Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Ikhtisar pengelolaan izin akses ke Storage Gateway

PDF
RSS
Mode fokus
Ikhtisar pengelolaan izin akses ke Storage Gateway - AWSStorage Gateway
Sumber daya Storage GatewayMemahami kepemilikan sumber dayaMengelola akses ke sumber dayaMenentukan elemen kebijakan: Tindakan, efek, sumber daya, dan prinsipMenentukan syarat dalam kebijakan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

SetiapAWSsumber daya dimiliki oleh akun Amazon Web Services, dan izin untuk membuat atau mengakses sumber daya diatur oleh kebijakan izin. Administrator akun dapat melampirkan kebijakan izin ke identitas IAM (yaitu, pengguna, grup, dan peran), serta beberapa layanan (seperti AWS Lambda) juga mendukung kemampuan melampirkan kebijakan izin ke sumber daya.

catatan

Administrator akun (atau pengguna administrator) adalah pengguna dengan hak istimewa administrator. Untuk informasi lebih lanjut, lihat Praktik Terbaik IAM di Panduan Pengguna IAM.

Ketika memberikan izin, Anda memutuskan siap yang mendapatkan izin, sumber daya yang mereka dapatkan izinnya, dan tindakan khusus yang ingin Anda izinkan di sumber daya tersebut.

Sumber daya Storage Gateway

Di Storage Gateway, sumber daya utama adalahGateway. Storage Gateway juga mendukung jenis sumber daya tambahan berikut: berbagi file, volume, pita virtual, target iSCSI, dan perangkat virtual tape library (VTL). Ini disebut sebagaisubsumber dayadan mereka tidak ada kecuali mereka terkait dengan gateway.

Sumber daya dan sub-sumber daya ini memiliki nama Amazon Resource Name (ARN) yang unik seperti yang ditunjukkan pada tabel berikut.

Jenis sumber daya Format ARN

Gateway ARN

arn:aws:storagegateway:region:account-id:gateway/gateway-id
Berbagi file ARN

arn:aws:storagegateway:region:account-id:share/share-id
catatan

ID sumber daya Storage Gateway berada dalam huruf besar. Saat Anda menggunakan ID sumber daya ini dengan API Amazon EC2, Amazon EC2 mengharapkan ID sumber daya dalam huruf kecil. Anda harus mengubah ID sumber daya menjadi huruf kecil untuk menggunakannya dengan API EC2. Misalnya, di Storage Gateway ID untuk volume mungkinvol-1122AABB. Bila Anda menggunakan ID ini dengan API EC2, Anda harus mengubahnya menjadivol-1122aabb. Jika tidak, API EC2 mungkin tidak berperilaku seperti yang diharapkan.

ARN untuk gateway diaktifkan sebelum September 2, 2015, berisi nama gateway bukan ID gateway. Untuk mendapatkan ARN untuk gateway Anda, gunakanDescribeGatewayInformationOperasi API.

Untuk memberikan izin untuk operasi API tertentu, seperti membuat rekaman, Storage Gateway menyediakan serangkaian tindakan API bagi Anda untuk membuat dan mengelola sumber daya dan subsumber daya ini. Untuk daftar tindakan API, lihatTindakandiAWS Storage GatewayReferensi API.

Untuk memberikan izin bagi operasi API tertentu, seperti membuat rekaman, Storage Gateway menentukan serangkaian tindakan yang dapat Anda tentukan dalam kebijakan izin untuk memberikan izin bagi operasi API tertentu. Sebuah operasi API dapat memerlukan izin untuk tindakan yang lebih dari satu. Untuk tabel yang menampilkan semua tindakan Storage Gateway API dan sumber daya yang diterapkan, lihatIzin API Storage Gateway: Tindakan, sumber daya, dan referensi kondisi.

Memahami kepemilikan sumber daya

SEBUAHpemilik sumber dayaadalah akun Amazon Web Services yang menciptakan sumber daya. Artinya, pemilik sumber daya adalah akun Amazon Web Services darientitas utama(akun akar, pengguna IAM, atau peran IAM) yang mengautentikasi permintaan yang membuat sumber daya. Contoh berikut menggambarkan cara kerjanya:

  • Jika Anda menggunakan kredensia akun akar dari akun Amazon Web Services Anda untuk mengaktifkan gateway, akun Amazon Web Services Anda adalah pemilik sumber daya (di Storage Gateway, sumbernya adalah gateway).

  • Jika Anda membuat pengguna IAM di akun Amazon Web Services Anda dan memberikan izin ke akun Amazon Web ServicesActivateGatewaytindakan untuk pengguna itu, pengguna dapat mengaktifkan gateway. Namun, akun Amazon Web Services Anda, yang memiliki pengguna tersebut, akan menjadi pemilik sumber daya gateway.

  • Jika Anda membuat peran IAM di akun Amazon Web Services Anda dengan izin untuk mengaktifkan gateway, siapa pun yang dapat mengasumsikan peran tersebut dapat mengaktifkan gateway. Akun Amazon Web Services, yang memiliki peran tersebut, memiliki sumber daya gateway.

Mengelola akses ke sumber daya

Kebijakan izin menggambarkan subjek yang memiliki akses dan objek yang diakses. Bagian berikut menjelaskan opsi yang tersedia untuk membuat kebijakan izin.

catatan

Bagian ini membahas menggunakan IAM dalam konteks Storage Gateway. Bagian ini tidak memberikan informasi detail tentang layanan IAM. Untuk dokumentasi lengkap IAM, lihatApa itu IAMdiPanduan Pengguna IAM.Untuk informasi tentang sintaksis dan penjelasan kebijakan IAM, lihat Referensi Kebijakan IAM AWS di Panduan Pengguna IAM.

Kebijakan yang terlampir pada identitas IAM disebut kebijakan (kebijakan IAM) berbasis identitas dan kebijakan yang dilampirkan pada sumber daya disebut kebijakan berbasis sumber daya. Storage Gateway hanya mendukung kebijakan berbasis identitas (kebijakan IAM).

Kebijakan berbasis identitas (Kebijakan IAM)

Anda dapat melampirkan kebijakan ke identitas IAM. Misalnya, Anda dapat melakukan hal berikut:

  • Lampirkan kebijakan izin ke pengguna atau grup di akun Anda— Administrator akun dapat menggunakan kebijakan izin yang terkait dengan pengguna tertentu untuk memberikan izin bagi pengguna tersebut untuk membuat sumber daya Storage Gateway, seperti gateway, volume, atau tape.

  • Lampirkan kebijakan izin untuk peran (memberikan izin lintas akun) – Anda dapat melampirkan kebijakan izin berbasis identitas ke IAM role untuk memberikan izin lintas akun. Misalnya, administrator di Akun A dapat membuat peran untuk memberikan izin lintas akun ke akun Amazon Web Services lain (misalnya, Akun B) atau layanan AWS sebagai berikut:

    1. Administrator akun A membuat IAM role dan melampirkan kebijakan izin ke peran yang memberikan izin pada sumber daya di akun A.

    2. Administrator akun A melampirkan kebijakan kepercayaan peran yang mengidentifikasi Akun B sebagai penanggung jawab yang dapat mengambil peran tersebut.

    3. Administrator Akun B kemudian dapat mendelegasikan izin untuk menerima peran pada pengguna siapa pun dalam akun B. Dengan melakukannya, pengguna dalam akun B dapat membuat atau mengakses sumber daya di akun A. Prinsip dalam kebijakan kepercayaan juga dapat menjadi prinsip layanan AWS jika Anda ingin memberikan izin layanan AWS untuk menjalankan peran tersebut.

    Untuk informasi selengkapnya tentang menggunakan IAM untuk mendelegasikan izin, lihat Manajemen Akses dalam Panduan Pengguna IAM.

Berikut adalah contoh kebijakan yang memberikan izin untuk semua tindakan List* pada semua sumber daya. Tindakan ini adalah tindakan hanya-baca. Dengan demikian, kebijakan tidak memungkinkan pengguna untuk mengubah keadaan sumber daya.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAllListActionsOnAllResources",
            "Effect": "Allow",
            "Action": [
                "storagegateway:List*"
            ],
            "Resource": "*"
        }
    ]
}

Untuk informasi selengkapnya tentang menggunakan kebijakan berbasis identitas dengan Storage Gateway, lihatMenggunakan kebijakan berbasis identitas (kebijakan IAM) untuk Storage Gateway. Untuk informasi lebih lanjut tentang pengguna, grup, peran, dan izin, lihatIdentitas (Pengguna, Grup, dan PerandiPanduan Pengguna IAM.

Kebijakan berbasis sumber daya

Layanan lain, seperti Amazon S3, juga mendukung kebijakan izin berbasis sumber daya. Misalnya, Anda dapat melampirkan kebijakan ke bucket S3 untuk mengelola izin akses ke bucket tersebut. Storage Gateway tidak mendukung kebijakan berbasis sumber daya. 

Menentukan elemen kebijakan: Tindakan, efek, sumber daya, dan prinsip

Untuk setiap sumber daya Storage Gateway (lihatIzin API Storage Gateway: Tindakan, sumber daya, dan referensi kondisi), layanan menentukan serangkaian operasi API (lihatTindakan). Untuk memberikan izin bagi operasi API ini, Storage Gateway menentukan serangkaian tindakan yang dapat Anda tentukan dalam kebijakan. Misalnya, untuk sumber daya gateway Storage Gateway, tindakan berikut ditentukan:ActivateGateway,DeleteGateway, danDescribeGatewayInformation. Perhatikan bahwa, melakukan operasi API dapat memerlukan izin untuk lebih dari satu tindakan.

Berikut ini adalah elemen-elemen kebijakan yang paling dasar:

  • Sumber daya – Dalam kebijakan, Anda menggunakan Amazon Resource Name (ARN) untuk mengidentifikasi sumber daya yang diberlakukan oleh kebijakan tersebut. Untuk sumber daya Storage Gateway, Anda selalu menggunakan karakter wildcard(*)dalam kebijakan IAM. Untuk informasi selengkapnya, lihat Sumber daya Storage Gateway.

  • Tindakan – Anda menggunakan kata kunci tindakan untuk mengidentifikasi operasi sumber daya yang ingin Anda izinkan atau tolak. Misalnya, tergantung pada yang ditentukanEffect, yangstoragegateway:ActivateGatewayizin mengizinkan atau menolak izin pengguna untuk melakukan Storage GatewayActivateGatewayoperasi.

  • Efek – Anda menentukan efek ketika pengguna meminta tindakan tertentu—baik mengizinkan maupun menolak. Jika Anda tidak secara eksplisit memberikan akses ke (mengizinkan) sumber daya, akses akan ditolak secara implisit. Anda juga dapat secara eksplisit menolak akses ke sumber daya, yang mungkin Anda lakukan untuk memastikan bahwa pengguna tidak dapat mengaksesnya, meskipun kebijakan yang berbeda memberikan akses.

  • Principal – Dalam kebijakan berbasis identitas (Kebijakan IAM), pengguna yang kebijakannya terlampir adalah principal yang implisit. Untuk kebijakan berbasis sumber daya, Anda menentukan pengguna, akun, layanan, atau entitas lain yang ingin Anda terima izinnya (berlaku hanya untuk kebijakan berbasis sumber daya). Storage Gateway tidak mendukung kebijakan berbasis sumber daya.

Untuk mempelajari selengkapnya tentang sintaksis dan penjelasan kebijakan IAM, lihat Referensi Kebijakan IAM AWS dalam Panduan Pengguna IAM.

Untuk tabel yang menampilkan semua tindakan API Storage Gateway, lihatIzin API Storage Gateway: Tindakan, sumber daya, dan referensi kondisi.

Menentukan syarat dalam kebijakan

Ketika Anda memberikan izin, Anda dapat menggunakan bahasa kebijakan IAM untuk menentukan syarat kapan kebijakan akan berlaku ketika memberikan izin. Misalnya, Anda mungkin ingin kebijakan diterapkan hanya setelah tanggal tertentu. Untuk informasi selengkapnya tentang menentukan syarat dalam bahasa kebijakan, lihat Syarat dalam Panduan Pengguna IAM.

Untuk menyatakan syarat, Anda menggunakan kunci kondisi yang telah ditentukan sebelumnya. Tidak ada tombol kondisi khusus untuk Storage Gateway. Namun, ada kunci syarat seluruh AWS yang dapat Anda gunakan sesuai kebutuhan. Untuk daftar lengkap kunci di seluruh AWS, lihat Kunci yang Tersedia di Panduan Pengguna IAM.

Di halaman ini

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.