Menggunakan otorisasi berbasis tanda untuk mengontrol akses ke tampilan Anda

Memberikan akses ke tampilan Resource Explorer untuk pencarian

Sebelum pengguna dapat mencari dengan tampilan baru, Anda harus memberikan akses kePenjelajah Sumber Daya AWS tampilan. Untuk melakukannya, gunakan kebijakan izin berbasis identitas ke prinsipalAWS Identity and Access Management (IAM) yang perlu mencari dengan tampilan.

Untuk menyediakan akses, tambahkan izin ke pengguna, grup, atau peran Anda:

Pengguna dan grup diAWS IAM Identity Center:

Buat set izin. Ikuti petunjuk di Buat set izin di PanduanAWS IAM Identity Center Pengguna.
Pengguna yang dikelola dalam IAM melalui penyedia identitas:

Buat peran untuk federasi identitas. Ikuti petunjuk dalam Membuat peran untuk penyedia identitas pihak ketiga (federasi) di Panduan Pengguna IAM.
Pengguna IAM:
- Buat peran yang dapat diasumsikan pengguna Anda. Ikuti petunjuk dalam Membuat peran untuk pengguna IAM di Panduan Pengguna IAM.
- (Tidak disarankan) Lampirkan kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk dalam Menambahkan izin ke pengguna (konsol) di Panduan Pengguna IAM.

Anda dapat menggunakan salah satu metode berikut:

Gunakan kebijakanAWS terkelola yang ada. Resource Explorer menyediakan beberapa kebijakanAWS terkelola yang telah ditentukan sebelumnya untuk Anda gunakan. Untuk detail semua kebijakanAWS terkelola yang tersedia, lihatAWS kebijakan terkelola untuk Penjelajah Sumber Daya AWS.

Misalnya, Anda dapat menggunakanAWSResourceExplorerReadOnlyAccess kebijakan untuk memberikan izin pencarian ke semua tampilan di akun.
Buat kebijakan izin Anda sendiri dan tetapkan ke prinsipal. Jika Anda membuat kebijakan sendiri, Anda dapat membatasi akses ke satu tampilan, atau subset tampilan yang tersedia dengan menentukan nama sumber daya Amazon (ARN) dari setiap tampilan dalamResource elemen pernyataan kebijakan. Misalnya, Anda dapat menggunakan kebijakan contoh berikut untuk memberikan prinsipal kemampuan untuk mencari hanya menggunakan satu tampilan tersebut.
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "resource-explorer-2:Search",
                "resource-explorer-2:GetView"
            ],
            "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/MyTestView/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
        }
    ]
}
```
Gunakan konsol IAM untuk membuat kebijakan izin dan menggunakannya dengan prinsipal yang memerlukan izin tersebut. Untuk informasi selengkapnya tentang IAM kebijakan izin, lihat topik berikut:

Menggunakan otorisasi berbasis tanda untuk mengontrol akses ke tampilan Anda

Jika Anda memilih untuk membuat beberapa tampilan dengan filter yang mengembalikan hasil hanya dengan sumber daya tertentu, maka Anda mungkin juga ingin membatasi akses ke tampilan tersebut hanya untuk prinsipal yang perlu melihat sumber daya tersebut. Anda dapat memberikan jenis keamanan ini untuk tampilan di akun Anda dengan menggunakan strategi kontrol akses berbasis atribut (ABAC). Atribut yang digunakan oleh ABAC adalah tag yang dilampirkan baik ke prinsipal yang mencoba melakukan operasi diAWS dan ke sumber daya yang mereka coba akses.

ABAC menggunakan kebijakan izin IAM standar yang melekat pada prinsipal. Kebijakan menggunakanCondition elemen dalam pernyataan kebijakan untuk mengizinkan akses hanya jika tag yang dilampirkan pada prinsipal yang meminta dan tag yang dilampirkan ke sumber daya yang terpengaruh sesuai dengan persyaratan dalam kebijakan.

Misalnya, Anda dapat melampirkan tag"Environment" = "Production" ke semuaAWS sumber daya yang mendukung aplikasi produksi perusahaan Anda. Untuk memastikan bahwa hanya prinsipal yang diizinkan untuk mengakses lingkungan produksi yang dapat melihat sumber daya tersebut, buat tampilan Resource Explorer yang menggunakan tag tersebut sebagai filter. Kemudian, untuk membatasi akses ke tampilan hanya ke prinsipal yang sesuai, Anda memberikan izin menggunakan kebijakan yang memiliki kondisi yang mirip dengan elemen contoh berikut.


{
    "Effect": "Allow",
    "Action": [ "service:Action1", "service:Action2" ],
    "Resource": "arn:aws:arn-of-a-resource",
    "Condition": { "StringEquals": {"aws:ResourceTag/Environment": "${aws:PrincipalTag/Environment}"} }
}

BahwaCondition dalam contoh sebelumnya menetapkan bahwa permintaan diperbolehkan hanya jikaEnvironment tag melekat pada prinsipal membuat permintaan cocokEnvironment tag melekat sumber daya yang ditentukan dalam permintaan. Jika kedua tag tersebut tidak sama persis, atau jika salah satu tag hilang, maka Resource Explorer menolak permintaan tersebut.

penting

Agar berhasil menggunakan ABAC untuk mengamankan akses ke sumber daya Anda, Anda harus terlebih dahulu membatasi akses ke kemampuan untuk menambah atau memodifikasi tag yang melekat pada prinsipal dan sumber daya Anda. Jika pengguna dapat menambah atau memodifikasi tag yang dilampirkanAWS pokok atau sumber daya maka pengguna tersebut dapat memengaruhi izin yang dikendalikan oleh tag tersebut. Di lingkungan ABAC yang aman, hanya administrator keamanan yang disetujui yang memiliki izin untuk menambah atau memodifikasi tag yang dilampirkan ke prinsipal, dan hanya administrator keamanan dan pemilik sumber daya yang dapat menambahkan atau memodifikasi tag yang dilampirkan ke sumber daya.

Untuk informasi selengkapnya tentang IAM strategi ABAC strategi, lihat topik-topik berikut di Panduan Panduan Pengguna IAM:

Setelah Anda memiliki infrastruktur ABAC yang diperlukan, Anda dapat menggunakan mulai menggunakan tag untuk mengontrol siapa yang dapat mencari menggunakan tampilan Resource Explorer di akun Anda. Misalnya kebijakan yang menggambarkan prinsip, lihat contoh kebijakan izin berikut:

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Membuat tampilan

Mengatur tampilan default