Manajemen identitas dan akses di AWS Control Tower

• AWS pengguna root akun — Saat Anda pertama kali membuat AWS akun, Anda mulai dengan identitas yang memiliki akses lengkap ke semua AWS layanan dan sumber daya di akun. Identitas ini disebut AWS pengguna root akun. Anda memiliki akses ke identitas ini ketika Anda masuk dengan alamat email dan kata sandi yang Anda gunakan untuk membuat akun. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari, bahkan tugas administratif. Sebagai gantinya, patuhi praktik terbaik menggunakan pengguna root hanya untuk membuat pengguna Pusat IAM Identitas pertama Anda (disarankan) atau IAM pengguna (bukan praktik terbaik dalam sebagian besar kasus penggunaan). Kemudian, kunci kredensial pengguna akar dengan aman dan gunakan kredensial itu untuk melakukan beberapa tugas manajemen akun dan layanan saja. Untuk informasi selengkapnya, lihat Kapan harus masuk sebagai pengguna root.

• IAMpengguna — IAMPengguna adalah identitas di dalam AWS akun yang memiliki izin khusus dan disesuaikan. Anda dapat menggunakan kredensi IAM pengguna untuk masuk untuk mengamankan AWS halaman web seperti AWS Konsol Manajemen, AWS Forum Diskusi, atau AWS Pusat Support. AWS praktik terbaik merekomendasikan agar Anda membuat pengguna Pusat IAM Identitas alih-alih IAM pengguna, karena ada lebih banyak risiko keamanan saat Anda membuat IAM pengguna yang memiliki kredensitas jangka panjang.

  Jika Anda harus membuat IAM pengguna untuk tujuan tertentu, selain kredensi masuk, Anda dapat membuat kunci akses untuk setiap pengguna. IAM Anda dapat menggunakan tombol ini saat menelepon AWS layanan terprogram, baik melalui salah satu dari beberapa SDKs atau dengan menggunakan AWS Antarmuka Baris Perintah (CLI). CLIAlat SDK dan menggunakan kunci akses untuk menandatangani permintaan Anda secara kriptografis. Jika Anda tidak menggunakan AWS alat, Anda harus menandatangani permintaan sendiri. AWSControl Tower mendukung Signature Version 4, protokol untuk mengautentikasi permintaan masukAPI. Untuk informasi selengkapnya tentang mengautentikasi permintaan, lihat Proses Penandatanganan Versi Tanda Tangan 4 di AWS Referensi Umum.

• IAMperan — IAMPeran adalah IAM identitas yang dapat Anda buat di akun Anda yang memiliki izin tertentu. IAMPeran mirip dengan IAM pengguna dalam hal itu adalah AWS identitas, dan memiliki kebijakan izin yang menentukan apa yang dapat dan tidak dapat dilakukan identitas AWS. Namun, alih-alih dikaitkan secara unik dengan satu orang, peran dimaksudkan untuk diasumsikan oleh siapa saja yang membutuhkannya. Selain itu, peran tidak memiliki kredensial jangka panjang standar seperti kata sandi atau kunci akses yang terkait dengannya. Sebagai gantinya, saat Anda mengambil peran, peran tersebut akan memberikan kredensial keamanan sementara untuk sesi peran. IAMperan dengan kredensi sementara berguna dalam situasi berikut:

  • Akses pengguna federasi — Alih-alih membuat IAM pengguna, Anda dapat menggunakan identitas yang ada dari AWS Directory Service, direktori pengguna perusahaan Anda, atau penyedia identitas web. Akses ini dikenal sebagai pengguna gabungan. AWS memberikan peran kepada pengguna federasi ketika akses diminta melalui penyedia identitas. Untuk informasi selengkapnya tentang pengguna federasi, lihat Pengguna dan Peran Federasi di IAMPanduan Pengguna.

  • AWS Akses layanan — Peran layanan adalah IAM peran yang diasumsikan layanan untuk melakukan tindakan di akun Anda atas nama Anda. Ketika Anda mengatur beberapa AWS lingkungan layanan, Anda harus menentukan peran untuk layanan untuk mengambil alih. Peran layanan ini harus mencakup semua izin yang diperlukan untuk layanan untuk mengakses AWS sumber daya yang dibutuhkannya. Peran layanan bervariasi dari layanan ke layanan, tetapi banyak yang memungkinkan Anda memilih izin selama Anda memenuhi persyaratan yang didokumentasikan untuk layanan tersebut. Peran layanan hanya menyediakan akses dalam akun Anda dan tidak dapat digunakan untuk memberikan akses ke layanan dalam akun lain. Anda dapat membuat, memodifikasi, dan menghapus peran layanan dari dalamIAM. Misalnya, Anda dapat membuat peran yang memungkinkan Amazon Redshift untuk mengakses bucket Amazon S3 atas nama Anda dan kemudian memuat data yang tersimpan di bucket ke dalam klaster Amazon Redshift. Untuk informasi selengkapnya, lihat Membuat Peran untuk Mendelegasikan Izin ke AWS Layanan dalam Panduan IAM Pengguna.

  • Aplikasi yang berjalan di Amazon EC2 - Anda dapat menggunakan IAM peran untuk mengelola kredensional sementara untuk aplikasi yang berjalan pada EC2 instans Amazon dan membuat AWS CLIatau AWS APIpermintaan. Ini lebih baik untuk menyimpan kunci akses dalam EC2 instance Amazon. Untuk menetapkan AWS berperan ke EC2 instans Amazon dan membuatnya tersedia untuk semua aplikasinya, Anda membuat profil instance yang dilampirkan ke instance. Profil instans berisi peran dan memungkinkan program yang berjalan di EC2 instans Amazon untuk mendapatkan kredensi sementara. Untuk informasi selengkapnya, lihat Menggunakan IAM Peran untuk Memberikan Izin ke Aplikasi yang Berjalan di EC2 Instans Amazon di IAMPanduan Pengguna.

• IAMOtentikasi pengguna Pusat IAM Identitas ke portal pengguna Pusat Identitas dikendalikan oleh direktori yang telah Anda sambungkan ke Pusat IAM Identitas. Namun, otorisasi untuk AWS Akun yang tersedia untuk pengguna akhir dari dalam portal pengguna ditentukan oleh dua faktor:

  • Siapa yang telah diberi akses ke mereka AWS akun di AWS IAMKonsol Pusat Identitas. Untuk informasi selengkapnya, lihat Akses Masuk Tunggal di AWS IAM Identity Center Panduan Pengguna.

  • Tingkat izin apa yang telah diberikan kepada pengguna akhir di AWS IAMKonsol Pusat Identitas untuk memungkinkan mereka mengakses yang sesuai AWS akun. Untuk informasi selengkapnya, lihat Set Izin di AWS IAM Identity Center Panduan Pengguna.

Topik

• Ikhtisar mengelola izin akses ke sumber daya AWS Control Tower Anda

• Menggunakan kebijakan berbasis identitas (kebijakan IAM) untuk AWS Control Tower