Izin khusus untuk kebijakan AWS terkelola dan terkelola pelanggan - AWS IAM Identity Center
Kebijakan inlineAWS kebijakan terkelolaKebijakan yang dikelola pelangganBatas izin

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Izin khusus untuk kebijakan AWS terkelola dan terkelola pelanggan

Anda dapat membuat set izin dengan izin khusus, menggabungkan kebijakan AWS terkelola dan terkelola pelanggan yang Anda miliki di AWS Identity and Access Management (IAM) bersama dengan kebijakan sebaris. Anda juga dapat menyertakan batas izin, menyetel izin maksimum yang dapat diberikan oleh kebijakan lain kepada pengguna yang ditetapkan izin Anda.

Untuk petunjuk tentang cara membuat set izin, lihatMembuat, mengelola, dan menghapus set izin.

Jenis kebijakan yang dapat dilampirkan ke set izin

Kebijakan inline

Anda dapat melampirkan kebijakan inline ke set izin. Kebijakan sebaris adalah blok teks yang diformat sebagai IAM kebijakan yang Anda tambahkan langsung ke set izin. Anda dapat menempelkan kebijakan, atau membuat kebijakan baru dengan alat pembuatan kebijakan di konsol Pusat IAM Identitas saat Anda membuat set izin baru. Anda juga dapat membuat IAM kebijakan dengan AWS Policy Generator.

Saat Anda menerapkan set izin dengan kebijakan sebaris, Pusat IAM Identitas akan membuat IAM kebijakan di Akun AWS tempat Anda menetapkan set izin. IAMPusat Identitas membuat kebijakan saat Anda menetapkan izin yang disetel ke akun. Kebijakan tersebut kemudian dilampirkan pada IAM peran Anda Akun AWS yang diasumsikan pengguna Anda.

Saat Anda membuat kebijakan sebaris dan menetapkan set izin, Pusat IAM Identitas akan mengonfigurasi kebijakan untuk Anda Akun AWS . Saat membuat set izinKebijakan yang dikelola pelanggan, Anda harus membuat kebijakan Akun AWS sendiri sebelum menetapkan set izin.

AWS kebijakan terkelola

Anda dapat melampirkan kebijakan AWS terkelola ke set izin Anda. AWS Kebijakan terkelola adalah IAM kebijakan yang AWS memelihara. Sebaliknya, Kebijakan yang dikelola pelanggan adalah IAM kebijakan di akun Anda yang Anda buat dan pertahankan. AWS kebijakan terkelola menangani kasus penggunaan hak istimewa paling umum di Anda Akun AWS. Anda dapat menetapkan kebijakan AWS terkelola sebagai izin untuk peran yang dibuat Pusat IAM Identitas, atau sebagai batas izin.

AWS memelihara kebijakan AWS terkelola untuk fungsi pekerjaan yang menetapkan izin akses khusus pekerjaan ke sumber daya Anda. AWS Anda dapat menambahkan satu kebijakan fungsi pekerjaan ketika Anda memilih untuk menggunakan izin yang telah ditentukan sebelumnya dengan set izin Anda. Saat memilih Izin khusus, Anda dapat menambahkan lebih dari satu kebijakan fungsi pekerjaan.

Anda Akun AWS juga berisi sejumlah besar IAM kebijakan AWS terkelola untuk spesifik Layanan AWS dan kombinasi Layanan AWS. Saat membuat set izin dengan izin khusus, Anda dapat memilih dari banyak kebijakan AWS terkelola tambahan yang akan ditetapkan ke set izin Anda.

AWS mengisi setiap Akun AWS dengan kebijakan AWS terkelola. Untuk menerapkan izin yang disetel dengan kebijakan AWS terkelola, Anda tidak perlu terlebih dahulu membuat kebijakan di. Akun AWS Saat membuat set izinKebijakan yang dikelola pelanggan, Anda harus membuat kebijakan Akun AWS sendiri sebelum menetapkan set izin.

Untuk informasi selengkapnya tentang kebijakan AWS AWS terkelola, lihat kebijakan terkelola di Panduan IAM Pengguna.

Kebijakan yang dikelola pelanggan

Anda dapat melampirkan kebijakan yang dikelola pelanggan ke set izin Anda. Kebijakan yang dikelola pelanggan adalah IAM kebijakan di akun Anda yang Anda buat dan pertahankan. Sebaliknya, AWS kebijakan terkelola adalah IAM kebijakan di akun Anda yang AWS memelihara. Anda dapat menetapkan kebijakan terkelola pelanggan sebagai izin untuk peran yang dibuat Pusat IAM Identitas, atau sebagai batas izin.

Saat membuat set izin dengan kebijakan terkelola pelanggan, Anda harus membuat IAM kebijakan dengan nama dan jalur yang sama di masing-masing Akun AWS tempat Pusat IAM Identitas menetapkan set izin. Jika Anda menentukan jalur khusus, pastikan untuk menentukan jalur yang sama di masing-masing Akun AWS jalur. Untuk informasi selengkapnya, lihat Nama dan jalur ramah di Panduan IAM Pengguna. IAMIdentity Center melampirkan IAM kebijakan ke IAM peran yang dibuatnya dalam diri Anda Akun AWS. Sebagai praktik terbaik, terapkan izin yang sama ke kebijakan di setiap akun tempat Anda menetapkan izin yang ditetapkan. Untuk informasi selengkapnya, lihat Gunakan IAM kebijakan dalam set izin.

Untuk informasi selengkapnya, lihat Kebijakan yang dikelola pelanggan di Panduan IAM Pengguna.

Batas izin

Anda dapat melampirkan batas izin ke set izin Anda. Batas izin adalah kebijakan AWS terkelola atau terkelola pelanggan yang menetapkan izin maksimum yang dapat diberikan oleh IAM kebijakan berbasis identitas kepada prinsipal. IAM Saat Anda menerapkan batas izin, Anda Kebijakan inlineKebijakan yang dikelola pelanggan, dan tidak AWS kebijakan terkelola dapat memberikan izin apa pun yang melebihi izin yang diberikan oleh batas izin Anda. Batas izin tidak memberikan izin apa pun, melainkan membuatnya sehingga IAM mengabaikan semua izin di luar batas.

Bila Anda membuat set izin dengan kebijakan terkelola pelanggan sebagai batas izin, Anda harus membuat IAM kebijakan dengan nama yang sama di setiap Akun AWS tempat Pusat IAM Identitas menetapkan set izin. IAMPusat Identitas melampirkan IAM kebijakan sebagai batas izin ke IAM peran yang dibuatnya dalam Anda. Akun AWS

Untuk informasi selengkapnya, lihat Batas izin untuk IAM entitas di Panduan IAM Pengguna.