AWS Identity and Access Management di AWS Cloud Map - AWS Cloud Map

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS Identity and Access Management di AWS Cloud Map

Untuk melakukan tindakan apa pun pada sumber daya AWS Cloud Map, seperti mendaftarkan domain atau memperbarui catatan, AWS Identity and Access Management (IAM) mengharuskan Anda untuk mengautentikasi bahwa Anda adalah pengguna AWS yang telah disetujui. Jika Anda menggunakan konsol AWS Cloud Map tersebut, Anda mengautentikasi identitas dengan memberikan nama pengguna AWS dan kata sandi Anda. Jika Anda mengakses AWS Cloud Map secara terprogram, aplikasi akan mengautentikasi identitas Anda dengan menggunakan kunci akses atau dengan menandatangani permintaan.

Setelah Anda mengautentikasi identitas Anda, IAM mengontrol akses Anda ke AWS dengan memverifikasi bahwa Anda memiliki izin untuk melakukan operasi dan mengakses sumber daya. Jika Anda adalah administrator akun, Anda dapat menggunakan IAM untuk mengontrol akses pengguna lain ke sumber daya yang terkait dengan akun Anda.

Bab ini menjelaskan cara menggunakan IAM dan AWS Cloud Map untuk membantu mengamankan sumber daya Anda.

Topik

Autentikasi

Anda dapat mengakses AWS sebagai salah satu dari berikut ini:

  • Pengguna root akun AWS— Saat pertama kali membuat AWS akun, Anda mulai dengan satu identitas masuk yang memiliki akses lengkap ke semua AWS layanan dan sumber daya di akun. Identitas ini disebut Pengguna root akun AWSdan diakses dengan masuk dengan alamat email dan kata sandi yang Anda gunakan untuk membuat akun. Saat Anda membuatAkun AWS, Anda mulai dengan satu identitas masuk yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya di akun. Identitas ini disebut pengguna root Akun AWS dan diakses dengan cara masuk menggunakan alamat email dan kata sandi yang Anda gunakan saat membuat akun. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari Anda. Lindungi kredensil pengguna root Anda dan gunakan untuk melakukan tugas-tugas yang hanya dapat dilakukan oleh pengguna root. Untuk daftar lengkap tugas yang mengharuskan Anda masuk sebagai pengguna root, lihat Tugas yang memerlukan kredensi pengguna root di Panduan Pengguna IAM.

  • Pengguna IAMPengguna IAM adalah identitas dalam akun Anda AWS yang memiliki izin khusus spesifik (misalnya, izin untuk membuat namespace HTTP di AWS Cloud Map). Anda dapat menggunakan kredenal masuk IAM Anda untuk mengamankan AWS halaman web seperti, Forum AWS Diskusi AWS Management Console, atau Pusat. AWS Support

    Selain kredensi masuk, Anda juga dapat membuat kunci akses untuk setiap pengguna. Anda dapat menggunakan kunci ini ketika mengakses AWS layanan secara terprogram, baik melalui salah satu dari beberapa SDK atau dengan menggunakan AWS Command Line Interface. Alat SDK dan CLI menggunakan kunci akses untuk menandatangani permintaan Anda secara kriptografis. Jika Anda tidak menggunakan alat AWS, Anda harus menandatangani permintaan tersebut sendiri. AWS Cloud Map mendukung Tanda Tangan Versi 4, protokol untuk mengautentikasi permintaan API inbound. Untuk informasi selengkapnya tentang melakukan autentikasi permintaan, lihat Proses Penandatanganan Tanda Tangan Versi 4 dalam Referensi Umum Amazon Web Services.

  • IAM roleIAM role adalah identitas IAM yang dapat Anda buat di akun Anda yang memiliki izin spesifik. IAM role serupa dengan pengguna IAM, yang merupakan identitas AWS dengan kebijakan izin yang menentukan apa yang dapat dan tidak dapat dilakukan identitas di AWS. Namun, alih-alih secara unik terkait dengan satu orang, peran dimaksudkan untuk dapat menjadi dapat diasumsikan oleh siapa pun yang membutuhkannya. Selain itu, peran tidak memiliki kredensial jangka panjang standar seperti kata sandi atau kunci akses yang terkait dengannya. Sebagai gantinya, saat Anda mengambil peran, kredensial keamanan sementara untuk sesi peran Anda akan diberikan. Peran IAM dengan kredensial sementara berguna dalam situasi berikut:

    • Akses pengguna gabungan – Alih-alih membuat pengguna IAM, Anda dapat menggunakan identitas yang sudah ada dari AWS Directory Service, direktori pengguna korporasi Anda, atau penyedia identitas web. Ini dikenal sebagai pengguna gabungan. AWS menugaskan peran ke pengguna gabungan ketika akses diminta melalui penyedia identitas. Untuk informasi lebih lanjut tentang pengguna gabungan, lihat Pengguna Gabungan dan Peran di Panduan Pengguna IAM.

    • AWS akses layanan – Anda dapat menggunakan IAM role di akun Anda untuk memberikan AWS izin layanan untuk mengakses sumber daya akun Anda. Misalnya, Anda dapat membuat peran yang memungkinkan Amazon Redshift untuk mengakses bucket Amazon S3 atas nama Anda dan kemudian memuat data yang tersimpan di bucket ke dalam klaster Amazon Redshift. Untuk informasi selengkapnya, lihat Membuat Peran untuk Mendelegasikan Izin ke AWS Layanan di Panduan Pengguna IAM.

    • Aplikasi yang berjalan di Amazon EC2 - Anda dapat menggunakan peran IAM untuk mengelola kredensi sementara untuk aplikasi yang berjalan pada instans Amazon EC2 dan membuat permintaan API. AWS Ini lebih baik untuk menyimpan kunci akses dalam instans Amazon EC2. Untuk menetapkan AWS peran ke instans Amazon EC2 dan membuatnya tersedia untuk semua aplikasinya, Anda membuat profil instans yang dilampirkan ke instance. Profil instans berisi peran dan memungkinkan program yang berjalan di instans Amazon EC2 untuk mendapatkan kredensi sementara. Untuk informasi selengkapnya, lihat Menggunakan IAM role untuk memberikan izin ke aplikasi yang berjalan di instans Amazon EC2 dalam Panduan pengguna IAM.

Kontrol Akses

Untuk membuat, memperbarui, menghapus, atau membuat daftar AWS Cloud Map sumber daya, Anda memerlukan izin untuk melakukan operasi, dan Anda memerlukan izin untuk mengakses sumber daya yang sesuai. Selain itu, untuk melakukan operasi secara terprogram, Anda memerlukan kunci akses yang valid.

Bagian berikut menjelaskan cara mengelola izin untuk AWS Cloud Map. Sebaiknya Anda membaca gambaran umumnya terlebih dahulu.