Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS kebijakan terkelola untuk fungsi pekerjaan
Sebaiknya gunakan kebijakan yang memberikan hak istimewa paling sedikit, atau hanya memberikan izin yang diperlukan untuk melakukan tugas. Cara paling aman untuk memberikan hak istimewa paling sedikit adalah dengan menulis kebijakan khusus hanya dengan izin yang diperlukan oleh tim Anda. Anda harus membuat proses untuk memungkinkan tim Anda meminta lebih banyak izin bila diperlukan. Dibutuhkan waktu dan keahlian untuk membuat kebijakan yang dikelola pelanggan IAM yang hanya memberi tim Anda izin yang mereka butuhkan.
Untuk mulai menambahkan izin ke identitas IAM Anda (pengguna, grup pengguna, dan peran), Anda dapat menggunakannya. AWS kebijakan terkelola AWS kebijakan terkelola mencakup kasus penggunaan umum dan tersedia di Anda Akun AWS. AWS kebijakan terkelola tidak memberikan izin hak istimewa paling sedikit. Anda harus mempertimbangkan risiko keamanan untuk memberikan izin kepada kepala sekolah Anda lebih banyak daripada yang mereka butuhkan untuk melakukan pekerjaan mereka.
Anda dapat melampirkan kebijakan AWS terkelola, termasuk fungsi pekerjaan, ke identitas IAM apa pun. Untuk beralih ke izin hak istimewa terkecil, Anda dapat menjalankan AWS Identity and Access Management Access Analyzer untuk memantau prinsipal dengan kebijakan terkelola. AWS Setelah mengetahui izin yang mereka gunakan, Anda dapat menulis kebijakan khusus atau membuat kebijakan hanya dengan izin yang diperlukan untuk tim Anda. Ini kurang aman, tetapi memberikan lebih banyak fleksibilitas saat Anda mempelajari bagaimana tim Anda menggunakan AWS.
AWS kebijakan terkelola untuk fungsi pekerjaan dirancang untuk menyelaraskan secara dekat dengan fungsi pekerjaan umum di industri TI. Anda dapat menggunakan kebijakan ini untuk memberikan izin yang diperlukan untuk melaksanakan tugas yang diharapkan dari seseorang dalam fungsi pekerjaan tertentu. Kebijakan ini mengonsolidasikan izin untuk banyak layanan ke dalam kebijakan tunggal yang lebih mudah digunakan daripada memiliki izin yang tersebar di banyak kebijakan.
Menggunakan Peran untuk Menggabungkan Layanan
Beberapa kebijakan menggunakan peran layanan IAM untuk membantu Anda memanfaatkan fitur yang ditemukan di AWS layanan lain. Kebijakan ini memberikan akses keiam:passrole, yang memungkinkan pengguna dengan kebijakan untuk meneruskan peran ke AWS layanan. Peran ini mendelegasikan izin IAM ke AWS layanan untuk melakukan tindakan atas nama Anda.
Anda harus membuat peran sesuai dengan kebutuhan Anda. Misalnya, kebijakan Administrator Jaringan memungkinkan pengguna dengan kebijakan untuk meneruskan peran bernama “flow-logs-vpc” ke layanan Amazon. CloudWatch CloudWatch menggunakan peran itu untuk mencatat dan menangkap lalu lintas IP untuk VPC yang dibuat oleh pengguna.
Untuk mengikuti praktik terbaik keamanan, kebijakan untuk fungsi pekerjaan mencakup filter yang membatasi nama peran valid yang dapat diberikan. Tindakan ini membantu menghindari memberikan izin yang tidak perlu. Jika pengguna Anda memang memerlukan peran layanan opsional, Anda harus membuat peran yang mengikuti konvensi penamaan yang ditetapkan dalam kebijakan. Kemudian, Anda memberikan izin untuk peran tersebut. Setelah selesai, pengguna dapat mengonfigurasi layanan untuk menggunakan peran, memberikan izin apa pun yang diberikan oleh peran.
Di bagian berikut, nama setiap kebijakan adalah tautan ke halaman perincian kebijakan di AWS Management Console. Di sana Anda dapat melihat dokumen kebijakan dan meninjau izin yang diberikan.
Fungsi pekerjaan administrator
AWS nama kebijakan terkelola: AdministratorAccess
Kasus penggunaan: Pengguna ini memiliki akses penuh dan dapat mendelegasikan izin untuk setiap layanan dan sumber daya di AWS.
Pembaruan kebijakan: AWS memelihara dan memperbarui kebijakan ini. Untuk riwayat perubahan kebijakan ini, lihat kebijakan di konsol IAM, lalu pilih tab Versi kebijakan. Untuk informasi selengkapnya tentang pembaruan kebijakan fungsi pekerjaan, lihat Pembaruan kebijakan AWS terkelola untuk fungsi pekerjaan.
Deskripsi kebijakan: Kebijakan ini memberikan semua tindakan untuk semua AWS layanan dan untuk semua sumber daya di akun. Untuk informasi selengkapnya tentang kebijakan terkelola, lihat AdministratorAccessdi Panduan Referensi Kebijakan AWS Terkelola.
catatan
Sebelum pengguna atau peran IAM dapat mengakses AWS Billing and Cost Management konsol dengan izin dalam kebijakan ini, Anda harus terlebih dahulu mengaktifkan akses pengguna dan peran IAM. Untuk melakukannya, ikuti petunjuk di Langkah 1 dari tutorial tentang pendelegasian akses ke konsol penagihan.
Fungsi pekerjaan penagihan
AWS nama kebijakan terkelola: Penagihan
Kasus penggunaan: Pengguna ini perlu melihat informasi penagihan, menyiapkan pembayaran, dan mengotorisasi pembayaran. Pengguna dapat memantau biaya yang terakumulasi untuk seluruh AWS layanan.
Pembaruan kebijakan: AWS memelihara dan memperbarui kebijakan ini. Untuk riwayat perubahan kebijakan ini, lihat kebijakan di konsol IAM, lalu pilih tab Versi kebijakan. Untuk informasi selengkapnya tentang pembaruan kebijakan fungsi tugas, lihat Pembaruan kebijakan AWS terkelola untuk fungsi pekerjaan.
Deskripsi kebijakan: Kebijakan ini memberikan izin penuh untuk mengelola penagihan, biaya, metode pembayaran, anggaran, dan laporan. Untuk contoh kebijakan manajemen biaya tambahan, lihat contoh AWS Billing kebijakan di Panduan AWS Billing and Cost Management Pengguna. Untuk informasi selengkapnya tentang kebijakan terkelola, lihat Penagihan di Panduan Referensi Kebijakan AWS Terkelola.
catatan
Sebelum pengguna atau peran IAM dapat mengakses AWS Billing and Cost Management konsol dengan izin dalam kebijakan ini, Anda harus terlebih dahulu mengaktifkan akses pengguna dan peran IAM. Untuk melakukannya, ikuti petunjuk di Langkah 1 dari tutorial tentang pendelegasian akses ke konsol penagihan.
Fungsi pekerjaan administrator basis data
AWS nama kebijakan terkelola: DatabaseAdministrator
Kasus penggunaan: Pengguna ini menyiapkan, mengonfigurasi, dan memelihara database di Cloud. AWS
Pembaruan kebijakan: AWS memelihara dan memperbarui kebijakan ini. Untuk riwayat perubahan kebijakan ini, lihat kebijakan di konsol IAM, lalu pilih tab Versi kebijakan. Untuk informasi selengkapnya tentang pembaruan kebijakan fungsi tugas, lihat Pembaruan kebijakan AWS terkelola untuk fungsi pekerjaan.
Deskripsi kebijakan: Kebijakan ini memberikan izin untuk membuat, mengonfigurasi, dan memelihara basis data. Ini termasuk akses ke layanan AWS database, seperti Amazon DynamoDB, Amazon Relational Database Service (RDS), dan Amazon Redshift. Lihat kebijakan untuk mengetahui daftar lengkap layanan basis data yang mendukung kebijakan ini. Untuk informasi selengkapnya tentang kebijakan terkelola, lihat DatabaseAdministratordi Panduan Referensi Kebijakan AWS Terkelola.
Kebijakan fungsi pekerjaan ini mendukung kemampuan untuk meneruskan peran ke AWS layanan. Kebijakan ini mengizinkan tindakan iam:PassRole hanya untuk peran yang disebutkan dalam tabel berikut. Untuk informasi lebih lanjut, lihat Menciptakan peran dan memberlakukan kebijakan (konsol) dalam topik ini.
Peran layanan IAM opsional untuk fungsi kerja administrator basis data | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Kasus penggunaan | Nama peran (* adalah wildcard) | Jenis peran layanan untuk dipilih | Pilih kebijakan AWS terkelola ini | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Memungkinkan pengguna memantau basis data RDS | peran pemantauan rds | Peran Amazon RDS untuk Pemantauan yang Ditingkatkan | Peran AmazonRDS EnhancedMonitoring |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Memungkinkan AWS Lambda untuk memantau database Anda dan mengakses database eksternal | rdbms-lambda-akses |
Amazon EC2 | AWSLambda_FullAccess |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Izinkan Lambda mengunggah file ke Amazon S3 dan ke cluster Amazon Redshift dengan DynamoDB | lambda_exec_role |
AWS Lambda | Membuat kebijakan pengelolaan baru sebagaimana yang ditentukan dalam Blog Big Data AWS |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Izinkan fungsi Lambda bertindak sebagai pemicu untuk tabel DynamoDB Anda | lambda-dinamodb-* | AWS Lambda | AWSLambdaDynamoDBExecutionRole |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Memungkinkan fungsi Lambda mengakses Amazon RDS dalam VPC | lambda-vpc-eksekusi peran | Membuat peran dengan kebijakan kepercayaan seperti yang didefinisikan dalam Panduan AWS Lambda Pengembang | AWSLambdaVPCAccessExecutionRole |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Izinkan AWS Data Pipeline untuk mengakses AWS sumber daya Anda | DataPipelineDefaultRole | Membuat peran dengan kebijakan kepercayaan seperti yang didefinisikan dalam Panduan AWS Data Pipeline Pengembang | AWS Data Pipeline Dokumentasi mencantumkan izin yang diperlukan untuk kasus penggunaan ini. Lihat peran IAM untuk AWS Data Pipeline | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Izinkan aplikasi Anda berjalan di instans Amazon EC2 untuk mengakses sumber daya Anda AWS | DataPipelineDefaultResourcePeran | Membuat peran dengan kebijakan kepercayaan seperti yang didefinisikan dalam Panduan AWS Data Pipeline Pengembang | AmazonEC2 RoleforData PipelineRole |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Fungsi pekerjaan ilmuwan data
AWS nama kebijakan terkelola: DataScientist
Kasus penggunaan: Pengguna ini menjalankan pekerjaan dan kueri Hadoop. Pengguna juga mengakses dan menganalisis informasi untuk analitik data dan kecerdasan bisnis.
Pembaruan kebijakan: AWS memelihara dan memperbarui kebijakan ini. Untuk riwayat perubahan kebijakan ini, lihat kebijakan di konsol IAM, lalu pilih tab Versi kebijakan. Untuk informasi selengkapnya tentang pembaruan kebijakan fungsi pekerjaan, lihat Pembaruan kebijakan AWS terkelola untuk fungsi pekerjaan.
Deskripsi kebijakan: Kebijakan ini memberikan izin untuk membuat, mengelola, dan menjalankan kueri di klaster EMR Amazon dan melakukan analisis data dengan alat seperti Amazon. QuickSight Kebijakan ini mencakup akses ke layanan ilmuwan data tambahan, seperti, Amazon EC2 AWS Data Pipeline, Amazon Kinesis, Amazon Machine Learning, dan. SageMaker Lihat kebijakan untuk mengetahui daftar lengkap layanan ilmuwan data yang mendukung kebijakan ini. Untuk informasi selengkapnya tentang kebijakan terkelola, lihat DataScientistdi Panduan Referensi Kebijakan AWS Terkelola.
Kebijakan fungsi pekerjaan ini mendukung kemampuan untuk meneruskan peran ke AWS layanan. Satu pernyataan memungkinkan meneruskan peran apa pun ke SageMaker. Pernyataan lainnya mengizinkan tindakan iam:PassRole hanya untuk peran yang disebutkan dalam tabel berikut. Untuk informasi lebih lanjut, lihat Menciptakan peran dan memberlakukan kebijakan (konsol) dalam topik ini.
Peran layanan IAM opsional untuk fungsi kerja ilmuwan data | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Kasus penggunaan | Nama peran (* adalah wildcard) | Jenis peran layanan untuk dipilih | AWS kebijakan terkelola untuk memilih | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Memungkinkan instans Amazon EC2 mengakses layanan dan sumber daya yang sesuai untuk klaster | EMR-EC2_ DefaultRole | Amazon EMR for EC2 | AmazonElasticMapReduceforEC2peran |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Memungkinkan akses Amazon EMR untuk mengakses layanan dan sumber daya Amazon EC2 untuk klaster | EMR_ DefaultRole | Amazon EMR | ServicePolicyAmazonEMR _v2 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Izinkan Kinesis Managed Service untuk Apache Flink untuk mengakses sumber data streaming | kinesis-* |
Membuat peran dengan kebijakan kepercayaan sebagaimana yang ditentukan dalam Blog Big Data AWS |
Lihat Blog Big Data AWS |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Izinkan AWS Data Pipeline untuk mengakses AWS sumber daya Anda | DataPipelineDefaultRole | Membuat peran dengan kebijakan kepercayaan seperti yang didefinisikan dalam Panduan AWS Data Pipeline Pengembang | AWS Data Pipeline Dokumentasi mencantumkan izin yang diperlukan untuk kasus penggunaan ini. Lihat peran IAM untuk AWS Data Pipeline | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Izinkan aplikasi Anda berjalan di instans Amazon EC2 untuk mengakses sumber daya Anda AWS | DataPipelineDefaultResourcePeran | Membuat peran dengan kebijakan kepercayaan seperti yang didefinisikan dalam Panduan AWS Data Pipeline Pengembang | AmazonEC2 RoleforData PipelineRole |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Fungsi pekerjaan pengguna daya developer
AWS nama kebijakan terkelola: PowerUser Akses
Kasus penggunaan: Pengguna ini melakukan tugas pengembangan aplikasi dan dapat membuat dan mengonfigurasi sumber daya dan layanan yang mendukung pengembangan aplikasi AWS sadar.
Pembaruan kebijakan: AWS memelihara dan memperbarui kebijakan ini. Untuk riwayat perubahan kebijakan ini, lihat kebijakan di konsol IAM, lalu pilih tab Versi kebijakan. Untuk informasi selengkapnya tentang pembaruan kebijakan fungsi pekerjaan, lihat Pembaruan kebijakan AWS terkelola untuk fungsi pekerjaan.
Deskripsi kebijakan: Pernyataan pertama kebijakan ini menggunakan NotActionelemen untuk mengizinkan semua tindakan untuk semua AWS layanan dan untuk semua sumber daya kecuali AWS Identity and Access Management, AWS Organizations, dan AWS Account Management. Pernyataan kedua memberikan izin IAM untuk membuat peran tertaut layanan. Ini diwajibkan oleh beberapa layanan yang harus mengakses sumber daya di layanan lain, seperti bucket Amazon S3. Ini juga memberikan izin kepada Organizations untuk melihat informasi tentang organisasi pengguna, termasuk email akun manajemen dan batasan organisasi. Meskipun kebijakan ini membatasi IAM, Organizations, ini memungkinkan pengguna untuk melakukan semua tindakan IAM Identity Center jika IAM Identity Center diaktifkan. Ini juga memberikan izin Manajemen Akun untuk melihat AWS Wilayah mana yang diaktifkan atau dinonaktifkan untuk akun tersebut.
Fungsi pekerjaan administrator jaringan
AWS nama kebijakan terkelola: NetworkAdministrator
Kasus penggunaan: Pengguna ini ditugaskan untuk menyiapkan dan memelihara sumber daya AWS jaringan.
Pembaruan kebijakan: AWS memelihara dan memperbarui kebijakan ini. Untuk riwayat perubahan kebijakan ini, lihat kebijakan di konsol IAM, lalu pilih tab Versi kebijakan. Untuk informasi selengkapnya tentang pembaruan kebijakan fungsi pekerjaan, lihat Pembaruan kebijakan AWS terkelola untuk fungsi pekerjaan.
Deskripsi kebijakan: Kebijakan ini memberikan izin untuk membuat dan memelihara sumber daya jaringan di Auto Scaling, Amazon EC2 AWS Direct Connect,, Route 53, Amazon, Elastic CloudFront Load Balancing, Amazon SNS,, CloudWatch Log, AWS Elastic Beanstalk Amazon S3, IAM, dan Amazon CloudWatch Virtual Private Cloud. Untuk informasi selengkapnya tentang kebijakan terkelola, lihat NetworkAdministratordi Panduan Referensi Kebijakan AWS Terkelola.
Fungsi pekerjaan ini membutuhkan kemampuan untuk meneruskan peran ke AWS layanan. Kebijakan ini memberikan iam:GetRole dan iam:PassRole hanya untuk peran yang ditentukan dalam tabel berikut. Untuk informasi lebih lanjut, lihat Menciptakan peran dan memberlakukan kebijakan (konsol) dalam topik ini.
Peran layanan IAM opsional untuk fungsi kerja administrator jaringan | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Kasus penggunaan | Nama peran (* adalah wildcard) | Jenis peran layanan untuk dipilih | AWS kebijakan terkelola untuk memilih | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Memungkinkan Amazon VPC membuat dan mengelola CloudWatch log di Log atas nama pengguna untuk memantau lalu lintas IP yang masuk dan keluar dari VPC Anda | aliran-log-* | Membuat peran dengan kebijakan kepercayaan sebagaimana yang ditetapkan dalam Panduan Pengguna VPC Amazon | Kasus penggunaan ini tidak memiliki kebijakan AWS terkelola yang ada, tetapi dokumentasi mencantumkan izin yang diperlukan. Lihat Panduan Pengguna VPC Amazon. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Akses hanya-baca
AWS nama kebijakan terkelola: ReadOnly Akses
Kasus penggunaan: Pengguna ini memerlukan akses hanya-baca ke setiap sumber daya dalam file. Akun AWS
Pembaruan kebijakan: AWS memelihara dan memperbarui kebijakan ini. Untuk riwayat perubahan kebijakan ini, lihat kebijakan di konsol IAM, lalu pilih tab Versi kebijakan. Untuk informasi selengkapnya tentang pembaruan kebijakan fungsi tugas, lihat Pembaruan kebijakan AWS terkelola untuk fungsi pekerjaan.
Deskripsi kebijakan:Kebijakan ini memberikan izin untuk daftar, mendapatkan, menguraikan, dan sebaliknya melihat sumber daya dan atribut mereka. Ini tidak termasuk fungsi bermutasi seperti membuat atau menghapus. Kebijakan ini mencakup akses hanya-baca ke AWS layanan terkait keamanan, seperti dan. AWS Identity and Access Management AWS Billing and Cost Management Lihat kebijakan untuk daftar lengkap layanan dan tindakan yang didukung kebijakan ini.
Fungsi pekerjaan auditor keamanan
AWS nama kebijakan terkelola: SecurityAudit
Kasus penggunaan: Pengguna ini memantau akun agar mematuhi persyaratan keamanan. Pengguna ini dapat mengakses catatan dan peristiwa untuk menginvestigasi kemungkinan adanya pelanggaran keamanan atau kemungkinan adanya aktivitas berbahaya.
Pembaruan kebijakan: AWS memelihara dan memperbarui kebijakan ini. Untuk riwayat perubahan kebijakan ini, lihat kebijakan di konsol IAM, lalu pilih tab Versi kebijakan. Untuk informasi selengkapnya tentang pembaruan kebijakan fungsi pekerjaan, lihat Pembaruan kebijakan AWS terkelola untuk fungsi pekerjaan.
Deskripsi kebijakan: Kebijakan ini memberikan izin untuk melihat data konfigurasi untuk banyak AWS layanan dan meninjau log mereka. Untuk informasi selengkapnya tentang kebijakan terkelola, lihat SecurityAuditdi Panduan Referensi Kebijakan AWS Terkelola.
Fungsi pekerjaan pengguna
AWS nama kebijakan terkelola: SupportUser
Kasus penggunaan: Pengguna ini menghubungi AWS Support, membuat kasus dukungan, dan melihat status kasus yang ada.
Pembaruan kebijakan: AWS memelihara dan memperbarui kebijakan ini. Untuk riwayat perubahan kebijakan ini, lihat kebijakan di konsol IAM, lalu pilih tab Versi kebijakan. Untuk informasi selengkapnya tentang pembaruan kebijakan fungsi pekerjaan, lihat Pembaruan kebijakan AWS terkelola untuk fungsi pekerjaan.
Deskripsi kebijakan: Kebijakan ini memberikan izin untuk membuat dan memperbarui AWS Support kasus. Untuk informasi selengkapnya tentang kebijakan terkelola, lihat SupportUserdi Panduan Referensi Kebijakan AWS Terkelola.
Fungsi pekerjaan administrator sistem
AWS nama kebijakan terkelola: SystemAdministrator
Kasus penggunaan: Pengguna ini mengatur dan memelihara sumber daya untuk operasi pengembangan.
Pembaruan kebijakan: AWS memelihara dan memperbarui kebijakan ini. Untuk riwayat perubahan kebijakan ini, lihat kebijakan di konsol IAM, lalu pilih tab Versi kebijakan. Untuk informasi selengkapnya tentang pembaruan kebijakan fungsi pekerjaan, lihat Pembaruan kebijakan AWS terkelola untuk fungsi pekerjaan.
Deskripsi kebijakan: Kebijakan ini memberikan izin untuk membuat dan memelihara sumber daya di berbagai macam AWS layanan, termasuk, Amazon,,,, CloudWatch, AWS CloudTrail Amazon EC2 AWS CodeCommit AWS CodeDeploy, AWS Config, AWS Directory Service, Amazon RDS AWS Identity and Access Management AWS Key Management Service, AWS Lambda Route 53, Amazon S3, Amazon SES, Amazon SQS,, dan Amazon VPC. AWS Trusted Advisor Untuk informasi selengkapnya tentang kebijakan terkelola, lihat SystemAdministratordi Panduan Referensi Kebijakan AWS Terkelola.
Fungsi pekerjaan ini membutuhkan kemampuan untuk meneruskan peran ke AWS layanan. Kebijakan ini memberikan iam:GetRole dan iam:PassRole hanya untuk peran yang ditentukan dalam tabel berikut. Untuk informasi lebih lanjut, lihat Menciptakan peran dan memberlakukan kebijakan (konsol) dalam topik ini. Untuk informasi selengkapnya tentang pembaruan kebijakan fungsi pekerjaan, lihat Pembaruan kebijakan AWS terkelola untuk fungsi pekerjaan.
Peran layanan IAM opsional untuk fungsi kerja administrator sistem | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Kasus penggunaan | Nama peran (* adalah wildcard) | Jenis peran layanan untuk dipilih | AWS kebijakan terkelola untuk memilih | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Memungkinkan aplikasi berjalan dalam instans EC2 di klaster Amazon ECS untuk mengakses Amazon ECS | ecr-sysadmin-* | Peran Amazon EC2 untuk Layanan EC2 Container | AmazonEC2 EC2peran ContainerServicefor |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Memungkinkan pengguna untuk memantau basis data | peran pemantauan rds | Peran Amazon RDS untuk Pemantauan yang Ditingkatkan | Peran AmazonRDS EnhancedMonitoring |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Izinkan aplikasi yang berjalan di instans EC2 untuk mengakses AWS sumber daya. | ec2-sysadmin-* | Amazon EC2 | Contoh kebijakan untuk peran yang memberikan akses ke bucket S3 seperti yang ditunjukkan dalam Panduan Pengguna Amazon EC2; sesuaikan sesuai kebutuhan | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Izinkan Lambda membaca aliran DynamoDB dan menulis ke Log CloudWatch | lambda-sysadmin-* | AWS Lambda | AWSLambdaDynamoDBExecutionRole |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Fungsi tugas pengguna hanya lihat
AWS nama kebijakan terkelola: ViewOnly Akses
Kasus penggunaan: Pengguna ini dapat melihat daftar AWS sumber daya dan metadata dasar di akun di seluruh layanan. Pengguna tidak dapat membaca konten sumber daya atau metadata yang melampaui kuota dan informasi daftar sumber daya.
Pembaruan kebijakan: AWS memelihara dan memperbarui kebijakan ini. Untuk riwayat perubahan kebijakan ini, lihat kebijakan di konsol IAM, lalu pilih tab Versi kebijakan. Untuk informasi selengkapnya tentang pembaruan kebijakan fungsi pekerjaan, lihat Pembaruan kebijakan AWS terkelola untuk fungsi pekerjaan.
Deskripsi kebijakan: Kebijakan ini memberikanList*,,, Describe* Get*View*, dan Lookup* akses ke sumber daya untuk AWS layanan. Untuk melihat tindakan apa yang disertakan kebijakan ini untuk setiap layanan, lihat ViewOnlyAkses
Pembaruan kebijakan AWS terkelola untuk fungsi pekerjaan
Semua kebijakan ini dikelola oleh AWS dan terus diperbarui untuk menyertakan dukungan untuk layanan baru dan kemampuan baru saat ditambahkan oleh AWS layanan. Kebijakan ini tidak dapat dimodifikasi oleh pelanggan. Anda dapat membuat salinan kebijakan dan kemudian memodifikasi salinannya, tetapi salinan itu tidak diperbarui secara otomatis karena AWS memperkenalkan layanan baru dan operasi API.
Untuk kebijakan fungsi pekerjaan, Anda dapat melihat riwayat versi serta waktu dan tanggal setiap pembaruan di konsol IAM. Untuk melakukannya, gunakan tautan di halaman ini untuk melihat detail kebijakan. Lalu pilih tab Versi kebijakan untuk melihat versi. Halaman ini menunjukkan 25 versi terakhir dari sebuah kebijakan. Untuk melihat semua versi kebijakan, panggil AWS CLI perintah get-policy-version atau operasi Version API. GetPolicy
catatan
Anda dapat memiliki hingga lima versi kebijakan yang dikelola pelanggan, tetapi AWS tetap mempertahankan riwayat versi lengkap kebijakan AWS terkelola.
