Apa itu IAM? - AWS Identity and Access Management
Pengantar video untuk IAMFitur IAMMengakses IAM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Apa itu IAM?

AWS Identity and Access Management (IAM) adalah layanan web yang membantu Anda mengontrol akses ke AWS sumber daya dengan aman. Dengan IAM, Anda dapat mengelola izin secara terpusat yang mengontrol AWS sumber daya mana yang dapat diakses pengguna. Anda menggunakan IAM untuk mengontrol siapa yang diautentikasi (masuk) dan diotorisasi (memiliki izin) untuk menggunakan sumber daya.

Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya di akun. Identitas ini disebut pengguna Akun AWS root dan diakses dengan masuk dengan alamat email dan kata sandi yang Anda gunakan untuk membuat akun. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Lindungi kredensial pengguna root Anda dan gunakan kredensial tersebut untuk melakukan tugas yang hanya dapat dilakukan pengguna root. Untuk daftar lengkap tugas yang mengharuskan Anda masuk sebagai pengguna root, lihatTugas yang memerlukan kredensial pengguna root.

Daftar Isi

Pengantar video untuk IAM

AWS Pelatihan dan Sertifikasi menyediakan pengenalan video 10 menit untuk IAM:

Pengantar AWS Identity and Access Management

Fitur IAM

IAM memberikan fitur-fitur berikut untuk Anda:

Akses bersama ke Akun AWS

Anda dapat memberikan izin kepada orang lain untuk mengelola dan menggunakan sumber daya dalam akun AWS Anda yang tanpa harus membagikan kata sandi atau access key Anda.

Izin granular

Anda dapat memberikan izin yang berbeda kepada orang yang berbeda untuk sumber daya yang berbeda. Misalnya, Anda mungkin mengizinkan beberapa pengguna menyelesaikan akses ke Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), Amazon DynamoDB, Amazon Redshift, dan layanan lainnya. AWS Untuk pengguna lain, Anda dapat mengizinkan akses hanya-baca ke beberapa bucket S3, atau izin untuk menjalankan hanya beberapa instans EC2, atau untuk mengakses informasi penagihan Anda tetapi tidak ada yang lainnya.

Akses aman ke AWS sumber daya untuk aplikasi yang berjalan di Amazon EC2

Anda dapat menggunakan fitur IAM untuk memberikan kredensial secara aman untuk aplikasi yang berjalan pada instans EC2. Kredensil ini memberikan izin bagi aplikasi Anda untuk mengakses sumber daya lain. AWS Contohnya termasuk bucket S3 dan tabel DynamoDB.

Multi-factor authentication (MFA)

Anda dapat menambahkan autentikasi dua faktor ke akun Anda dan ke pengguna individu untuk keamanan ekstra. Dengan MFA, Anda atau pengguna Anda harus memberikan tidak hanya kata sandi atau kunci akses untuk menangani akun Anda, tetapi juga kode dari perangkat yang dikonfigurasi secara khusus. Jika Anda sudah menggunakan kunci keamanan FIDO dengan layanan lain, dan memiliki konfigurasi yang AWS didukung, Anda dapat menggunakannya WebAuthn untuk keamanan MFA. Untuk informasi selengkapnya, lihat Konfigurasi yang didukung untuk menggunakan kunci sandi dan kunci keamanan.

Federasi identitas

Anda dapat mengizinkan pengguna yang sudah memiliki kata sandi di tempat lain—misalnya, di jaringan perusahaan Anda atau dengan penyedia identitas internet—untuk mendapatkan akses sementara ke situs Anda. Akun AWS

Informasi identitas untuk jaminan

Jika menggunakan AWS CloudTrail, Anda menerima catatan log yang memuat informasi tentang pihak yang meminta sumber daya di akun Anda. Informasi tersebut didasarkan pada identitas IAM.

Kepatuhan PCI DSS

IAM mendukung pemrosesan, penyimpanan, dan transmisi data kartu kredit oleh pedagang atau penyedia layanan, dan telah divalidasi sebagai sesuai dengan Standar Keamanan Data (DSS) Industri Kartu Pembayaran (PCI). Untuk informasi selengkapnya tentang PCI DSS, termasuk cara meminta salinan PCI AWS Compliance Package, lihat PCI DSS Level 1.

Terintegrasi dengan banyak AWS layanan

Untuk daftar AWS layanan yang bekerja dengan IAM, lihatAWS layanan yang bekerja dengan IAM.

Konsisten Pada Akhirnya

IAM, seperti banyak AWS layanan lainnya, pada akhirnya konsisten. IAM mencapai ketersediaan tinggi dengan mereplikasi data di beberapa server di dalam pusat data Amazon di seluruh dunia. Jika permintaan untuk mengubah beberapa data berhasil, perubahan tersebut akan dilakukan dan disimpan dengan aman. Namun, perubahan harus direplikasi di seluruh IAM, yang dapat memakan waktu. Perubahan tersebut mencakup membuat atau memperbarui pengguna, grup, peran, atau kebijakan. Kami sarankan Anda tidak memasukkan perubahan IAM seperti itu di jalur kode penting dengan ketersediaan tinggi di aplikasi Anda. Sebaliknya, buat perubahan IAM dalam inisialisasi terpisah atau rutinitas pengaturan yang lebih jarang Anda lakukan. Selain itu, pastikan untuk memverifikasi bahwa perubahan telah dibuat merata sebelum alur kerja produksi bergantung padanya. Untuk informasi selengkapnya, lihat Perubahan yang saya buat tidak selalu langsung terlihat.

Gratis untuk digunakan

AWS Identity and Access Management (IAM) dan AWS Security Token Service (AWS STS) adalah fitur AWS akun Anda yang ditawarkan tanpa biaya tambahan. Anda dikenakan biaya hanya ketika Anda mengakses AWS layanan lain menggunakan pengguna IAM Anda atau kredensi keamanan AWS STS sementara. Untuk informasi tentang harga AWS produk lain, lihat halaman harga Amazon Web Services.

Mengakses IAM

Anda dapat bekerja AWS Identity and Access Management dengan salah satu cara berikut.

AWS Management Console

Konsol adalah antarmuka berbasis browser untuk mengelola IAM dan sumber daya. AWS Untuk informasi selengkapnya tentang mengakses IAM melalui konsol, lihat Cara masuk di AWS Sign-In Panduan Pengguna. AWS

AWS Alat Baris Perintah

Anda dapat menggunakan alat baris AWS perintah untuk mengeluarkan perintah di baris perintah sistem Anda untuk melakukan IAM dan AWS tugas. Menggunakan baris perintah dapat lebih cepat dan lebih nyaman dibandingkan konsol. Alat baris perintah juga berguna jika Anda ingin membangun skrip yang melakukan AWS tugas.

AWS menyediakan dua set alat baris perintah: AWS Command Line Interface(AWS CLI) dan AWS Tools for Windows PowerShell. Untuk informasi tentang menginstal dan menggunakan AWS CLI, lihat Panduan AWS Command Line Interface Pengguna. Untuk informasi tentang menginstal dan menggunakan Alat untuk Windows PowerShell, lihat Panduan AWS Tools for Windows PowerShell Pengguna.

Setelah masuk ke konsol, Anda dapat menggunakan AWS CloudShell dari browser untuk menjalankan perintah CLI atau SDK. Izin untuk mengakses AWS sumber daya didasarkan pada kredenal yang Anda gunakan untuk masuk ke konsol. Tergantung pada pengalaman Anda, Anda mungkin menemukan CLI menjadi metode yang lebih efisien untuk mengelola Anda. Akun AWS Untuk informasi selengkapnya, lihat Menggunakan AWS CloudShell untuk bekerja dengan AWS Identity and Access Management

AWS SDK

AWS menyediakan SDK (perangkat pengembangan perangkat lunak) yang terdiri dari pustaka dan kode sampel untuk berbagai bahasa dan platform pemrograman (Java, Python, Ruby, .NET, iOS, Android, dll.). SDK menyediakan cara mudah untuk membuat akses terprogram ke IAM dan. AWS Misalnya, SDK menangani tugas seperti menandatangani permintaan secara kriptografis, mengelola kesalahan, dan mencoba kembali permintaan secara otomatis. Untuk informasi tentang AWS SDK, termasuk cara mengunduh dan menginstalnya, lihat halaman Alat untuk Amazon Web Services.

API Kueri IAM

Anda dapat mengakses IAM dan AWS secara terprogram menggunakan IAM Query API, yang memungkinkan Anda mengeluarkan permintaan HTTPS langsung ke layanan. Saat Anda menggunakan Query API, Anda harus menyertakan kode untuk menandatangani permintaan secara digital menggunakan kredensil Anda. Untuk informasi lebih lanjut, lihat Memanggil API IAM menggunakan permintaan kueri HTTP dan Referensi IAM API.