAM Terbaik di Panduan IAM Pengguna.
Ketika Anda bertanggung jawab untuk memberikan izin kepada pengguna atau peran, Anda harus mengetahui dan melacak pengguna dan peran yang memerlukan izin, sumber daya yang setiap pengguna dan peran memerlukan izin, dan tindakan spesifik yang harus diizinkan untuk mengoperasikan sumber daya tersebut.
Topik
AWSSumber daya dan operasi Control Tower
Di AWS Control Tower, sumber daya utamanya adalah landing zone. AWSControl Tower juga mendukung jenis sumber daya tambahan, kontrol, kadang-kadang disebut sebagai pagar pembatas. Namun, untuk AWS Control Tower, Anda dapat mengelola kontrol hanya dalam konteks landing zone yang ada. Kontrol dapat disebut sebagai subresource.
Sumber daya dan subsumber daya di AWS memiliki Nama Sumber Daya Amazon (ARNs) unik yang terkait dengannya, seperti yang ditunjukkan pada contoh berikut.
Jenis Sumber Daya | ARNFormat |
---|---|
Sistem file | arn:aws:elasticfilesystem: |
AWSControl Tower menyediakan serangkaian API operasi untuk bekerja dengan sumber daya AWS Control Tower. Untuk daftar operasi yang tersedia, lihat AWS Control Tower APIReferensi AWS Control Tower.
Untuk informasi lebih lanjut tentang AWS CloudFormation sumber daya di AWS Control Tower, lihat AWS CloudFormation Panduan Pengguna.
Tentang kepemilikan sumber daya
Bagian AWS akun memiliki sumber daya yang dibuat di akun, terlepas dari siapa yang membuat sumber daya. Secara khusus, pemilik sumber daya adalah AWS akun entitas utama (yaitu, Akun AWS pengguna root, pengguna Pusat IAM Identitas, IAM pengguna, atau IAM peran) yang mengautentikasi permintaan pembuatan sumber daya. Contoh berikut menggambarkan cara kerjanya:
-
Jika Anda menggunakan AWS kredensi pengguna root akun Anda AWS akun untuk mengatur landing zone, Anda AWS akun adalah pemilik sumber daya.
-
Jika Anda membuat IAM pengguna di AWS akun dan memberikan izin untuk menyiapkan landing zone kepada pengguna tersebut, pengguna dapat menyiapkan landing zone selama akun mereka memenuhi prasyarat. Namun, Anda AWS akun, tempat pengguna berada, memiliki sumber daya landing zone.
-
Jika Anda membuat IAM peran dalam AWS akun dengan izin untuk mengatur landing zone, siapa pun yang dapat mengambil peran dapat mengatur landing zone. Klaster AWS akun, yang menjadi milik peran tersebut, memiliki sumber daya landing zone.
Tentukan elemen kebijakan: Tindakan, Efek, dan Prinsip
Anda dapat mengatur dan mengelola landing zone Anda melalui konsol AWS Control Tower, atau landing zone APIs. Untuk menyiapkan landing zone, Anda harus menjadi IAM pengguna dengan izin administratif sebagaimana didefinisikan dalam IAM kebijakan.
Elemen-elemen berikut adalah yang paling dasar yang dapat Anda identifikasi dalam suatu kebijakan:
-
Sumber Daya — Dalam kebijakan, Anda menggunakan Nama Sumber Daya Amazon (ARN) untuk mengidentifikasi sumber daya yang diterapkan kebijakan tersebut. Untuk informasi selengkapnya, lihat AWSSumber daya dan operasi Control Tower.
-
Tindakan – Anda menggunakan kata kunci tindakan untuk mengidentifikasi operasi sumber daya yang ingin Anda izinkan atau tolak. Untuk informasi tentang jenis tindakan yang tersedia untuk dilakukan, lihat Tindakan yang ditentukan oleh AWS Control Tower.
-
Efek – Anda menentukan efek ketika pengguna meminta tindakan tertentu—efek ini dapat berupa pemberian izin atau penolakan. Jika Anda tidak secara eksplisit memberikan akses ke (mengizinkan) sumber daya, akses akan ditolak secara implisit. Anda juga dapat secara eksplisit menolak akses ke sumber daya, yang mungkin Anda lakukan untuk memastikan bahwa pengguna tidak dapat mengaksesnya, meskipun ada akses memberikan kebijakan yang berbeda.
-
Principal — Dalam kebijakan (IAMkebijakan) berbasis identitas, pengguna yang melekat pada kebijakan tersebut adalah prinsipal implisit. Untuk kebijakan berbasis sumber daya, Anda menentukan pengguna, akun, layanan, atau entitas lain yang diinginkan untuk menerima izin (berlaku hanya untuk kebijakan berbasis sumber daya). AWSControl Tower tidak mendukung kebijakan berbasis sumber daya.
Untuk mempelajari lebih lanjut tentang sintaks IAM kebijakan dan deskripsi, lihat AWS IAMReferensi Kebijakan dalam Panduan IAM Pengguna.
Menentukan kondisi dalam kebijakan
Saat memberikan izin, Anda dapat menggunakan bahasa IAM kebijakan untuk menentukan kondisi kapan kebijakan harus diterapkan. Misalnya, Anda mungkin ingin kebijakan diterapkan hanya setelah tanggal tertentu. Untuk informasi selengkapnya tentang menentukan kondisi dalam bahasa kebijakan, lihat Kondisi di Panduan IAM Pengguna.
Untuk menyatakan kondisi, Anda dapat menggunakan kunci kondisi yang telah ditentukan. Tidak ada tombol kondisi khusus untuk AWS Control Tower. Namun, ada AWS tombol kondisi -wide yang dapat Anda gunakan sesuai kebutuhan. Untuk daftar lengkap AWS-tombol lebar, lihat Kunci yang Tersedia untuk Ketentuan di Panduan IAM Pengguna.