Identity and access management di AWS Artifact - AWS Artifact

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Identity and access management di AWS Artifact

Ketika mendaftar ke AWS, Anda memberikan alamat email dan kata sandi yang terkait dengan akun AWS Anda. Ini adalah kredensial root Anda yang memberikan akses penuh ke semua sumber daya AWS Anda, termasuk sumber daya untuk AWS Artifact. Namun, kami sangat menyarankan agar Anda tidak menggunakan akun root untuk akses sehari-hari. Kami juga menyarankan agar Anda tidak membagikan kredensial akun dengan orang lain untuk memberikan akses penuh ke akun Anda.

Alih-alih masuk ke akun AWS dengan kredensial root atau berbagi kredensial Anda dengan orang lain, Anda sebaiknya membuat identitas pengguna khusus yang disebut pengguna IAM untuk diri sendiri dan siapa saja yang mungkin membutuhkan akses ke dokumen atau perjanjian dalam AWS Artifact. Dengan pendekatan ini, Anda dapat memberikan informasi masuk berbeda untuk setiap pengguna, dan Anda dapat memberikan izin yang dibutuhkan tiap-tiap pengguna untuk bekerja dengan dokumen tertentu saja. Anda juga dapat memberikan izin yang sama kepada beberapa pengguna IAM dengan memberikan izin bagi grup IAM dan menambahkan pengguna IAM ke grup tersebut.

Jika Anda sudah mengelola identitas pengguna di luar AWS, Anda dapat menggunakan penyedia identitas IAM alih-alih membuat pengguna IAM. Untuk informasi selengkapnya, lihat Penyedia dan federasi identitas dalam Panduan Pengguna IAM.

Buat pengguna IAM dan beri mereka akses ke AWS Artifact

Selesaikan langkah-langkah berikut untuk memberikan izin ke AWS Artifact bagi pengguna berdasarkan tingkat akses yang mereka butuhkan.

Langkah 1: Membuat kebijakan IAM

Sebagai administrator IAM, Anda dapat membuat kebijakan yang memberikan izin untuk tindakan dan sumber daya AWS Artifact.

Untuk membuat kebijakan IAM

Gunakan prosedur berikut untuk membuat kebijakan IAM yang dapat Anda gunakan untuk memberikan izin kepada pengguna dan grup IAM.

  1. Buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Kebijakan.

  3. Pilih Buat kebijakan.

  4. Pilih tab JSON.

  5. Masukkan dokumen kebijakan. Anda dapat membuat kebijakan sendiri, atau Anda dapat menggunakan salah satu kebijakan dari Kebijakan contoh IAM.

  6. Pilih Tinjau Kebijakan. Validator kebijakan melaporkan kesalahan sintaksis.

  7. Pada halaman Tinjau kebijakan, masukkan nama unik yang membantu Anda mengingat tujuan kebijakan. Anda juga dapat menambahkan deskripsi.

  8. Pilih Buat kebijakan.

Langkah 2: Buat grup IAM dan lampirkan kebijakan

Sebagai administrator IAM, Anda dapat membuat grup dan melampirkan kebijakan yang Anda buat ke grup. Anda dapat menambahkan pengguna IAM ke grup kapan saja.

Untuk membuat grup IAM dan melampirkan kebijakan

  1. Dalam panel navigasi, pilih Groups lalu pilih Create New Group.

  2. Untuk Nama Grup, masukkan nama untuk grup Anda, lalu pilih Langkah Selanjutnya.

  3. Di bidang pencarian, masukkan nama kebijakan yang Anda buat. Pilih kotak centang untuk kebijakan Anda, kemudian pilih Langkah Selanjutnya.

  4. Tinjau nama grup dan kebijakan. Setelah semuanya selesai, pilih Buat Grup.

Langkah 3: Buat pengguna IAM dan tambahkan ke grup

Sebagai administrator IAM, Anda dapat menambahkan pengguna ke grup kapan saja. Ini memberikan kepada pengguna izin yang sama yang diberikan ke grup.

Untuk membuat pengguna IAM dan menambahkannya ke grup

  1. Di panel navigasi, pilih Pengguna lalu pilih Tambahkan pengguna.

  2. Untuk Nama pengguna, masukkan nama untuk satu atau lebih pengguna.

  3. Pilih kotak centang di samping akses AWS Management Console. Konfigurasikan sandi yang dibuat secara otomatis atau kustom. Anda dapat memilih Pengguna harus membuat kata sandi baru saat masuk berikutnya untuk mengharuskan pengguna mengatur ulang kata sandi baru saat masuk pertama kali.

  4. Pilih Berikutnya: Izin.

  5. Pilih Tambahkan pengguna ke grup lalu pilih grup yang Anda buat.

  6. Pilih Berikutnya: Tanda. Anda dapat menambahkan tag secara opsional ke pengguna Anda.

  7. Pilih Berikutnya: Peninjauan. Setelah semuanya selesai, pilih Buat pengguna.

Kebijakan contoh IAM

Anda dapat membuat kebijakan izin yang memberikan izin kepada pengguna IAM. Anda dapat memberikan akses bagi pengguna ke laporan AWS Artifact dan kemampuan untuk menerima dan mengunduh perjanjian atas nama satu akun atau organisasi.

Contoh kebijakan berikut menunjukkan izin yang dapat Anda tetapkan untuk pengguna IAM berdasarkan tingkat akses yang mereka butuhkan.

contoh Contoh kebijakan untuk mengelola laporan

Kebijakan berikut memberikan izin untuk mengunduh semua laporan.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "artifact:Get" ], "Resource": [ "arn:aws:artifact:::report-package/*" ] } ] }

Kebijakan berikut memberikan izin untuk mengunduh hanya laporan SOC, PCI, dan ISO.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "artifact:Get" ], "Resource": [ "arn:aws:artifact:::report-package/Certifications and Attestations/SOC/*", "arn:aws:artifact:::report-package/Certifications and Attestations/PCI/*", "arn:aws:artifact:::report-package/Certifications and Attestations/ISO/*" ] } ] }

contoh Contoh kebijakan untuk mengelola perjanjian

Kebijakan berikut memberikan izin untuk mengunduh semua perjanjian. Pengguna IAM juga harus memiliki izin ini untuk menerima perjanjian.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "artifact:DownloadAgreement" ], "Resource": [ "*" ] } ] }

Kebijakan berikut memberikan izin untuk menerima perjanjian.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "artifact:AcceptAgreement", "artifact:DownloadAgreement" ], "Resource": [ "*" ] } ] }

Kebijakan berikut memberikan izin untuk mengakhiri perjanjian.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "artifact:TerminateAgreement" ], "Resource": [ "*" ] } ] }

Kebijakan berikut memberikan izin untuk mengelola perjanjian satu akun.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "artifact:AcceptAgreement", "artifact:DownloadAgreement", "artifact:TerminateAgreement" ], "Resource": [ "arn:aws:artifact::*:customer-agreement/*", "arn:aws:artifact:::agreement/*" ] } ] }

contoh Contoh kebijakan untuk diintegrasikan dengan AWS Organizations

Kebijakan berikut memberikan izin untuk membuat IAM role yang digunakan AWS Artifactuntuk diintegrasikan dengan AWS Organizations. Akun manajemen organisasi Anda harus memiliki izin ini untuk memulai perjanjian organisasi.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "arn:aws:iam::*:role/*" }, { "Effect": "Allow", "Action": "iam:CreateRole", "Resource": "arn:aws:iam::*:role/service-role/AWSArtifactAccountSync" }, { "Effect": "Allow", "Action": "iam:AttachRolePolicy", "Resource": "arn:aws:iam::*:role/service-role/AWSArtifactAccountSync", "Condition": { "ArnEquals": { "iam:PolicyARN": "arn:aws:iam::aws:policy/service-role/AWSArtifactAccountSync" } } } ] }

Kebijakan berikut memberikan izin untuk memberikan izin kepada AWS Artifact untuk menggunakan AWS Organizations. Akun manajemen organisasi Anda harus memiliki izin ini untuk memulai perjanjian organisasi.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization" ], "Resource": "*" } ] }

contoh Contoh kebijakan untuk mengelola perjanjian bagi akun manajemen

Kebijakan berikut memberikan izin untuk mengelola perjanjian bagi akun manajemen.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "artifact:AcceptAgreement", "artifact:DownloadAgreement", "artifact:TerminateAgreement" ], "Resource": [ "arn:aws:artifact::*:customer-agreement/*", "arn:aws:artifact:::agreement/*" ] }, { "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "arn:aws:iam::*:role/*" }, { "Effect": "Allow", "Action": "iam:CreateRole", "Resource": "arn:aws:iam::*:role/service-role/AWSArtifactAccountSync" }, { "Effect": "Allow", "Action": "iam:AttachRolePolicy", "Resource": "arn:aws:iam::*:role/service-role/AWSArtifactAccountSync", "Condition": { "ArnEquals": { "iam:PolicyARN": "arn:aws:iam::aws:policy/service-role/AWSArtifactAccountSync" } } }, { "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:EnableAWSServiceAccess", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization" ], "Resource": "*" } ] }

contoh Contoh kebijakan untuk mengelola perjanjian organisasi

Kebijakan berikut memberikan izin untuk mengelola perjanjian organisasi. Pengguna lain dengan izin yang diperlukan harus menyiapkan perjanjian organisasi.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "artifact:AcceptAgreement", "artifact:DownloadAgreement", "artifact:TerminateAgreement" ], "Resource": [ "arn:aws:artifact::*:customer-agreement/*", "arn:aws:artifact:::agreement/*" ] }, { "Effect": "Allow", "Action": [ "organizations:DescribeOrganization" ], "Resource": "*" } ] }

Kebijakan berikut memberikan izin untuk melihat perjanjian organisasi.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "artifact:DownloadAgreement" ], "Resource": [ "arn:aws:artifact::*:customer-agreement/*", "arn:aws:artifact:::agreement/*" ] }, { "Effect": "Allow", "Action": [ "organizations:DescribeOrganization" ], "Resource": "*" } ] }

Cross-service bingung wakil pencegahan

Masalah deputi yang bingung adalah masalah keamanan di mana entitas yang tidak memiliki izin untuk melakukan tindakan dapat memaksa entitas yang lebih istimewa untuk melakukan tindakan tersebut. MasukAWS, peniruan lintas layanan dapat mengakibatkan masalah wakil bingung. Peniruan lintas layanan dapat terjadi ketika satu layanan (panggilanlayanan) panggilan layanan lain (disebutlayanan). Layanan panggilan dapat dimanipulasi untuk menggunakan izin untuk bertindak atas sumber daya pelanggan lain dengan cara yang seharusnya tidak memiliki izin untuk mengakses. Untuk mencegah hal ini,AWSmenyediakan alat yang membantu Anda melindungi data Anda untuk semua layanan dengan prinsipal layanan yang telah diberikan akses ke sumber daya di akun Anda.

Bila Anda mengaktifkan akses terpercaya antaraAWS ArtifactdanAWS Organizations, kami secara otomatis membuat peran dengan kebijakan di akun Anda yang membatasi siapa yang dapat menganggap peran tersebut.

Kami menggunakanaws:SourceArndanaws:SourceAccountkunci konteks kondisi global dalam kebijakan kepercayaan untuk membatasi entitas yang dapat mengasumsikan peran layanan yang kami buat di akun Anda. Dengan kunci konteks kondisi global,aws:SourceAccountnilai dan akun diaws:SourceArnnilai harus menggunakan ID akun yang sama bila digunakan dalam pernyataan kebijakan yang sama.

Di bawah ini adalah contoh kebijakan yang kami buat dengan peran saat Anda mengaktifkan akses tepercaya antaraAWS ArtifactdanAWS Organizations.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "aws-artifact-account-sync.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnEquals": { "aws:SourceArn": "arn:aws:artifact:us-west-2:00117294401" }, "StringEquals": { "aws:SourceAccount": "00117294401" } } } ] }