Kelola akses ke sumber daya - AWS Control Tower
Tentang kebijakan berbasis identitas (kebijakan IAM)Kebijakan berbasis sumber daya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kelola akses ke sumber daya

Kebijakan izin menjelaskan siapa yang memiliki akses ke suatu objek. Bagian berikut menjelaskan opsi yang tersedia untuk membuat kebijakan izin.

catatan

Bagian ini membahas penggunaan IAM dalam konteks AWS Control Tower. Bagian ini tidak memberikan informasi yang mendetail tentang layanan IAM. Untuk dokumentasi IAM lengkap, lihat Apa yang Dimaksud dengan IAM? dalam Panduan Pengguna IAM. Untuk informasi tentang sintaksis dan deskripsi kebijakan IAM, lihat Referensi Kebijakan IAM AWS dalam Panduan Pengguna IAM.

Kebijakan yang melekat pada identitas IAM disebut sebagai kebijakan berbasis identitas (kebijakan IAM). Kebijakan yang dilampirkan pada sumber daya disebut sebagai kebijakan berbasis-sumber daya.

catatan

AWS Control Tower hanya mendukung kebijakan berbasis identitas (kebijakan IAM).

Topik

Tentang kebijakan berbasis identitas (kebijakan IAM)

Anda dapat melampirkan kebijakan ke identitas IAM Anda. Misalnya, Anda dapat melakukan hal berikut:

  • Lampirkan kebijakan izin ke pengguna atau grup di akun Anda — Untuk memberikan izin pengguna untuk membuat sumber daya AWS Control Tower, seperti menyiapkan landing zone, Anda dapat melampirkan kebijakan izin ke pengguna atau grup tempat pengguna tersebut berada.

  • Melampirkan kebijakan izin pada peran (memberikan izin lintas akun) – Anda dapat melampirkan kebijakan izin berbasis identitas ke peran IAM untuk memberikan izin lintas akun. Misalnya, administrator untuk satu AWS akun (Akun A) dapat membuat peran yang memberikan izin lintas akun ke akun lain ( AWS Akun B), atau administrator dapat membuat peran yang memberikan izin ke layanan lain. AWS

    1. Administrator Akun A membuat peran IAM dan melampirkan kebijakan izin ke peran yang memberikan izin untuk mengelola sumber daya di Akun A.

    2. Administrator Akun A melampirkan kebijakan kepercayaan ke peran tersebut. Kebijakan mengidentifikasi Akun B sebagai kepala sekolah yang dapat mengambil peran.

    3. Sebagai prinsipal, administrator Akun B dapat memberikan izin kepada pengguna di Akun B untuk mengambil peran tersebut. Dengan mengasumsikan peran tersebut, pengguna di Akun B dapat membuat atau mendapatkan akses ke sumber daya di Akun A.

    4. Untuk memberikan AWS layanan kemampuan (izin) untuk mengambil peran, prinsipal yang Anda tentukan dalam kebijakan kepercayaan dapat berupa AWS layanan.

Kebijakan berbasis sumber daya

Layanan lain, seperti Amazon S3, juga mendukung kebijakan izin berbasis sumber daya. Misalnya, Anda dapat melampirkan kebijakan ke bucket S3 untuk mengelola izin akses ke bucket tersebut. AWS Control Tower tidak mendukung kebijakan berbasis sumber daya.