Memperbarui kebijakan kepercayaan peran - AWS Identity and Access Management
Memperbarui kebijakan kepercayaan peran (konsol)Memperbarui kebijakan kepercayaan peran (AWS CLI)Memperbarui kebijakan kepercayaan peran (AWS API)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memperbarui kebijakan kepercayaan peran

Untuk mengubah siapa yang dapat mengasumsikan peran, Anda harus mengubah kebijakan kepercayaan peran tersebut. Anda tidak dapat mengubah kebijakan kepercayaan untuk peran yang terkait dengan layanan.

Catatan

  • Jika pengguna terdaftar sebagai prinsipal dalam kebijakan kepercayaan peran, tetapi tidak dapat mengasumsikan peran tersebut, periksa batas izin pengguna tersebut. Jika batas izin diatur untuk pengguna tersebut, maka itu seharusnya memungkinkan tindakan sts:AssumeRole.

  • Untuk memungkinkan pengguna untuk mengambil peran saat ini lagi dalam sesi peran, tentukan peran ARN atau Akun AWS ARN sebagai prinsipal dalam kebijakan kepercayaan peran. Layanan AWS yang menyediakan sumber daya komputasi seperti AmazonEC2, Amazon, Amazon ECSEKS, dan Lambda memberikan kredensi sementara dan secara otomatis memperbarui kredensi ini. Ini memastikan bahwa Anda selalu memiliki seperangkat kredensional yang valid. Untuk layanan ini, tidak perlu mengambil peran saat ini lagi untuk mendapatkan kredensi sementara. Namun, jika Anda berniat untuk meneruskan tag sesi atau kebijakan sesi, Anda perlu mengambil peran saat ini lagi.

Memperbarui kebijakan kepercayaan peran (konsol)

Untuk mengubah kebijakan kepercayaan peran dalam AWS Management Console

  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi IAM konsol, pilih Peran.

  3. Dalam daftar peran di akun Anda, pilih nama peran yang ingin Anda ubah.

  4. Pilih tab Trust relationship, lalu pilih Edit trust policy.

  5. Ubah kebijakan kepercayaan sebagaimana diperlukan. Untuk menambahkan prinsipal tambahan yang dapat mengasumsikan peran, tentukan dalam elemen Principal. Misalnya, cuplikan kebijakan berikut menunjukkan cara mereferensikan dua Akun AWS elemen: Principal

    "Principal": {
  "AWS": [
    "arn:aws:iam::111122223333:root",
    "arn:aws:iam::444455556666:root"
  ]
},

    Jika Anda menetapkan prinsipal di akun lain, menambahkan akun ke kebijakan kepercayaan dari suatu peran hanya setengah dari membangun hubungan kepercayaan lintas akun. Secara default, tidak ada pengguna dalam akun terpercaya yang dapat mengasumsikan peran tersebut. Administrator untuk akun yang baru dipercaya harus memberikan izin kepada pengguna untuk mengasumsikan peran tersebut. Untuk melakukannya, administrator harus membuat atau mengubah kebijakan yang dilampirkan pada pengguna untuk memberikan akses kepada pengguna ke tindakan sts:AssumeRole. Untuk informasi selengkapnya, lihat prosedur berikut atau Berikan izin pengguna untuk beralih peran.

    Cuplikan kebijakan berikut menunjukkan cara mereferensikan dua AWS layanan dalam elemen: Principal

    "Principal": {
  "Service": [
    "opsworks.amazonaws.com",
    "ec2.amazonaws.com"
  ]
},

  6. Setelah selesai mengedit kebijakan kepercayaan Anda, pilih Perbarui kebijakan untuk menyimpan perubahan Anda.

    Untuk informasi selengkapnya tentang struktur dan sintaks, lihat Kebijakan dan izin di AWS Identity and Access Management dan IAMJSONreferensi elemen kebijakan.

Untuk mengizinkan pengguna dalam akun eksternal terpercaya untuk menggunakan peran (konsol)

Untuk informasi dan detail selengkapnya tentang prosedur ini, lihat Berikan izin pengguna untuk beralih peran.

  1. Masuk ke eksternal tepercaya Akun AWS.

  2. Tentukan apakah akan melampirkan izin ke pengguna atau ke kelompok. Di panel navigasi IAM konsol, pilih Pengguna atau grup Pengguna yang sesuai.

  3. Pilih nama pengguna atau kelompok yang ingin Anda beri akses, dan kemudian pilih tab Izin.

  4. Lakukan salah satu hal berikut ini:

    • Untuk mengedit kebijakan yang dikelola pelanggan, pilih nama kebijakan, pilih Edit kebijakan, lalu pilih JSONtab. Anda tidak dapat mengedit kebijakan AWS terkelola. AWS kebijakan terkelola muncul dengan AWS ikon ( Orange cube icon indicating a policy is managed by AWS. ). Untuk informasi selengkapnya tentang perbedaan antara kebijakan yang dikelola AWS dan kebijakan yang dikelola oleh pelanggan, lihat Kebijakan terkelola dan kebijakan inline.

    • Untuk mengubah kebijakan inline, pilih panah di samping nama kebijakan dan pilih Ubah Kebijakan.

  5. Dalam editor kebijakan, tambahkan elemen Statement baru yang menentukan hal berikut:

    {
  "Effect": "Allow",
  "Action": "sts:AssumeRole",
  "Resource": "arn:aws:iam::ACCOUNT-ID:role/ROLE-NAME"
}

    Ganti ARN dalam pernyataan dengan ARN peran yang dapat diasumsikan pengguna.

  6. Ikuti prompt pada layar untuk menyelesaikan pengubahan kebijakan.

Memperbarui kebijakan kepercayaan peran (AWS CLI)

Anda dapat menggunakan AWS CLI untuk mengubah siapa yang dapat mengambil peran.

Untuk mengubah kebijakan kepercayaan peran (AWS CLI)

  1. (Opsional) Jika Anda tidak tahu nama peran yang ingin Anda ubah, jalankan perintah berikut untuk membuat daftar peran di akun Anda:

  2. (Opsional) Untuk melihat penjelasan peran terkini, gunakan perintah berikut:

  3. Untuk mengubah prinsipal terpercaya yang dapat mengakses peran, buat file teks dengan kebijakan kepercayaan yang diperbarui. Anda dapat menggunakan editor teks apa pun untuk menyusun kebijakan.

    Misalnya, kebijakan kepercayaan berikut menunjukkan cara Akun AWS mereferensikan dua Principal elemen. Hal ini memungkinkan pengguna dalam dua terpisah Akun AWS untuk mengambil peran ini.

    {
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Principal": {"AWS": [
            "arn:aws:iam::111122223333:root",
            "arn:aws:iam::444455556666:root"
        ]},
        "Action": "sts:AssumeRole"
    }
}

    Jika Anda menetapkan prinsipal di akun lain, menambahkan akun ke kebijakan kepercayaan dari suatu peran hanya setengah dari membangun hubungan kepercayaan lintas akun. Secara default, tidak ada pengguna dalam akun terpercaya yang dapat mengasumsikan peran tersebut. Administrator untuk akun yang baru dipercaya harus memberikan izin kepada pengguna untuk mengasumsikan peran tersebut. Untuk melakukannya, administrator harus membuat atau mengubah kebijakan yang dilampirkan pada pengguna untuk memberikan akses kepada pengguna ke tindakan sts:AssumeRole. Untuk informasi selengkapnya, lihat prosedur berikut atau Berikan izin pengguna untuk beralih peran.

  4. Untuk menggunakan file yang baru saja Anda buat untuk memperbarui kebijakan kepercayaan, jalankan perintah berikut:

Untuk mengizinkan pengguna dalam akun eksternal tepercaya untuk menggunakan peran (AWS CLI)

Untuk informasi dan detail selengkapnya tentang prosedur ini, lihat Berikan izin pengguna untuk beralih peran.

  1. Buat JSON file yang berisi kebijakan izin yang memberikan izin untuk mengambil peran. Misalnya, kebijakan berikut memuat izin minimum yang diperlukan:

    {
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "sts:AssumeRole",
    "Resource": "arn:aws:iam::ACCOUNT-ID-THAT-CONTAINS-ROLE:role/ROLE-NAME"
  }
}

    Ganti ARN dalam pernyataan dengan ARN peran yang dapat diasumsikan pengguna.

  2. Jalankan perintah berikut untuk mengunggah JSON file yang berisi kebijakan kepercayaan keIAM:

    Output dari perintah ini termasuk kebijakan. ARN Catat ini ARN karena Anda akan membutuhkannya di langkah selanjutnya.

  3. Tentukan pengguna atau kelompok mana yang akan dilampiri kebijakan ini. Jika Anda tidak tahu nama pengguna atau kelompok yang dimaksudkan, gunakan salah satu perintah berikut untuk membuat daftar pengguna atau kelompok di akun Anda:

  4. Gunakan salah satu perintah berikut untuk melampirkan kebijakan yang Anda buat pada langkah sebelumnya kepada pengguna atau kelompok:

Memperbarui kebijakan kepercayaan peran (AWS API)

Anda dapat menggunakan AWS API untuk mengubah siapa yang dapat mengambil peran.

Untuk memodifikasi kebijakan kepercayaan peran (AWS API)

  1. (Opsional) Jika Anda tidak tahu nama peran yang ingin Anda ubah, jalankan perintah berikut untuk membuat daftar peran di akun Anda:

  2. (Opsional) Untuk melihat kebijakan kepercayaan terkini untuk peran, panggil operasi berikut:

  3. Untuk mengubah prinsipal terpercaya yang dapat mengakses peran, buat file teks dengan kebijakan kepercayaan yang diperbarui. Anda dapat menggunakan editor teks apa pun untuk menyusun kebijakan.

    Misalnya, kebijakan kepercayaan berikut menunjukkan cara Akun AWS mereferensikan dua Principal elemen. Hal ini memungkinkan pengguna dalam dua terpisah Akun AWS untuk mengambil peran ini.

    {
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Principal": {"AWS": [
            "arn:aws:iam::111122223333:root",
            "arn:aws:iam::444455556666:root"
        ]},
        "Action": "sts:AssumeRole"
    }
}

    Jika Anda menetapkan prinsipal di akun lain, menambahkan akun ke kebijakan kepercayaan dari suatu peran hanya setengah dari membangun hubungan kepercayaan lintas akun. Secara default, tidak ada pengguna dalam akun terpercaya yang dapat mengasumsikan peran tersebut. Administrator untuk akun yang baru dipercaya harus memberikan izin kepada pengguna untuk mengasumsikan peran tersebut. Untuk melakukannya, administrator harus membuat atau mengubah kebijakan yang dilampirkan pada pengguna untuk memberikan akses kepada pengguna ke tindakan sts:AssumeRole. Untuk informasi selengkapnya, lihat prosedur berikut atau Berikan izin pengguna untuk beralih peran.

  4. Untuk menggunakan file yang baru saja Anda buat untuk memperbarui kebijakan kepercayaan, panggil operasi berikut:

Untuk memungkinkan pengguna di akun eksternal tepercaya menggunakan role (AWS API)

Untuk informasi dan detail selengkapnya tentang prosedur ini, lihat Berikan izin pengguna untuk beralih peran.

  1. Buat JSON file yang berisi kebijakan izin yang memberikan izin untuk mengambil peran. Misalnya, kebijakan berikut memuat izin minimum yang diperlukan:

    {
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "sts:AssumeRole",
    "Resource": "arn:aws:iam::ACCOUNT-ID-THAT-CONTAINS-ROLE:role/ROLE-NAME"
  }
}

    Ganti ARN dalam pernyataan dengan ARN peran yang dapat diasumsikan pengguna.

  2. Panggil operasi berikut untuk mengunggah JSON file yang berisi kebijakan kepercayaan keIAM:

    Output dari operasi ini termasuk kebijakan. ARN Catat ini ARN karena Anda akan membutuhkannya di langkah selanjutnya.

  3. Tentukan pengguna atau kelompok mana yang akan dilampiri kebijakan ini. Jika Anda tidak tahu nama pengguna atau grup yang dimaksudkan, panggil salah satu operasi berikut untuk membuat daftar pengguna atau kelompok di akun Anda:

  4. Panggil salah satu perintah berikut untuk melampirkan kebijakan yang Anda buat pada langkah sebelumnya kepada pengguna atau kelompok: