Struktur kebijakan - AWS Batch
Sintaksis kebijakanTindakan untuk AWS BatchAmazon Resource Names untuk AWS BatchIzin pengujian

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Struktur kebijakan

Topik-topik berikut ini menjelaskan struktur dari kebijakan IAM.

Sintaksis kebijakan

kebijakan IAM adalah dokumen JSON yang terdiri dari satu atau beberapa pernyataan. Masing-masing pernyataan memiliki struktur sebagai berikut.

{
  "Statement":[{
    "Effect":"effect",
    "Action":"action",
    "Resource":"arn",
    "Condition":{
      "condition":{
    "key":"value"
    }
      }
    }
  ]
}

Ada berbagai elemen yang membentuk pernyataan:

  • Efek: Efek bisa berupa Allow atau Deny. Secara default, pengguna tidak memiliki izin untuk menggunakan sumber daya dan tindakan API. Jadi, semua permintaan ditolak. izin eksplisit akan menggantikan izin default. penolakan eksplisit akan menggantikan izin apa pun.

  • Action: Tindakan adalah tindakan API tertentu yang Anda berikan atau tolak izinnya. Untuk petunjuk tentang cara menentukan tindakan, lihatTindakan untuk AWS Batch.

  • Resource: Sumber daya yang dipengaruhi oleh tindakan. Beberapa tindakan API AWS Batch memungkinkan Anda untuk menyertakan sumber daya tertentu dalam kebijakan Anda yang dapat dibuat atau dimodifikasi oleh tindakan tersebut. Untuk menentukan sumber daya dalam pernyataan, gunakan Amazon Resource Name (ARN). Lihat informasi yang lebih lengkap di Izin tingkat sumber daya yang didukung untuk tindakan AWS Batch API dan Amazon Resource Names untuk AWS Batch. Jika operasi AWS Batch API saat ini tidak mendukung izin tingkat sumber daya, sertakan wildcard (*) untuk menentukan bahwa semua sumber daya dapat terpengaruh oleh tindakan tersebut.

  • Syarat: Syarat-syarat bersifat opsional. Syarat-syarat ini dapat digunakan untuk mengendalikan kapan kebijakan Anda berlaku.

Untuk informasi lebih lanjut tentang contoh pernyataan kebijakan IAM untuk AWS Batch, lihat Membuat kebijakan IAM AWS Batch.

Tindakan untuk AWS Batch

Dalam pernyataan kebijakan IAM, Anda dapat menentukan tindakan API apa pun dari layanan apa pun yang mendukung IAM. UntukAWS Batch, gunakan awalan berikut dengan nama tindakan API: batch: (misalnya, batch:SubmitJob danbatch:CreateComputeEnvironment).

Untuk menentukan beberapa tindakan dalam satu pernyataan, pisahkan setiap tindakan dengan koma.

"Action": ["batch:action1", "batch:action2"]

Anda juga dapat menentukan beberapa tindakan dengan menyertakan wildcard (*). Misalnya, Anda dapat menentukan semua tindakan dengan nama yang dimulai dengan kata “Jelaskan.”

"Action": "batch:Describe*"

Untuk menentukan semua tindakan AWS Batch API, sertakan wildcard (*).

"Action": "batch:*"

Untuk melihat daftar tindakan AWS Batch, lihat Actions dalam Referensi API AWS Batch.

Amazon Resource Names untuk AWS Batch

Setiap pernyataan kebijakan IAM berlaku untuk sumber daya yang Anda tentukan menggunakan Nama Sumber Daya Amazon (ARN) mereka.

Nama Sumber Daya Amazon (ARN) memiliki sintaks umum berikut:

arn:aws:[service]:[region]:[account]:resourceType/resourcePath
layanan

Layanan (contohnya, batch).

wilayah

Wilayah AWSUntuk sumber daya (misalnya,us-east-2).

akun

Akun AWSID, tanpa tanda hubung (misalnya,123456789012).

resourceType

Jenis dari sumber daya (contohnya, compute-environment).

resourcePath

jalur yang mengidentifikasi sumber daya. Anda dapat menggunakan wildcard (*) di jalur Anda.

AWS BatchOperasi API saat ini mendukung izin tingkat sumber daya pada beberapa operasi API. Untuk informasi selengkapnya, lihat Izin tingkat sumber daya yang didukung untuk tindakan AWS Batch API. Untuk menentukan semua sumber daya, atau jika tindakan API tertentu tidak mendukung ARN, sertakan wildcard (*) dalam elemen. Resource

"Resource": "*"

Pemeriksaan jika pengguna memiliki izin yang diperlukan

Sebelum Anda memasukkan kebijakan IAM ke dalam produksi, pastikan kebijakan tersebut memberi pengguna izin untuk menggunakan tindakan dan sumber daya API tertentu yang mereka butuhkan.

Untuk melakukan ini, pertama-tama buat pengguna untuk tujuan pengujian dan lampirkan kebijakan IAM ke pengguna uji. Kemudian, buatlah permintaan sebagai pengguna uji. Anda dapat membuat permintaan tes di konsol atau dengan AWS CLI.

catatan

Anda juga dapat menguji kebijakan Anda dengan menggunakan IAM Policy Simulator. Untuk informasi selengkapnya tentang simulator kebijakan, lihat Bekerja dengan Simulator Kebijakan IAM dalam Panduan Pengguna IAM.

Jika kebijakan tidak memberikan izin kepada pengguna seperti yang Anda harapkan, atau terlalu longgar, Anda dapat menyesuaikan kebijakan sesuai kebutuhan. Lakukan pengujian ulang sampai Anda mendapatkan hasil yang diinginkan.

penting

Pengujian ini dapat memakan waktu beberapa menit sebelum perubahan terjadi pada kebijakan untuk ditransmisikan sebelum diberlakukan. Oleh karena itu, kami menyarankan agar Anda mengizinkan setidaknya lima menit berlalu sebelum Anda menguji pembaruan kebijakan Anda.

Jika pemeriksaan otorisasi gagal, maka permintaan akan menampilkan informasi berenkode yang memuat informasi diagnostik. Anda dapat melakukan dekode pada pesan tersebut menggunakan tindakan DecodeAuthorizationMessage. Untuk informasi selengkapnya, lihat DecodeAuthorizationMessagedi Referensi AWS Security Token Service API, dan decode-authorization-messagedi Referensi AWS CLI Perintah.