Buat peran untuk penyedia identitas pihak ketiga (federasi) - AWS Identity and Access Management
Membuat peran untuk pengguna federasi (konsol)Membuat peran untuk akses gabungan (AWS CLI)Membuat peran untuk akses federasi ()AWS API

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat peran untuk penyedia identitas pihak ketiga (federasi)

Anda dapat menggunakan penyedia identitas alih-alih membuat IAM pengguna di situs Anda Akun AWS. Dengan penyedia identitas (iDP), Anda dapat mengelola identitas pengguna di luar AWS dan memberikan izin identitas pengguna eksternal ini untuk mengakses AWS sumber daya di akun Anda. Untuk informasi lebih lanjut tentang federasi dan penyedia identitas, lihat Penyedia dan federasi identitas.

Membuat peran untuk pengguna federasi (konsol)

Prosedur untuk membuat peran bagi pengguna federasi bergantung pada pilihan penyedia pihak ketiga Anda:

Membuat peran untuk akses gabungan (AWS CLI)

Langkah-langkah untuk membuat peran untuk penyedia identitas yang didukung (OIDCatauSAML) dari AWS CLI yang sama. Perbedaannya ada dalam konten kebijakan kepercayaan yang Anda buat dalam langkah-langkah prasyarat. Mulai dengan mengikuti langkah-langkah dalam bagian Prasyarat untuk jenis penyedia yang Anda gunakan:

Membuat peran dari AWS CLI melibatkan beberapa langkah. Saat Anda menggunakan konsol untuk membuat peran, banyak langkah dilakukan untuk Anda, tetapi dengan itu AWS CLI Anda harus secara eksplisit melakukan setiap langkah sendiri. Anda harus membuat peran dan kemudian menetapkan kebijakan izin untuk peran tersebut. Atau, Anda juga dapat mengatur batas izin untuk peran Anda.

Untuk membuat peran bagi federasi identitas (AWS CLI)

  1. Buat peran: aws iam create-role

  2. Lampirkan kebijakan izin ke peran: aws iam attach-role-policy

    atau

    Buat kebijakan izin sebaris untuk peran tersebut: aws iam put-role-policy

  3. (Opsional) Tambahkan atribut khusus ke peran tersebut dengan melampirkan tag: aws iam tag-role

    Untuk informasi selengkapnya, lihat Mengelola tag pada peran IAM (AWS CLI atau AWS API).

  4. (Opsional) Tetapkan batas izin untuk peran: aws iam put-role-permissions-boundary

    Batas izin mengontrol izin maksimum yang dapat dimiliki sebuah peran. Batas izin adalah AWS fitur lanjutan.

Contoh berikut menunjukkan dua langkah pertama, dan paling umum, untuk membuat peran penyedia identitas dalam lingkungan yang sederhana. Contoh ini memungkinkan setiap pengguna dalam akun 123456789012 untuk mengasumsikan peran dan melihat example_bucket bucket Amazon S3. Contoh ini juga mengasumsikan bahwa Anda menjalankan AWS CLI pada komputer yang menjalankan Windows, dan telah mengkonfigurasi AWS CLI dengan kredensi Anda. Untuk informasi selengkapnya, lihat Mengonfigurasi AWS Command Line Interface.

Contoh kebijakan kepercayaan berikut ini dirancang untuk aplikasi seluler jika pengguna masuk dengan menggunakan Amazon Cognito. Dalam contoh ini, us-east:12345678-ffff-ffff-ffff-123456 mewakili ID kumpulan identitas yang ditetapkan oleh Amazon Cognito.

{
    "Version": "2012-10-17",
    "Statement": {
        "Sid": "RoleForCognito",
        "Effect": "Allow",
        "Principal": {"Federated": "cognito-identity.amazonaws.com"},
        "Action": "sts:AssumeRoleWithWebIdentity",
        "Condition": {"StringEquals": {"cognito-identity.amazonaws.com:aud": "us-east:12345678-ffff-ffff-ffff-123456"}}
    }
}

Kebijakan izin berikut ini memperbolehkan siapa pun yang mengasumsikan peran untuk hanya melaksanakan tindakan ListBucket pada example_bucket bucket Amazon S3.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "s3:ListBucket",
    "Resource": "arn:aws:s3:::example_bucket"
  }
}

Untuk membuat peran ini Test-Cognito-Role, Anda harus terlebih dahulu menyimpan kebijakan kepercayaan sebelumnya dengan nama trustpolicyforcognitofederation.json dan kebijakan izin sebelumnya dengan nama permspolicyforcognitofederation.json ke policies direktori di lokasi Anda C:. Kemudian Anda dapat menggunakan perintah berikut untuk membuat peran dan melampirkan kebijakan inline.

# Create the role and attach the trust policy that enables users in an account to assume the role.
$ aws iam create-role --role-name Test-Cognito-Role --assume-role-policy-document file://C:\policies\trustpolicyforcognitofederation.json

# Attach the permissions policy to the role to specify what it is allowed to do.
aws iam put-role-policy --role-name Test-Cognito-Role --policy-name Perms-Policy-For-CognitoFederation --policy-document file://C:\policies\permspolicyforcognitofederation.json

Membuat peran untuk akses federasi ()AWS API

Langkah-langkah untuk membuat peran untuk penyedia identitas yang didukung (OIDCatauSAML) dari AWS CLI yang sama. Perbedaannya ada dalam konten kebijakan kepercayaan yang Anda buat dalam langkah-langkah prasyarat. Mulai dengan mengikuti langkah-langkah dalam bagian Prasyarat untuk jenis penyedia yang Anda gunakan:

Untuk membuat peran federasi identitas (AWS API)

  1. Buat peran: CreateRole

  2. Lampirkan kebijakan izin ke peran: AttachRolePolicy

    atau

    Membuat kebijakan izin sebaris untuk peran tersebut: PutRolePolicy

  3. (Opsional) Tambahkan atribut khusus ke pengguna dengan melampirkan tag: TagRole

    Untuk informasi selengkapnya, lihat Mengelola tag pada pengguna IAM (AWS CLI atau AWS API).

  4. (Opsional) Tetapkan batas izin untuk peran: PutRolePermissionsBoundary

    Batas izin mengontrol izin maksimum yang dapat dimiliki sebuah peran. Batas izin adalah AWS fitur lanjutan.