Gambaran umum tentang mengelola izin akses ke sumber daya AWS Control Tower Anda - AWS Control Tower
Sumber daya dan operasi AWS Control TowerTentang kepemilikan sumber dayaTentukan elemen kebijakan: Tindakan, Efek, dan PrinsipMenentukan kondisi dalam kebijakan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Gambaran umum tentang mengelola izin akses ke sumber daya AWS Control Tower Anda

Setiap AWS sumber daya dimiliki oleh Akun AWS, dan izin untuk membuat atau mendapatkan akses ke sumber daya diatur oleh kebijakan izin. Administrator akun dapat melampirkan kebijakan izin pada identitas IAM (yaitu pengguna, grup, dan peran). Beberapa layanan (seperti AWS Lambda) juga mendukung melampirkan kebijakan izin ke sumber daya.

catatan

Administrator akun (atau administrator) adalah pengguna dengan hak administrator. Untuk informasi selengkapnya tentang administrator, lihat Praktik Terbaik IAM dalam Panduan Pengguna IAM.

Ketika Anda bertanggung jawab untuk memberikan izin kepada pengguna atau peran, Anda harus mengetahui dan melacak pengguna dan peran yang memerlukan izin, sumber daya yang setiap pengguna dan peran memerlukan izin, dan tindakan spesifik yang harus diizinkan untuk mengoperasikan sumber daya tersebut.

Topik

Sumber daya dan operasi AWS Control Tower

Di AWS Control Tower, sumber daya utamanya adalah landing zone. AWS Control Tower juga mendukung jenis sumber daya tambahan, kontrol, kadang-kadang disebut sebagai pagar pembatas. Namun, untuk AWS Control Tower, Anda dapat mengelola kontrol hanya dalam konteks landing zone yang ada. Kontrol dapat disebut sebagai subresource.

Sumber daya dan subsumber daya AWS memiliki Nama Sumber Daya Amazon (ARN) unik yang terkait dengannya, seperti yang ditunjukkan pada contoh berikut.

Jenis Sumber Daya Format ARN
Sistem file arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id

AWS Control Tower menyediakan serangkaian operasi API untuk bekerja dengan sumber daya AWS Control Tower. Untuk daftar operasi yang tersedia, lihat AWS Control Tower, AWS Control Tower Referensi API AWS Control Tower.

Untuk informasi selengkapnya tentang AWS CloudFormation sumber daya di AWS Control Tower, lihat Panduan AWS CloudFormation Pengguna.

Tentang kepemilikan sumber daya

AWS Akun memiliki sumber daya yang dibuat di akun, terlepas dari siapa yang membuat sumber daya. Secara khusus, pemilik sumber daya adalah AWS akun entitas utama (yaitu, pengguna Akun AWS root, pengguna Pusat Identitas IAM, pengguna IAM, atau peran IAM) yang mengautentikasi permintaan pembuatan sumber daya. Contoh berikut menggambarkan cara kerjanya:

  • Jika Anda menggunakan kredensi pengguna root AWS akun AWS akun Anda untuk menyiapkan landing zone, AWS akun Anda adalah pemilik sumber daya.

  • Jika Anda membuat pengguna IAM di AWS akun Anda dan memberikan izin untuk menyiapkan landing zone kepada pengguna tersebut, pengguna dapat menyiapkan landing zone selama akun mereka memenuhi prasyarat. Namun, AWS akun Anda, tempat pengguna berada, memiliki sumber daya landing zone.

  • Jika Anda membuat peran IAM di AWS akun dengan izin untuk menyiapkan landing zone, siapa pun yang dapat mengambil peran tersebut dapat menyiapkan landing zone. AWS Akun Anda, tempat perannya berada, memiliki sumber daya landing zone.

Tentukan elemen kebijakan: Tindakan, Efek, dan Prinsip

Anda dapat mengatur dan mengelola landing zone melalui konsol AWS Control Tower, atau API landing zone. Untuk menyiapkan landing zone, Anda harus menjadi pengguna IAM dengan izin administratif sebagaimana didefinisikan dalam kebijakan IAM.

Elemen-elemen berikut adalah yang paling dasar yang dapat Anda identifikasi dalam suatu kebijakan:

  • Sumber daya – Dalam kebijakan, Anda menggunakan Amazon Resource Name (ARN) untuk mengidentifikasi sumber daya yang diatur kebijakan. Untuk informasi selengkapnya, lihat Sumber daya dan operasi AWS Control Tower.

  • Tindakan – Anda menggunakan kata kunci tindakan untuk mengidentifikasi operasi sumber daya yang ingin Anda izinkan atau tolak. Untuk informasi tentang jenis tindakan yang tersedia untuk dilakukan, lihat Tindakan yang ditentukan oleh AWS Control Tower.

  • Efek – Anda menentukan efek ketika pengguna meminta tindakan tertentu—baik mengizinkan maupun menolak. Jika Anda tidak secara eksplisit memberikan akses ke (mengizinkan) sumber daya, akses akan ditolak secara implisit. Anda juga dapat secara eksplisit menolak akses ke sumber daya, yang mungkin Anda lakukan untuk memastikan bahwa pengguna tidak dapat mengaksesnya, meskipun ada akses memberikan kebijakan yang berbeda.

  • Principal — Dalam kebijakan berbasis identitas (kebijakan IAM), pengguna yang melekat pada kebijakan tersebut adalah prinsipal implisit. Untuk kebijakan berbasis sumber daya, Anda menentukan pengguna, akun, layanan, atau entitas lain yang diinginkan untuk menerima izin (berlaku hanya untuk kebijakan berbasis sumber daya). AWS Control Tower tidak mendukung kebijakan berbasis sumber daya.

Untuk mempelajari selengkapnya tentang sintaksis dan deskripsi kebijakan IAM, lihat Referensi Kebijakan IAM AWS dalam Panduan Pengguna IAM.

Menentukan kondisi dalam kebijakan

Ketika Anda memberikan izin, Anda dapat menggunakan bahasa kebijakan IAM untuk menentukan kondisi ketika kebijakan harus berlaku. Misalnya, Anda mungkin ingin kebijakan diterapkan hanya setelah tanggal tertentu. Untuk informasi selengkapnya tentang menentukan kondisi dalam bahasa kebijakan, lihat Kondisi dalam Panduan Pengguna IAM.

Untuk menyatakan kondisi, Anda dapat menggunakan kunci kondisi yang telah ditentukan. Tidak ada kunci kondisi khusus untuk AWS Control Tower. Namun, ada tombol kondisi AWS-wide yang dapat Anda gunakan sesuai kebutuhan. Untuk daftar lengkap tombol AWS-wide, lihat Kunci yang Tersedia untuk Ketentuan di Panduan Pengguna IAM.