Menyediakan akses ke pengguna IAM di pengguna lain Akun AWS yang Anda miliki - AWS Identity and Access Management
Contoh skenario menggunakan akun pengembangan dan produksi terpisahInformasi selengkapnya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyediakan akses ke pengguna IAM di pengguna lain Akun AWS yang Anda miliki

Anda dapat memberikan izin kepada pengguna IAM untuk beralih ke peran dalam peran Anda Akun AWS atau ke peran yang ditentukan di peran lain Akun AWS yang Anda miliki.

catatan

Jika Anda ingin memberikan akses ke akun yang tidak Anda miliki atau kontrol, lihat Menyediakan akses Akun AWS yang dimiliki oleh pihak ketiga nanti dalam topik ini.

Bayangkan Anda memiliki instans Amazon EC2 yang sangat penting terhadap organisasi Anda. Alih-alih secara langsung memberikan izin kepada pengguna Anda untuk menghentikan instans, Anda dapat membuat peran atas hak istimewa tersebut. Kemudian, izinkan administrator untuk beralih ke peran saat mereka perlu menghentikan suatu instans. Melakukan hal ini akan menambah lapisan perlindungan berikut ke kejadian:

  • Anda harus secara tegas memberikan izin kepada pengguna Anda untuk mengambil peran tersebut.

  • Pengguna Anda harus secara aktif beralih ke peran menggunakan AWS Management Console atau mengambil peran menggunakan AWS API AWS CLI atau.

  • Anda dapat menambahkan perlindungan Multi-Factor Authentication (MFA) ke peran sehingga hanya pengguna yang masuk dengan perangkat MFA yang dapat memegang peran tersebut. Untuk mempelajari cara mengonfigurasi peran sehingga pengguna yang mengasumsikan peran tersebut harus diautentikasi terlebih dahulu menggunakan autentikasi Multi-Factor Authentication (MFA), lihat Mengonfigurasi akses API yang dilindungi MFA.

Kami menyarankan menggunakan pendekatan ini untuk menegakkan prinsip hak istimewa paling rendah. Ini berarti membatasi penggunaan izin yang ditingkatkan hanya pada saat diperlukan untuk tugas tertentu. Dengan peran Anda dapat membantu mencegah perubahan yang tidak disengaja terhadap lingkungan yang sensitif, terutama jika Anda menggabungkannya dengan audit untuk membantu memastikan bahwa peran tersebut hanya digunakan saat diperlukan.

Saat Anda membuat peran untuk tujuan ini, Anda menetapkan akun berdasarkan ID yang penggunanya memerlukan akses dalam elemen Principal kebijakan kepercayaan peran. Kemudian, Anda dapat memberikan izin kepada pengguna tertentu dalam akun lain untuk beralih ke peran tersebut. Untuk mempelajari apakah prinsipal dalam akun di luar zona kepercayaan (organisasi atau akun terpercaya) memiliki akses untuk mengasumsikan peran Anda, lihat Apa yang dimaksud dengan Penganalisis Akses IAM?.

Pengguna dalam satu akun dapat beralih ke peran dalam akun yang sama atau berbeda. Saat menggunakan peran tersebut, pengguna hanya dapat melakukan tindakan dan mengakses sumber daya yang diizinkan dengan peran tersebut; izin pengguna yang asli ditangguhkan. Saat pengguna keluar dari peran, izin pengguna asli mereka dipulihkan.

Contoh skenario menggunakan akun pengembangan dan produksi terpisah

Bayangkan bahwa organisasi Anda memiliki banyak Akun AWS untuk mengisolasi lingkungan pengembangan dari lingkungan produksi. Pengguna di akun pengembangan mungkin kadang kala perlu mengakses sumber daya di akun produksi. Misalnya, Anda mungkin memerlukan akses akun silang saat mempromosikan pembaruan dari lingkungan pengembangan ke lingkungan produksi. Meskipun Anda dapat membuat identitas terpisah (dan kata sandi) untuk pengguna yang bekerja di kedua akun, mengelola kredensial untuk beberapa akun membuat manajemen identitas menjadi sulit. Dalam gambar berikut, semua pengguna dikelola dalam akun pengembangan, tetapi beberapa pengembang memerlukan akses terbatas ke akun produksi. Akun pengembangan memiliki dua grup: Penguji dan Developer, lalu setiap grup memiliki kebijakannya sendiri.

Gunakan peran untuk izin delegasi kepada pengguna di akun yang berbeda

  1. Di akun produksi, administrator menggunakan IAM untuk membuat peran UpdateApp dalam akun tersebut. Dalam peran tersebut, administrator mendefinisikan kebijakan kepercayaan yang menentukan akun pengembangan sebagai Principal, yang berarti bahwa pengguna sah dari akun pengembangan dapat menggunakan peran UpdateApp. Administrator juga menetapkan kebijakan izin untuk peran yang menentukan izin baca dan tulis ke bucket Amazon S3 yang diberi nama. productionapp

    Kemudian, administrator membagikan informasi yang sesuai dengan siapa pun yang perlu menjalankan peran tersebut. Informasi tersebut adalah nomor akun dan nama peran (untuk pengguna AWS konsol) atau Nama Sumber Daya Amazon (ARN) (untuk AWS CLI atau akses AWS API). Peran ARN akan terlihat seperti arn:aws:iam::123456789012:role/UpdateApp, di mana peran diberi nama UpdateApp dan peran tersebut dibuat pada nomor akun 123456789012.

    catatan

    Administrator secara opsional dapat mengonfigurasi peran sehingga pengguna yang menerima peran tersebut harus terlebih dahulu diautentikasi menggunakan Multi-Factor Authentication (MFA) Untuk informasi selengkapnya, lihat Mengonfigurasi akses API yang dilindungi MFA.

  2. Dalam akun pengembangan, administrator memberi anggota grup Pengembang izin untuk beralih ke peran. Ini dilakukan dengan memberikan izin grup Pengembang untuk memanggil AWS Security Token Service (AWS STS) AssumeRole API untuk UpdateApp peran tersebut. Pengguna IAM mana pun yang termasuk dalam grup Pengembang di akun pengembangan sekarang dapat beralih ke peran UpdateApp dalam akun produksi. Pengguna lain yang tidak berada dalam grup developer tidak memiliki izin untuk beralih ke peran tersebut sehingga tidak dapat mengakses bucket S3 dalam akun produksi.

  3. Pengguna meminta untuk beralih ke peran:

    • AWS konsol: Pengguna memilih nama akun di bilah navigasi dan memilih Beralih Peran. Pengguna menentukan ID akun (atau alias) dan nama peran. Atau, pengguna dapat mengklik tautan yang dikirim melalui email oleh administrator. Tautan tersebut membawa pengguna ke halaman Beralih Peran dengan detail yang sudah diisi.

    • AWS API/AWS CLI: Seorang pengguna dalam grup Pengembang dari akun pengembangan memanggil AssumeRole fungsi untuk mendapatkan kredensi untuk peran tersebut. UpdateApp Pengguna menentukan ARN dari peran UpdateApp sebagai bagian dari panggilan. Jika pengguna di grup Testers melakukan permintaan yang sama, permintaan tersebut gagal karena Penguji tidak memiliki izin untuk menelepon AssumeRole untuk peran UpdateApp ARN.

  4. AWS STS mengembalikan kredensi sementara:

    • AWS console: AWS STS memverifikasi permintaan dengan kebijakan kepercayaan peran untuk memastikan bahwa permintaan tersebut berasal dari entitas tepercaya (yaitu: akun pengembangan). Setelah verifikasi, AWS STS mengembalikan kredensi keamanan sementara ke konsol. AWS

    • API/CLI: AWS STS memverifikasi permintaan terhadap kebijakan kepercayaan peran untuk memastikan bahwa permintaan tersebut berasal dari entitas tepercaya (yaitu: akun Pengembangan). Setelah verifikasi, AWS STS mengembalikan kredensi keamanan sementara ke aplikasi.

  5. Kredensi sementara memungkinkan akses ke sumber daya: AWS

    • AWS konsol: AWS Konsol menggunakan kredensi sementara atas nama pengguna untuk semua tindakan konsol berikutnya, dalam hal ini, untuk membaca dan menulis ke bucket. productionapp Konsol tidak dapat mengakses sumber daya lain di akun produksi. Saat pengguna keluar dari peran, izin pengguna kembali ke izin awal yang ada sebelum beralih ke peran.

    • API?CLI: Aplikasi menggunakan kredensial keamanan sementara untuk memperbarui bucket productionapp. Dengan kredensial keamanan sementara, aplikasi hanya dapat membaca dari dan menulis ke bucket productionapp dan tidak dapat mengakses sumber daya lain dalam akun Produksi. Aplikasi tidak perlu keluar dari peran, tetapi berhenti menggunakan kredensial sementara dan menggunakan kredensial asli pada panggilan API selanjutnya.

Informasi selengkapnya

Untuk informasi lebih lanjut, lihat hal berikut: