Buat set izin - AWS IAM Identity Center
Buat set izin yang menerapkan izin hak istimewa paling sedikit

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat set izin

Set izin disimpan di Pusat IAM Identitas dan menentukan tingkat akses yang dimiliki pengguna dan grup ke Akun AWS. Set izin pertama yang Anda buat adalah set izin administratif. Jika Anda menyelesaikan salah satu dari Memulai tutorial Anda sudah membuat set izin administratif Anda. Gunakan prosedur ini untuk membuat kumpulan izin seperti yang dijelaskan dalam topik kebijakan AWS terkelola untuk fungsi pekerjaan di Panduan IAM Pengguna.

  1. Lakukan salah satu dari berikut ini untuk masuk ke AWS Management Console.

    • Baru di AWS (pengguna root) - Masuk sebagai pemilik akun dengan memilih pengguna Root dan memasukkan alamat Akun AWS email Anda. Di laman berikutnya, masukkan kata sandi.

    • Sudah menggunakan AWS (IAMkredensial) — Masuk menggunakan IAM kredensional Anda dengan izin administratif.

  2. Buka konsol Pusat IAM Identitas.

  3. Di panel navigasi Pusat IAM Identitas, di bawah Izin multi-akun, pilih Set izin.

  4. Pilih Buat set izin.

    1. Pada halaman Pilih jenis set izin, di bagian Jenis set izin, pilih Set izin yang telah ditentukan sebelumnya.

    2. Di bagian Kebijakan untuk set izin yang telah ditentukan sebelumnya, pilih salah satu dari berikut ini:

      • AdministratorAccess

      • Penagihan

      • DatabaseAdministrator

      • DataScientist

      • NetworkAdministrator

      • PowerUserAccess

      • ReadOnlyAccess

      • SecurityAudit

      • SupportUser

      • SystemAdministrator

      • ViewOnlyAccess

  5. Pada halaman Tentukan detail set izin, pertahankan pengaturan default dan pilih Berikutnya. Pengaturan default membatasi sesi Anda menjadi satu jam.

  6. Pada halaman Tinjau dan buat, konfirmasikan hal berikut:

    1. Untuk Langkah 1: Pilih jenis set izin, menampilkan jenis set izin yang Anda pilih.

    2. Untuk Langkah 2: Tentukan rincian set izin, menampilkan nama set izin yang Anda pilih.

    3. Pilih Buat.

Buat set izin yang menerapkan izin hak istimewa paling sedikit

Untuk mengikuti praktik terbaik menerapkan izin hak istimewa terkecil, setelah Anda membuat set izin administratif, Anda membuat set izin yang lebih ketat dan menetapkannya ke satu atau beberapa pengguna. Set izin yang dibuat dalam prosedur sebelumnya memberikan titik awal bagi Anda untuk menilai jumlah akses ke sumber daya yang dibutuhkan pengguna Anda. Untuk beralih ke izin hak istimewa terkecil, Anda dapat menjalankan IAM Access Analyzer untuk memantau prinsipal dengan kebijakan terkelola. AWS Setelah mengetahui izin yang mereka gunakan, Anda dapat menulis kebijakan khusus atau membuat kebijakan hanya dengan izin yang diperlukan untuk tim Anda.

Dengan Pusat IAM Identitas, Anda dapat menetapkan beberapa set izin ke pengguna yang sama. Pengguna administratif Anda juga harus diberi set izin tambahan yang lebih ketat. Dengan begitu, mereka dapat mengakses Anda hanya Akun AWS dengan izin yang diperlukan, daripada selalu menggunakan izin administratif mereka.

Misalnya, jika Anda seorang pengembang, setelah membuat pengguna administratif di Pusat IAM Identitas, Anda dapat membuat set izin baru yang memberikan izin, lalu menetapkan PowerUserAccess izin yang disetel ke diri Anda sendiri. Tidak seperti set izin administratif, yang menggunakan AdministratorAccess izin, set PowerUserAccess izin tidak mengizinkan pengelolaan IAM pengguna dan grup. Ketika Anda masuk ke portal AWS akses untuk mengakses AWS akun Anda, Anda dapat memilih PowerUserAccess daripada AdministratorAccess untuk melakukan tugas pengembangan di akun.

Perhatikan sejumlah pertimbangan berikut:

  • Untuk memulai dengan cepat dengan membuat set izin yang lebih ketat, gunakan set izin yang telah ditentukan sebelumnya daripada set izin khusus.

    Dengan set izin yang telah ditentukan, yang menggunakan izin yang telah ditentukan sebelumnya, Anda memilih satu kebijakan AWS terkelola dari daftar kebijakan yang tersedia. Setiap kebijakan memberikan tingkat akses tertentu ke AWS layanan dan sumber daya atau izin untuk fungsi pekerjaan umum. Untuk informasi tentang masing-masing kebijakan ini, lihat kebijakan AWS terkelola untuk fungsi pekerjaan.

  • Anda dapat mengonfigurasi durasi sesi untuk izin yang disetel untuk mengontrol lamanya waktu pengguna masuk Akun AWS.

    Saat pengguna melakukan federasi Akun AWS dan menggunakan AWS Management Console atau AWS Command Line Interface (AWS CLI), Pusat IAM Identitas menggunakan setelan durasi sesi pada izin yang ditetapkan untuk mengontrol durasi sesi. Secara default, nilai untuk durasi Sesi, yang menentukan lamanya waktu pengguna dapat masuk Akun AWS sebelum AWS menandatangani pengguna keluar dari sesi, disetel ke satu jam. Anda dapat menentukan nilai maksimum 12 jam. Untuk informasi selengkapnya, lihat Tetapkan durasi sesi untuk Akun AWS.

  • Anda juga dapat mengonfigurasi durasi sesi portal AWS akses untuk mengontrol lamanya waktu pengguna tenaga kerja masuk ke portal.

    Secara default, nilai durasi sesi maksimum, yang menentukan lamanya waktu pengguna tenaga kerja dapat masuk ke portal AWS akses sebelum mereka harus mengautentikasi ulang, adalah delapan jam. Anda dapat menentukan nilai maksimum 90 hari. Untuk informasi selengkapnya, lihat Konfigurasikan durasi sesi portal AWS akses dan aplikasi terintegrasi Pusat IAM Identitas.

  • Saat Anda masuk ke portal AWS akses, pilih peran yang memberikan izin hak istimewa paling sedikit.

    Setiap set izin yang Anda buat dan tetapkan ke pengguna Anda muncul sebagai peran yang tersedia di portal AWS akses. Saat Anda masuk ke portal sebagai pengguna tersebut, pilih peran yang sesuai dengan set izin paling ketat yang dapat Anda gunakan untuk melakukan tugas di akun, bukanAdministratorAccess.

  • Anda dapat menambahkan pengguna lain ke Pusat IAM Identitas dan menetapkan set izin yang ada atau baru untuk pengguna tersebut.

    Untuk informasi, lihat,Tetapkan Akun AWS akses untuk grup.