Identitas IAM (pengguna, pengguna, dan peran) - AWS Identity and Access Management
Akun AWS pengguna rootPengguna IAMGrup pengguna IAMPeran IAMKredensi sementara di IAMKapan menggunakan pengguna IAM Identity Center?Kapan harus membuat pengguna IAM (alih-alih peran)Kapan harus membuat sebuah peran IAM (alih-alih pengguna)Bandingkan Pengguna root akun AWS dan pengguna IAM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Identitas IAM (pengguna, pengguna, dan peran)

Tip

Mengalami masalah saat masuk AWS? Pastikan Anda berada di halaman login yang benar.

  • Untuk masuk sebagai Pengguna root akun AWS (pemilik akun), gunakan kredensil yang Anda atur saat membuat. Akun AWS

  • Untuk masuk sebagai pengguna IAM, gunakan kredensil yang diberikan administrator akun untuk masuk. AWS

  • Untuk masuk dengan pengguna Pusat Identitas IAM, gunakan URL masuk yang dikirim ke alamat email saat Anda membuat pengguna Pusat Identitas IAM.

    Untuk bantuan masuk menggunakan pengguna Pusat Identitas IAM, lihat Masuk ke portal AWS akses di Panduan AWS Sign-In Pengguna.

Untuk tutorial masuk, lihat Cara masuk di Panduan AWS Sign-In Pengguna. AWS

catatan

Jika Anda perlu meminta dukungan, jangan gunakan tautan Umpan Balik di halaman ini. Umpan balik yang Anda masukkan diterima oleh tim AWS Dokumentasi, bukan AWS Support. Sebagai gantinya, pilih tautan Hubungi Kami di bagian atas halaman ini. Di sana, Anda akan menemukan tautan ke sumber daya untuk membantu Anda mendapatkan dukungan yang Anda butuhkan.

Pengguna Pengguna root akun AWS atau administratif untuk akun dapat membuat identitas IAM. Identitas IAM menyediakan akses ke file Akun AWS. Grup pengguna IAM adalah kumpulan pengguna IAM yang dikelola sebagai satu unit. Identitas IAM mewakili pengguna manusia atau beban kerja terprogram, dan dapat diautentikasi dan kemudian diberi wewenang untuk melakukan tindakan. AWS Setiap identitas IAM dapat dikaitkan dengan satu kebijakan atau lebih. Kebijakan menentukan tindakan apa yang dapat dilakukan pengguna, peran, atau anggota grup pengguna, pada AWS sumber daya mana, dan dalam kondisi apa.

Akun AWS pengguna root

Saat pertama kali membuat Akun AWS, Anda mulai dengan satu identitas masuk yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya di akun. Identitas ini disebut pengguna Akun AWS root dan diakses dengan masuk dengan alamat email dan kata sandi yang Anda gunakan untuk membuat akun.

penting

Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Lindungi kredensial pengguna root Anda dan gunakan kredensial tersebut untuk melakukan tugas yang hanya dapat dilakukan pengguna root. Untuk daftar lengkap tugas yang mengharuskan Anda masuk sebagai pengguna root, lihatTugas yang memerlukan kredensial pengguna root.

Pengguna IAM

Pengguna IAM adalah identitas dalam diri Anda Akun AWS yang memiliki izin khusus untuk satu orang atau aplikasi. Jika memungkinkan, praktik terbaik merekomendasikan untuk mengandalkan kredensil sementara alih-alih membuat pengguna IAM yang memiliki kredensi jangka panjang seperti kata sandi dan kunci akses. Sebelum membuat kunci akses, tinjau alternatif untuk kunci akses jangka panjang. Jika Anda memiliki kasus penggunaan khusus yang memerlukan kunci akses, kami sarankan Anda memperbarui kunci akses bila diperlukan. Untuk informasi selengkapnya, lihat Perbarui kunci akses bila diperlukan untuk kasus penggunaan yang memerlukan kredensi jangka panjang. Untuk menambahkan pengguna IAM ke pengguna Anda Akun AWS, lihatMembuat pengguna IAM di Akun AWS.

catatan

Sebagai praktik keamanan terbaik, kami menyarankan Anda menyediakan akses ke sumber daya Anda melalui federasi identitas alih-alih membuat pengguna IAM. Untuk informasi tentang situasi tertentu di mana pengguna IAM diperlukan, lihat Kapan membuat pengguna IAM (bukan peran).

Grup pengguna IAM

Grup IAM adalah identitas yang menentukan sekumpulan pengguna IAM. Anda tidak dapat menggunakan grup untuk masuk. Anda dapat menggunakan grup untuk menentukan izin bagi beberapa pengguna sekaligus. Grup mempermudah manajemen izin untuk sejumlah besar pengguna sekaligus. Misalnya, Anda dapat memiliki grup bernama IAMPublishers dan memberi grup itu jenis izin yang biasanya dibutuhkan oleh beban kerja penerbitan.

Peran IAM

Peran IAM adalah identitas dalam diri Anda Akun AWS yang memiliki izin khusus. Ini mirip dengan pengguna IAM, tetapi tidak terkait dengan orang tertentu. Anda dapat mengambil peran IAM untuk sementara AWS Management Console dengan beralih peran. Anda dapat mengambil peran dengan memanggil operasi AWS CLI atau AWS API atau dengan menggunakan URL kustom. Untuk informasi selengkapnya tentang metode penggunaan peran, lihatMenggunakan peran IAM.

Peran IAM dengan kredensi sementara digunakan dalam situasi berikut:

  • Akses pengguna terfederasi – Untuk menetapkan izin ke identitas terfederasi, Anda membuat peran dan menentukan izin untuk peran tersebut. Ketika identitas terfederasi mengautentikasi, identitas tersebut terhubung dengan peran dan diberi izin yang ditentukan oleh peran. Untuk informasi tentang peran untuk federasi, lihat Membuat peran untuk Penyedia Identitas pihak ketiga dalam Panduan Pengguna IAM. Jika menggunakan Pusat Identitas IAM, Anda harus mengonfigurasi set izin. Untuk mengontrol apa yang dapat diakses identitas Anda setelah identitas tersebut diautentikasi, Pusat Identitas IAM akan mengorelasikan set izin ke peran dalam IAM. Untuk informasi tentang set izin, lihat Set izin dalam Panduan Pengguna AWS IAM Identity Center .

  • Izin pengguna IAM sementara – Pengguna atau peran IAM dapat mengambil peran IAM guna mendapatkan berbagai izin secara sementara untuk tugas tertentu.

  • Akses lintas akun – Anda dapat menggunakan peran IAM untuk mengizinkan seseorang (prinsipal tepercaya) di akun lain untuk mengakses sumber daya di akun Anda. Peran adalah cara utama untuk memberikan akses lintas akun. Namun, pada beberapa Layanan AWS, Anda dapat melampirkan kebijakan secara langsung ke sumber daya (bukan menggunakan suatu peran sebagai perantara). Untuk mempelajari perbedaan antara peran dan kebijakan berbasis sumber daya untuk akses lintas akun, lihat. Akses sumber daya lintas akun di IAM

  • Akses lintas layanan — Beberapa Layanan AWS menggunakan fitur lain Layanan AWS. Sebagai contoh, ketika Anda memanggil suatu layanan, biasanya layanan tersebut menjalankan aplikasi di Amazon EC2 atau menyimpan objek di Amazon S3. Sebuah layanan mungkin melakukannya menggunakan izin prinsipal yang memanggil, menggunakan peran layanan, atau peran terkait layanan.

    • Sesi akses teruskan (FAS) — Saat Anda menggunakan pengguna atau peran IAM untuk melakukan tindakan AWS, Anda dianggap sebagai prinsipal. Ketika Anda menggunakan beberapa layanan, Anda mungkin melakukan sebuah tindakan yang kemudian menginisiasi tindakan lain di layanan yang berbeda. FAS menggunakan izin dari pemanggilan utama Layanan AWS, dikombinasikan dengan permintaan Layanan AWS untuk membuat permintaan ke layanan hilir. Permintaan FAS hanya dibuat ketika layanan menerima permintaan yang memerlukan interaksi dengan orang lain Layanan AWS atau sumber daya untuk menyelesaikannya. Dalam hal ini, Anda harus memiliki izin untuk melakukan kedua tindakan tersebut. Untuk detail kebijakan ketika mengajukan permintaan FAS, lihat Sesi akses maju.

    • Peran layanan – Peran layanan adalah peran IAM yang dijalankan oleh layanan untuk melakukan tindakan atas nama Anda. Administrator IAM dapat membuat, mengubah, dan menghapus peran layanan dari dalam IAM. Untuk informasi selengkapnya, lihat Membuat sebuah peran untuk mendelegasikan izin ke Layanan AWS dalam Panduan pengguna IAM.

    • Peran terkait layanan — Peran terkait layanan adalah jenis peran layanan yang ditautkan ke. Layanan AWS Layanan tersebut dapat menjalankan peran untuk melakukan tindakan atas nama Anda. Peran terkait layanan muncul di Anda Akun AWS dan dimiliki oleh layanan. Administrator IAM dapat melihat, tetapi tidak dapat mengedit izin untuk peran terkait layanan.

  • Aplikasi yang berjalan di Amazon EC2 — Anda dapat menggunakan peran IAM untuk mengelola kredensi sementara untuk aplikasi yang berjalan pada instans EC2 dan membuat atau permintaan API. AWS CLI AWS Cara ini lebih dianjurkan daripada menyimpan kunci akses dalam instans EC2. Untuk menetapkan AWS peran ke instans EC2 dan membuatnya tersedia untuk semua aplikasinya, Anda membuat profil instance yang dilampirkan ke instance. Profil instans berisi peran dan memungkinkan program yang berjalan di instans EC2 mendapatkan kredensial sementara. Untuk informasi selengkapnya, lihat Menggunakan peran IAM untuk memberikan izin ke aplikasi yang berjalan dalam instans Amazon EC2 dalam Panduan Pengguna IAM.

Kredensi sementara di IAM

Sebagai praktik terbaik, gunakan kredensil sementara dengan pengguna manusia dan beban kerja. Kredensial sementara terutama digunakan dalam peran IAM, tetapi juga ada penggunaan lain. Anda dapat meminta kredensial sementara yang memiliki berbagai izin lebih terbatas dari pengguna IAM standar Anda. Ini mencegah Anda melakukan tugas secara tidak sengaja yang tidak diizinkan oleh kredensi yang lebih terbatas. Manfat dari kredensial sementara adalah akan kedaluwarsa secara otomatis setelah jangka waktu tertentu. Anda memiliki kontrol selama kredensial tersebut valid.

Kapan menggunakan pengguna IAM Identity Center?

Kami menyarankan agar semua pengguna manusia menggunakan IAM Identity Center untuk mengakses AWS sumber daya. IAM Identity Center memungkinkan peningkatan signifikan dalam mengakses AWS sumber daya sebagai pengguna IAM. Pusat Identitas IAM menyediakan:

  • Satu set identitas dan tugas sentral

  • Akses ke akun di seluruh AWS Organisasi

  • Koneksi ke penyedia identitas Anda yang ada

  • Kredensial sementara

  • Autentikasi multi-faktor (MFA)

  • Konfigurasi MFA swalayan untuk pengguna akhir

  • Penegakan administratif penggunaan MFA

  • Single sign-on untuk semua hak Akun AWS

Untuk informasi selengkapnya, lihat Apa itu Pusat Identitas IAM di Panduan AWS IAM Identity Center Pengguna.

Kapan harus membuat pengguna IAM (alih-alih peran)

Kami menyarankan Anda hanya menggunakan pengguna IAM untuk kasus penggunaan yang tidak didukung oleh pengguna federasi. Beberapa kasus penggunaan meliputi:

  • Beban kerja yang tidak dapat menggunakan peran IAM — Anda dapat menjalankan beban kerja dari lokasi yang perlu diakses. AWS Dalam beberapa situasi, Anda tidak dapat menggunakan peran IAM untuk memberikan kredensi sementara, seperti untuk plugin. WordPress Dalam situasi ini, gunakan kunci akses jangka panjang pengguna IAM agar beban kerja tersebut dapat diautentikasi. AWS

  • AWS Klien pihak ketiga — Jika Anda menggunakan alat yang tidak mendukung akses dengan IAM Identity Center, seperti AWS klien pihak ketiga atau vendor yang tidak di-host AWS, gunakan kunci akses jangka panjang pengguna IAM.

  • AWS CodeCommit akses - Jika Anda menggunakan CodeCommit untuk menyimpan kode Anda, Anda dapat menggunakan pengguna IAM dengan kunci SSH atau kredensi khusus layanan untuk CodeCommit mengautentikasi ke repositori Anda. Kami menyarankan Anda melakukan ini selain menggunakan pengguna di IAM Identity Center untuk otentikasi normal. Pengguna di IAM Identity Center adalah orang-orang di tenaga kerja Anda yang membutuhkan akses ke aplikasi cloud Anda Akun AWS atau ke aplikasi cloud Anda. Untuk memberi pengguna akses ke CodeCommit repositori Anda tanpa mengonfigurasi pengguna IAM, Anda dapat mengonfigurasi utilitas. git-remote-codecommit Untuk informasi lebih lanjut tentang IAM dan CodeCommit, lihatMenggunakan IAM dengan CodeCommit: Kredensial Git, kunci SSH, dan kunci akses AWS. Untuk informasi selengkapnya tentang mengonfigurasi git-remote-codecommit utilitas, lihat Menghubungkan ke AWS CodeCommit repositori dengan kredensi berputar di Panduan Pengguna.AWS CodeCommit

  • Akses Amazon Keyspaces (untuk Apache Cassandra) — Dalam situasi di mana Anda tidak dapat menggunakan pengguna di Pusat Identitas IAM, seperti untuk tujuan pengujian kompatibilitas Cassandra, Anda dapat menggunakan pengguna IAM dengan kredensi khusus layanan untuk mengautentikasi dengan Amazon Keyspaces. Pengguna di IAM Identity Center adalah orang-orang di tenaga kerja Anda yang membutuhkan akses ke aplikasi cloud Anda Akun AWS atau ke aplikasi cloud Anda. Anda juga dapat terhubung ke Amazon Keyspaces menggunakan kredensil sementara. Untuk informasi selengkapnya, lihat Menggunakan kredensil sementara untuk menyambung ke Amazon Keyspaces menggunakan peran IAM dan plugin SigV4 di Panduan Pengembang Amazon Keyspaces (untuk Apache Cassandra).

  • Akses darurat — Dalam situasi di mana Anda tidak dapat mengakses penyedia identitas Anda dan Anda harus mengambil tindakan di dalamnya Akun AWS. Menetapkan akses darurat pengguna IAM dapat menjadi bagian dari rencana ketahanan Anda. Kami menyarankan agar kredensil pengguna darurat dikontrol dan diamankan dengan ketat menggunakan otentikasi multi-faktor (MFA).

Kapan harus membuat sebuah peran IAM (alih-alih pengguna)

Buat peran IAM dalam situasi berikut:

Anda membuat aplikasi yang berjalan pada instans Amazon Elastic Compute Cloud (Amazon EC2) dan aplikasi tersebut membuat permintaan. AWS

Jangan membuat pengguna IAM dan meneruskan kredensial pengguna ke aplikasi atau menanamkan kredensial di dalam aplikasi. Alih-alih, buat peran IAM yang Anda lampirkan ke instans EC2 untuk memberikan kredensial keamanan sementara pada aplikasi yang berjalan pada saat itu. Saat aplikasi menggunakan kredensil ini AWS, aplikasi dapat melakukan semua operasi yang diizinkan oleh kebijakan yang dilampirkan pada peran tersebut. Untuk detailnya, lihat Menggunakan peran IAM untuk memberikan izin pada aplikasi yang berjalan di instans Amazon EC2..

Anda membuat aplikasi yang berjalan di ponsel dan aplikasi tersebut membuat permintaan ke AWS.

Jangan membuat pengguna IAM dan mendistribusikan kunci akses pengguna dengan aplikasi. Sebaliknya, gunakan penyedia seperti Login with Amazon, Amazon Cognito, Facebook, atau Google untuk mengautentikasi pengguna dan memetakan pengguna ke peran IAM. Aplikasi dapat menggunakan peran untuk mendapatkan kredensial keamanan sementara yang memiliki izin yang ditentukan oleh kebijakan yang terlampir pada peran tersebut. Untuk informasi selengkapnya, lihat berikut ini:

Pengguna di perusahaan Anda diautentikasi di jaringan perusahaan Anda dan ingin dapat menggunakannya AWS tanpa harus masuk lagi-yaitu, Anda ingin mengizinkan pengguna untuk bergabung. AWS

Jangan buat pengguna IAM. Konfigurasikan hubungan federasi antara sistem identitas perusahaan Anda dan AWS. Anda dapat melakukannya dengan dua cara:

  • Jika sistem identitas perusahaan Anda kompatibel dengan SAMP 2.0, Anda dapat membangun kepercayaan antara sistem identitas perusahaan Anda dan AWS. Untuk informasi selengkapnya, lihat Federasi SAML 2.0.

  • Buat dan gunakan server proxy kustom yang menerjemahkan identitas pengguna dari perusahaan ke dalam peran IAM yang menyediakan kredensil keamanan sementara AWS . Untuk informasi selengkapnya, lihat Mengaktifkan akses broker identitas khusus ke konsol AWS.

Bandingkan Pengguna root akun AWS kredensil dan kredensil pengguna IAM

Pengguna root adalah pemilik akun dan dibuat saat Akun AWS dibuat. Jenis pengguna lain, termasuk pengguna IAM, dan AWS IAM Identity Center pengguna dibuat oleh pengguna root atau administrator untuk akun tersebut. Semua AWS pengguna memiliki kredensi keamanan.

Kredensial pengguna root

Kredensial pemilik akun mengizinkan akses penuh ke semua sumber daya di akun. Anda tidak dapat menggunakan kebijakan IAM untuk secara eksplisit menolak akses pengguna root ke sumber daya. Anda hanya dapat menggunakan kebijakan kontrol AWS Organizations layanan (SCP) untuk membatasi izin pengguna root akun anggota. Karena itu, kami menyarankan Anda membuat pengguna administratif di IAM Identity Center untuk digunakan untuk AWS tugas sehari-hari. Kemudian, lindungi kredensi pengguna root dan gunakan untuk melakukan hanya beberapa tugas manajemen akun dan layanan yang mengharuskan Anda masuk sebagai pengguna root. Untuk daftar tugas-tugas tersebut, lihatTugas yang memerlukan kredensial pengguna root. Untuk mempelajari cara menyiapkan administrator untuk penggunaan sehari-hari di Pusat Identitas IAM, lihat Memulai di Panduan Pengguna Pusat Identitas IAM.

Kredensial IAM

Pengguna IAM adalah entitas yang Anda buat AWS yang mewakili orang atau layanan yang menggunakan pengguna IAM untuk berinteraksi dengan AWS sumber daya. Pengguna ini adalah identitas dalam diri Anda Akun AWS yang memiliki izin khusus khusus. Misalnya, Anda dapat membuat pengguna IAM dan memberi mereka izin untuk membuat direktori di IAM Identity Center. Pengguna IAM memiliki kredensi jangka panjang yang dapat mereka gunakan untuk mengakses AWS menggunakan AWS Management Console, atau secara terprogram menggunakan API atau. AWS CLI AWS Untuk step-by-step petunjuk tentang cara pengguna IAM masuk AWS Management Console, lihat Masuk ke pengguna IAM AWS Management Console sebagai pengguna IAM di Panduan Pengguna AWS Masuk.

Secara umum, kami menyarankan Anda menghindari membuat pengguna IAM karena mereka memiliki kredensi jangka panjang seperti nama pengguna dan kata sandi. Sebagai gantinya, mewajibkan pengguna manusia untuk menggunakan kredensil sementara saat mengakses. AWS Anda dapat menggunakan penyedia identitas bagi pengguna manusia Anda untuk menyediakan akses federasi Akun AWS dengan mengasumsikan peran IAM, yang menyediakan kredensi sementara. Untuk manajemen akses terpusat, kami menyarankan Anda menggunakan IAM Identity Center untuk mengelola akses ke akun dan izin Anda dalam akun tersebut. Anda dapat mengelola identitas pengguna dengan Pusat Identitas IAM, atau mengelola izin akses untuk identitas pengguna di Pusat Identitas IAM dari penyedia identitas eksternal. Untuk informasi selengkapnya, lihat Apa itu Pusat Identitas IAM di Panduan Pengguna Pusat Identitas IAM.