Manajemen akses untuk AWS DataSync - AWS DataSync
DataSync sumber daya dan operasiMemahami kepemilikan sumber dayaMengelola akses ke sumber dayaMenentukan elemen kebijakan: Tindakan, efek, sumber daya, dan prinsipalMenentukan kondisi dalam kebijakan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Manajemen akses untuk AWS DataSync

Setiap AWS sumber daya dimiliki oleh sebuah Akun AWS. Izin untuk membuat, dan mengakses sumber daya diatur oleh kebijakan izin. Administrator akun dapat melampirkan kebijakan izin ke identitas AWS Identity and Access Management (IAM). Beberapa layanan (seperti AWS Lambda) juga mendukung melampirkan kebijakan izin ke sumber daya.

catatan

Administrator akun adalah pengguna dengan hak administrator dalam file Akun AWS. Untuk informasi selengkapnya, lihat Praktik terbaik IAM dalam Panduan Pengguna IAM.

DataSync sumber daya dan operasi

Dalam DataSync, sumber daya utama adalah agen, lokasi, tugas, dan pelaksanaan tugas.

Sumber daya ini memiliki Amazon Resource Name (ARN) yang unik dan terkait dengan sumber daya, seperti yang ditunjukkan di tabel berikut.

Jenis sumber daya Format ARN

Agen ARN

arn:aws:datasync:region:account-id:agent/agent-id
Lokasi ARN

arn:aws:datasync:region:account-id:location/location-id
Tugas ARN

arn:aws:datasync:region:account-id:task/task-id

Eksekusi tugas ARN

arn:aws:datasync:region:account-id:task/task-id/execution/exec-id

Untuk memberikan izin untuk operasi API tertentu, seperti membuat tugas, DataSync menentukan serangkaian tindakan yang dapat Anda tentukan dalam kebijakan izin. Sebuah operasi API dapat memerlukan izin untuk tindakan yang lebih dari satu. Untuk daftar semua tindakan DataSync API dan sumber daya yang diterapkan, lihatDataSync Izin API: Tindakan dan sumber daya.

Memahami kepemilikan sumber daya

Pemilik sumber daya adalah Akun AWS yang menciptakan sumber daya. Artinya, pemilik sumber daya adalah entitas utama (misalnya, peran IAM) yang mengotentikasi permintaan yang menciptakan sumber daya. Akun AWS Contoh berikut menggambarkan bagaimana perilaku ini bekerja:

  • Jika Anda menggunakan kredensi akun root Anda Akun AWS untuk membuat tugas, Anda Akun AWS adalah pemilik sumber daya (di DataSync, sumber daya adalah tugasnya).

  • Jika Anda membuat peran IAM di dalam Akun AWS dan memberikan izin untuk CreateTask tindakan tersebut kepada pengguna tersebut, pengguna dapat membuat tugas. Namun, milik Anda Akun AWS, yang menjadi milik pengguna, memiliki sumber daya tugas.

  • Jika Anda membuat peran IAM Akun AWS dengan izin untuk membuat tugas, siapa pun yang dapat mengambil peran tersebut dapat membuat tugas. Anda Akun AWS, yang menjadi milik peran itu, memiliki sumber daya tugas.

Mengelola akses ke sumber daya

Kebijakan izin menjelaskan siapa yang memiliki akses ke suatu objek. Bagian berikut menjelaskan opsi yang tersedia untuk membuat kebijakan izin.

catatan

Bagian ini membahas penggunaan IAM dalam konteks. DataSync Bagian ini tidak memberikan informasi yang mendetail tentang layanan IAM. Untuk dokumentasi lengkap IAM, lihat Apa yang Dimaksud dengan IAM? dalam Panduan Pengguna IAM. Untuk informasi tentang sintaks dan deskripsi kebijakan IAM, lihat referensi AWS Identity and Access Management kebijakan di Panduan Pengguna IAM.

Kebijakan yang melekat pada identitas IAM disebut sebagai kebijakan berbasis identitas (kebijakan IAM) dan kebijakan yang melekat pada sumber daya disebut sebagai kebijakan berbasis sumber daya. DataSync hanya mendukung kebijakan berbasis identitas (kebijakan IAM).

Kebijakan berbasis identitas

Anda dapat mengelola akses DataSync sumber daya dengan kebijakan IAM. Kebijakan ini dapat membantu Akun AWS administrator melakukan hal berikut dengan DataSync:

  • Berikan izin untuk membuat dan mengelola DataSync sumber daya — Buat kebijakan IAM yang memungkinkan peran IAM dalam Anda Akun AWS untuk membuat dan mengelola DataSync sumber daya, seperti agen, lokasi, dan tugas.

  • Berikan izin untuk peran lain Akun AWS atau peran Layanan AWS— Buat kebijakan IAM yang memberikan izin ke peran IAM di peran yang berbeda atau peran. Akun AWS Layanan AWS Sebagai contoh:

    1. Administrator Akun A membuat peran IAM dan melampirkan kebijakan izin ke peran yang memberikan izin pada sumber daya di Akun A.

    2. Administrator Akun A melampirkan kebijakan kepercayaan pada peran yang mengidentifikasi Akun B sebagai prinsipal yang dapat mengambil peran tersebut.

      Untuk memberikan Layanan AWS izin untuk mengambil peran, administrator Akun A dapat menentukan Layanan AWS sebagai prinsipal dalam kebijakan kepercayaan.

    3. Administrator Akun B kemudian dapat mendelegasikan izin untuk mengambil peran kepada setiap pengguna di Akun B. Hal ini memungkinkan siapa pun yang menggunakan peran di Akun B untuk membuat atau mengakses sumber daya di Akun A.

    Untuk informasi selengkapnya tentang cara menggunakan IAM untuk mendelegasikan izin, lihat Manajemen Akses dalam Panduan Pengguna IAM.

Contoh kebijakan berikut memberikan izin untuk semua List* tindakan pada semua sumber daya. Tindakan ini adalah tindakan hanya-baca dan tidak mengizinkan modifikasi sumber daya.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAllListActionsOnAllResources",
            "Effect": "Allow",
            "Action": [
                "datasync:List*"
            ],
            "Resource": "*"
        }
    ]
}

Untuk informasi selengkapnya tentang penggunaan kebijakan berbasis identitas dengan DataSync, lihat kebijakan terkelola dan kebijakan yang AWS dikelola pelanggan. Untuk informasi selengkapnya tentang identitas IAM, lihat Panduan Pengguna IAM.

Kebijakan berbasis sumber daya

Layanan lain, seperti Amazon S3, juga mendukung izin kebijakan berbasis sumber daya. Misalnya, Anda dapat melampirkan kebijakan ke bucket Amazon S3 untuk mengelola izin akses ke bucket tersebut. Namun, DataSync tidak mendukung kebijakan berbasis sumber daya.

Menentukan elemen kebijakan: Tindakan, efek, sumber daya, dan prinsipal

Untuk setiap DataSync sumber daya (lihatDataSync Izin API: Tindakan dan sumber daya), layanan mendefinisikan sekumpulan operasi API (lihat Tindakan). Untuk memberikan izin untuk operasi API ini, DataSync tentukan serangkaian tindakan yang dapat Anda tentukan dalam kebijakan. Misalnya, untuk DataSync sumber daya, tindakan berikut didefinisikan:CreateTask,DeleteTask, danDescribeTask. Operasi API dapat memerlukan izin untuk lebih dari satu tindakan.

Berikut adalah elemen-elemen kebijakan yang paling dasar:

  • Sumber daya – Dalam kebijakan, Anda menggunakan Amazon Resource Name (ARN) untuk mengidentifikasi sumber daya yang diatur kebijakan. Untuk DataSync sumber daya, Anda dapat menggunakan karakter wildcard (*) dalam kebijakan IAM. Untuk informasi selengkapnya, lihat DataSync sumber daya dan operasi.

  • Tindakan – Anda menggunakan kata kunci tindakan untuk mengidentifikasi operasi sumber daya yang ingin Anda izinkan atau tolak. Misalnya, tergantung pada Effect elemen yang ditentukan, datasync:CreateTask izin mengizinkan atau menolak izin pengguna untuk melakukan operasi. DataSync CreateTask

  • Efek - Anda menentukan efek saat pengguna meminta tindakan tertentu—efek ini dapat berupa atau. Allow Deny Jika Anda tidak secara eksplisit memberikan akses ke (Allow) sumber daya, akses secara implisit ditolak. Anda juga dapat secara eksplisit menolak akses ke sumber daya, yang mungkin Anda lakukan untuk memastikan bahwa pengguna tidak dapat mengaksesnya, meskipun kebijakan lain memberikan akses kepada pengguna tersebut. Untuk informasi selengkapnya, lihat Otorisasi di Panduan Pengguna IAM.

  • Prinsipal – Dalam kebijakan berbasis identitas (Kebijakan IAM), pengguna yang dilampiri kebijakan adalah prinsipal secara implisit. Untuk kebijakan berbasis sumber daya, Anda menentukan pengguna, akun, layanan, atau entitas lain yang ingin Anda terima izin (hanya berlaku untuk kebijakan berbasis sumber daya). DataSynctidak mendukung kebijakan berbasis sumber daya.

Untuk mempelajari lebih lanjut tentang sintaks dan deskripsi kebijakan IAM, lihat referensi AWS Identity and Access Management kebijakan di Panduan Pengguna IAM.

Untuk tabel yang menampilkan semua tindakan DataSync API, lihatDataSync Izin API: Tindakan dan sumber daya.

Menentukan kondisi dalam kebijakan

Ketika Anda memberikan izin, Anda dapat menggunakan bahasa kebijakan IAM untuk menentukan syarat kapan kebijakan akan berlaku ketika memberikan izin. Misalnya, Anda mungkin ingin kebijakan diterapkan hanya setelah tanggal tertentu. Untuk informasi selengkapnya tentang menentukan kondisi dalam bahasa kebijakan, lihat Kondisi di Panduan Pengguna IAM.

Untuk menyatakan kondisi, Anda menggunakan kunci kondisi standar. Tidak ada kunci kondisi khusus untuk DataSync. Namun, ada tombol kondisi AWS lebar yang dapat Anda gunakan sesuai kebutuhan. Untuk daftar lengkap tombol AWS lebar, lihat Kunci yang tersedia di Panduan Pengguna IAM.