Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Memilih antara kebijakan terkelola dan kebijakan inline
Pertimbangkan kasus penggunaan Anda saat memutuskan antara kebijakan terkelola dan sebaris. Dalam sebagian besar kasus, kami menyarankan agar Anda menggunakan kebijakan terkelola daripada kebijakan inline.
catatan
Anda dapat menggunakan kebijakan terkelola dan sebaris bersama-sama untuk menentukan izin umum dan unik untuk entitas utama.
Kebijakan terkelola menyediakan fitur berikut:
- Dapat digunakan kembali
-
Satu kebijakan terkelola dapat dilampirkan pada beberapa entitas prinsipal (pengguna, grup, dan peran). Anda dapat membuat pustaka kebijakan yang menentukan izin berguna untuk Anda Akun AWS, lalu melampirkan kebijakan ini ke entitas utama sesuai kebutuhan.
- Manajemen perubahan pusat
-
Ketika Anda mengubah kebijakan terkelola, perubahan diterapkan pada semua entitas prinsipal yang terkait dengan kebijakan tersebut. Misalnya, jika ingin menambahkan izin untuk AWS API baru, Anda dapat memperbarui kebijakan yang dikelola pelanggan atau mengaitkan kebijakan AWS terkelola untuk menambahkan izin. Jika Anda menggunakan kebijakan AWS terkelola, AWS perbarui kebijakan tersebut. Ketika kebijakan terkelola diperbarui, perubahan diterapkan ke semua entitas utama yang dilampirkan oleh kebijakan terkelola. Sebaliknya, untuk mengubah kebijakan inline, Anda harus mengedit secara individual setiap identitas yang berisi kebijakan inline. Misalnya, jika grup dan peran keduanya berisi kebijakan inline yang sama, Anda harus mengedit kedua entitas utama secara individual untuk mengubah kebijakan tersebut.
- Versioning dan peluncuran kembali
-
Ketika Anda mengubah kebijakan yang dikelola pelanggan, perubahan kebijakan tidak mengesampingkan kebijakan yang ada. Sebagai gantinya, IAM membuat versi baru dari kebijakan terkelola. IAM menyimpan hingga lima versi kebijakan terkelola pelanggan Anda. Anda dapat menggunakan versi kebijakan untuk mengembalikan kebijakan ke versi sebelumnya sesuai kebutuhan.
catatan
Versi kebijakan berbeda dari elemen kebijakan
Version. Elemen kebijakanVersiondigunakan dalam kebijakan dan menentukan versi bahasa kebijakan. Untuk mempelajari lebih lanjut tentang versi kebijakan, lihat Peningkatan versi IAM. Untuk mempelajari lebih lanjut tentang elemen kebijakanVersion, lihat Elemen kebijakan IAM JSON: Version. - Menyerahkan manajemen perizinan
-
Anda dapat mengizinkan pengguna Akun AWS untuk melampirkan dan melepaskan kebijakan sambil mempertahankan kendali atas izin yang ditentukan dalam kebijakan tersebut. Untuk melakukan ini, tetapkan beberapa pengguna sebagai administrator lengkap—yaitu administrator yang dapat membuat, memperbarui, dan menghapus kebijakan. Kemudian Anda dapat menunjuk pengguna lain sebagai administrator terbatas. Administrator terbatas tersebut dapat melampirkan kebijakan ke entitas utama lainnya, tetapi hanya kebijakan yang Anda izinkan untuk dilampirkan.
Untuk informasi lebih lanjut tentang menyerahkan manajemen perizinan, lihat Mengendalikan akses ke kebijakan.
- Batas karakter kebijakan yang lebih besar
-
Batas ukuran karakter maksimum untuk kebijakan terkelola lebih besar dari batas karakter untuk kebijakan sebaris. Jika Anda mencapai batas ukuran karakter kebijakan sebaris, Anda dapat membuat grup IAM lainnya dan melampirkan kebijakan terkelola ke grup.
Untuk informasi lebih lanjut tentang kuota dan batas, lihatIAM dan AWS STS kuota.
- Pembaruan otomatis untuk kebijakan AWS terkelola
-
AWS mempertahankan kebijakan AWS terkelola dan memperbaruinya bila perlu, misalnya, untuk menambahkan izin untuk AWS layanan baru, tanpa Anda harus membuat perubahan. Pembaruan secara otomatis diterapkan ke entitas utama tempat Anda melampirkan kebijakan AWS terkelola.
Menggunakan kebijakan inline
Kebijakan inline berguna jika Anda ingin mempertahankan one-to-one hubungan yang ketat antara kebijakan dan identitas yang diterapkan. Misalnya, jika Anda ingin memastikan bahwa izin dalam kebijakan tidak secara tidak sengaja ditetapkan ke identitas selain identitas yang dimaksudkan. Ketika Anda menggunakan kebijakan inline, izin dalam kebijakan tersebut tidak dapat secara tidak sengaja dilampirkan pada identitas yang salah. Selain itu, ketika Anda menggunakan AWS Management Console untuk menghapus identitas itu, kebijakan yang disematkan dalam identitas juga dihapus karena mereka adalah bagian dari entitas utama.
