Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Memberikan izin untuk membuat kredensial keamanan sementara
Secara default, pengguna IAM tidak memiliki izin untuk membuat kredensial keamanan sementara untuk pengguna gabungan dan peran. Anda harus menggunakan kebijakan untuk memberikan izin ini kepada pengguna Anda. Meskipun Anda dapat memberikan izin secara langsung kepada pengguna, kami sangat menyarankan agar Anda memberikan izin kepada grup. Ini menjadikan pengelolaan izin jauh lebih mudah. Saat seseorang tidak lagi perlu melakukan tugas yang terkait dengan izin, Anda cukup menghapusnya dari grup. Jika orang lain perlu melakukan tugas tersebut, tambahkan mereka ke grup untuk memberikan izin.
Untuk memberikan izin grup IAM untuk membuat kredensial keamanan sementara bagi pengguna gabungan atau peran, Anda melampirkan kebijakan yang memberikan salah satu atau kedua hak istimewa berikut:
-
Untuk pengguna federasi untuk mengakses peran IAM, berikan akses ke. AWS STS
AssumeRole -
Untuk pengguna federasi yang tidak memerlukan peran, berikan akses ke AWS STS
GetFederationToken.
Untuk informasi selengkapnya tentang perbedaan antara operasi API AssumeRole dan GetFederationToken, lihat Meminta kredensial keamanan sementara.
Pengguna IAM juga dapat memanggil GetSessionToken untuk membuat kredensial keamanan sementara. Tidak ada izin yang diperlukan bagi pengguna untuk memanggil GetSessionToken. Tujuan dari operasi ini adalah mengautentikasi pengguna menggunakan MFA. Anda tidak dapat menggunakan kebijakan untuk mengontrol autentikasi. Ini artinya Anda tidak dapat mencegah pengguna IAM melakukan panggilan GetSessionToken untuk membuat kredensial sementara.
contoh Contoh kebijakan yang memberikan izin untuk mengambil peran
Contoh kebijakan berikut memberikan izin AssumeRole untuk memanggil UpdateApp peran dalam Akun AWS 123123123123. Saat AssumeRole digunakan, pengguna (atau aplikasi) yang membuat kredensial keamanan atas nama pengguna gabungan tidak dapat mengurangi izin apapun yang belum ditentukan dalam kebijakan izin peran.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::123123123123:role/UpdateAPP" }] }
contoh Contoh kebijakan yang memberikan izin untuk membuat kredensial keamanan sementara bagi pengguna gabungan.
Contoh kebijakan berikut memberikan izin untuk mengakses GetFederationToken.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "sts:GetFederationToken", "Resource": "*" }] }
penting
Saat Anda memberikan pengguna IAM izin untuk membuat kredensial keamanan sementara bagi pengguna gabungan dengan GetFederationToken, ketahuilah bahwa ini mengizinkan pengguna tersebut untuk mengeluarkan izin milik mereka. Untuk informasi selengkapnya tentang mendelegasikan izin di seluruh pengguna IAM dan Akun AWS, lihat. Contoh kebijakan untuk mendelegasikan akses Untuk informasi selengkapnya tentang mengatur izin pada kredensial keamanan sementara, lihat Mengontrol izin untuk kredensial keamanan sementara.
contoh Contoh kebijakan yang memberikan izin terbatas kepada pengguna untuk membuat kredensial keamanan sementara bagi pengguna gabungan.
Saat Anda mengizinkan pengguna IAM memanggil GetFederationToken, ini adalah penerapan terbaik untuk membatasi izin yang dapat dikeluarkan oleh pengguna IAM. Misalnya, kebijakan berikut menunjukkan cara membiarkan pengguna IAM membuat kredensial keamanan sementara hanya untuk pengguna gabungan yang namanya dimulai dengan Manajer.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "sts:GetFederationToken", "Resource": ["arn:aws:sts::123456789012:federated-user/Manager*"] }] }
