Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menggunakan izin hak istimewa paling rendah adalah rekomendasi praktik terbaik. IAM Konsep izin hak istimewa paling rendah adalah memberi pengguna izin yang diperlukan untuk melakukan tugas dan tidak ada izin tambahan. Saat Anda menyiapkan, pertimbangkan bagaimana Anda akan mendukung izin hak istimewa paling sedikit. Pengguna root, pengguna administratif, dan IAM pengguna akses darurat memiliki izin kuat yang tidak diperlukan untuk tugas sehari-hari. Saat Anda mempelajari AWS dan menguji berbagai layanan, kami menyarankan Anda membuat setidaknya satu pengguna tambahan di Pusat IAM Identitas dengan izin yang lebih rendah yang dapat Anda gunakan dalam skenario yang berbeda. Anda dapat menggunakan IAM kebijakan untuk menentukan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu dan kemudian terhubung ke sumber daya tersebut dengan akun istimewa Anda yang lebih rendah.
Jika Anda menggunakan Pusat IAM Identitas, pertimbangkan untuk menggunakan set izin Pusat IAM Identitas untuk memulai. Untuk mempelajari selengkapnya, lihat Membuat set izin di Panduan Pengguna Pusat IAM Identitas.
Jika Anda tidak menggunakan Pusat IAM Identitas, gunakan IAM peran untuk menentukan izin untuk IAM entitas yang berbeda. Untuk mempelajari selengkapnya, lihat IAMpenciptaan peran.
Kedua IAM peran dan set izin Pusat IAM Identitas dapat menggunakan kebijakan AWS terkelola berdasarkan fungsi pekerjaan. Untuk detail tentang izin yang diberikan oleh kebijakan ini, lihatAWS kebijakan terkelola untuk fungsi pekerjaan.
penting
Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan oleh semua pelanggan. AWS Setelah disiapkan, sebaiknya gunakan IAM Access Analyzer untuk membuat kebijakan hak istimewa paling sedikit berdasarkan aktivitas akses yang masuk. AWS CloudTrail Untuk informasi selengkapnya tentang pembuatan kebijakan, lihat pembuatan kebijakan IAM Access Analyzer.
Saat memulai, sebaiknya gunakan kebijakan AWS terkelola untuk memberikan izin. Setelah periode aktivitas sampel yang telah ditentukan sebelumnya (seperti 90 hari) berlalu, Anda dapat meninjau layanan yang diakses orang dan beban kerja. Kemudian Anda dapat membuat kebijakan terkelola pelanggan baru dengan izin yang dikurangi untuk mengganti kebijakan AWS terkelola. Kebijakan baru harus mencakup hanya layanan yang diakses selama periode sampel. Perbarui izin Anda untuk menghapus kebijakan AWS terkelola dan melampirkan kebijakan terkelola pelanggan baru yang Anda buat.