Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kebijakan kontrol sumber daya (RCPs)
Kebijakan kontrol sumber daya (RCPs) adalah jenis kebijakan organisasi yang dapat Anda gunakan untuk mengelola izin di organisasi Anda. RCPs menawarkan kontrol pusat atas izin maksimum yang tersedia untuk sumber daya di organisasi Anda. RCPs membantu Anda memastikan sumber daya di akun Anda tetap berada dalam pedoman kontrol akses organisasi Anda. RCPs hanya tersedia di organisasi yang memiliki semua fitur yang diaktifkan. RCPs tidak tersedia jika organisasi Anda hanya mengaktifkan fitur penagihan gabungan. Untuk petunjuk tentang mengaktifkan RCPs, lihatMengaktifkan jenis kebijakan.
RCPs saja tidak cukup dalam memberikan izin ke sumber daya di organisasi Anda. Tidak ada izin yang diberikan oleh RCP. RCP mendefinisikan pagar pembatas izin, atau menetapkan batasan, pada tindakan yang dapat diambil identitas terhadap sumber daya di organisasi Anda. Administrator harus tetap melampirkan kebijakan berbasis identitas ke pengguna atau peran IAM, atau kebijakan berbasis sumber daya ke sumber daya di akun Anda untuk benar-benar memberikan izin. Untuk informasi selengkapnya, lihat Kebijakan berbasis identitas dan kebijakan berbasis sumber daya di Panduan Pengguna IAM.
Izin efektif adalah persimpangan logis antara apa yang diizinkan oleh kebijakan kontrol layanan (SCPs) RCPs dan apa yang diizinkan oleh kebijakan berbasis identitas dan sumber daya.
RCPs tidak memengaruhi sumber daya di akun manajemen
RCPs tidak memengaruhi sumber daya di akun manajemen. Mereka hanya memengaruhi sumber daya di akun anggota dalam organisasi Anda. Ini juga berarti bahwa RCPs berlaku untuk akun anggota yang ditunjuk sebagai administrator yang didelegasikan.
Topik
Daftar dukungan Layanan AWS itu RCPs
RCPs berlaku untuk tindakan sebagai berikut Layanan AWS:
Pengujian efek RCPs
AWS sangat menyarankan agar Anda tidak melampirkan RCPs ke akar organisasi Anda tanpa menguji secara menyeluruh dampak kebijakan terhadap sumber daya di akun Anda. Anda dapat mulai dengan melampirkan RCPs ke akun pengujian individual, memindahkannya ke OUs tingkat yang lebih rendah dalam hierarki, dan kemudian naik melalui struktur organisasi sesuai kebutuhan. Salah satu cara untuk menentukan dampak adalah dengan meninjau AWS CloudTrail log untuk kesalahan Access Denied.
Ukuran maksimal RCPs
Semua karakter dalam RCP Anda dihitung terhadap ukuran maksimumnya. Contoh dalam panduan ini menunjukkan RCPs format dengan ruang putih ekstra untuk meningkatkan keterbacaannya. Namun, untuk menghemat ruang jika ukuran kebijakan Anda mendekati ukuran maksimum, maka Anda dapat menghapus spasi kosong, seperti spasi karakter dan baris putus yang berada di luar tanda kutip.
Tip
Gunakan editor visual untuk membangun RCP Anda. Ia secara otomatis menghilangkan spasi kosong.
Melampirkan RCPs ke berbagai tingkatan dalam organisasi
Anda dapat melampirkan RCPs langsung ke akun individu OUs,, atau root organisasi. Untuk penjelasan rinci tentang cara RCPs kerja, lihatEvaluasi RCP.
Efek RCP pada izin
RCPs adalah jenis kebijakan AWS Identity and Access Management (IAM). Mereka paling erat kaitannya dengan kebijakan berbasis sumber daya. Namun, RCP tidak pernah memberikan izin. Sebagai gantinya, RCPs adalah kontrol akses yang menentukan izin maksimum yang tersedia untuk sumber daya di organisasi Anda. Untuk informasi selengkapnya, lihat Logika evaluasi kebijakan di Panduan Pengguna IAM.
-
RCPs berlaku untuk sumber daya untuk subset. Layanan AWS Untuk informasi selengkapnya, lihat Daftar dukungan Layanan AWS itu RCPs.
-
RCPs hanya mempengaruhi sumber daya yang dikelola oleh akun yang merupakan bagian dari organisasi yang telah melampirkan RCPs. Mereka tidak memengaruhi sumber daya dari akun di luar organisasi. Misalnya, pertimbangkan bucket Amazon S3 yang dimiliki oleh Akun A di suatu organisasi. Kebijakan bucket (kebijakan berbasis sumber daya) memberikan akses ke pengguna dari Akun B di luar organisasi. Akun A memiliki RCP terlampir. RCP tersebut berlaku untuk bucket S3 di Akun A bahkan ketika diakses oleh pengguna dari Akun B. Namun, RCP tersebut tidak berlaku untuk sumber daya di Akun B saat diakses oleh pengguna di Akun A.
-
RCP membatasi izin untuk sumber daya di akun anggota. Sumber daya apa pun di akun hanya memiliki izin yang diizinkan oleh setiap orang tua di atasnya. Jika izin diblokir pada tingkat mana pun di atas akun, sumber daya di akun yang terpengaruh tidak memiliki izin tersebut, meskipun pemilik sumber daya melampirkan kebijakan berbasis sumber daya yang memungkinkan akses penuh ke pengguna mana pun.
-
RCPs berlaku untuk sumber daya yang diotorisasi sebagai bagian dari permintaan operasi. Sumber daya ini dapat ditemukan di kolom “Jenis sumber daya” dari tabel Tindakan di Referensi Otorisasi Layanan. Jika sumber daya ditentukan dalam kolom “Jenis sumber daya”, maka akun utama panggilan diterapkan. RCPs Misalnya,
s3:GetObjectmengotorisasi sumber daya objek. Setiap kaliGetObjectpermintaan dibuat, RCP yang berlaku akan berlaku untuk menentukan apakah prinsipal yang meminta dapat memanggil operasi.GetObjectRCP yang berlaku adalah RCP yang telah dilampirkan ke akun, ke unit organisasi (OU), atau ke akar organisasi yang memiliki sumber daya yang diakses. -
RCPs hanya mempengaruhi sumber daya di akun anggota dalam organisasi. Mereka tidak berpengaruh pada sumber daya di akun manajemen. Ini juga berarti bahwa RCPs berlaku untuk akun anggota yang ditunjuk sebagai administrator yang didelegasikan. Untuk informasi selengkapnya, lihat Praktik terbaik untuk akun manajemen.
-
Ketika prinsipal membuat permintaan untuk mengakses sumber daya dalam akun yang memiliki RCP terlampir (sumber daya dengan RCP yang berlaku), RCP disertakan dalam logika evaluasi kebijakan untuk menentukan apakah prinsipal diizinkan atau ditolak aksesnya.
-
RCPs berdampak pada izin efektif dari kepala sekolah yang mencoba mengakses sumber daya di akun anggota dengan RCP yang berlaku, terlepas dari apakah prinsipal milik organisasi yang sama atau tidak. Ini termasuk pengguna root. Pengecualian adalah ketika prinsipal adalah peran terkait layanan karena RCPs tidak berlaku untuk panggilan yang dibuat oleh peran terkait layanan. Peran terkait layanan memungkinkan Layanan AWS untuk melakukan tindakan yang diperlukan atas nama Anda dan tidak dapat dibatasi oleh. RCPs
-
Pengguna dan peran masih harus diberikan izin dengan kebijakan izin IAM yang sesuai, termasuk kebijakan berbasis identitas dan sumber daya. Pengguna atau peran tanpa kebijakan izin IAM tidak memiliki akses, bahkan jika RCP yang berlaku mengizinkan semua layanan, semua tindakan, dan semua sumber daya.
Sumber daya dan entitas yang tidak dibatasi oleh RCPs
Anda tidak dapat menggunakan RCPs untuk membatasi hal-hal berikut:
-
Tindakan apa pun pada sumber daya di akun manajemen.
-
RCPs tidak memengaruhi izin efektif dari peran terkait layanan apa pun. Peran terkait layanan adalah jenis peran IAM unik yang ditautkan langsung ke AWS layanan dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda. Izin peran terkait layanan tidak dapat dibatasi oleh. RCPs RCPs juga tidak memengaruhi kemampuan AWS layanan untuk mengambil peran terkait layanan; yaitu, kebijakan kepercayaan peran terkait layanan juga tidak terpengaruh oleh. RCPs
-
RCPs tidak berlaku Kunci yang dikelola AWS untuk AWS Key Management Service. Kunci yang dikelola AWS dibuat, dikelola, dan digunakan atas nama Anda oleh Layanan AWS. Anda tidak dapat mengubah atau mengelola izin mereka.
RCPs jangan memengaruhi izin berikut:
Layanan API Sumber daya yang tidak diotorisasi oleh RCPs AWS Key Management Service kms:RetireGrantRCPs tidak mempengaruhi kms:RetireGrantizin. Untuk informasi selengkapnya tentang cara izinkms:RetireGrantditentukan, lihat Pensiun dan pencabut hibah di Panduan Pengembang.AWS KMS
