Mengontrol akses ke dan untuk pengguna dan peran IAM menggunakan tag - AWS Identity and Access Management
Mengontrol akses untuk prinsipal IAMMengontrol akses berdasarkan kunci tag

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengontrol akses ke dan untuk pengguna dan peran IAM menggunakan tag

Gunakan informasi di bagian berikut untuk mengontrol siapa yang dapat mengakses pengguna dan peran IAM Anda serta sumber daya apa yang dapat diakses pengguna dan peran Anda. Untuk informasi lebih umum dan contoh pengendalian akses ke AWS sumber daya lain, termasuk sumber daya IAM lainnya, lihatMenandai sumber daya IAM.

catatan

Untuk detail tentang sensitivitas huruf besar untuk kunci tag dan nilai kunci tag, lihatCase sensitivity.

Tag dapat diberikan ke sumber daya IAM, melewati permintaan, atau diberikan pada prinsipal yang membuat permintaan. Pengguna atau peran IAM dapat berupa sumber daya dan prinsipal. Misalnya, Anda dapat menulis sebuah kebijakan yang mengizinkan pengguna untuk mencantumkan grup untuk pengguna. Operasi ini hanya diizinkan jika pengguna yang mengajukan permintaan (principal) memiliki tanda project=blue yang sama sebagai pengguna yang mereka coba lihat. Dalam contoh ini, pengguna dapat melihat keanggotaan kelompok untuk pengguna mana pun, termasuk mereka sendiri, selama mereka bekerja pada proyek yang sama.

tuanUntuk mengontrol akses berdasarkan tag, Anda memberikan informasi tag di elemen ketentuan dari kebijakan. Saat Anda membuat kebijakan IAM, Anda dapat menggunakan tag IAM dan kunci ketentuan tag terkait untuk mengontrol akses ke salah satu hal berikut:

  • Sumber Daya – Mengontrol akses ke sumber daya pengguna atau peran berdasarkan tag mereka. Untuk melakukan ini, gunakan kunci kondisi aws:ResourceTag/key-name untuk menentukan pasangan nilai kunci tag mana yang harus dilampirkan ke sumber daya. Untuk informasi selengkapnya, lihat Mengontrol akses ke sumber daya AWS.

  • Permintaan – Mengontrol tag yang dapat diberikan dalam permintaan IAM. Untuk melakukan ini, gunakan kunci kondisi nama kunci aws:RequestTag/untuk menentukan tag apa yang dapat ditambahkan, diubah, atau dihapus dari pengguna atau peran IAM. Kunci ini digunakan dengan cara yang sama untuk sumber daya IAM dan sumber AWS daya lainnya. Untuk informasi selengkapnya, lihat Mengontrol akses selama permintaan AWS.

  • Prinsipal – Mengontrol apa yang boleh dilakukan oleh orang yang membuat permintaan (prinsipal) berdasarkan tag yang dilampirkan ke pengguna atau peran IAM orang tersebut. Untuk melakukan ini, gunakan kunci kondisi nama kunci aws:PrincipalTag/untuk menentukan tag apa yang harus dilampirkan ke pengguna atau peran IAM sebelum permintaan diizinkan.

  • Setiap bagian dari proses otorisasi — Gunakan aws: TagKeys condition key untuk mengontrol apakah kunci tag tertentu dapat digunakan dalam permintaan atau oleh prinsipal. Dalam hal ini, nilai kunci tidak menjadi masalah. Kunci ini berperilaku sama untuk IAM dan layanan lainnya AWS . Namun, ketika Anda menandai pengguna di IAM, ini juga mengontrol apakah prinsipal dapat membuat permintaan ke layanan apa pun. Untuk informasi selengkapnya, lihat Mengontrol akses berdasarkan kunci tanda.

Anda dapat membuat kebijakan IAM menggunakan editor visual, dengan menggunakan JSON, atau dengan mengimpor kebijakan terkelola yang ada. Untuk detailnya, lihat Membuat kebijakan IAM .

catatan

Anda juga dapat meneruskan tag sesi saat Anda mengambil peran IAM atau mengfederasi pengguna. Ini hanya berlaku untuk durasi sesi.

Mengontrol akses untuk prinsipal IAM

Anda dapat mengontrol apa yang diperbolehkan untuk penanggung jawab berdasarkan tanda yang terpasang pada identitas orang tersebut.

Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan berbasis identitas yang memungkinkan setiap pengguna di akun ini untuk melihat keanggotaan grup untuk setiap pengguna, termasuk mereka sendiri, selama mereka mengerjakan proyek yang sama. Operasi ini hanya diperbolehkan jika tag sumber daya pengguna dan tag prinsipal memiliki nilai yang sama untuk kunci tagproject. Untuk menggunakan kebijakan ini, ganti teks placeholder yang dicetak miring dalam kebijakan contoh dengan informasi Anda sendiri. Lalu, ikuti petunjuk di buat kebijakan atau ubah kebijakan.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "iam:ListGroupsForUser",
            "Resource": "arn:aws:iam::111222333444:user/*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/project": "${aws:PrincipalTag/project}"}
            }
        }]
}

Mengontrol akses berdasarkan kunci tag

Anda dapat menggunakan tag dalam kebijakan IAM Anda untuk mengontrol apakah kunci tag tertentu dapat digunakan dalam permintaan atau oleh prinsipal.

Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan berbasis identitas yang memungkinkan hanya menghapus tag dengan temporary kunci dari pengguna. Untuk menggunakan kebijakan ini, ganti teks placeholder yang dicetak miring dalam kebijakan contoh dengan informasi Anda sendiri. Lalu, ikuti petunjuk di buat kebijakan atau ubah kebijakan.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": "iam:UntagUser",
        "Resource": "*",
        "Condition": {"ForAllValues:StringEquals": {"aws:TagKeys": ["temporary"]}}
    }]
}