Bagaimana Amazon Monitron Bekerja dengan IAM - Amazon Monitron
Kebijakan Berbasis Identitas Amazon MonitronKebijakan Berbasis Sumber Daya Amazon MonitronOtorisasi Berdasarkan Tag Amazon MonitronPeran Amazon Monitron IAMContoh Kebijakan Berbasis IdentitasPemecahan Masalah

Amazon Monitron tidak akan lagi terbuka untuk pelanggan baru mulai 31 Oktober 2024. Jika Anda ingin menggunakan layanan ini, daftar sebelum tanggal tersebut. Pelanggan yang sudah ada dapat terus menggunakan layanan seperti biasa. Untuk kemampuan yang mirip dengan Amazon Monitron, lihat posting blog kami.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bagaimana Amazon Monitron Bekerja dengan IAM

Sebelum Anda menggunakan IAM untuk mengelola akses ke Amazon Monitron, Anda harus memahami IAM fitur apa yang tersedia untuk digunakan dengan Amazon Monitron. Untuk mendapatkan tampilan tingkat tinggi tentang cara kerja IAM Amazon Monitron dan layanan AWS lainnya, AWS lihat Layanan yang IAM Berfungsi di Panduan PenggunaIAM.

Kebijakan Berbasis Identitas Amazon Monitron

Untuk menentukan tindakan dan sumber daya yang diizinkan atau ditolak serta kondisi di mana tindakan diizinkan atau ditolak, gunakan kebijakan IAM berbasis identitas. Amazon Monitron mendukung tindakan, sumber daya, dan kunci kondisi tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam JSON kebijakan, lihat Referensi Elemen IAM JSON Kebijakan di Panduan IAM Pengguna.

Tindakan

Administrator dapat menggunakan AWS JSON kebijakan untuk menentukan siapa yang memiliki akses ke apa. Yaitu, principal dapat melakukan tindakan pada suatu sumber daya, dan dalam suatu syarat.

ActionElemen JSON kebijakan menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam kebijakan. Tindakan kebijakan biasanya memiliki nama yang sama dengan AWS API operasi terkait. Ada beberapa pengecualian, seperti tindakan khusus izin yang tidak memiliki operasi yang cocok. API Ada juga beberapa operasi yang memerlukan beberapa tindakan dalam suatu kebijakan. Tindakan tambahan ini disebut tindakan dependen.

Menyertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.

Di Amazon Monitron, tindakan kebijakan menggunakan awalan berikut sebelum tindakan:. monitron: Misalnya, untuk memberikan izin kepada seseorang untuk membuat proyek dengan CreateProject operasi Amazon Monitron, Anda menyertakan monitron:CreateProject tindakan tersebut dalam kebijakan mereka. Pernyataan kebijakan harus memuat elemen Action atau NotAction. Amazon Monitron mendefinisikan serangkaian tindakannya sendiri yang menjelaskan tugas yang dapat Anda lakukan dengan layanan ini.

catatan

Dengan deleteProject operasi ini, Anda harus memiliki izin AWS IAM Identity Center (SSO) untuk penghapusan. Tanpa izin ini, fungsionalitas hapus masih akan menghapus proyek. Namun, itu tidak akan menghapus sumber daya dari SSO dan Anda mungkin berakhir dengan referensi menggantungSSO.

Untuk menetapkan beberapa tindakan dalam satu pernyataan, pisahkan dengan koma seperti berikut:

"Action": [
      "monitron:action1",
      "monitron:action2"
]

Anda dapat menentukan beberapa tindakan menggunakan wildcard (*). Sebagai contoh, untuk menentukan semua tindakan yang dimulai dengan kata List, sertakan tindakan berikut:

"Action": "monitron:List*"

Sumber daya

Amazon Monitron tidak mendukung menentukan sumber daya ARNs dalam kebijakan.

Kunci kondisi

Administrator dapat menggunakan AWS JSON kebijakan untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana utama dapat melakukan tindakan pada sumber daya, dan dalam kondisi apa.

Elemen Condition (atau blok Condition) akan memungkinkan Anda menentukan kondisi yang menjadi dasar suatu pernyataan berlaku. Elemen Condition bersifat opsional. Anda dapat membuat ekspresi bersyarat yang menggunakan operator kondisi, misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta.

Jika Anda menentukan beberapa elemen Condition dalam sebuah pernyataan, atau beberapa kunci dalam elemen Condition tunggal, maka AWS akan mengevaluasinya menggunakan operasi AND logis. Jika Anda menentukan beberapa nilai untuk satu kunci kondisi, AWS mengevaluasi kondisi menggunakan OR operasi logis. Semua kondisi harus dipenuhi sebelum izin pernyataan diberikan.

Anda juga dapat menggunakan variabel placeholder saat menentukan kondisi. Misalnya, Anda dapat memberikan izin IAM pengguna untuk mengakses sumber daya hanya jika ditandai dengan nama IAM pengguna mereka. Untuk informasi selengkapnya, lihat elemen IAM kebijakan: variabel dan tag di Panduan IAM Pengguna.

AWS mendukung kunci kondisi global dan kunci kondisi khusus layanan. Untuk melihat semua kunci kondisi AWS global, lihat kunci konteks kondisi AWS global di Panduan IAM Pengguna.

Amazon Monitron mendefinisikan kumpulan kunci kondisinya sendiri dan juga mendukung penggunaan beberapa kunci kondisi global. Untuk daftar semua kunci kondisi AWS global, lihat Kunci Konteks Kondisi AWS Global di Panduan IAM Pengguna.

Untuk melihat daftar kunci kondisi Amazon Monitron, lihat Tindakan yang ditentukan oleh Amazon Monitron di IAM Panduan Pengguna. Untuk mempelajari tindakan dan sumber daya yang dapat Anda gunakan kunci kondisi, lihat Kunci kondisi untuk Amazon Monitron.

Contoh

Untuk melihat contoh kebijakan berbasis identitas Amazon Monitron, lihat. Contoh Kebijakan Berbasis Identitas Amazon Monitron

Kebijakan Berbasis Sumber Daya Amazon Monitron

Amazon Monitron tidak mendukung kebijakan berbasis sumber daya.

Otorisasi Berdasarkan Tag Amazon Monitron

Anda dapat mengaitkan tag dengan jenis sumber daya Amazon Monitron tertentu untuk otorisasi. Untuk mengontrol akses berdasarkan tag, berikan informasi tag dalam elemen kondisi kebijakan menggunakanAmazon Monitron:TagResource/${TagKey},aws:RequestTag/${TagKey}, atau kunci aws:TagKeys kondisi.

Peran Amazon Monitron IAM

IAMPeran adalah entitas dalam AWS akun Anda yang memiliki izin khusus.

Menggunakan Kredensial Sementara dengan Amazon Monitron

Anda dapat menggunakan kredensi sementara untuk masuk dengan federasi, mengambil IAM peran, atau mengambil peran lintas akun. Anda memperoleh kredensi keamanan sementara dengan memanggil AWS STS API operasi seperti AssumeRoleatau. GetFederationToken

Amazon Monitron mendukung penggunaan kredensi sementara.

Peran Tertaut Layanan

Peran terkait AWS layanan memungkinkan layanan mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran terkait layanan muncul di IAM akun Anda dan dimiliki oleh layanan. IAMAdministrator dapat melihat tetapi tidak mengedit izin untuk peran terkait layanan.

Amazon Monitron mendukung peran terkait layanan.

Peran Layanan

Fitur ini memungkinkan layanan untuk menerima peran layanan atas nama Anda. Peran ini mengizinkan layanan untuk mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran layanan muncul di IAM akun Anda dan dimiliki oleh akun. Ini berarti bahwa IAM administrator dapat mengubah izin untuk peran ini. Namun, melakukan hal itu dapat merusak fungsionalitas layanan.

Amazon Monitron mendukung peran layanan.

Contoh Kebijakan Berbasis Identitas Amazon Monitron

Secara default, IAM pengguna dan peran tidak memiliki izin untuk membuat atau memodifikasi sumber daya Amazon Monitron. Mereka juga tidak dapat melakukan tugas menggunakan AWS Management Console. IAMAdministrator harus memberikan izin kepada IAM pengguna, grup, atau peran yang memerlukannya. Kemudian pengguna, grup, atau peran ini dapat melakukan operasi spesifik pada sumber daya tertentu yang mereka butuhkan. Administrator kemudian harus melampirkan kebijakan tersebut ke IAM pengguna atau grup yang memerlukan izin tersebut.

Untuk mempelajari cara membuat kebijakan IAM berbasis identitas menggunakan contoh dokumen kebijakan ini, lihat Membuat JSON Kebijakan di JSON Tab di Panduan Pengguna. IAM

Praktik Terbaik Kebijakan

Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus sumber daya Amazon Monitron di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:

  • Mulailah dengan kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit — Untuk mulai memberikan izin kepada pengguna dan beban kerja Anda, gunakan kebijakan AWS terkelola yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Anda Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola AWS pelanggan yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat kebijakan AWSAWS terkelola atau kebijakan terkelola untuk fungsi pekerjaan di Panduan IAM Pengguna.

  • Menerapkan izin hak istimewa paling sedikit — Saat Anda menetapkan izin dengan IAM kebijakan, berikan hanya izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai izin dengan hak akses paling rendah. Untuk informasi selengkapnya tentang penggunaan IAM untuk menerapkan izin, lihat Kebijakan dan izin IAM di IAM Panduan Pengguna.

  • Gunakan ketentuan dalam IAM kebijakan untuk membatasi akses lebih lanjut — Anda dapat menambahkan kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Misalnya, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakanSSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui yang spesifik Layanan AWS, seperti AWS CloudFormation. Untuk informasi selengkapnya, lihat elemen IAM JSON kebijakan: Kondisi dalam Panduan IAM Pengguna.

  • Gunakan IAM Access Analyzer untuk memvalidasi IAM kebijakan Anda guna memastikan izin yang aman dan fungsional — IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan mematuhi bahasa IAM kebijakan () JSON dan praktik terbaik. IAM IAMAccess Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat Memvalidasi kebijakan dengan IAM Access Analyzer di IAMPanduan Pengguna.

  • Memerlukan otentikasi multi-faktor (MFA) - Jika Anda memiliki skenario yang mengharuskan IAM pengguna atau pengguna root di dalam Anda Akun AWS, aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA kapan API operasi dipanggil, tambahkan MFA kondisi ke kebijakan Anda. Untuk informasi selengkapnya, lihat APIAkses aman dengan MFA di Panduan IAM Pengguna.

Untuk informasi selengkapnya tentang praktik terbaik diIAM, lihat Praktik terbaik keamanan IAM di Panduan IAM Pengguna.

Menggunakan Konsol Amazon Monitron

Untuk menyiapkan Amazon Monitron menggunakan konsol, selesaikan proses penyiapan awal menggunakan pengguna dengan hak istimewa tinggi (seperti pengguna dengan kebijakan AdministratorAccess terkelola terlampir).

Untuk mengakses konsol Amazon Monitron untuk day-to-day operasi setelah penyiapan awal, Anda harus memiliki set izin minimum. Izin ini harus memungkinkan Anda untuk membuat daftar dan melihat detail tentang sumber daya Amazon Monitron di akun AWS Anda dan menyertakan serangkaian izin yang terkait dengan IAM Pusat Identitas. Jika Anda membuat kebijakan berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan ini, konsol tidak akan berfungsi sebagaimana dimaksud untuk entitas (IAMpengguna atau peran) dengan kebijakan tersebut. Untuk fungsionalitas dasar Amazon Monitron Console, Anda harus melampirkan kebijakan AmazonMonitronFullAccess terkelola. Tergantung pada situasinya, Anda mungkin juga memerlukan izin tambahan untuk Organizations dan SSO layanan. Hubungi AWS dukungan jika Anda memerlukan informasi lebih lanjut.

Contoh: Daftar Semua Proyek Amazon Monitron

Kebijakan contoh ini memberikan izin kepada IAM pengguna di AWS akun Anda untuk mencantumkan semua proyek di akun Anda. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "monitron:ListProject"
            "Resource": "*"
        }
    ]
}

Contoh: Daftar Proyek Amazon Monitron Berdasarkan Tag

Anda dapat menggunakan kondisi dalam kebijakan berbasis identitas untuk mengontrol akses ke sumber daya Amazon Monitron berdasarkan tag. Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan yang memungkinkan daftar proyek. Namun, izin diberikan hanya jika tag proyek location memiliki nilaiSeattle. Kebijakan ini juga memberi izin yang diperlukan untuk menyelesaikan tindakan ini pada konsol tersebut.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListProjectsInConsole",
            "Effect": "Allow",
            "Action": "monitron:ListProjects",
            "Resource": "*"
       
            "Condition": {
                "StringEquals": {
                     "aws:ResourceTag/location": "Seattle"
                }
            }
        }
    ]
}

Untuk informasi selengkapnya, lihat Elemen IAM JSON Kebijakan: Kondisi dalam Panduan IAM Pengguna.

Memecahkan Masalah Identitas dan Akses Amazon Monitron

Gunakan informasi berikut untuk membantu Anda mendiagnosis dan memperbaiki masalah umum yang mungkin Anda temui saat bekerja dengan Amazon Monitron dan. IAM

Saya Tidak Berwenang untuk Melakukan Tindakan di Amazon Monitron

Jika Anda menerima pesan kesalahan bahwa Anda tidak memiliki otorisasi untuk melakukan tindakan, kebijakan Anda harus diperbarui agar Anda dapat melakukan tindakan tersebut.

Contoh kesalahan berikut terjadi ketika mateojackson IAM pengguna mencoba menggunakan konsol untuk melihat detail tentang my-example-widget sumber daya fiksi tetapi tidak memiliki izin monitron:GetWidget fiksi.

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: monitron:GetWidget on resource: my-example-widget

Dalam hal ini, kebijakan untuk pengguna mateojackson harus diperbarui untuk mengizinkan akses ke sumber daya my-example-widget dengan menggunakan tindakan monitron:GetWidget.

Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.

Saya Ingin Mengizinkan Orang Di Luar AWS Akun Saya Mengakses Sumber Daya Amazon Monitron Saya

Anda dapat membuat peran yang dapat digunakan pengguna di akun lain atau orang-orang di luar organisasi Anda untuk mengakses sumber daya Anda. Anda dapat menentukan siapa saja yang dipercaya untuk mengambil peran tersebut. Untuk layanan yang mendukung kebijakan berbasis sumber daya atau daftar kontrol akses (ACLs), Anda dapat menggunakan kebijakan tersebut untuk memberi orang akses ke sumber daya Anda.

Untuk mempelajari selengkapnya, periksa referensi berikut: