Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS Identity and Access Management di AWS Cloud Map
Untuk melakukan tindakan apa pun pada sumber daya AWS Cloud Map, seperti mendaftarkan domain atau memperbarui catatan, AWS Identity and Access Management (IAM) mengharuskan Anda untuk mengautentikasi bahwa Anda adalah pengguna AWS yang telah disetujui. Jika Anda menggunakan konsol AWS Cloud Map tersebut, Anda mengautentikasi identitas dengan memberikan nama pengguna AWS dan kata sandi Anda. Jika Anda mengakses AWS Cloud Map secara terprogram, aplikasi akan mengautentikasi identitas Anda dengan menggunakan kunci akses atau dengan menandatangani permintaan.
Setelah Anda mengautentikasi identitas Anda, IAM mengontrol akses Anda ke AWS dengan memverifikasi bahwa Anda memiliki izin untuk melakukan operasi dan mengakses sumber daya. Jika Anda adalah administrator akun, Anda dapat menggunakan IAM untuk mengontrol akses pengguna lain ke sumber daya yang terkait dengan akun Anda.
Bab ini menjelaskan cara menggunakan IAM dan AWS Cloud Map untuk membantu mengamankan sumber daya Anda.
Topik
Autentikasi
Anda dapat mengaksesAWS sebagai salah satu dari hal berikut:
-
Pengguna root akun AWS— Saat Anda pertama kali membuatAWS akun, Anda memulai dengan identitas masuk tunggal yang memiliki akses penuh ke semua layanan dan sumber daya dalam akun tersebut. identitas masuk tunggal yang memiliki akses penuh ke semuaAWS layanan dan sumber daya dalam akun tersebut. Identitas ini disebut Pengguna root akun AWSdan diakses dengan cara masuk menggunakan alamat email dan kata sandi yang Anda gunakan untuk membuat akun. Saat Anda membuat akunAkun AWS, Anda memulai dengan satu identitas masuk yang memiliki akses penuh ke semuaLayanan AWS sumber daya dalam akun tersebut. Identitas ini disebut pengguna root Akun AWS dan diakses dengan cara masuk menggunakan alamat email dan kata sandi yang Anda gunakan saat membuat akun. Kami sangat menyarankan agar Anda tidak menggunakan pengguna akar untuk tugas sehari-hari Anda. Lindungi kredendensi pengguna akar Anda dan gunakan untuk melakukan tugas yang hanya dapat dilakukan oleh pengguna akar Anda. Untuk daftar tugas yang mengharuskan Anda masuk sebagai pengguna utama, lihat Tugas yang memerlukan kredendensi pengguna akar dalam PanduanAWS Account Management Referensi.
-
Pengguna IAM – Pengguna IAM adalah identitas dalam akun Anda AWS yang memiliki izin khusus spesifik (misalnya, izin untuk membuat namespace HTTP di AWS Cloud Map). Anda dapat menggunakan kredensi login IAM Anda untuk mengamankanAWS halaman web seperti AWS Management Console
, ForumAWS Diskusi , atau AWS SupportPusat . Selain kredensi masuk, Anda juga dapat membuat kunci akses untuk setiap pengguna. Anda dapat menggunakan kunci ini ketika mengakses AWS layanan secara terprogram, baik melalui salah satu dari beberapa SDK
atau dengan menggunakan AWS Command Line Interface . Alat SDK dan CLI menggunakan kunci akses untuk menandatangani permintaan Anda secara kriptografis. Jika Anda tidak menggunakan AWS alat, Anda harus menandatangani permintaan tersebut sendiri. AWS Cloud Map suport Versi Tanda tangan 4, protokol untuk autentikasi permintaan API inbound. Untuk informasi lebih lanjut tentang autentikasi permintaan, lihat Proses Penandatanganan Tanda tangan Versi 4 di Referensi Umum Amazon Web Services. -
IAM role – IAM role adalah identitas IAM yang dapat Anda buat di akun Anda yang memiliki izin spesifik. IAM role serupa dengan pengguna IAM, yang merupakan identitas AWS dengan kebijakan izin yang menentukan apa yang dapat dan tidak dapat dilakukan identitas di AWS. Namun, alih-alih secara unik terkait dengan satu orang, peran dimaksudkan untuk dapat menjadi dapat diasumsikan oleh siapa pun yang membutuhkannya. Selain itu, peran tidak memiliki kredensial jangka panjang standar seperti kata sandi atau kunci akses yang terkait dengannya. Sebagai gantinya, saat Anda mengambil peran, kredensial keamanan sementara untuk sesi peran Anda akan diberikan. Peran IAM dengan kredensial sementara berguna dalam situasi berikut:
-
Akses pengguna gabungan – Alih-alih membuat pengguna IAM, Anda dapat menggunakan identitas yang sudah ada dari AWS Directory Service, direktori pengguna korporasi Anda, atau penyedia identitas web. Ini dikenal sebagai pengguna gabungan. AWS menugaskan peran ke pengguna gabungan ketika akses diminta melalui penyedia identitas. Untuk informasi lebih lanjut tentang pengguna gabungan, lihat Pengguna Gabungan dan Peran di Panduan Pengguna IAM.
-
AWS akses layanan – Anda dapat menggunakan IAM role di akun Anda untuk memberikan AWS izin layanan untuk mengakses sumber daya akun Anda. Misalnya, Anda dapat membuat peran yang memungkinkan Amazon Redshift untuk mengakses bucket Amazon S3 atas nama Anda dan kemudian memuat data yang tersimpan di bucket ke dalam klaster Amazon Redshift. Untuk informasi selengkapnya, lihat Membuat Peran untuk Mendelegasikan Izin ke AWS Layanan di Panduan Pengguna IAM.
-
Aplikasi yang berjalan di Amazon EC2 — Anda dapat menggunakan peran IAM untuk mengelola kredendensi sementara untuk aplikasi yang berjalan di instans Amazon EC2 dan membuat permintaanAWS API. Ini lebih disukai daripada menyimpan kunci akses di dalam instans Amazon EC2. Untuk menetapkanAWS peran ke instans Amazon EC2 dan membuatnya tersedia untuk semua aplikasinya, Anda dapat membuat profil instans yang dilampirkan ke instans. Profil instans memuat peran dan memungkinkan program yang berjalan di instans Amazon EC2 untuk mendapatkan kredendensi sementara. Untuk informasi selengkapnya, lihat Menggunakan IAM role untuk memberikan izin ke aplikasi yang berjalan di instans Amazon EC2 dalam Panduan pengguna IAM.
-
Kontrol Akses
Untuk membuat, memperbarui, menghapus, atau membuat daftar AWS Cloud Map sumber daya, Anda memerlukan izin untuk melakukan operasi, dan Anda memerlukan izin untuk mengakses sumber daya yang sesuai. Selain itu, untuk melakukan operasi secara terprogram, Anda memerlukan kunci akses yang valid.
Bagian berikut menjelaskan cara mengelola izin untuk AWS Cloud Map. Sebaiknya Anda membaca gambaran umumnya terlebih dahulu.
