Mengakses ikhtisar bahasa kebijakan untuk Amazon API Gateway - Amazon API Gateway
Elemen umum dalam kebijakan akses

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengakses ikhtisar bahasa kebijakan untuk Amazon API Gateway

Halaman ini menjelaskan elemen dasar yang digunakan dalam kebijakan sumber daya Amazon API Gateway.

Kebijakan sumber daya ditentukan menggunakan sintaks yang sama dengan kebijakan IAM. Untuk informasi bahasa kebijakan selengkapnya, lihat Gambaran Umum Kebijakan IAM dan Referensi AWS Identity and Access Management Kebijakan di Panduan Pengguna IAM.

Untuk informasi tentang cara AWS layanan memutuskan apakah permintaan yang diberikan harus diizinkan atau ditolak, lihat Menentukan Apakah Permintaan Diizinkan atau Ditolak.

Elemen umum dalam kebijakan akses

Dalam arti yang paling mendasar, kebijakan sumber daya berisi elemen-elemen berikut:

  • Sumber Daya — API adalah sumber daya Amazon API Gateway yang dapat Anda izinkan atau tolak izinnya. Dalam sebuah kebijakan, Anda menggunakan Nama Sumber Daya Amazon (ARN) untuk mengidentifikasi sumber daya. Anda juga dapat menggunakan sintaks singkat, yang API Gateway secara otomatis diperluas ke ARN penuh saat Anda menyimpan kebijakan sumber daya. Untuk mempelajari selengkapnya, lihat Contoh kebijakan sumber daya API Gateway.

    Untuk format Resource elemen lengkap, lihatFormat sumber daya izin untuk menjalankan API di API Gateway.

  • Tindakan - Untuk setiap sumber daya, Amazon API Gateway mendukung serangkaian operasi. Anda mengidentifikasi operasi sumber daya yang Anda izinkan (atau tolak) dengan menggunakan kata kunci tindakan.

    Misalnya, execute-api:Invoke izin akan memungkinkan izin pengguna untuk memanggil API atas permintaan klien.

    Untuk format Action elemen, lihatFormat tindakan izin untuk menjalankan API di API Gateway.

  • Efek — Apa efeknya ketika pengguna meminta tindakan tertentu—ini bisa berupa salah satu atau. Allow Deny Anda juga dapat secara eksplisit menolak akses ke sumber daya, yang mungkin Anda lakukan untuk memastikan bahwa pengguna tidak dapat mengaksesnya, bahkan jika kebijakan lain memberikan akses.

    catatan

    “Penyangkalan implisit” adalah hal yang sama dengan “tolak secara default”.

    “Penyangkalan implisit” berbeda dari “penolakan eksplisit”. Untuk informasi selengkapnya, lihat Perbedaan Antara Menyangkal Secara Default dan Penolakan Eksplisit.

  • Principal — Akun atau pengguna mengizinkan akses ke tindakan dan sumber daya dalam pernyataan. Dalam kebijakan sumber daya, prinsipal adalah pengguna atau akun yang menerima izin ini.

Contoh kebijakan sumber daya berikut menunjukkan elemen kebijakan umum sebelumnya. Kebijakan memberikan akses ke API di bawah id akun yang ditentukan di wilayah tertentu kepada pengguna yang alamat IP sumbernya ada di blok alamat 123.4.5.6/24. Kebijakan menolak semua akses ke API jika IP sumber pengguna tidak berada dalam jangkauan.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "execute-api:Invoke",
            "Resource": "arn:aws:execute-api:region:account-id:*"
        },
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "execute-api:Invoke",
            "Resource": "arn:aws:execute-api:region:account-id:*",
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": "123.4.5.6/24"
                }
            }
        }
    ]
}