Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS layanan yang bekerja dengan IAM
AWS Layanan yang tercantum di bawah ini dikelompokkan menurut abjad dan mencakup informasi tentang IAM fitur apa yang mereka dukung:
-
Layanan — Anda dapat memilih nama layanan untuk melihat AWS dokumentasi tentang IAM otorisasi dan akses untuk layanan tersebut.
-
Tindakan – Anda dapat menentukan tindakan individu dalam kebijakan. Jika layanan tidak mendukung fitur ini, maka Semua tindakan dipilih di editor visual. Dalam dokumen JSON kebijakan, Anda harus menggunakan
*
Action
elemen. Untuk daftar tindakan di setiap layanan, lihat Tindakan, Sumber Daya, dan Kunci Kondisi untuk AWS Layanan. -
Izin tingkat sumber daya — Anda dapat menggunakan ARNsuntuk menentukan sumber daya individual dalam kebijakan. Jika layanan tidak mendukung fitur ini, maka Semua sumber daya dipilih di editor visual kebijakan. Dalam dokumen JSON kebijakan, Anda harus menggunakan
*
Resource
elemen. Beberapa tindakan, sepertiList*
tindakan, tidak mendukung penentuan ARN karena dirancang untuk mengembalikan banyak sumber daya. Jika suatu layanan mendukung fitur ini untuk beberapa sumber daya tetapi tidak yang lain, itu ditunjukkan oleh Partial dalam tabel. Lihat dokumentasi untuk layanan tersebut untuk informasi selengkapnya. -
Kebijakan berbasis sumber daya – Anda dapat melampirkan kebijakan berbasis sumber daya pada sumber daya dalam layanan. Kebijakan berbasis sumber daya mencakup
Principal
elemen untuk menentukan IAM identitas mana yang dapat mengakses sumber daya tersebut. Untuk informasi selengkapnya, lihat Kebijakan berbasis identitas dan kebijakan berbasis sumber daya. -
ABAC(otorisasi berdasarkan tag) — Untuk mengontrol akses berdasarkan tag, Anda memberikan informasi tag dalam elemen kondisi kebijakan menggunakan
aws:ResourceTag/
,key-name
aws:RequestTag/
, atau kuncikey-name
aws:TagKeys
kondisi. Jika sebuah layanan mendukung ketiga kunci kondisi untuk setiap jenis sumber daya, nilainya adalah Ya untuk layanan tersebut. Jika suatu layanan mendukung ketiga kunci kondisi untuk hanya beberapa jenis sumber daya, nilainya adalah Parsial. Untuk informasi selengkapnya tentang mendefinisikan izin berdasarkan atribut seperti tanda, lihat Tentukan izin berdasarkan atribut dengan otorisasi ABAC. Untuk melihat tutorial dengan langkah-langkah penyiapanABAC, lihat Menggunakan kontrol akses berbasis atribut () ABAC. -
Kredensi sementara — Anda dapat menggunakan kredensil jangka pendek yang Anda peroleh saat masuk menggunakan Pusat IAM Identitas, beralih peran di konsol, atau yang Anda hasilkan menggunakan AWS STS di atau. AWS CLI AWS API Anda dapat mengakses layanan dengan nilai Tidak hanya saat menggunakan kredensil IAM pengguna jangka panjang Anda. Ini termasuk nama pengguna dan kata sandi atau access key pengguna. Untuk informasi selengkapnya, lihat Kredensi keamanan sementara di IAM.
-
Peran yang ditautkan dengan layanan – Sebuah peran yang berkaitan dengan layanan adalah jenis peran layanan khusus yang memberikan izin layanan untuk mengakses sumber daya pada layanan lain atas nama Anda. Pilih tautan Ya atau Sebagian untuk melihat dokumentasi layanan yang mendukung peran ini. Kolom ini tidak menunjukkan apakah layanan menggunakan peran layanan standar. Untuk informasi selengkapnya, lihat Peran terkait layanan.
-
Informasi selengkapnya – Jika layanan tidak sepenuhnya mendukung fitur, Anda dapat meninjau catatan kaki untuk entri untuk melihat pembatasan dan tautan ke informasi terkait.
Layanan yang bekerja dengan IAM
Informasi lain
Amazon CloudFront
CloudFront tidak memiliki peran terkait layanan, tetapi Lambda @Edge memilikinya. Untuk informasi selengkapnya, lihat Peran Tertaut Layanan untuk Lambda @Edge di Panduan Pengembang Amazon. CloudFront
AWS CloudTrail
CloudTrail mendukung kebijakan berbasis sumber daya hanya pada CloudTrail saluran yang digunakan untuk integrasi CloudTrail Lake dengan sumber acara di luar. AWS
Amazon CloudWatch
CloudWatch peran terkait layanan tidak dapat dibuat menggunakan AWS Management Console, dan hanya mendukung fitur Tindakan Alarm.
AWS CodeBuild
CodeBuild mendukung berbagi sumber daya lintas akun menggunakan AWS RAM.
CodeBuild mendukung ABAC tindakan berbasis proyek.
AWS Config
AWS Config mendukung izin tingkat sumber daya untuk agregasi dan Aturan data multi-wilayah multi-akun. AWS Config Untuk daftar sumber daya yang didukung, lihat bagian Agregasi Data Multi-Wilayah Multi-Akun dan bagian AWS Config Aturan pada Panduan.AWS Config API
AWS Database Migration Service
Anda dapat membuat dan mengubah kebijakan yang dilampirkan ke kunci AWS KMS enkripsi yang Anda buat untuk mengenkripsi data yang dimigrasi ke titik akhir target yang didukung. Titik akhir target yang didukung termasuk Amazon Redshift dan Amazon S3. Untuk informasi selengkapnya, lihat Membuat dan Menggunakan AWS KMS Kunci untuk Mengenkripsi Data Target Amazon Redshift dan AWS KMS Membuat Kunci untuk Mengenkripsi Objek Target Amazon S3 di Panduan Pengguna.AWS Database Migration Service
Amazon Elastic Compute Cloud
Peran EC2 terkait layanan Amazon hanya dapat digunakan untuk fitur berikut: Permintaan Instans Spot, Permintaan Armada Spot, Armada Amazon EC2, dan Peluncuran cepat untuk instans Windows.
Amazon Elastic Container Service
Hanya beberapa ECS tindakan Amazon yang mendukung izin tingkat sumber daya.
AWS Elemental MediaPackage
MediaPackage mendukung peran terkait layanan untuk mempublikasikan log akses pelanggan ke CloudWatch tetapi tidak untuk tindakan lainAPI.
AWS Identity and Access Management
IAMHanya mendukung satu jenis kebijakan berbasis sumber daya yang disebut kebijakan kepercayaan peran, yang melekat pada peran. IAM Untuk informasi selengkapnya, lihat Berikan izin pengguna untuk beralih peran.
IAMmendukung kontrol akses berbasis tag untuk sebagian besar IAM sumber daya. Untuk informasi selengkapnya, lihat Tag untuk AWS Identity and Access Management sumber daya.
Hanya beberapa API tindakan untuk yang IAM dapat dipanggil dengan kredensil sementara. Untuk informasi selengkapnya, lihat Membandingkan API opsi Anda.
AWS IoT
Perangkat yang terhubung ke AWS IoT diautentikasi dengan menggunakan sertifikat X.509 atau menggunakan Identitas Amazon Cognito. Anda dapat melampirkan AWS IoT kebijakan ke sertifikat X.509 atau Identitas Amazon Cognito untuk mengontrol apa yang diizinkan oleh perangkat. Untuk informasi selengkapnya, lihat Keamanan dan Identitas untuk AWS IoT dalam Panduan Developer AWS IoT .
AWS Lambda
Lambda mendukung kontrol akses berbasis atribut (ABAC) untuk API tindakan yang menggunakan fungsi Lambda sebagai sumber daya yang diperlukan. Lapisan, pemetaan sumber peristiwa, dan sumber konfigurasi penandatanganan kode tidak didukung.
Lambda tidak memiliki peran terkait layanan, tetapi Lambda @Edge memilikinya. Untuk informasi selengkapnya, lihat Peran Tertaut Layanan untuk Lambda @Edge di Panduan Pengembang Amazon. CloudFront
Amazon Lightsail
Lightsail sebagian mendukung izin tingkat sumber daya dan. ABAC Untuk informasi selengkapnya, lihat Kunci tindakan, sumber daya, dan kondisi untuk Amazon Lightsail.
Amazon Managed Streaming for Apache Kafka () MSK
Anda dapat melampirkan kebijakan klaster ke MSK klaster Amazon yang telah dikonfigurasi untuk VPCmulti-konektivitas.
AWS Network Manager
AWS Cloud WAN juga mendukung peran terkait layanan. Untuk informasi selengkapnya, lihat Peran WAN terkait layanan AWS Cloud di Panduan Amazon VPC AWS Cloud WAN.
Amazon Relational Database Service
Amazon Aurora adalah mesin database relasional yang dikelola sepenuhnya yang kompatibel dengan My SQL dan Postgre. SQL Anda dapat memilih Aurora My atau SQL Aurora Postgre SQL sebagai opsi mesin DB saat menyiapkan server database baru melalui Amazon. RDS Untuk informasi selengkapnya, lihat Manajemen identitas dan akses untuk Amazon Aurora di Panduan Pengguna Amazon Aurora.
Amazon Rekognition
Kebijakan berbasis sumber daya hanya didukung untuk menyalin model Label Kustom Rekognition Amazon.
AWS Resource Groups
Pengguna dapat mengambil peran dengan kebijakan yang memungkinkan operasi Resource Groups.
Amazon SageMaker
Peran terkait layanan saat ini tersedia untuk pekerjaan SageMaker Studio dan SageMaker pelatihan.
AWS Security Token Service
AWS STS tidak memiliki “sumber daya,” tetapi memungkinkan pembatasan akses dengan cara yang mirip dengan pengguna. Untuk informasi selengkapnya, lihat Menolak akses ke kredensial keamanan sementara menurut nama.
Hanya beberapa API operasi untuk panggilan AWS STS dukungan dengan kredensil sementara. Untuk informasi selengkapnya, lihat Membandingkan API opsi Anda.
Layanan Email Sederhana Amazon
Anda hanya dapat menggunakan izin tingkat sumber daya dalam pernyataan kebijakan yang merujuk pada tindakan yang terkait dengan pengiriman email, seperti atau. ses:SendEmail
ses:SendRawEmail
Untuk pernyataan kebijakan yang mengacu pada tindakan lainnya, elemen Sumber daya hanya dapat berisi *
.
Hanya Amazon yang SES API mendukung kredensil keamanan sementara. SESSMTPAntarmuka Amazon tidak mendukung SMTP kredensil yang berasal dari kredensil keamanan sementara.
Amazon Simple Storage Service
Amazon S3 mendukung otorisasi berbasis tag hanya untuk sumber daya objek.
Amazon S3 mendukung peran terkait layanan untuk Lensa Penyimpanan Amazon S3.
AWS Trusted Advisor
APIAkses ke Trusted Advisor adalah melalui AWS Support API dan dikendalikan oleh AWS Support IAM kebijakan.
Amazon Virtual Private Cloud
Dalam kebijakan IAM pengguna, Anda tidak dapat membatasi izin ke titik akhir Amazon VPC tertentu. Setiap Action
elemen yang mencakup ec2:*VpcEndpoint*
atau ec2:DescribePrefixLists
API tindakan harus menentukan ""Resource":
"*"
”. Untuk informasi selengkapnya, lihat Identitas dan manajemen akses untuk layanan VPC titik VPC akhir dan titik akhir di Panduan.AWS PrivateLink
Amazon VPC mendukung melampirkan kebijakan sumber daya tunggal ke VPC titik akhir untuk membatasi apa yang dapat diakses melalui titik akhir tersebut. Untuk informasi selengkapnya tentang penggunaan kebijakan berbasis sumber daya untuk mengontrol akses ke sumber daya dari VPC titik akhir Amazon tertentu, lihat Mengontrol akses ke layanan menggunakan kebijakan titik akhir dalam Panduan.AWS PrivateLink
Amazon VPC tidak memiliki peran terkait layanan, tetapi AWS Transit Gateway melakukannya. Untuk informasi selengkapnya, lihat Menggunakan peran terkait layanan untuk gateway transit di Panduan Amazon VPC AWS Transit Gateway .
AWS X-Ray
X-Ray tidak mendukung izin tingkat sumber daya untuk semua tindakan.
X-Ray mendukung kontrol akses berbasis tag untuk grup dan aturan pengambilan sampel.