Membuat, mengelola, dan menghapus set izin - AWS IAM Identity Center

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat, mengelola, dan menghapus set izin

Set izin menentukan tingkat akses yang dimiliki pengguna dan grup ke file Akun AWS. Set izin disimpan di Pusat IAM Identitas dan dapat disediakan untuk satu atau lebih. Akun AWS Anda dapat menetapkan lebih dari satu izin yang disetel ke pengguna. Untuk informasi selengkapnya tentang set izin dan cara penggunaannya di Pusat IAM Identitas, lihatKelola Akun AWS dengan set izin.

catatan

Anda dapat mencari dan mengurutkan set izin berdasarkan nama di konsol Pusat IAM Identitas.

Ingatlah pertimbangan berikut saat membuat set izin:

  • Mulai dengan set izin yang telah ditentukan

    Dengan set izin yang telah ditentukan, yang menggunakan izin yang telah ditentukan sebelumnya, Anda memilih satu kebijakan AWS terkelola dari daftar kebijakan yang tersedia. Setiap kebijakan memberikan tingkat akses tertentu ke AWS layanan dan sumber daya atau izin untuk fungsi pekerjaan umum. Untuk informasi tentang masing-masing kebijakan ini, lihat kebijakan AWS terkelola untuk fungsi pekerjaan. Setelah mengumpulkan data penggunaan, Anda dapat menyempurnakan set izin agar lebih ketat.

  • Batasi durasi sesi manajemen hingga periode kerja yang wajar

    Saat pengguna melakukan federasi Akun AWS dan menggunakan AWS Management Console atau Antarmuka Baris AWS Perintah (AWS CLI), Pusat IAM Identitas menggunakan pengaturan durasi sesi pada set izin untuk mengontrol durasi sesi. Ketika sesi pengguna mencapai durasi sesi, mereka keluar dari konsol dan diminta untuk masuk lagi. Sebagai praktik keamanan terbaik, kami menyarankan agar Anda tidak mengatur durasi sesi lebih lama dari yang diperlukan untuk menjalankan peran. Secara default, nilai untuk durasi Sesi adalah satu jam. Anda dapat menentukan nilai maksimum 12 jam. Untuk informasi selengkapnya, lihat Tetapkan durasi sesi untuk Akun AWS.

  • Batasi durasi sesi portal pengguna tenaga kerja

    Pengguna tenaga kerja menggunakan sesi portal untuk memilih peran dan mengakses aplikasi. Secara default, nilai durasi sesi maksimum, yang menentukan lamanya waktu pengguna tenaga kerja dapat masuk ke portal AWS akses sebelum mereka harus mengautentikasi ulang, adalah delapan jam. Anda dapat menentukan nilai maksimum 90 hari. Untuk informasi selengkapnya, lihat Konfigurasikan durasi sesi portal AWS akses dan aplikasi terintegrasi Pusat IAM Identitas.

  • Gunakan peran yang memberikan izin hak istimewa paling sedikit

    Setiap set izin yang Anda buat dan tetapkan ke pengguna Anda muncul sebagai peran yang tersedia di portal AWS akses. Saat Anda masuk ke portal sebagai pengguna tersebut, pilih peran yang sesuai dengan set izin paling ketat yang dapat Anda gunakan untuk melakukan tugas di akun, bukanAdministratorAccess. Uji set izin Anda untuk memverifikasi bahwa mereka menyediakan akses yang diperlukan sebelum mengirim undangan pengguna.

catatan

Anda juga dapat menggunakan AWS CloudFormationuntuk membuat dan menetapkan set izin dan menetapkan pengguna ke set izin tersebut.

Topik