Mengelola izin akses untuk organisasi AWS Anda - AWS Organizations
Sumber daya dan operasi AWS OrganizationsMemahami kepemilikan sumber dayaMengelola akses ke sumber dayaMenentukan elemen kebijakan: Tindakan, syarat, efek, dan sumber daya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengelola izin akses untuk organisasi AWS Anda

Semua sumber daya AWS, termasuk root, OU, akun, dan kebijakan dalam suatu organisasi, dimiliki olehAkun AWS, dan izin untuk membuat atau mengakses sumber daya diatur oleh kebijakan izin. Untuk sebuah organisasi, akun pengelolaannya memiliki semua sumber daya. Administrator akun dapat mengontrol akses ke sumber daya AWS dengan melampirkan kebijakan izin ke identitas IAM (pengguna, grup, dan peran).

catatan

Administrator akun (atau pengguna administrator) adalah pengguna dengan izin administrator. Untuk informasi selengkapnya tentang administrator, lihat Praktik terbaik keamanan di IAM di dalam Panduan Pengguna IAM.

Ketika memberikan izin, Anda memutuskan siapa yang mendapatkan izin, sumber daya yang mereka dapatkan izinnya, dan tindakan khusus yang ingin Anda izinkan di sumber daya tersebut.

Secara default, pengguna, grup, dan peran IAM tidak memiliki izin. Sebagai administrator di akun pengelolaan sebuah organisasi, Anda dapat melakukan tugas-tugas administratif atau mendelegasikan izin administrator kepada pengguna atau peran IAM lain dalam akun pengelolaan. Untuk melakukannya, Anda harus melampirkan kebijakan izin IAM ke pengguna, grup, atau peran IAM. Secara default, pengguna tidak memiliki izin sama sekali; hal ini kadang-kadang disebut penolakan implisit. Kebijakan tersebut menimpa penolakan implisit dengan izin eksplisit yang menentukan tindakan yang dapat dilakukan pengguna, dan sumber daya di mana mereka dapat melakukan tindakan. Jika izin diberikan ke sebuah peran, maka pengguna di akun lain dalam organisasi dapat mengambil peran itu.

Sumber daya dan operasi AWS Organizations

Bagian ini membahas bagaimana konsep AWS Organizations memetakan ke konsep setara-IAM mereka.

Sumber daya

Di AWS Organizations, Anda dapat mengontrol akses ke sumber daya berikut:

  • Root dan OU yang membentuk struktur hirarkis dari suatu organisasi

  • Akun yang merupakan anggota organisasi

  • Kebijakan yang Anda lampirkan ke entitas dalam organisasi

  • Jabat tangan yang Anda gunakan untuk mengubah status organisasi

Setiap sumber daya ini memiliki Amazon Resource Name (ARN) yang unik yang terkait dengannya. Anda mengontrol akses ke sumber daya dengan menentukan ARN di elemen Resource dari sebuah kebijakan izin IAM. Untuk daftar lengkap format ARN untuk sumber daya yang digunakanAWS Organizations, lihat Jenis sumber daya yang ditentukan oleh AWS Organizations dalam Referensi Otorisasi Layanan.

Operasi

AWS menyediakan serangkaian operasi untuk bekerja dengan sumber daya dalam suatu organisasi. Mereka memungkinkan Anda untuk melakukan hal-hal seperti membuat, membuat daftar, memodifikasi, mengakses isi, dan menghapus sumber daya. Sebagian besar operasi dapat direferensikan dalam elemen Action dari sebuah kebijakan IAM untuk mengontrol siapa yang dapat menggunakan operasi itu. Untuk daftar AWS Organizations operasi yang dapat digunakan sebagai izin dalam kebijakan IAM, lihat Tindakan yang ditentukan oleh AWS Organizations dalam Referensi Otorisasi Layanan.

Saat Anda menggabungkan Action dan sebuah Resource dalam satu kebijakan izin Statement, Anda mengontrol dengan tepat sumber daya mana yang set tertentu tindakan dapat digunakan padanya.

Kunci syarat

AWS menyediakan kunci syarat yang dapat Anda buat kueri-nya untuk memberikan kontrol yang lebih terperinci atas tindakan tertentu. Anda dapat melakukan referensi atas kunci syarat ini di elemen Condition dari sebuah kebijakan IAM untuk menentukan keadaan tambahan yang harus dipenuhi untuk pernyataan yang akan dianggap cocok.

Kunci syarat berikut ini sangat berguna khususnya dengan AWS Organizations:

  • aws:PrincipalOrgID — Menyederhanakan penentuan elemen Principal dalam kebijakan berbasis sumber daya. Kunci global ini menyediakan alternatif untuk mendaftar semua ID akun untuk semua Akun AWS di suatu organisasi. Alih-alih membuat daftar dari semua akun yang merupakan anggota organisasi, Anda dapat menentukan ID Organisasi dalam elemen Condition.

    catatan

    Syarat global ini juga berlaku pada akun pengelolaan dari suatu organisasi.

    Untuk informasi selengkapnya, lihat deskripsi kunci konteks kondisi AWS global PrincipalOrgID di Panduan Pengguna IAM.

  • aws:PrincipalOrgPaths — Gunakan kunci syarat ini untuk mencocokkan anggota root organisasi tertentu, OU, atau anak-anaknya. Kunci syarat aws:PrincipalOrgPaths mengembalikan BETUL ketika prinsipal utama (root user, IAM user, atau peran) membuat permintaan di path organisasi yang ditentukan. Path adalah representasi teks dari struktur dari sebuah entitas AWS Organizations. Untuk informasi selengkapnya tentang jalur, lihat Memahami jalur AWS Organizations entitas di Panduan Pengguna IAM. Untuk informasi selengkapnya tentang penggunaan kunci kondisi ini, lihat aws: PrincipalOrgPaths di Panduan Pengguna IAM.

    Misalnya, elemen syarat berikut cocok untuk anggota dari salah satu dari dua OU yang ada dalam organisasi yang sama.

                "Condition": {
                "ForAnyValue:StringLike": {
                    "aws:PrincipalOrgPaths": [
                        "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
                        "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-jkl0-awsddddd/"
                    ]
                }
            }

  • organizations:PolicyType — Anda dapat menggunakan kunci syarat ini untuk membatasi operasi API terkait kebijakan Organizations untuk bekerja hanya pada kebijakan Organizations dari jenis tertentu. Anda dapat menerapkan kunci syarat ini untuk setiap pernyataan kebijakan yang mencakup tindakan yang berinteraksi dengan kebijakan Organizations.

    Anda dapat menggunakan nilai berikut dengan kunci syarat ini:

    • AISERVICES_OPT_OUT_POLICY

    • BACKUP_POLICY

    • SERVICE_CONTROL_POLICY

    • TAG_POLICY

    Misalnya, kebijakan contoh berikut memungkinkan pengguna untuk melakukan operasi Organizations. Namun, jika pengguna melakukan operasi yang mengambil argumen kebijakan, maka operasi diperbolehkan hanya jika kebijakan tertentu adalah kebijakan penandaan. Operasi gagal jika pengguna menentukan jenis kebijakan lainnya.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "IfTaggingAPIThenAllowOnOnlyTaggingPolicies",
            "Effect": "Allow",
            "Action": "organizations:*",
            "Resource": "*",
            "Condition": { 
                "StringLikeIfExists": {
                    "organizations:PolicyType": [ "TAG_POLICY" ]
                }
            }
        }
    ]
}

  • organizations:ServicePrincipal— Tersedia sebagai kondisi jika Anda menggunakan AWSServiceAccess operasi Aktifkan AWSServiceAccess atau Nonaktifkan untuk mengaktifkan atau menonaktifkan akses tepercaya dengan AWS layanan lain. Anda dapat menggunakan organizations:ServicePrincipal untuk membatasi permintaan yang dibuat operasi tersebut ke daftar nama prinsipal utama layanan yang disetujui.

    Misalnya, kebijakan berikut memungkinkan pengguna untuk menentukan hanya AWS Firewall Manager saat mengaktifkan dan menonaktifkan akses tepercaya dengan AWS Organizations.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowOnlyAWSFirewallIntegration",
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:DisableAWSServiceAccess"
            ],
            "Resource": "*",
            "Condition": { 
                "StringLikeIfExists": {
                    "organizations:ServicePrincipal": [ "fms.amazonaws.com" ]
                }
            }
        }
    ]
}

Untuk daftar semua kunci kondisi AWS Organizations khusus yang dapat digunakan sebagai izin dalam kebijakan IAM, lihat Kunci kondisi untuk Referensi AWS Organizations Otorisasi Layanan.

Memahami kepemilikan sumber daya

Akun AWS memiliki sumber daya yang dibuat dalam akun, terlepas dari siapa yang membuat sumber daya tersebut. Secara khusus, pemilik sumber daya adalah entitas utama (yaitu, pengguna root, pengguna IAM, atau peran IAM) yang mengautentikasi permintaan pembuatan sumber daya. Akun AWS Untuk organisasi AWS, yaitu selalu akun pengelolaan. Anda tidak dapat memanggil sebagian besar operasi yang membuat atau mengakses sumber daya organisasi dari akun anggota. Contoh berikut menggambarkan cara kerjanya:

  • Jika Anda menggunakan kredensial akun root dari akun pengelolaan Anda untuk membuat OU, maka akun pengelolaan Anda adalah pemilik sumber daya . (Dalam AWS Organizations, sumber daya adalah OU.)

  • Jika Anda membuat pengguna IAM dalam akun pengelolaan Anda dan memberikan izin untuk membuat tabel sebuah OU ke pengguna tersebut, maka pengguna dapat membuat OU. Namun, akun pengelolaan Anda yang memiliki pengguna, memiliki sumber daya OU.

  • Jika Anda membuat IAM role di akun pengelolaan Anda dengan izin untuk membuat OU, siapa pun yang dapat menggunakan peran tersebut dapat membuat OU. Akun pengelolaan, yang memiliki peran (bukan pengguna yang mengambil), memiliki sumber daya OU.

Mengelola akses ke sumber daya

Kebijakan izin menjelaskan siapa yang memiliki akses ke suatu objek. Bagian berikut menjelaskan pilihan yang tersedia untuk membuat kebijakan izin.

catatan

Bagian ini membahas penggunaan IAM dalam konteks AWS Organizations. Bagian ini tidak memberikan informasi terperinci tentang layanan IAM. Untuk dokumentasi lengkap IAM, lihat Panduan Pengguna IAM. Untuk informasi tentang sintaks dan deskripsi kebijakan IAM, lihat referensi kebijakan IAM JSON di Panduan Pengguna IAM.

Kebijakan yang terlampir pada identitas IAM disebut sebagai kebijakan berbasis identitas (kebijakan IAM). Kebijakan yang terlampir pada sumber daya disebut sebagai kebijakan berbasis sumber daya. AWS Organizations hanya mendukung kebijakan berbasis identitas (kebijakan IAM).

Kebijakan izin berbasis identitas (kebijakan IAM)

Anda dapat melampirkan kebijakan ke identitas IAM untuk mengizinkan identitas tersebut melakukan operasi di sumber daya AWS. Misalnya, Anda dapat melakukan hal berikut:

  • Melampirkan kebijakan izin ke pengguna atau grup di akun Anda — Untuk memberikan izin pengguna untuk membuat AWS Organizations sumber daya, seperti kebijakan kontrol layanan (SCP) atau OU, Anda dapat melampirkan kebijakan izin ke pengguna atau grup tempat pengguna tersebut berada. Pengguna atau grup harus ada dalam akun pengelolaan organisasi.

  • Melampirkan kebijakan izin untuk peran (memberikan izin lintas akun) – Anda dapat melampirkan kebijakan izin berbasis identitas ke IAM role untuk memberikan izin lintas akun ke sebuah organisasi. Misalnya, administrator dalam akun pengelolaan dapat membuat peran untuk memberikan izin lintas akun ke pengguna yang ada dalam akun anggota sebagai berikut:

    1. Administrator akun pengelolaan membuat IAM role dan melampirkan kebijakan izin untuk peran yang memberikan izin pada sumber daya organisasi.

    2. Administrator akun pengelolaan melampirkan kebijakan kepercayaan ke peran yang mengidentifikasi ID akun anggota sebagai Principal yang dapat mengambil peran tersebut.

    3. Administrator akun anggota kemudian dapat mendelegasikan izin untuk mengambil peran untuk setiap pengguna yang ada di akun anggota. Dengan melakukan hal ini akan memungkinkan pengguna di akun anggota untuk membuat atau mengakses sumber daya di akun pengelolaan dan organisasi. Prinsipal dalam kebijakan kepercayaan juga dapat berupa AWS jika Anda ingin memberikan izin ke layanan AWS untuk mengambil peran.

    Untuk informasi selengkapnya tentang menggunakan IAM untuk mendelegasikan izin, lihat Manajemen Akses dalam Panduan Pengguna IAM.

Berikut ini adalah contoh kebijakan yang memungkinkan pengguna untuk melakukan CreateAccount tindakan di organisasi Anda.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"Stmt1OrgPermissions",
         "Effect":"Allow",
         "Action":[
            "organizations:CreateAccount"
         ],
         "Resource":"*"
      }
   ]
}

Anda juga dapat memberikan ARN sebagian dalam Resource elemen kebijakan untuk menunjukkan jenis sumber daya.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"AllowCreatingAccountsOnResource",
         "Effect":"Allow",
         "Action":"organizations:CreateAccount",
         "Resource":"arn:aws:organizations::*:account/*"
      }
   ]
}

Anda juga dapat menolak pembuatan akun yang tidak menyertakan tag khusus ke akun yang sedang dibuat.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"DenyCreatingAccountsOnResourceBasedOnTag",
         "Effect":"Deny",
         "Action":"organizations:CreateAccount",
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/key":"value"
            }
         }
      }
   ]
}

Untuk informasi selengkapnya tentang pengguna, grup, peran, dan izin, lihat identitas IAM (pengguna, grup pengguna, dan peran) di Panduan Pengguna IAM.

Kebijakan berbasis sumber daya

Layanan lain, seperti Amazon S3, men-support kebijakan izin berbasis sumber daya. Misalnya, Anda dapat melampirkan kebijakan ke bucket Amazon S3 untuk mengelola izin akses ke bucket tersebut. AWS Organizations saat ini tidak men-support kebijakan berbasis sumber daya.

Menentukan elemen kebijakan: Tindakan, syarat, efek, dan sumber daya

Untuk setiap sumber daya AWS Organizations, layanan menentukan serangkaian operasi API, atau tindakan, yang dapat berinteraksi dengan atau memanipulasi sumber daya tersebut dalam beberapa cara. Untuk memberikan izin bagi operasi ini, AWS Organizations menentukan serangkaian tindakan yang dapat Anda tentukan dalam kebijakan. Misalnya, untuk sumber daya OU, AWS Organizations menetapkan tindakan seperti berikut:

  • AttachPolicy dan DetachPolicy

  • CreateOrganizationalUnit dan DeleteOrganizationalUnit

  • ListOrganizationalUnits dan DescribeOrganizationalUnit

Dalam beberapa kasus, melakukan operasi API mungkin memerlukan izin untuk lebih dari satu tindakan dan mungkin memerlukan izin untuk lebih dari satu sumber daya.

Berikut ini adalah elemen paling basic yang dapat Anda gunakan dalam kebijakan izin IAM:

  • Tindakan – Gunakan kata kunci untuk mengidentifikasi operasi (tindakan) yang ingin Anda izinkan atau tolak. Misalnya, tergantung pada Effect, organizations:CreateAccount mengizinkan atau menolak izin pengguna untuk melakukan operasi AWS Organizations CreateAccount. Untuk informasi selengkapnya, lihat elemen kebijakan IAM JSON: Tindakan dalam Panduan Pengguna IAM.

  • Sumber Daya – Gunakan kata kunci ini untuk menentukan ARN dari sumber daya yang kepadanya pernyataan kebijakan berlaku. Untuk informasi selengkapnya, lihat elemen kebijakan IAM JSON: Sumber daya dalam Panduan Pengguna IAM.

  • Syarat – Gunakan kata kunci ini untuk menentukan syarat yang harus dipenuhi agar pernyataan kebijakan dapat diterapkan. Condition biasanya menentukan keadaan tambahan yang harus BETUL agar kebijakan dapat dicocokkan. Untuk informasi selengkapnya, lihat Elemen kebijakan JSON IAM: Syarat di Panduan Pengguna IAM.

  • Efek – Gunakan kata kunci ini untuk menentukan apakah pernyataan kebijakan mengizinkan atau menolak tindakan pada sumber daya. Jika Anda tidak secara eksplisit memberikan akses ke (mengizinkan) sumber daya, maka akses akan ditolak secara implisit. Anda juga dapat secara eksplisit menolak akses ke sumber daya, yang mungkin Anda lakukan untuk memastikan bahwa pengguna tidak dapat melakukan tindakan tertentu pada sumber daya tertentu, meskipun kebijakan yang berbeda memberikan akses. Untuk informasi selengkapnya, lihat elemen kebijakan IAM JSON: Efek dalam Panduan Pengguna IAM.

  • Prinsipal – Dalam kebijakan berbasis identitas (kebijakan IAM), pengguna yang kepadanya kebijakan tersebut terlampir secara otomatis adalah prinsipal. Untuk kebijakan berbasis sumber daya, Anda menentukan pengguna, akun, layanan, atau entitas lain yang ingin Anda terima izinnya (berlaku hanya untuk kebijakan berbasis-sumber daya). AWS Organizations men-support kebijakan berbasis-identitas saat ini, tidak men-support kebijakan berbasis sumber daya.

Untuk mempelajari lebih lanjut tentang sintaks dan deskripsi kebijakan IAM, lihat referensi kebijakan IAM JSON di Panduan Pengguna IAM.