Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Mengelola izin akses untuk organisasi dengan AWS Organizations

Mode fokus
Mengelola izin akses untuk organisasi dengan AWS Organizations - AWS Organizations

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Semua AWS sumber daya, termasuk akarOUs, akun, dan kebijakan dalam organisasi, dimiliki oleh Akun AWS, dan izin untuk membuat atau mengakses sumber daya diatur oleh kebijakan izin. Untuk sebuah organisasi, akun pengelolaannya memiliki semua sumber daya. Administrator akun dapat mengontrol akses ke AWS sumber daya dengan melampirkan kebijakan izin ke IAM identitas (pengguna, grup, dan peran).

catatan

Administrator akun (atau pengguna administrator) adalah pengguna dengan izin administrator. Untuk informasi selengkapnya, lihat Praktik terbaik keamanan IAM di Panduan IAM Pengguna.

Ketika memberikan izin, Anda memutuskan siapa yang mendapatkan izin, sumber daya yang mereka dapatkan izinnya, dan tindakan khusus yang ingin Anda izinkan di sumber daya tersebut.

Secara default, IAM pengguna, grup, dan peran tidak memiliki izin. Sebagai administrator di akun manajemen organisasi, Anda dapat melakukan tugas administratif atau mendelegasikan izin administrator ke IAM pengguna atau peran lain di akun manajemen. Untuk melakukannya, Anda melampirkan kebijakan IAM izin ke IAM pengguna, grup, atau peran. Secara default, pengguna tidak memiliki izin sama sekali; hal ini kadang-kadang disebut penolakan implisit. Kebijakan tersebut menimpa penolakan implisit dengan izin eksplisit yang menentukan tindakan yang dapat dilakukan pengguna, dan sumber daya di mana mereka dapat melakukan tindakan. Jika izin diberikan ke sebuah peran, maka pengguna di akun lain dalam organisasi dapat mengambil peran itu.

AWS Organizations sumber daya dan operasi

Bagian ini membahas bagaimana AWS Organizations konsep memetakan ke konsep IAM -ekuivalennya.

Sumber daya

Di AWS Organizations, Anda dapat mengontrol akses ke sumber daya berikut:

  • Akar dan OUs yang membentuk struktur hierarkis suatu organisasi

  • Akun yang merupakan anggota organisasi

  • Kebijakan yang Anda lampirkan ke entitas dalam organisasi

  • Jabat tangan yang Anda gunakan untuk mengubah status organisasi

Masing-masing sumber daya ini memiliki Amazon Resource Name (ARN) unik yang terkait dengannya. Anda mengontrol akses ke sumber daya dengan menentukannya ARN dalam Resource elemen kebijakan IAM izin. Untuk daftar lengkap ARN format sumber daya yang digunakan AWS Organizations, lihat Jenis sumber daya yang ditentukan oleh AWS Organizations dalam Referensi Otorisasi Layanan.

Operasi

AWS menyediakan serangkaian operasi untuk bekerja dengan sumber daya dalam suatu organisasi. Mereka memungkinkan Anda untuk melakukan hal-hal seperti membuat, membuat daftar, memodifikasi, mengakses isi, dan menghapus sumber daya. Sebagian besar operasi dapat direferensikan dalam Action elemen IAM kebijakan untuk mengontrol siapa yang dapat menggunakan operasi itu. Untuk daftar AWS Organizations operasi yang dapat digunakan sebagai izin dalam IAM kebijakan, lihat Tindakan yang ditentukan oleh organisasi dalam Referensi Otorisasi Layanan.

Saat Anda menggabungkan Action dan sebuah Resource dalam satu kebijakan izin Statement, Anda mengontrol dengan tepat sumber daya mana yang set tertentu tindakan dapat digunakan padanya.

Kunci syarat

AWS menyediakan kunci kondisi yang dapat Anda kueri untuk memberikan kontrol yang lebih terperinci atas tindakan tertentu. Anda dapat mereferensikan kunci kondisi ini dalam Condition elemen IAM kebijakan untuk menentukan keadaan tambahan yang harus dipenuhi agar pernyataan tersebut dianggap cocok.

Kunci kondisi berikut sangat berguna dengan AWS Organizations:

  • aws:PrincipalOrgID — Menyederhanakan penentuan elemen Principal dalam kebijakan berbasis sumber daya. Kunci global ini memberikan alternatif untuk mencantumkan semua akun IDs untuk semua Akun AWS dalam suatu organisasi. Alih-alih membuat daftar dari semua akun yang merupakan anggota organisasi, Anda dapat menentukan ID Organisasi dalam elemen Condition.

    catatan

    Syarat global ini juga berlaku pada akun pengelolaan dari suatu organisasi.

    Untuk informasi selengkapnya, lihat deskripsi kunci konteks kondisi AWS global PrincipalOrgID di Panduan IAM Pengguna.

  • aws:PrincipalOrgPaths — Gunakan kunci syarat ini untuk mencocokkan anggota root organisasi tertentu, OU, atau anak-anaknya. Kunci aws:PrincipalOrgPaths kondisi mengembalikan nilai true ketika prinsipal (pengguna root, IAM pengguna, atau peran) membuat permintaan berada di jalur organisasi yang ditentukan. Path adalah representasi teks dari struktur AWS Organizations entitas. Untuk informasi selengkapnya tentang jalur, lihat Memahami jalur AWS Organizations entitas di Panduan IAM Pengguna. Untuk informasi selengkapnya tentang menggunakan kunci kondisi ini, lihat aws: PrincipalOrgPaths di Panduan IAM Pengguna.

    Misalnya, elemen kondisi berikut cocok untuk anggota salah satu dari dua OUs dalam organisasi yang sama.

    "Condition": { "ForAnyValue:StringLike": { "aws:PrincipalOrgPaths": [ "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/", "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-jkl0-awsddddd/" ] } }
  • organizations:PolicyType— Anda dapat menggunakan kunci kondisi ini untuk membatasi API operasi terkait kebijakan Organisasi agar hanya bekerja pada kebijakan Organizations dari jenis yang ditentukan. Anda dapat menerapkan kunci syarat ini untuk setiap pernyataan kebijakan yang mencakup tindakan yang berinteraksi dengan kebijakan Organizations.

    Anda dapat menggunakan nilai berikut dengan kunci syarat ini:

    • SERVICE_CONTROL_POLICY

    • BACKUP_POLICY

    • TAG_POLICY

    • CHATBOT_POLICY

    • AISERVICES_OPT_OUT_POLICY

    Misalnya, kebijakan contoh berikut memungkinkan pengguna untuk melakukan operasi Organizations. Namun, jika pengguna melakukan operasi yang mengambil argumen kebijakan, maka operasi diperbolehkan hanya jika kebijakan tertentu adalah kebijakan penandaan. Operasi gagal jika pengguna menentukan jenis kebijakan lainnya.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "IfTaggingAPIThenAllowOnOnlyTaggingPolicies", "Effect": "Allow", "Action": "organizations:*", "Resource": "*", "Condition": { "StringLikeIfExists": { "organizations:PolicyType": [ "TAG_POLICY" ] } } } ] }
  • organizations:ServicePrincipal— Tersedia sebagai syarat jika Anda menggunakan operasi nableAWSServiceAkses E atau D isableAWSService Access untuk mengaktifkan atau menonaktifkan akses tepercaya dengan AWS layanan lain. Anda dapat menggunakan organizations:ServicePrincipal untuk membatasi permintaan yang dibuat operasi tersebut ke daftar nama prinsipal utama layanan yang disetujui.

    Misalnya, kebijakan berikut memungkinkan pengguna untuk menentukan hanya AWS Firewall Manager saat mengaktifkan dan menonaktifkan akses tepercaya dengan. AWS Organizations

    { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowOnlyAWSFirewallIntegration", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringLikeIfExists": { "organizations:ServicePrincipal": [ "fms.amazonaws.com" ] } } } ] }

Untuk daftar semua kunci kondisi AWS Organizations khusus yang dapat digunakan sebagai izin dalam IAM kebijakan, lihat Kunci kondisi untuk AWS Organizations Referensi Otorisasi Layanan.

Memahami kepemilikan sumber daya

Akun AWS Memiliki sumber daya yang dibuat di akun, terlepas dari siapa yang menciptakan sumber daya. Secara khusus, pemilik sumber daya adalah entitas utama (yaitu, pengguna root, IAM pengguna, atau IAM peran) yang mengautentikasi permintaan pembuatan sumber daya. Akun AWS Untuk sebuah organisasi, itu selalu akun manajemen. Anda tidak dapat memanggil sebagian besar operasi yang membuat atau mengakses sumber daya organisasi dari akun anggota. Contoh berikut menggambarkan cara kerjanya:

  • Jika Anda menggunakan kredensial akun root dari akun pengelolaan Anda untuk membuat OU, maka akun pengelolaan Anda adalah pemilik sumber daya . (Dalam AWS Organizations, sumber daya adalah OU).

  • Jika Anda membuat IAM pengguna di akun manajemen Anda dan memberikan izin untuk membuat OU kepada pengguna tersebut, pengguna dapat membuat OU. Namun, akun pengelolaan Anda yang memiliki pengguna, memiliki sumber daya OU.

  • Jika Anda membuat IAM peran di akun manajemen Anda dengan izin untuk membuat OU, siapa pun yang dapat mengambil peran tersebut dapat membuat OU. Akun pengelolaan, yang memiliki peran (bukan pengguna yang mengambil), memiliki sumber daya OU.

Mengelola akses ke sumber daya

Kebijakan izin menjelaskan siapa yang memiliki akses ke suatu objek. Bagian berikut menjelaskan opsi yang tersedia untuk membuat kebijakan izin.

catatan

Bagian ini membahas penggunaan IAM dalam konteks. AWS Organizations Itu tidak memberikan informasi rinci tentang IAM layanan. Untuk IAM dokumentasi lengkap, lihat Panduan IAM Pengguna. Untuk informasi tentang sintaks IAM kebijakan dan deskripsi, lihat referensi IAM JSON kebijakan di IAMPanduan Pengguna.

Kebijakan yang melekat pada IAM identitas disebut sebagai kebijakan berbasis identitas (kebijakan)IAM. Kebijakan yang melekat pada sumber daya disebut sebagai kebijakan berbasis sumber daya. AWS Organizations hanya mendukung kebijakan berbasis identitas (kebijakan)IAM.

Kebijakan izin berbasis identitas (kebijakan) IAM

Anda dapat melampirkan kebijakan ke IAM identitas untuk memungkinkan identitas tersebut melakukan operasi pada AWS sumber daya. Misalnya, Anda dapat melakukan hal berikut:

  • Melampirkan kebijakan izin ke pengguna atau grup di akun Anda — Untuk memberikan izin pengguna untuk membuat AWS Organizations sumber daya, seperti kebijakan kontrol layanan (SCP) atau OU, Anda dapat melampirkan kebijakan izin ke pengguna atau grup tempat pengguna tersebut berada. Pengguna atau grup harus ada dalam akun pengelolaan organisasi.

  • Lampirkan kebijakan izin ke peran (berikan izin lintas akun) — Anda dapat melampirkan kebijakan izin berbasis identitas ke IAM peran untuk memberikan akses lintas akun ke organisasi. Misalnya, administrator dalam akun pengelolaan dapat membuat peran untuk memberikan izin lintas akun ke pengguna yang ada dalam akun anggota sebagai berikut:

    1. Administrator akun manajemen membuat IAM peran dan melampirkan kebijakan izin ke peran yang memberikan izin ke sumber daya organisasi.

    2. Administrator akun pengelolaan melampirkan kebijakan kepercayaan ke peran yang mengidentifikasi ID akun anggota sebagai Principal yang dapat mengambil peran tersebut.

    3. Administrator akun anggota kemudian dapat mendelegasikan izin untuk mengambil peran untuk setiap pengguna yang ada di akun anggota. Dengan melakukan hal ini akan memungkinkan pengguna di akun anggota untuk membuat atau mengakses sumber daya di akun pengelolaan dan organisasi. Prinsipal dalam kebijakan kepercayaan juga dapat menjadi prinsipal AWS layanan jika Anda ingin memberikan izin ke AWS layanan untuk mengambil peran.

    Untuk informasi selengkapnya tentang penggunaan IAM untuk mendelegasikan izin, lihat Manajemen Akses di IAMPanduan Pengguna.

Berikut ini adalah contoh kebijakan yang memungkinkan pengguna untuk melakukan CreateAccount tindakan di organisasi Anda.

{ "Version":"2012-10-17", "Statement":[ { "Sid":"Stmt1OrgPermissions", "Effect":"Allow", "Action":[ "organizations:CreateAccount" ], "Resource":"*" } ] }

Anda juga dapat memberikan sebagian ARN Resource elemen kebijakan untuk menunjukkan jenis sumber daya.

{ "Version":"2012-10-17", "Statement":[ { "Sid":"AllowCreatingAccountsOnResource", "Effect":"Allow", "Action":"organizations:CreateAccount", "Resource":"arn:aws:organizations::*:account/*" } ] }

Anda juga dapat menolak pembuatan akun yang tidak menyertakan tag khusus ke akun yang sedang dibuat.

{ "Version":"2012-10-17", "Statement":[ { "Sid":"DenyCreatingAccountsOnResourceBasedOnTag", "Effect":"Deny", "Action":"organizations:CreateAccount", "Resource":"*", "Condition":{ "StringEquals":{ "aws:ResourceTag/key":"value" } } } ] }

Untuk informasi selengkapnya tentang pengguna, grup, peran, dan izin, lihat IAMidentitas (pengguna, grup pengguna, dan peran) di IAMPanduan Pengguna.

Kebijakan berbasis sumber daya

Layanan lain, seperti Amazon S3, men-support kebijakan izin berbasis sumber daya. Misalnya, Anda dapat melampirkan kebijakan ke bucket Amazon S3 untuk mengelola izin akses ke bucket tersebut. AWS Organizations saat ini tidak mendukung kebijakan berbasis sumber daya.

Menentukan elemen kebijakan: Tindakan, syarat, efek, dan sumber daya

Untuk setiap AWS Organizations sumber daya, layanan mendefinisikan serangkaian API operasi, atau tindakan, yang dapat berinteraksi dengan atau memanipulasi sumber daya itu dengan cara tertentu. Untuk memberikan izin untuk operasi ini, AWS Organizations tentukan serangkaian tindakan yang dapat Anda tentukan dalam kebijakan. Misalnya, untuk sumber daya OU, AWS Organizations mendefinisikan tindakan seperti berikut:

  • AttachPolicy dan DetachPolicy

  • CreateOrganizationalUnit dan DeleteOrganizationalUnit

  • ListOrganizationalUnits dan DescribeOrganizationalUnit

Dalam beberapa kasus, melakukan API operasi mungkin memerlukan izin untuk lebih dari satu tindakan dan mungkin memerlukan izin untuk lebih dari satu sumber daya.

Berikut ini adalah elemen paling dasar yang dapat Anda gunakan dalam kebijakan IAM izin:

  • Tindakan – Gunakan kata kunci untuk mengidentifikasi operasi (tindakan) yang ingin Anda izinkan atau tolak. Misalnya, tergantung pada yang ditentukanEffect, organizations:CreateAccount mengizinkan atau menolak izin pengguna untuk melakukan operasi. AWS Organizations CreateAccount Untuk informasi selengkapnya, lihat elemen IAM JSON kebijakan: Tindakan dalam Panduan IAM Pengguna.

  • Sumber daya — Gunakan kata kunci ini untuk menentukan sumber daya yang berlaku untuk pernyataan kebijakan. ARN Untuk informasi selengkapnya, lihat elemen IAM JSON kebijakan: Sumber daya dalam Panduan IAM Pengguna.

  • Syarat – Gunakan kata kunci ini untuk menentukan syarat yang harus dipenuhi agar pernyataan kebijakan dapat diterapkan. Condition biasanya menentukan keadaan tambahan yang harus BETUL agar kebijakan dapat dicocokkan. Untuk informasi selengkapnya, lihat elemen IAM JSON kebijakan: Kondisi dalam Panduan IAM Pengguna.

  • Efek – Gunakan kata kunci ini untuk menentukan apakah pernyataan kebijakan mengizinkan atau menolak tindakan pada sumber daya. Jika Anda tidak secara eksplisit memberikan akses ke (mengizinkan) sumber daya, maka akses akan ditolak secara implisit. Anda juga dapat secara eksplisit menolak akses ke sumber daya, yang mungkin Anda lakukan untuk memastikan bahwa pengguna tidak dapat melakukan tindakan tertentu pada sumber daya tertentu, meskipun kebijakan yang berbeda memberikan akses. Untuk informasi selengkapnya, lihat elemen IAM JSON kebijakan: Efek dalam Panduan IAM Pengguna.

  • Principal — Dalam kebijakan (IAMkebijakan) berbasis identitas, pengguna yang dilampirkan kebijakan secara otomatis dan implisit adalah prinsipal. Untuk kebijakan berbasis sumber daya, Anda menentukan pengguna, akun, layanan, atau entitas lain yang ingin Anda terima izin (hanya berlaku untuk kebijakan berbasis sumber daya). AWS Organizations saat ini hanya mendukung kebijakan berbasis identitas, bukan kebijakan berbasis sumber daya.

Untuk mempelajari lebih lanjut tentang sintaks IAM kebijakan dan deskripsi, lihat referensi IAM JSON kebijakan di IAMPanduan Pengguna.

PrivasiSyarat situsPreferensi cookie
© 2024, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.