Manajemen izin

Kelola izin guna mengontrol akses untuk identitas orang dan mesin yang memerlukan akses ke AWS dan beban kerja Anda. Izin memungkinkan Anda mengontrol siapa yang dapat mengakses hal tertentu, beserta kondisinya. Dengan menetapkan izin ke identitas manusia dan mesin tertentu, Anda memberinya akses ke tindakan layanan tertentu di sumber daya tertentu. Selain itu, Anda menentukan kondisi yang harus dipenuhi agar akses dapat diberikan.

Terdapat beberapa cara untuk memberikan akses ke beberapa jenis sumber daya yang berbeda. Salah satunya adalah menggunakan beberapa jenis kebijakan yang berbeda.

Kebijakan berbasis identitas di IAM dikelola atau inline, dan dilampirkan ke identitas IAM, termasuk pengguna, grup, atau peran. Kebijakan ini memungkinkan Anda menentukan apa yang dapat dilakukan oleh identitas (izinnya). Kebijakan berbasis identitas dapat dikategorikan lebih lanjut.

Kebijakan terkelola – Kebijakan berbasis identitas mandiri yang dapat diterapkan ke beberapa pengguna, grup, dan peran dalam akun AWS Anda. Ada dua jenis kebijakan terkelola:

Kebijakan terkelola adalah metode yang diutamakan untuk menerapkan izin. Namun, Anda juga dapat menggunakan kebijakan sebaris yang Anda tambahkan langsung ke pengguna, grup, atau peran tunggal. Kebijakan inline mempertahankan hubungan satu-ke-satu yang ketat antara kebijakan dan sebuah identitas. Kebijakan sebaris akan dihapus saat Anda menghapus identitas.

Di sebagian besar kasus, Anda harus membuat sendiri kebijakan yang dikelola pelanggan dengan mengikuti prinsip hak akses paling rendah.

Kebijakan berbasis sumber daya dilampirkan pada sumber daya. Sebagai contoh, kebijakan bucket S3 merupakan kebijakan berbasis sumber daya. Kebijakan ini memberikan izin kepada principal yang dapat berada di akun yang sama atau berbeda dengan sumber daya. Untuk daftar layanan yang mendukung kebijakan berbasis sumber daya, silakan lihat layanan-layanan AWS yang bisa digunakan dengan IAM.

Batasan izin menggunakan kebijakan terkelola untuk menetapkan izin maksimum yang dapat ditetapkan administrator. Dengan demikian, Anda dapat mendelegasikan kemampuan untuk membuat dan mengelola izin kepada developer, seperti pembuatan peran IAM, tetapi membatasi izin yang dapat mereka berikan agar mereka tidak dapat memperluas izin mereka menggunakan izin yang telah mereka buat.

Kontrol akses berbasis atribut (ABAC): di AWS memungkinkan Anda memberikan izin berdasarkan atribut yang disebut tanda. Tanda dapat dilampirkan pada principal IAM (pengguna atau peran) dan pada sumber daya AWS. Administrator dapat membuat kebijakan IAM yang dapat digunakan kembali yang menerapkan izin berdasarkan atribut principal IAM. Sebagai contoh, sebagai administrator, Anda dapat menggunakan kebijakan IAM tunggal untuk memberi developer di organisasi Anda akses ke sumber daya AWS yang cocok dengan tanda proyek mereka. Seiring tim developer menambahkan sumber daya ke proyek, izin diterapkan secara otomatis berdasarkan atribut, sehingga tidak memerlukan pembaruan kebijakan untuk setiap sumber daya baru.

Kebijakan Kontrol Layanan (SCP) organisasi menentukan izin maksimum untuk anggota akun organisasi atau unit organisasional (OU). SCP membatasi izin yang diberikan oleh kebijakan berbasis identitas atau kebijakan berbasis sumber daya kepada entitas (pengguna atau peran) dalam akun, tetapi tidak memberikan izin.

Kebijakan sesi mengambil peran atau pengguna gabungan. Lewati kebijakan sesi saat menggunakan kebijakan Sesi CLI AWS atau API AWS untuk membatasi izin yang diberikan oleh kebijakan berbasis identitas peran atau pengguna ke sesi tersebut. Kebijakan ini membatasi izin untuk sesi yang dibuat, tetapi tidak memberikan izin. Untuk informasi selengkapnya, lihat Kebijakan Sesi.