Kebijakan berbasis identitas Klasifikasi tingkat akses kebijakan

Pemberitahuan akhir dukungan: Pada 10 September 2025, AWS akan menghentikan dukungan untuk. AWS RoboMaker Setelah 10 September 2025, Anda tidak akan lagi dapat mengakses AWS RoboMaker konsol atau AWS RoboMaker sumber daya. Untuk informasi lebih lanjut tentang transisi ke AWS Batch untuk membantu menjalankan simulasi kontainer, kunjungi posting blog ini.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Apa itu kebijakan?

Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke IAM identitas atau AWS sumber daya.

catatan

Untuk memulai dengan cepat, tinjau informasi pengantar Kontrol autentikasi dan akses untuk AWS RoboMaker dan kemudian lihatMemulai dengan IAM.

Kebijakan adalah objek AWS yang, ketika dikaitkan dengan entitas atau sumber daya, menentukan izinnya. AWS mengevaluasi kebijakan ini ketika prinsipal, seperti pengguna, membuat permintaan. Izin dalam kebijakan menentukan apakah permintaan diizinkan atau ditolak. Sebagian besar kebijakan disimpan AWS sebagai JSON dokumen.

IAMkebijakan menentukan izin untuk tindakan terlepas dari metode yang Anda gunakan untuk melakukan operasi. Misalnya, jika kebijakan mengizinkan GetUsertindakan, maka pengguna dengan kebijakan itu bisa mendapatkan informasi pengguna dari AWS Management Console, AWS CLI, atau AWS API. Saat membuat IAM pengguna, Anda dapat mengatur pengguna untuk mengizinkan konsol atau akses terprogram. IAMPengguna dapat masuk ke konsol menggunakan nama pengguna dan kata sandi. Atau mereka dapat menggunakan kunci akses untuk bekerja dengan CLI atauAPI.

Untuk memberikan akses, menambahkan izin ke pengguna, grup, atau peran Anda:

Pengguna dan grup di AWS IAM Identity Center:

Buat rangkaian izin. Ikuti instruksi di Buat rangkaian izin di Panduan Pengguna AWS IAM Identity Center .
Pengguna yang dikelola IAM melalui penyedia identitas:

Buat peran untuk federasi identitas. Ikuti petunjuk di Membuat peran untuk penyedia identitas pihak ketiga (federasi) di Panduan IAM Pengguna.
IAMpengguna:
- Buat peran yang dapat diambil pengguna Anda. Ikuti petunjuk di Buat peran untuk IAM pengguna di Panduan IAM Pengguna.
- (Tidak disarankan) Pasang kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk di Menambahkan izin ke pengguna (konsol) di Panduan IAM Pengguna.

Kebijakan yang tidak didukung dengan AWS RoboMaker

Kebijakan berbasis sumber daya dan daftar kontrol Access (ACLs) tidak didukung oleh. AWS RoboMaker Untuk informasi selengkapnya, lihat Jenis kebijakan di Panduan IAM Pengguna.

Kebijakan berbasis identitas

Anda dapat melampirkan kebijakan ke IAM identitas. Misalnya, Anda dapat melakukan hal berikut:

Lampirkan kebijakan izin ke pengguna atau grup di akun Anda — Untuk memberikan izin pengguna untuk membuat AWS RoboMaker sumber daya, seperti aplikasi robot, Anda dapat melampirkan kebijakan izin ke pengguna atau grup tempat pengguna tersebut berada.
Lampirkan kebijakan izin ke peran (berikan izin lintas akun) — Anda dapat melampirkan kebijakan izin berbasis identitas ke peran untuk memberikan izin lintas akun. IAM Misalnya, administrator di akun A dapat membuat peran untuk memberikan izin lintas akun ke AWS akun lain (misalnya, akun B) atau AWS layanan sebagai berikut:
1. Akun Administrator membuat IAM peran dan melampirkan kebijakan izin ke peran yang memberikan izin pada sumber daya di akun A.
2. Administrator akun A melampirkan kebijakan kepercayaan pada akun identifikasi peran B sebagai penanggung jawab yang dapat menjalankan peran tersebut.
3. Administrator Akun B kemudian dapat mendelegasikan izin untuk mengambil peran kepada setiap pengguna di akun B. Melakukan hal ini memungkinkan pengguna di akun B untuk membuat atau mengakses sumber daya di akun A. Prinsip dalam kebijakan kepercayaan juga dapat menjadi prinsipal AWS layanan jika Anda ingin memberikan izin AWS layanan untuk mengambil peran.
Untuk informasi selengkapnya tentang penggunaan IAM untuk mendelegasikan izin, lihat Manajemen Akses di IAMPanduan Pengguna.

Untuk informasi selengkapnya tentang pengguna, grup, peran, dan izin, lihat Identitas (Pengguna, Grup, dan Peran) di IAMPanduan Pengguna.

Klasifikasi tingkat akses kebijakan

Di IAM konsol, tindakan dikelompokkan menggunakan klasifikasi tingkat akses berikut:

Daftar - Memberikan izin untuk mencantumkan sumber daya dalam layanan untuk menentukan apakah suatu objek ada. Tindakan dengan tingkat akses ini dapat mencantumkan objek tetapi tidak dapat melihat isi sumber daya. Sebagian besar tindakan dengan tingkat akses Daftar tidak dapat dilakukan pada sumber daya tertentu. Bila Anda membuat pernyataan kebijakan dengan tindakan ini, Anda harus menentukan Semua sumber daya ("*").
Baca — Memberikan izin untuk membaca tetapi tidak mengedit konten dan atribut sumber daya dalam layanan. Misalnya, tindakan Amazon S3 GetObject and GetBucketLocation memiliki tingkat akses Baca.
Menulis — Memberikan izin untuk membuat, menghapus, atau memodifikasi sumber daya dalam layanan. Misalnya, tindakan Amazon S3 CreateBucket, DeleteBucket dan PutObject memiliki tingkat akses Tulis.
Manajemen izin - Memberikan izin untuk memberikan atau memodifikasi izin sumber daya dalam layanan. Misalnya, sebagian besar IAM dan tindakan AWS Organizations kebijakan memiliki tingkat akses manajemen Izin.

Kiat
Untuk meningkatkan keamanan AWS akun Anda, batasi atau pantau secara teratur kebijakan yang mencakup klasifikasi tingkat akses manajemen Izin.
Penandaan — Memberikan izin untuk membuat, menghapus, atau memodifikasi tag yang dilampirkan ke sumber daya dalam layanan. Misalnya, Amazon EC2 CreateTags dan DeleteTags tindakan memiliki tingkat akses Tagging.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Kontrol autentikasi dan akses

Kebijakan yang dikelola AWS