Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Semua AWS sumber daya, termasuk akarOUs, akun, dan kebijakan dalam organisasi, dimiliki oleh Akun AWS, dan izin untuk membuat atau mengakses sumber daya diatur oleh kebijakan izin. Untuk sebuah organisasi, akun pengelolaannya memiliki semua sumber daya. Administrator akun dapat mengontrol akses ke AWS sumber daya dengan melampirkan kebijakan izin ke IAM identitas (pengguna, grup, dan peran).
catatan
Administrator akun (atau pengguna administrator) adalah pengguna dengan izin administrator. Untuk informasi selengkapnya, lihat Praktik terbaik keamanan IAM di Panduan IAM Pengguna.
Ketika memberikan izin, Anda memutuskan siapa yang mendapatkan izin, sumber daya yang mereka dapatkan izinnya, dan tindakan khusus yang ingin Anda izinkan di sumber daya tersebut.
Secara default, IAM pengguna, grup, dan peran tidak memiliki izin. Sebagai administrator di akun manajemen organisasi, Anda dapat melakukan tugas administratif atau mendelegasikan izin administrator ke IAM pengguna atau peran lain di akun manajemen. Untuk melakukannya, Anda melampirkan kebijakan IAM izin ke IAM pengguna, grup, atau peran. Secara default, pengguna tidak memiliki izin sama sekali; hal ini kadang-kadang disebut penolakan implisit. Kebijakan tersebut menimpa penolakan implisit dengan izin eksplisit yang menentukan tindakan yang dapat dilakukan pengguna, dan sumber daya di mana mereka dapat melakukan tindakan. Jika izin diberikan ke sebuah peran, maka pengguna di akun lain dalam organisasi dapat mengambil peran itu.
AWS Organizations sumber daya dan operasi
Bagian ini membahas bagaimana AWS Organizations konsep memetakan ke konsep IAM -ekuivalennya.
Sumber daya
Di AWS Organizations, Anda dapat mengontrol akses ke sumber daya berikut:
-
Akar dan OUs yang membentuk struktur hierarkis suatu organisasi
-
Akun yang merupakan anggota organisasi
-
Kebijakan yang Anda lampirkan ke entitas dalam organisasi
-
Jabat tangan yang Anda gunakan untuk mengubah status organisasi
Masing-masing sumber daya ini memiliki Amazon Resource Name (ARN) unik yang terkait dengannya. Anda mengontrol akses ke sumber daya dengan menentukannya ARN dalam Resource
elemen kebijakan IAM izin. Untuk daftar lengkap ARN format sumber daya yang digunakan AWS Organizations, lihat Jenis sumber daya yang ditentukan oleh AWS Organizations dalam Referensi Otorisasi Layanan.
Operasi
AWS menyediakan serangkaian operasi untuk bekerja dengan sumber daya dalam suatu organisasi. Mereka memungkinkan Anda untuk melakukan hal-hal seperti membuat, membuat daftar, memodifikasi, mengakses isi, dan menghapus sumber daya. Sebagian besar operasi dapat direferensikan dalam Action
elemen IAM kebijakan untuk mengontrol siapa yang dapat menggunakan operasi itu. Untuk daftar AWS Organizations operasi yang dapat digunakan sebagai izin dalam IAM kebijakan, lihat Tindakan yang ditentukan oleh organisasi dalam Referensi Otorisasi Layanan.
Saat Anda menggabungkan Action
dan sebuah Resource
dalam satu kebijakan izin Statement
, Anda mengontrol dengan tepat sumber daya mana yang set tertentu tindakan dapat digunakan padanya.
Kunci syarat
AWS menyediakan kunci kondisi yang dapat Anda kueri untuk memberikan kontrol yang lebih terperinci atas tindakan tertentu. Anda dapat mereferensikan kunci kondisi ini dalam Condition
elemen IAM kebijakan untuk menentukan keadaan tambahan yang harus dipenuhi agar pernyataan tersebut dianggap cocok.
Kunci kondisi berikut sangat berguna dengan AWS Organizations:
-
aws:PrincipalOrgID
— Menyederhanakan penentuan elemenPrincipal
dalam kebijakan berbasis sumber daya. Kunci global ini memberikan alternatif untuk mencantumkan semua akun IDs untuk semua Akun AWS dalam suatu organisasi. Alih-alih membuat daftar dari semua akun yang merupakan anggota organisasi, Anda dapat menentukan ID Organisasi dalam elemenCondition
.catatan
Syarat global ini juga berlaku pada akun pengelolaan dari suatu organisasi.
Untuk informasi selengkapnya, lihat deskripsi kunci konteks kondisi AWS global
PrincipalOrgID
di Panduan IAM Pengguna. -
aws:PrincipalOrgPaths
— Gunakan kunci syarat ini untuk mencocokkan anggota root organisasi tertentu, OU, atau anak-anaknya. Kunciaws:PrincipalOrgPaths
kondisi mengembalikan nilai true ketika prinsipal (pengguna root, IAM pengguna, atau peran) membuat permintaan berada di jalur organisasi yang ditentukan. Path adalah representasi teks dari struktur AWS Organizations entitas. Untuk informasi selengkapnya tentang jalur, lihat Memahami jalur AWS Organizations entitas di Panduan IAM Pengguna. Untuk informasi selengkapnya tentang menggunakan kunci kondisi ini, lihat aws: PrincipalOrgPaths di Panduan IAM Pengguna.Misalnya, elemen kondisi berikut cocok untuk anggota salah satu dari dua OUs dalam organisasi yang sama.
"Condition": { "ForAnyValue:StringLike": { "aws:PrincipalOrgPaths": [ "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/", "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-jkl0-awsddddd/" ] } }
-
organizations:PolicyType
— Anda dapat menggunakan kunci kondisi ini untuk membatasi API operasi terkait kebijakan Organisasi agar hanya bekerja pada kebijakan Organizations dari jenis yang ditentukan. Anda dapat menerapkan kunci syarat ini untuk setiap pernyataan kebijakan yang mencakup tindakan yang berinteraksi dengan kebijakan Organizations.Anda dapat menggunakan nilai berikut dengan kunci syarat ini:
-
SERVICE_CONTROL_POLICY
-
BACKUP_POLICY
-
TAG_POLICY
-
CHATBOT_POLICY
-
AISERVICES_OPT_OUT_POLICY
Misalnya, kebijakan contoh berikut memungkinkan pengguna untuk melakukan operasi Organizations. Namun, jika pengguna melakukan operasi yang mengambil argumen kebijakan, maka operasi diperbolehkan hanya jika kebijakan tertentu adalah kebijakan penandaan. Operasi gagal jika pengguna menentukan jenis kebijakan lainnya.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "IfTaggingAPIThenAllowOnOnlyTaggingPolicies", "Effect": "Allow", "Action": "organizations:*", "Resource": "*", "Condition": { "StringLikeIfExists": { "organizations:PolicyType": [ "TAG_POLICY" ] } } } ] }
-
-
organizations:ServicePrincipal
— Tersedia sebagai syarat jika Anda menggunakan operasi nableAWSServiceAkses E atau D isableAWSService Access untuk mengaktifkan atau menonaktifkan akses tepercaya dengan AWS layanan lain. Anda dapat menggunakanorganizations:ServicePrincipal
untuk membatasi permintaan yang dibuat operasi tersebut ke daftar nama prinsipal utama layanan yang disetujui.Misalnya, kebijakan berikut memungkinkan pengguna untuk menentukan hanya AWS Firewall Manager saat mengaktifkan dan menonaktifkan akses tepercaya dengan. AWS Organizations
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowOnlyAWSFirewallIntegration", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringLikeIfExists": { "organizations:ServicePrincipal": [ "fms.amazonaws.com" ] } } } ] }
Untuk daftar semua kunci kondisi AWS Organizations khusus yang dapat digunakan sebagai izin dalam IAM kebijakan, lihat Kunci kondisi untuk AWS Organizations Referensi Otorisasi Layanan.
Memahami kepemilikan sumber daya
Akun AWS Memiliki sumber daya yang dibuat di akun, terlepas dari siapa yang menciptakan sumber daya. Secara khusus, pemilik sumber daya adalah entitas utama (yaitu, pengguna root, IAM pengguna, atau IAM peran) yang mengautentikasi permintaan pembuatan sumber daya. Akun AWS Untuk sebuah organisasi, itu selalu akun manajemen. Anda tidak dapat memanggil sebagian besar operasi yang membuat atau mengakses sumber daya organisasi dari akun anggota. Contoh berikut menggambarkan cara kerjanya:
-
Jika Anda menggunakan kredensial akun root dari akun pengelolaan Anda untuk membuat OU, maka akun pengelolaan Anda adalah pemilik sumber daya . (Dalam AWS Organizations, sumber daya adalah OU).
-
Jika Anda membuat IAM pengguna di akun manajemen Anda dan memberikan izin untuk membuat OU kepada pengguna tersebut, pengguna dapat membuat OU. Namun, akun pengelolaan Anda yang memiliki pengguna, memiliki sumber daya OU.
-
Jika Anda membuat IAM peran di akun manajemen Anda dengan izin untuk membuat OU, siapa pun yang dapat mengambil peran tersebut dapat membuat OU. Akun pengelolaan, yang memiliki peran (bukan pengguna yang mengambil), memiliki sumber daya OU.
Mengelola akses ke sumber daya
Kebijakan izin menjelaskan siapa yang memiliki akses ke suatu objek. Bagian berikut menjelaskan opsi yang tersedia untuk membuat kebijakan izin.
catatan
Bagian ini membahas penggunaan IAM dalam konteks. AWS Organizations Itu tidak memberikan informasi rinci tentang IAM layanan. Untuk IAM dokumentasi lengkap, lihat Panduan IAM Pengguna. Untuk informasi tentang sintaks IAM kebijakan dan deskripsi, lihat referensi IAM JSON kebijakan di IAMPanduan Pengguna.
Kebijakan yang melekat pada IAM identitas disebut sebagai kebijakan berbasis identitas (kebijakan)IAM. Kebijakan yang melekat pada sumber daya disebut sebagai kebijakan berbasis sumber daya. AWS Organizations hanya mendukung kebijakan berbasis identitas (kebijakan)IAM.
Kebijakan izin berbasis identitas (kebijakan) IAM
Anda dapat melampirkan kebijakan ke IAM identitas untuk memungkinkan identitas tersebut melakukan operasi pada AWS sumber daya. Misalnya, Anda dapat melakukan hal berikut:
-
Melampirkan kebijakan izin ke pengguna atau grup di akun Anda — Untuk memberikan izin pengguna untuk membuat AWS Organizations sumber daya, seperti kebijakan kontrol layanan (SCP) atau OU, Anda dapat melampirkan kebijakan izin ke pengguna atau grup tempat pengguna tersebut berada. Pengguna atau grup harus ada dalam akun pengelolaan organisasi.
-
Lampirkan kebijakan izin ke peran (berikan izin lintas akun) — Anda dapat melampirkan kebijakan izin berbasis identitas ke IAM peran untuk memberikan akses lintas akun ke organisasi. Misalnya, administrator dalam akun pengelolaan dapat membuat peran untuk memberikan izin lintas akun ke pengguna yang ada dalam akun anggota sebagai berikut:
-
Administrator akun manajemen membuat IAM peran dan melampirkan kebijakan izin ke peran yang memberikan izin ke sumber daya organisasi.
-
Administrator akun pengelolaan melampirkan kebijakan kepercayaan ke peran yang mengidentifikasi ID akun anggota sebagai
Principal
yang dapat mengambil peran tersebut. -
Administrator akun anggota kemudian dapat mendelegasikan izin untuk mengambil peran untuk setiap pengguna yang ada di akun anggota. Dengan melakukan hal ini akan memungkinkan pengguna di akun anggota untuk membuat atau mengakses sumber daya di akun pengelolaan dan organisasi. Prinsipal dalam kebijakan kepercayaan juga dapat menjadi prinsipal AWS layanan jika Anda ingin memberikan izin ke AWS layanan untuk mengambil peran.
Untuk informasi selengkapnya tentang penggunaan IAM untuk mendelegasikan izin, lihat Manajemen Akses di IAMPanduan Pengguna.
-
Berikut ini adalah contoh kebijakan yang memungkinkan pengguna untuk melakukan CreateAccount
tindakan di organisasi Anda.
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"Stmt1OrgPermissions",
"Effect":"Allow",
"Action":[
"organizations:CreateAccount"
],
"Resource":"*"
}
]
}
Anda juga dapat memberikan sebagian ARN Resource
elemen kebijakan untuk menunjukkan jenis sumber daya.
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AllowCreatingAccountsOnResource",
"Effect":"Allow",
"Action":"organizations:CreateAccount",
"Resource":"arn:aws:organizations::*:account/*"
}
]
}
Anda juga dapat menolak pembuatan akun yang tidak menyertakan tag khusus ke akun yang sedang dibuat.
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"DenyCreatingAccountsOnResourceBasedOnTag",
"Effect":"Deny",
"Action":"organizations:CreateAccount",
"Resource":"*",
"Condition":{
"StringEquals":{
"aws:ResourceTag/key":"value"
}
}
}
]
}
Untuk informasi selengkapnya tentang pengguna, grup, peran, dan izin, lihat IAMidentitas (pengguna, grup pengguna, dan peran) di IAMPanduan Pengguna.
Kebijakan berbasis sumber daya
Layanan lain, seperti Amazon S3, men-support kebijakan izin berbasis sumber daya. Misalnya, Anda dapat melampirkan kebijakan ke bucket Amazon S3 untuk mengelola izin akses ke bucket tersebut. AWS Organizations saat ini tidak mendukung kebijakan berbasis sumber daya.
Menentukan elemen kebijakan: Tindakan, syarat, efek, dan sumber daya
Untuk setiap AWS Organizations sumber daya, layanan mendefinisikan serangkaian API operasi, atau tindakan, yang dapat berinteraksi dengan atau memanipulasi sumber daya itu dengan cara tertentu. Untuk memberikan izin untuk operasi ini, AWS Organizations tentukan serangkaian tindakan yang dapat Anda tentukan dalam kebijakan. Misalnya, untuk sumber daya OU, AWS Organizations mendefinisikan tindakan seperti berikut:
-
AttachPolicy
danDetachPolicy
-
CreateOrganizationalUnit
danDeleteOrganizationalUnit
-
ListOrganizationalUnits
danDescribeOrganizationalUnit
Dalam beberapa kasus, melakukan API operasi mungkin memerlukan izin untuk lebih dari satu tindakan dan mungkin memerlukan izin untuk lebih dari satu sumber daya.
Berikut ini adalah elemen paling dasar yang dapat Anda gunakan dalam kebijakan IAM izin:
-
Tindakan – Gunakan kata kunci untuk mengidentifikasi operasi (tindakan) yang ingin Anda izinkan atau tolak. Misalnya, tergantung pada yang ditentukan
Effect
,organizations:CreateAccount
mengizinkan atau menolak izin pengguna untuk melakukan operasi. AWS OrganizationsCreateAccount
Untuk informasi selengkapnya, lihat elemen IAM JSON kebijakan: Tindakan dalam Panduan IAM Pengguna. -
Sumber daya — Gunakan kata kunci ini untuk menentukan sumber daya yang berlaku untuk pernyataan kebijakan. ARN Untuk informasi selengkapnya, lihat elemen IAM JSON kebijakan: Sumber daya dalam Panduan IAM Pengguna.
-
Syarat – Gunakan kata kunci ini untuk menentukan syarat yang harus dipenuhi agar pernyataan kebijakan dapat diterapkan.
Condition
biasanya menentukan keadaan tambahan yang harus BETUL agar kebijakan dapat dicocokkan. Untuk informasi selengkapnya, lihat elemen IAM JSON kebijakan: Kondisi dalam Panduan IAM Pengguna. -
Efek – Gunakan kata kunci ini untuk menentukan apakah pernyataan kebijakan mengizinkan atau menolak tindakan pada sumber daya. Jika Anda tidak secara eksplisit memberikan akses ke (mengizinkan) sumber daya, maka akses akan ditolak secara implisit. Anda juga dapat secara eksplisit menolak akses ke sumber daya, yang mungkin Anda lakukan untuk memastikan bahwa pengguna tidak dapat melakukan tindakan tertentu pada sumber daya tertentu, meskipun kebijakan yang berbeda memberikan akses. Untuk informasi selengkapnya, lihat elemen IAM JSON kebijakan: Efek dalam Panduan IAM Pengguna.
-
Principal — Dalam kebijakan (IAMkebijakan) berbasis identitas, pengguna yang dilampirkan kebijakan secara otomatis dan implisit adalah prinsipal. Untuk kebijakan berbasis sumber daya, Anda menentukan pengguna, akun, layanan, atau entitas lain yang ingin Anda terima izin (hanya berlaku untuk kebijakan berbasis sumber daya). AWS Organizations saat ini hanya mendukung kebijakan berbasis identitas, bukan kebijakan berbasis sumber daya.
Untuk mempelajari lebih lanjut tentang sintaks IAM kebijakan dan deskripsi, lihat referensi IAM JSON kebijakan di IAMPanduan Pengguna.