Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kebijakan terkelola dan kebijakan inline
Saat menetapkan izin untuk identitasIAM, Anda harus memutuskan apakah akan menggunakan kebijakan AWS terkelola, kebijakan yang dikelola pelanggan, atau kebijakan sebaris. Topik berikut memberikan informasi lebih lanjut tentang masing-masing jenis kebijakan berbasis identitas dan kapan menggunakannya.
Topik
AWS kebijakan terkelola
Kebijakan terkelola AWS adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. Kebijakan mandiri berarti bahwa kebijakan tersebut memiliki Nama Sumber Daya Amazon (ARN) sendiri yang menyertakan nama kebijakan. Misalnya, arn:aws:iam::aws:policy/IAMReadOnlyAccess adalah kebijakan yang AWS dikelola. Untuk informasi lebih lanjut tentangARNs, lihatARN IAM. Untuk mengetahui daftar kebijakan AWS terkelola AWS layanan, lihat kebijakan AWS terkelola.
AWS Kebijakan terkelola memudahkan Anda untuk menetapkan izin yang sesuai untuk pengguna, grup pengguna, dan peran. Ini lebih cepat daripada menulis kebijakan sendiri, dan menyertakan izin untuk banyak kasus penggunaan umum.
Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. AWS sesekali memperbarui izin yang ditentukan dalam kebijakan AWS terkelola. AWS Kapan melakukannya, pembaruan memengaruhi semua entitas utama (pengguna, grup pengguna, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat AWS layanan baru diluncurkan atau API panggilan baru tersedia untuk layanan yang ada. Misalnya, kebijakan AWS terkelola yang disebut ReadOnlyAccessmenyediakan akses hanya-baca ke semua AWS layanan dan sumber daya. Saat AWS meluncurkan layanan baru, AWS perbarui ReadOnlyAccesskebijakan untuk menambahkan izin hanya-baca untuk layanan baru. Izin yang diperbarui diterapkan pada semua entitas prinsipal yang kebijakannya dilampirkan.
Kebijakan AWS terkelola akses penuh: Ini menentukan izin untuk administrator layanan dengan memberikan akses penuh ke layanan. Contohnya termasuk:
Kebijakan yang AWS dikelola pengguna daya: Kebijakan ini menyediakan akses penuh ke AWS layanan dan sumber daya, tetapi tidak memungkinkan mengelola pengguna dan grup pengguna. Contohnya termasuk:
Kebijakan AWS terkelola akses sebagian: Kebijakan ini memberikan tingkat akses tertentu AWS layanan tanpa mengizinkan izin tingkat akses manajemen izin. Contohnya termasuk:
Kebijakan yang AWS dikelola fungsi Job: Kebijakan ini selaras dengan fungsi pekerjaan yang umum digunakan di industri TI dan memfasilitasi pemberian izin untuk fungsi pekerjaan ini. Salah satu keuntungan utama menggunakan kebijakan fungsi pekerjaan adalah bahwa mereka dipertahankan dan diperbarui oleh AWS ketika layanan dan API operasi baru diperkenalkan. Misalnya, fungsi AdministratorAccesspekerjaan menyediakan akses penuh dan delegasi izin ke setiap layanan dan sumber daya di. AWS Kami menyarankan Anda menggunakan kebijakan ini hanya untuk administrator akun. Untuk pengguna listrik yang memerlukan akses penuh ke setiap layanan kecuali akses terbatas ke IAM dan Organizations, gunakan fungsi PowerUserAccesspekerjaan. Untuk daftar dan deskripsi kebijakan fungsi pekerjaan, lihat AWS kebijakan terkelola untuk fungsi pekerjaan.
Diagram berikut menggambarkan kebijakan AWS terkelola. Diagram menunjukkan tiga kebijakan AWS terkelola: AdministratorAccess, PowerUserAccess, dan AWS CloudTrailReadOnlyAccess. Perhatikan bahwa kebijakan AWS terkelola tunggal dapat dilampirkan ke entitas utama yang berbeda Akun AWS, dan ke entitas utama yang berbeda dalam satu Akun AWS.
Kebijakan yang dikelola pelanggan
Anda dapat membuat kebijakan mandiri sendiri Akun AWS yang dapat Anda lampirkan ke entitas utama (pengguna, grup pengguna, dan peran). Anda membuat kebijakan yang dikelola pelanggan ini untuk kasus penggunaan spesifik Anda, dan Anda dapat mengubah dan memperbaruinya sesering yang Anda suka. Seperti kebijakan AWS terkelola, saat Anda melampirkan kebijakan ke entitas utama, Anda memberi entitas izin yang ditentukan dalam kebijakan tersebut. Saat Anda memperbarui izin dalam kebijakan, perubahan akan diterapkan ke semua entitas utama yang dilampirkan kebijakan tersebut.
Cara terbaik untuk membuat kebijakan yang dikelola pelanggan adalah memulai dengan menyalin kebijakan terkelola AWS yang sudah ada. Dengan demikian Anda tahu bahwa kebijakan tersebut benar sejak awal dan yang perlu Anda lakukan hanyalah menyesuaikan itu dengan lingkungan Anda.
Diagram berikut menggambarkan kebijakan yang dikelola pelanggan. Setiap kebijakan adalah entitas IAM dengan Amazon Resource Name (ARN) miliknya sendiri yang menyertakan nama kebijakan. Perhatikan bahwa kebijakan yang sama dapat dilampirkan ke beberapa entitas utama — misalnya, kebijakan DynamoDB-Books-App yang sama dilampirkan ke dua peran yang berbeda. IAM
Untuk informasi selengkapnya, silakan lihat Tentukan IAM izin khusus dengan kebijakan terkelola pelanggan
Kebijakan inline
Kebijakan inline adalah kebijakan yang dibuat untuk satu IAM identitas (pengguna, grup pengguna, atau peran). Kebijakan inline mempertahankan one-to-one hubungan yang ketat antara kebijakan dan identitas. Mereka dihapus ketika Anda menghapus identitas. Anda dapat membuat kebijakan dan menyematkannya dalam identitas, baik saat Anda membuat identitas atau nanti. Jika kebijakan dapat berlaku untuk lebih dari satu entitas, lebih baik menggunakan kebijakan terkelola.
Diagram berikut menggambarkan kebijakan inline. Setiap kebijakan merupakan bagian yang melekat pada pengguna, grup, atau peran. Perhatikan bahwa dua peran menyertakan kebijakan yang sama (kebijakan DynamoDB-Books-App), tetapi mereka tidak membagikan kebijakan tunggal. Setiap peran memiliki salinan kebijakan sendiri.
