Istilah dan konsep peran - AWS Identity and Access Management

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Istilah dan konsep peran

Berikut ini beberapa istilah dasar untuk membantu Anda memulai dengan peran.

Peran

Sebuah identitas IAM adalah yang dapat Anda buat di akun Anda yang memiliki izin spesifik. Peran IAM memiliki beberapa kesamaan dengan pengguna IAM. Peran dan pengguna adalah identitas AWS dengan kebijakan izin yang menentukan apa yang dapat dan tidak dapat dilakukan oleh identitas tersebut di AWS. Namun, alih-alih secara unik terkait dengan satu orang, peran dimaksudkan untuk dapat menjadi dapat diasumsikan oleh siapa pun yang membutuhkannya. Selain itu, peran tidak memiliki kredensial jangka panjang standar seperti kata sandi atau kunci akses yang terkait dengannya. Sebagai gantinya, saat Anda mengambil peran, kredensial keamanan sementara untuk sesi peran Anda akan diberikan.

Peran dapat digunakan sebagai berikut:

  • Pengguna IAM dalam peran yang Akun AWS sama

  • Pengguna IAM dalam peran yang berbeda Akun AWS dari

  • Layanan web yang ditawarkan oleh AWS Amazon Elastic Compute Cloud (Amazon EC2)

  • Pengguna eksternal yang diautentikasi oleh layanan penyedia identitas (IdP) eksternal yang kompatibel dengan SAML 2.0 atau OpenID Connect, atau broker identitas yang dirancang khusus.

AWS peran layanan

Peran layanan adalah peran IAM yang diambil oleh sebuah layanan untuk melakukan tindakan atas nama Anda. Administrator IAM dapat membuat, mengubah, dan menghapus peran layanan dari dalam IAM. Untuk informasi selengkapnya, lihat Membuat sebuah peran untuk mendelegasikan izin ke Layanan AWS dalam Panduan pengguna IAM.

AWS peran layanan untuk instans EC2

Jenis peran layanan khusus yang dapat dijalankan aplikasi yang dijalankan di instans Amazon EC2 dapat mengambil tindakan di akun Anda. Peran ini ditetapkan ke instans EC2 saat peran diluncurkan. Aplikasi yang berjalan pada instans tersebut dapat mengambil kredensial keamanan sementara dan melakukan tindakan yang dimungkinkan oleh peran tersebut. Untuk detail tentang penggunaan peran layanan untuk instans EC2, lihat Menggunakan peran IAM untuk memberikan izin pada aplikasi yang berjalan di instans Amazon EC2..

AWS peran terkait layanan

Peran terkait layanan adalah jenis peran layanan yang ditautkan ke. Layanan AWS Layanan tersebut dapat menjalankan peran untuk melakukan tindakan atas nama Anda. Peran terkait layanan muncul di Anda Akun AWS dan dimiliki oleh layanan. Administrator IAM dapat melihat, tetapi tidak dapat mengedit izin untuk peran terkait layanan.

catatan

Jika Anda sudah menggunakan layanan ketika mulai mendukung peran yang terkait dengan layanan, Anda mungkin menerima email yang mengumumkan peran baru di akun Anda. Dalam hal ini, layanan secara otomatis membuat peran terkait layanan di akun Anda. Anda tidak perlu melakukan tindakan apa pun untuk mendukung peran ini, dan Anda tidak harus menghapusnya secara manual. Untuk informasi selengkapnya, lihat Peran baru muncul di akun AWS saya.

Untuk informasi tentang layanan mana yang mendukung peran yang terkait dengan layanan, lihat AWS layanan yang bekerja dengan IAM dan cari layanan yang memiliki Ya di kolom Peran Terkait-Layanan Pilih Ya dengan tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut. Untuk informasi selengkapnya, lihat Menggunakan peran terkait layanan.

Rantai peran

Role chaining adalah ketika Anda menggunakan peran untuk mengambil peran kedua melalui AWS CLI atau API. Misalnya, RoleA memiliki izin untuk berasumsiRoleB. Anda dapat mengaktifkan User1 untuk berasumsi RoleA dengan menggunakan kredensi pengguna jangka panjang mereka dalam operasi API. AssumeRole Ini mengembalikan kredensi RoleA jangka pendek. Dengan rantai peran, Anda dapat menggunakan RoleA kredensi jangka pendek untuk mengaktifkan User1 berasumsi. RoleB

Saat Anda mengambil peran, Anda dapat melewatkan tag sesi dan mengatur tag sebagai transitif. Tag sesi transitif diteruskan ke semua sesi berikutnya dalam rantai peran. Untuk mempelajari lebih lanjut tentang tag sesi, lihat Melewati tag sesi di AWS STS.

Role chaining membatasi sesi peran Anda AWS CLI atau AWS API hingga maksimal satu jam. Bila Anda menggunakan operasi AssumeRoleAPI untuk mengambil peran, Anda dapat menentukan durasi sesi peran Anda dengan DurationSeconds parameter. Anda dapat menentukan nilai parameter hingga 43200 detik (12 jam), tergantung pada pengaturan durasi sesi maksimum untuk peran Anda. Akan tetapi, jika Anda berperan menggunakan rantai peran dan memberikan nilai parameter DurationSeconds lebih dari satu jam, operasi gagal.

AWS tidak memperlakukan penggunaan peran untuk memberikan izin ke aplikasi yang berjalan pada instans EC2 sebagai rantai peran.

Delegasi

Pemberian izin kepada seseorang untuk memungkinkan akses ke sumber daya yang Anda kontrol. Delegasi melibatkan terbentuknya kepercayaan antara dua akun. Yang pertama adalah akun yang memiliki sumber daya (akun terpercaya). Kedua adalah akun yang berisi pengguna yang perlu mengakses sumber daya (akun tepercaya). Akun tepercaya dan dipercaya dapat merupakan salah satu dari berikut ini:

  • Akun yang sama.

  • Pisahkan akun yang berada di bawah kendali organisasi Anda.

  • Dua akun yang dimiliki oleh organisasi yang berbeda.

Untuk mendelegasikan izin untuk mengakses sumber daya, Anda menciptakan peran IAM dalam akun kepercayaan yang memiliki dua kebijakan yang melekat. Kebijakan izin memberikan izin yang diperlukan pengguna untuk melaksanakan tugas yang diinginkan pada sumber daya. Kebijakan kepercayaan menentukan anggota akun tepercaya mana yang diizinkan untuk menjalankan peran tersebut.

Saat membuat kebijakan kepercayaan, Anda tidak dapat menentukan wildcard (*) sebagai bagian dari dan ARN di elemen utama. Kebijakan terpercaya ini dilampirkan pada peran dalam akun kepercayaan, dan merupakan setengah dari izin. Setengah lainnya adalah kebijakan izin yang melekat pada pengguna dalam akun tepercaya yang memungkinkan pengguna untuk beralih, atau mengambil peran. Seorang pengguna yang mengambil peran secara sementara memberikan izinnya sendiri dan sebaliknya mengambil izin peran tersebut. Saat pengguna keluar, atau berhenti menggunakan peran tersebut, izin pengguna yang asli akan dipulihkan. Parameter tambahan yang disebut ID eksternal membantu memastikan penggunaan peran aman antar akun yang tidak dikontrol oleh organisasi yang sama.

Federasi

Penciptaan hubungan kepercayaan antara penyedia identitas eksternal dan AWS. Pengguna dapat masuk ke penyedia OIDC, seperti Login with Amazon, Facebook, Google, atau IDP apa pun yang kompatibel dengan OpenID Connect (OIDC). Pengguna juga dapat masuk ke sistem identitas perusahaan yang kompatibel dengan Security Assertion Markup Language (SAML) 2.0, seperti Microsoft Active Directory Federation Services. Saat Anda menggunakan OIDC dan SAMP 2.0 untuk mengonfigurasi hubungan kepercayaan antara penyedia identitas eksternal ini dan AWS, pengguna ditetapkan ke peran IAM. Pengguna juga menerima kredensi sementara yang memungkinkan pengguna mengakses sumber daya Anda AWS .

Pengguna federasi

Alih-alih membuat pengguna IAM, Anda dapat menggunakan identitas yang ada dari AWS Directory Service, direktori pengguna perusahaan Anda, atau penyedia OIDC. Ini dikenal sebagai pengguna federasi. AWS memberikan peran kepada pengguna federasi ketika akses diminta melalui penyedia identitas. Untuk informasi selengkapnya tentang pengguna gabungan, lihat Pengguna gabungan dan peran.

Kebijakan kepercayaan

Dokumen kebijakan JSON yang Anda definisikan menjadi prinsip yang Anda percaya untuk mengambil peran tersebut. Kebijakan kepercayaan adalah kebijakan berbasis sumber daya yang diperlukan yang melekat pada peran dalam IAM. Prinsipal yang dapat Anda sebutkan dalam kebijakan kepercayaan termasuk pengguna, peran, akun, dan layanan.

Kebijakan izin

Dokumen izin di format JSON yang dapat Anda gunakan untuk menentukan tindakan dan sumber daya apa yang dapat digunakan oleh peran tersebut. Dokumen ini ditulis sesuai dengan aturan Bahasa kebijakan IAM.

Batas izin

Fitur lanjutan di mana Anda menggunakan kebijakan untuk membatasi izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas ke suatu peran. Anda tidak dapat menerapkan batas izin untuk peran yang terkait layanan. Untuk informasi selengkapnya, lihat Batas izin untuk entitas IAM.

Kepala Sekolah

Entitas AWS yang dapat melakukan tindakan dan mengakses sumber daya. Prinsipal dapat berupa Pengguna root akun AWS, pengguna IAM, atau peran. Anda dapat memberikan izin untuk mengakses sumber daya dengan salah satu dari dua cara:

  • Anda dapat melampirkan kebijakan izin kepada pengguna (secara langsung atau tidak langsung melalui grup) atau ke peran.

  • Untuk layanan yang mendukung kebijakan berbasis sumber daya, Anda dapat mengidentifikasi prinsipal dalam elemen Principal kebijakan yang terlampir pada sumber daya.

Jika Anda merujuk Akun AWS sebagai prinsipal, itu umumnya berarti setiap prinsipal yang didefinisikan dalam akun itu.

catatan

Anda tidak dapat menggunakan wildcard (*) untuk mencocokkan bagian dari nama utama atau ARN dalam kebijakan kepercayaan peran. Lihat perinciannya di AWS Elemen kebijakan JSON: Principal.

Peran untuk akses lintas akun

Peran yang memberikan akses ke sumber daya dalam satu akun ke prinsipal tepercaya dalam akun yang berbeda. Peran adalah cara utama untuk memberikan akses akun silang. Namun, beberapa layanan AWS memungkinkan Anda melampirkan kebijakan secara langsung ke sumber daya (alih-alih menggunakan peran sebagai proksi). Ini disebut kebijakan berbasis sumber daya, dan Anda dapat menggunakannya untuk memberikan prinsipal di akses lain ke sumber daya. Akun AWS Beberapa sumber daya ini termasuk bucket Amazon Simple Storage Service (S3), vault S3 Glacier, topik Amazon Simple Notification Service (SNS) dan antrean Amazon Simple Queue Service (SQS) Untuk mempelajari layanan yang mendukung kebijakan berbasis sumber daya, lihat AWS layanan yang bekerja dengan IAM. Untuk informasi selengkapnya tentang kebijakan berbasis sumber daya, lihat Akses sumber daya lintas akun di IAM.