Buat peran dan tetapkan izin

Peran dan izin memberi Anda akses ke sumber daya, di AWS Control Tower dan lainnya AWS layanan, termasuk akses terprogram ke sumber daya.

Untuk memberikan akses, menambahkan izin ke pengguna, grup, atau peran Anda:

• Pengguna dan grup di AWS IAM Identity Center:

  Buat rangkaian izin. Ikuti petunjuk di Buat set izin di AWS IAM Identity Center Panduan Pengguna.

• Pengguna yang dikelola IAM melalui penyedia identitas:

  Buat peran untuk federasi identitas. Ikuti petunjuk dalam Membuat peran untuk penyedia identitas pihak ketiga (federasi) di Panduan IAM Pengguna.

• IAMpengguna:

  • Buat peran yang dapat diambil pengguna Anda. Ikuti petunjuk dalam Membuat peran bagi IAM pengguna di Panduan IAM Pengguna.

  • (Tidak disarankan) Pasang kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk di Menambahkan izin ke pengguna (konsol) di Panduan IAM Pengguna.

Untuk informasi selengkapnya tentang penggunaan IAM untuk mendelegasikan izin, lihat Manajemen Akses di IAMPanduan Pengguna.

catatan

Saat menyiapkan zona landing zone AWS Control Tower, Anda memerlukan pengguna atau peran dengan kebijakan AdministratorAccessterkelola. (arn:aws:iam: :aws:policy/) AdministratorAccess

Untuk membuat peran untuk Layanan AWS (IAMkonsol)

1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

2. Di panel navigasi IAM konsol, pilih Peran, lalu pilih Buat peran.

3. Untuk jenis entitas Tepercaya, pilih Layanan AWS.

4. Untuk kasus Layanan atau penggunaan, pilih layanan, lalu pilih kasus penggunaan. Kasus penggunaan ditentukan oleh layanan untuk menyertakan kebijakan kepercayaan yang diperlukan layanan.

5. Pilih Berikutnya.

6. Untuk kebijakan Izin, opsi bergantung pada kasus penggunaan yang Anda pilih:

   • Jika layanan menentukan izin untuk peran tersebut, Anda tidak dapat memilih kebijakan izin.

   • Pilih dari serangkaian kebijakan izin terbatas.

   • Pilih dari semua kebijakan izin.

   • Pilih kebijakan tanpa izin, buat kebijakan setelah peran dibuat, lalu lampirkan kebijakan ke peran.

7. (Opsional) Tetapkan batas izin. Ini adalah fitur lanjutan yang tersedia untuk peran layanan, tetapi bukan peran tertaut layanan.

   1. Buka bagian Setel batas izin, lalu pilih Gunakan batas izin untuk mengontrol izin peran maksimum.

      IAMtermasuk daftar AWS kebijakan terkelola dan dikelola pelanggan di akun Anda.

   2. Pilih kebijakan yang akan digunakan untuk batas izin.

8. Pilih Berikutnya.

9. Untuk nama Peran, opsi bergantung pada layanan:

   • Jika layanan menentukan nama peran, Anda tidak dapat mengedit nama peran.

   • Jika layanan mendefinisikan awalan untuk nama peran, Anda dapat memasukkan akhiran opsional.

   • Jika layanan tidak menentukan nama peran, Anda dapat memberi nama peran.

     penting

     Saat Anda memberi nama peran, perhatikan hal berikut:

     • Nama peran harus unik dalam diri Anda Akun AWS, dan tidak dapat dibuat unik berdasarkan kasus.

       Misalnya, jangan membuat peran bernama keduanya PRODROLE danprodrole. Ketika nama peran digunakan dalam kebijakan atau sebagai bagian dariARN, nama peran akan peka huruf besar/kecil, namun ketika nama peran muncul kepada pelanggan di konsol, seperti selama proses login, nama peran tersebut tidak peka huruf besar/kecil.

     • Anda tidak dapat mengedit nama peran setelah dibuat karena entitas lain mungkin mereferensikan peran tersebut.

10. (Opsional) Untuk Deskripsi, masukkan deskripsi untuk peran tersebut.

11. (Opsional) Untuk mengedit kasus penggunaan dan izin untuk peran, di Langkah 1: Pilih entitas tepercaya atau Langkah 2: Tambahkan izin, pilih Edit.

12. (Opsional) Untuk membantu mengidentifikasi, mengatur, atau mencari peran, tambahkan tag sebagai pasangan nilai kunci. Untuk informasi selengkapnya tentang penggunaan tagIAM, lihat Menandai IAM sumber daya di Panduan IAM Pengguna.

13. Tinjau peran lalu pilih Buat peran.

Untuk menggunakan editor JSON kebijakan untuk membuat kebijakan

1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

2. Pada panel navigasi di sebelah kiri, pilih Kebijakan.

   Jika ini pertama kalinya Anda memilih Kebijakan, akan muncul halaman Selamat Datang di Kebijakan Terkelola. Pilih Memulai.

3. Di bagian atas halaman, pilih Buat kebijakan.

4. Di bagian Editor kebijakan, pilih JSONopsi.

5. Masukkan atau tempel dokumen JSON kebijakan. Untuk detail tentang bahasa IAM kebijakan, lihat referensi IAM JSON kebijakan.

6. Selesaikan peringatan keamanan, kesalahan, atau peringatan umum yang dihasilkan selama validasi kebijakan, lalu pilih Berikutnya.

   catatan

   Anda dapat beralih antara opsi Visual dan JSONeditor kapan saja. Namun, jika Anda membuat perubahan atau memilih Berikutnya di editor Visual, IAM mungkin merestrukturisasi kebijakan Anda untuk mengoptimalkannya untuk editor visual. Untuk informasi selengkapnya, lihat Restrukturisasi kebijakan di IAMPanduan Pengguna.

7. (Opsional) Saat Anda membuat atau mengedit kebijakan di AWS Management Console, Anda dapat membuat templat JSON atau YAML kebijakan yang dapat Anda gunakan AWS CloudFormation templat.

   Untuk melakukannya, di editor Kebijakan pilih Tindakan, lalu pilih Buat CloudFormation templat. Untuk mempelajari lebih lanjut tentang AWS CloudFormation, lihat AWS Identity and Access Management referensi tipe sumber daya di AWS CloudFormation Panduan Pengguna.

8. Setelah selesai menambahkan izin ke kebijakan, pilih Berikutnya.

9. Pada halaman Tinjau dan buat, masukkan Nama kebijakan dan Deskripsi (opsional) untuk kebijakan yang Anda buat. Tinjau Izin yang ditentukan dalam kebijakan ini untuk melihat izin yang diberikan oleh kebijakan Anda.

10. (Opsional) Tambahkan metadata ke kebijakan dengan melampirkan tanda sebagai pasangan nilai kunci. Untuk informasi selengkapnya tentang penggunaan tagIAM, lihat Menandai IAM sumber daya di Panduan IAM Pengguna.

11. Pilih Buat kebijakan untuk menyimpan kebijakan baru Anda.

Untuk menggunakan editor visual dalam pembuatan kebijakan

1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

2. Pada panel navigasi di sebelah kiri, pilih Kebijakan.

   Jika ini pertama kalinya Anda memilih Kebijakan, akan muncul halaman Selamat Datang di Kebijakan Terkelola. Pilih Memulai.

3. Pilih Buat kebijakan.

4. Di bagian Editor kebijakan, temukan bagian Pilih layanan, lalu pilih Layanan AWS. Anda dapat menggunakan kotak pencarian di bagian atas untuk membatasi hasil dalam daftar layanan. Anda bisa memilih hanya satu layanan pada blok izin editor visual. Untuk memberikan akses ke lebih dari satu layanan, tambahkan beberapa blok izin dengan memilih Tambahkan lebih banyak izin.

5. Di Tindakan yang diizinkan, pilih tindakan yang akan ditambahkan ke kebijakan. Anda bisa memilih tindakan dengan cara berikut:

   • Pilih kotak centang untuk semua tindakan.

   • Pilih Tambahkan tindakan untuk memasukkan nama tindakan tertentu. Anda dapat menggunakan karakter wildcard (*) untuk menentukan beberapa tindakan.

   • Pilih satu grup Tingkat akses untuk memilih semua tindakan untuk tingkat akses tersebut (misalnya, Baca, Tulis, atau Daftar).

   • Perluas setiap grup Tingkat akses untuk memilih tindakan individu.

   Secara default, kebijakan yang Anda buat mengizinkan tindakan yang Anda pilih. Sebaliknya, untuk menolak tindakan terpilih, pilih Beralih ke menolak izin. Karena IAMmenolak secara default, kami sarankan sebagai praktik terbaik keamanan bahwa Anda mengizinkan izin hanya untuk tindakan dan sumber daya yang dibutuhkan pengguna. Buat JSON pernyataan untuk menolak izin hanya jika Anda ingin mengganti izin secara terpisah yang diizinkan oleh pernyataan atau kebijakan lain. Kami sarankan Anda membatasi jumlah izin penolakan seminim mungkin karena dapat meningkatkan kesulitan izin pemecahan masalah.

6. Untuk Sumber Daya, bila layanan dan tindakan yang Anda pilih di langkah sebelumnya tidak mendukung pilihan sumber daya tertentu, semua sumber daya diperbolehkan dan Anda tidak bisa mengedit bagian ini.

   Jika Anda memilih satu atau lebih tindakan yang mendukungizin tingkat sumber daya, maka editor visual akan mendaftar sumber daya tersebut. Kemudian Anda bisa memperluas Sumber Daya untuk menentukan sumber daya bagi kebijakan Anda.

   Anda dapat menentukan sumber daya dengan cara berikut:

   • Pilih Tambah ARNs untuk menentukan sumber daya berdasarkan Nama Sumber Daya Amazon mereka (ARN). Anda dapat menggunakan ARN editor visual atau daftar ARNs secara manual. Untuk informasi selengkapnya tentang ARN sintaks, lihat Amazon Resource Names (ARNs) di Panduan IAM Pengguna. Untuk informasi tentang penggunaan ARNs dalam Resource elemen kebijakan, lihat elemen IAM JSON kebijakan: Sumber daya dalam Panduan IAM Pengguna.

   • Pilih Apa saja di akun ini di samping sumber daya untuk memberikan izin ke sumber daya apa pun dari jenis itu.

   • Pilih Semua untuk memilih semua sumber daya untuk layanan ini.

7. (Opsional) Pilih Ketentuan permintaan - opsional untuk menambahkan kondisi ke kebijakan yang Anda buat. Kondisi membatasi efek pernyataan JSON kebijakan. Misalnya, Anda dapat menentukan bahwa pengguna diizinkan melakukan tindakan pada sumber daya hanya ketika permintaan pengguna tersebut terjadi di rentang waktu tertentu. Anda juga dapat menggunakan kondisi yang umum digunakan untuk membatasi apakah pengguna harus diautentikasi dengan menggunakan perangkat multi-faktor authentication ()MFA. Atau Anda bisa meminta agar permintaan yang berasal dari rentang alamat IP tertentu. Untuk daftar semua kunci konteks yang dapat Anda gunakan dalam kondisi kebijakan, lihat Tindakan, sumber daya, dan kunci kondisi untuk AWS layanan dalam Referensi Otorisasi Layanan.

   Anda bisa memilih kondisi dengan cara berikut:

   • Gunakan kotak centang untuk memilih kondisi yang biasa dipakai.

   • Pilih Tambahkan kondisi lain untuk menentukan kondisi lain. Pilih Condition Key, Qualifier, dan Operator kondisi, lalu masukkan Nilai. Untuk menambahkan lebih dari satu nilai, pilih Tambah. Anda dapat mempertimbangkan nilai-nilai sebagai terhubung oleh OR operator logis. Setelah selesai, pilih Tambahkan kondisi.

   Untuk menambahkan lebih dari satu kondisi, pilih Tambahkan kondisi lain lagi. Ulangi seperlunya. Setiap kondisi berlaku hanya untuk blok izin editor visual yang satu ini. Semua kondisi haruslah benar agar blok izin dapat dianggap cocok. Dengan kata lain, pertimbangkan kondisi yang akan dihubungkan oleh AND operator logis.

   Untuk informasi selengkapnya tentang elemen Kondisi, lihat elemen IAM JSON kebijakan: Kondisi dalam Panduan IAM Pengguna.

8. Untuk menambahkan lebih banyak blok izin, pilih Tambahkan izin lainnya. Untuk setiap blok, ulangi langkah 2 sampai 5.

   catatan

   Anda dapat beralih antara opsi Visual dan JSONeditor kapan saja. Namun, jika Anda membuat perubahan atau memilih Berikutnya di editor Visual, IAM mungkin merestrukturisasi kebijakan Anda untuk mengoptimalkannya untuk editor visual. Untuk informasi selengkapnya, lihat Restrukturisasi kebijakan di IAMPanduan Pengguna.

9. (Opsional) Saat Anda membuat atau mengedit kebijakan di AWS Management Console, Anda dapat membuat templat JSON atau YAML kebijakan yang dapat Anda gunakan AWS CloudFormation templat.

   Untuk melakukannya, di editor Kebijakan pilih Tindakan, lalu pilih Buat CloudFormation templat. Untuk mempelajari lebih lanjut tentang AWS CloudFormation, lihat AWS Identity and Access Management referensi tipe sumber daya di AWS CloudFormation Panduan Pengguna.

10. Setelah selesai menambahkan izin ke kebijakan, pilih Berikutnya.

11. Pada halaman Tinjau dan buat, masukkan Nama kebijakan dan Deskripsi (opsional) untuk kebijakan yang Anda buat. Tinjau Izin yang ditentukan dalam kebijakan ini untuk memastikan bahwa Anda telah memberikan izin yang dimaksud.

12. (Opsional) Tambahkan metadata ke kebijakan dengan melampirkan tanda sebagai pasangan nilai kunci. Untuk informasi selengkapnya tentang penggunaan tagIAM, lihat Menandai IAM sumber daya di Panduan IAM Pengguna.

13. Pilih Buat kebijakan untuk menyimpan kebijakan baru Anda.

Untuk memberikan akses terprogram

Pengguna membutuhkan akses terprogram jika mereka ingin berinteraksi AWS di luar AWS Management Console. Cara untuk memberikan akses terprogram tergantung pada jenis pengguna yang mengakses AWS.

Untuk memberi pengguna akses programatis, pilih salah satu opsi berikut.

Pengguna mana yang membutuhkan akses programatis?	Untuk	Oleh
Identitas tenaga kerja (Pengguna dikelola di Pusat IAM Identitas)	Gunakan kredensi sementara untuk menandatangani permintaan terprogram ke AWS CLI, AWS SDKs, atau AWS APIs.	Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan. Untuk AWS CLI, lihat Mengkonfigurasi AWS CLI untuk menggunakan AWS IAM Identity Centerdi AWS Command Line Interface Panduan Pengguna. Untuk AWS SDKs, alat, dan AWS APIs, lihat otentikasi Pusat IAM Identitas di AWS SDKsdan Panduan Referensi Alat.
IAM	Gunakan kredensi sementara untuk menandatangani permintaan terprogram ke AWS CLI, AWS SDKs, atau AWS APIs.	Mengikuti petunjuk dalam Menggunakan kredensi sementara dengan AWS sumber daya dalam Panduan IAM Pengguna.
IAM	(Tidak direkomendasikan) Gunakan kredensi jangka panjang untuk menandatangani permintaan terprogram ke AWS CLI, AWS SDKs, atau AWS APIs.	Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan. Untuk AWS CLI, lihat Mengautentikasi menggunakan kredensi IAM pengguna di AWS Command Line Interface Panduan Pengguna. Untuk AWS SDKsdan alat, lihat Mengautentikasi menggunakan kredensi jangka panjang di AWS SDKsdan Panduan Referensi Alat. Untuk AWS APIs, lihat Mengelola kunci akses untuk IAM pengguna di Panduan IAM Pengguna.

Melindungi dari penyerang

Untuk informasi selengkapnya tentang cara membantu melindungi terhadap penyerang saat Anda memberikan izin kepada orang lain AWS prinsip layanan, lihat Ketentuan opsional untuk hubungan kepercayaan peran Anda. Dengan menambahkan kondisi tertentu ke kebijakan Anda, Anda dapat membantu mencegah jenis serangan tertentu, yang dikenal sebagai serangan wakil bingung, yang terjadi jika entitas memaksa entitas yang lebih istimewa untuk melakukan tindakan, seperti dengan peniruan identitas lintas layanan. Untuk informasi umum tentang kondisi kebijakan, lihat jugaMenentukan kondisi dalam kebijakan.

Untuk informasi selengkapnya tentang penggunaan kebijakan berbasis identitas dengan AWS Control Tower, lihat. Menggunakan kebijakan berbasis identitas (kebijakan IAM) untuk AWS Control Tower Untuk informasi selengkapnya tentang pengguna, grup, peran, dan izin, lihat Identitas (Pengguna, Grup, dan Peran) di IAMPanduan Pengguna.