Contoh kebijakan berbasis identitas Penjelajah Sumber Daya AWS - Penjelajah Sumber Daya AWS
Praktik terbaik kebijakanMenggunakan konsol Memberikan akses ke tampilan berdasarkan tagMemberikan akses untuk membuat tampilan berdasarkan tagIzinkan para prinsipal untuk melihat izin mereka sendiri

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Contoh kebijakan berbasis identitas Penjelajah Sumber Daya AWS

Secara default,AWS Identity and Access Management IAM), seperti peran, grup, pengguna, tidak memiliki izin untuk membuat atau memodifikasi sumber daya Resource Explorer. Mereka juga tidak dapat melakukan tugas menggunakanAWS Management Console,AWS Command Line Interface (AWS CLI), atauAWS API. Administrator IAM harus membuat kebijakan IAM yang memberi izin kepada prinsipal untuk melakukan operasi API tertentu pada sumber daya yang diperlukan. Kemudian, administrator harus menetapkan kebijakan tersebut ke prinsipal IAM yang memerlukan izin tersebut.

Untuk menyediakan akses, tambahkan izin ke pengguna, grup, atau peran Anda:

Untuk mempelajari cara membuat kebijakan berbasis identitas IAM menggunakan contoh dokumen kebijakan JSON ini, lihat Membuat Kebijakan pada Tab JSON dalam Panduan Pengguna IAM.

Praktik terbaik kebijakan

Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus sumber daya Resource Explorer di akun Anda. Tindakan ini membuat Akun AWS Anda terkena biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:

  • Memulai kebijakanAWS terkelola dan beralih ke izin paling sedikit hak istimewa — Untuk mulai memberikan izin kepada pengguna dan beban kerja Anda, gunakan kebijakanAWS terkelola yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di AndaAkun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelolaAWS pelanggan yang spesifik untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat kebijakanAWSAWS terkelola atau kebijakan terkelola untuk fungsi pekerjaan di Panduan Pengguna IAM.

  • Gunakan izin hak akses IAM — Saat Anda mengatur izin dengan kebijakan IAM, hanya berikan izin yang diperlukan untuk melaksanakan tugas. Anda melakukan ini dengan menentukan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, juga dikenal sebagai izin paling tidak memiliki hak istimewa. Untuk informasi selengkapnya tentang penggunaan IAM untuk menerapkan izin, lihat Kebijakan dan izin di IAM dalam Panduan Pengguna IAM.

  • Gunakan ketentuan dalam kebijakan IAM untuk membatasi akses lebih lanjut — Anda dapat menambahkan kondisi pada kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Misalnya, Anda dapat menulis sebuah kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakan SSL. Anda juga dapat menggunakan kondisi untuk memberikan akses ke tindakan layanan jika digunakan melalui spesifikLayanan AWS, sepertiAWS CloudFormation. Untuk mengetahui informasi lebih lanjut, lihat Elemen Kebijakan IAM JSON: Syarat dalam Panduan Pengguna IAM.

  • Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk memastikan izin yang aman dan fungsional - IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan mematuhi bahasa kebijakan IAM (JSON) dan praktik terbaik IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat validasi kebijakan IAM Access Analyzer di Panduan Pengguna IAM.

  • Memerlukan otentikasi multi-faktor (MFA) — Jika Anda memiliki skenario yang mengharuskan pengguna IAM atau pengguna root di AndaAkun AWS, aktifkan MFA untuk keamanan tambahan. Untuk mewajibkan MFA saat operasi API dipanggil, tambahkan kondisi MFA ke kebijakan Anda. Untuk informasi selengkapnya, lihat Mengonfigurasi akses API yang dilindungi MFA di Panduan Pengguna IAM.

Untuk informasi selengkapnya tentang praktik terbaik dalam IAM, lihat praktik terbaik keamanan di IAM dalam Panduan Pengguna IAM.

Menggunakan konsol Resource Explorer

Agar prinsipal dapat mencari diPenjelajah Sumber Daya AWS konsol tersebut, mereka harus memiliki satu set izin minimum. Jika Anda tidak membuat kebijakan berbasis identitas dengan izin minimum yang diperlukan, konsol Resource Explorer tidak akan berfungsi sebagaimana dimaksudkan untuk prinsipal di akun.

Anda dapat menggunakan kebijakanAWS terkelola bernamaAWSResourceExplorerReadOnlyAccess untuk memberikan kemampuan menggunakan konsol Resource Explorer untuk mencari menggunakan tampilan apa pun di akun. Untuk memberikan izin untuk mencari hanya dengan satu tampilan, lihatMemberikan akses ke tampilan Resource Explorer untuk pencarian, dan contoh dalam dua bagian berikut.

Anda tidak perlu memberikan izin konsol minimum untuk prinsipal yang melakukan panggilan hanya keAWS CLI atauAWS API. Sebagai gantinya, Anda dapat memilih untuk memberikan akses hanya ke tindakan yang cocok dengan operasi API yang perlu dilakukan oleh prinsipal.

Memberikan akses ke tampilan berdasarkan tag

Dalam contoh ini, Anda ingin memberi akses ke tampilan Resource Explorer pada prinsipal di akun tersebut.Akun AWS Untuk melakukan ini, Anda menetapkan kebijakan berbasis identitas IAM ke prinsipal yang ingin Anda cari di Resource Explorer. Contoh berikut kebijakan IAM memberikan akses ke setiap permintaan di manaSearch-Group tag yang dilampirkan ke prinsipal panggilan sama persis dengan nilai untuk tag yang sama yang dilampirkan ke tampilan yang digunakan dalam permintaan.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "resource-explorer-2:GetView",
                "resource-explorer-2:Search"
            ],
            "Resource": "arn:aws:resource-explorer-2:*:*:view/*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/Search-Group": "${aws:PrincipalTag/Search-Group}"}
            }
        }
    ]
}

Anda dapat menetapkan kebijakan ini ke prinsipal IAM di akun Anda. Jika prinsipal dengan tagSearch-Group=A mencoba mencari menggunakan tampilan Resource Explorer, tampilan juga harus ditandaiSearch-Group=A. Jika tidak, maka kepala sekolah ditolak aksesnya. Kunci tanda syarat Search-Group sama dengan kedua Search-group dan search-group karena nama kunci syarat tidak terpengaruh huruf besar/kecil. Untuk informasi lebih lanjut, lihat Elemen Kebijakan IAM JSON: Persyaratan dalam Panduan Pengguna IAM.

penting

Untuk melihat sumber daya Anda dalam hasil pencarian terpadu diAWS Management Console, prinsipal harus memiliki keduanyaGetView danSearch izin untuk tampilan default diWilayah AWS yang berisi indeks agregator. Cara paling sederhana untuk memberikan izin tersebut adalah dengan meninggalkan izin berbasis sumber daya default yang dilampirkan ke tampilan saat Anda mengaktifkan Resource Explorer menggunakan penyiapan Cepat atau Lanjutan.

Untuk skenario ini, Anda dapat mempertimbangkan untuk mengatur tampilan default untuk memfilter sumber daya sensitif dan kemudian menyiapkan tampilan tambahan yang Anda berikan akses berbasis tag seperti yang dijelaskan dalam contoh sebelumnya.

Memberikan akses untuk membuat tampilan berdasarkan tag

Dalam contoh ini, Anda ingin mengizinkan hanya prinsipal yang ditandai sama dengan indeks untuk dapat membuat tampilan diWilayah AWS yang berisi indeks. Untuk melakukan ini, buat izin berbasis identitas untuk memungkinkan prinsipal mencari dengan tampilan.

Sekarang Anda siap untuk membuat izin untuk membuat tampilan. Anda dapat menambahkan pernyataan dalam contoh ini ke kebijakan izin yang sama yang Anda gunakan untuk memberikanSearch izin kepada prinsipal yang sesuai. Tindakan diperbolehkan atau ditolak berdasarkan tag yang dilampirkan pada prinsipal yang memanggil operasi dan indeks bahwa pandangan harus dikaitkan dengan. Contoh berikut kebijakan IAM menolak permintaan apa pun untuk membuat tampilan saat nilaiAllow-Create-View tag yang dilampirkan pada prinsipal pemanggil tidak sama persis dengan nilai tag yang sama yang dilampirkan ke indeks di Wilayah tempat tampilan dibuat.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "resource-explorer-2:CreateView",
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {"aws:ResourceTag/Allow-Create-View": "${aws:PrincipalTag/Allow-Create-View}"}
            }
        }
    ]
}

Izinkan para prinsipal untuk melihat izin mereka sendiri

Contoh ini menunjukkan cara Anda dapat membuat kebijakan yang mengizinkan para pengguna IAM untuk melihat kebijakan inline dan terkelola yang dilampirkan ke identitas pengguna mereka. Kebijakan ini mencakup izin untuk menyelesaikan tindakan pada konsol atau secara terprogram menggunakan API AWS CLI atau AWS.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}