Manajemen akses untuk AWS sumber daya

AWS Identity and Access Management (IAM) adalah layanan web yang membantu Anda mengontrol akses ke AWS sumber daya dengan aman. Ketika kepala sekolah membuat permintaan AWS, kode AWS penegakan memeriksa apakah prinsipal diautentikasi (masuk) dan diotorisasi (memiliki izin). Anda mengelola akses AWS dengan membuat kebijakan dan melampirkannya ke IAM identitas atau AWS sumber daya. Kebijakan adalah JSON dokumen AWS yang, ketika dilampirkan pada identitas atau sumber daya, menentukan izinnya. Untuk informasi selengkapnya tentang jenis dan penggunaan kebijakan, lihat Kebijakan dan izin di AWS Identity and Access Management.

Untuk perincian tentang proses autentikasi dan otorisasi lainnya, lihat Cara kerja IAM.

Selama otorisasi, kode AWS penegakan menggunakan nilai dari konteks permintaan untuk memeriksa kebijakan yang cocok dan menentukan apakah akan mengizinkan atau menolak permintaan.

AWS memeriksa setiap kebijakan yang berlaku untuk konteks permintaan. Jika satu kebijakan menolak permintaan tersebut, AWS tolak seluruh permintaan dan berhenti mengevaluasi kebijakan. Ini disebut penolakan secara tegas. Karena permintaan ditolak secara default, IAM otorisasi permintaan Anda hanya jika setiap bagian dari permintaan Anda diizinkan oleh kebijakan yang berlaku. logika evaluasi untuk permintaan dalam satu akun mengikuti aturan berikut:

• Secara default, semua permintaan ditolak secara implisit. (Atau, secara default, Pengguna root akun AWS memiliki akses penuh.)

• Izin eksplisit dalam kebijakan berbasis identitas atau berbasis sumber daya akan membatalkan pengaturan default ini.

• Jika ada batas izin, OrganizationsSCP, atau kebijakan sesi, mungkin akan mengganti izin dengan penolakan implisit.

• Penolakan secara tegas dalam kebijakan apa pun akan mengesampingkan izin apa pun.

Setelah permintaan Anda diautentikasi dan diotorisasi, AWS setujui permintaan tersebut. Jika Anda perlu mengajukan permintaan di akun yang berbeda, kebijakan di akun lain harus memungkinkan Anda mengakses sumber daya. Selain itu, IAM entitas yang Anda gunakan untuk membuat permintaan harus memiliki kebijakan berbasis identitas yang memungkinkan permintaan tersebut.

Sumber daya manajemen akses

Untuk informasi selengkapnya tentang izin dan tentang pembuatan kebijakan, lihat sumber daya berikut:

Entri berikut di Blog AWS Keamanan mencakup cara-cara umum untuk menulis kebijakan untuk akses ke bucket dan objek Amazon S3.

• IAMKebijakan Penulisan: Cara Memberikan Akses ke Bucket Amazon S3

• IAMKebijakan penulisan: Berikan Akses ke Folder Khusus Pengguna di Bucket Amazon S3

• IAMKebijakan dan Kebijakan Bucket danACLs! Astaga! (Mengontrol Akses ke Sumber Daya S3)

• Primer tentang Izin RDS Tingkat Sumber Daya

• Mengungkap Izin Tingkat Sumber Daya EC2