Untuk proyek baru, kami menyarankan Anda menggunakan Managed Service baru untuk Apache Flink Studio melalui Kinesis Data Analytics untuk Aplikasi SQL. Layanan Terkelola untuk Apache Flink Studio menggabungkan kemudahan penggunaan dengan kemampuan analitis tingkat lanjut, memungkinkan Anda membangun aplikasi pemrosesan aliran yang canggih dalam hitungan menit.
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Ikhtisar Pengelolaan Izin Akses untuk Sumber Daya
Awas
Untuk proyek baru, kami sarankan Anda menggunakan Managed Service baru untuk Apache Flink Studio over for SQL Applications. Layanan Terkelola untuk Apache Flink Studio menggabungkan kemudahan penggunaan dengan kemampuan analitis tingkat lanjut, memungkinkan Anda membangun aplikasi pemrosesan aliran yang canggih dalam hitungan menit.
Untuk memberikan akses, menambahkan izin ke pengguna, grup, atau peran Anda:
-
Pengguna dan grup di AWS IAM Identity Center:
Buat rangkaian izin. Ikuti instruksi di Buat rangkaian izin di Panduan Pengguna AWS IAM Identity Center .
-
Pengguna yang dikelola di IAM melalui penyedia identitas:
Buat peran untuk federasi identitas. Ikuti instruksi dalam Membuat peran untuk penyedia identitas pihak ketiga (federasi) di Panduan Pengguna IAM.
-
Pengguna IAM:
-
Buat peran yang dapat diambil pengguna Anda. Ikuti instruksi dalam Membuat peran untuk pengguna IAM dalam Panduan Pengguna IAM.
-
(Tidak disarankan) Pasang kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti instruksi dalam Menambahkan izin ke pengguna (konsol) dalam Panduan Pengguna IAM.
-
catatan
Administrator akun (atau pengguna administrator) adalah pengguna dengan hak akses administrator. Untuk informasi selengkapnya, lihat Praktik Terbaik IAM dalam Panduan Pengguna IAM.
Topik
Sumber Daya dan Operasi
Di, sumber daya utama adalah aplikasi. Dalam kebijakan, Anda menggunakan Amazon Resource Name (ARN) untuk mengidentifikasi sumber daya yang mengikuti kebijakan tersebut.
Sumber daya ini memiliki Amazon Resource Name (ARN) unik yang terkait dengannya, seperti yang ditunjukkan di tabel berikut.
| Tipe Sumber Daya | Format ARN |
|---|---|
| Aplikasi |
|
menyediakan satu set operasi untuk bekerja dengan sumber daya. Untuk daftar operasi yang tersedia, lihat Tindakan.
Memahami Kepemilikan Sumber Daya
Akun AWS Memiliki sumber daya yang dibuat di akun, terlepas dari siapa yang menciptakan sumber daya. Secara khusus, pemilik sumber daya adalah entitas utama (yaitu, akun root, pengguna, atau peran IAM) yang mengautentikasi permintaan pembuatan sumber daya. Akun AWS Contoh berikut menggambarkan cara kerjanya:
-
Jika Anda menggunakan kredensi akun root Anda Akun AWS untuk membuat aplikasi, Anda Akun AWS adalah pemilik sumber daya. (Dalam, sumber daya adalah aplikasi.)
-
Jika Anda membuat pengguna di dalam Akun AWS dan memberikan izin untuk membuat aplikasi kepada pengguna tersebut, pengguna dapat membuat aplikasi. Namun, milik Anda Akun AWS, yang menjadi milik pengguna, memiliki sumber daya aplikasi. Kami sangat menyarankan Anda memberikan izin untuk peran dan bukan pengguna.
-
Jika Anda membuat peran IAM Akun AWS dengan izin untuk membuat aplikasi, siapa pun yang dapat mengambil peran tersebut dapat membuat aplikasi. Anda Akun AWS, tempat pengguna berada, memiliki sumber daya aplikasi.
Mengelola Akses ke Sumber Daya
Kebijakan izin menjelaskan siapa yang memiliki akses ke suatu objek. Bagian berikut menjelaskan pilihan yang tersedia untuk membuat kebijakan izin.
catatan
Bagian ini membahas penggunaan IAM dalam konteks . Bagian ini tidak memberikan informasi terperinci tentang layanan IAM. Untuk dokumentasi IAM lengkap, lihat Apa yang Dimaksud dengan IAM? dalam Panduan Pengguna IAM. Untuk informasi tentang sintaksis dan penjelasan kebijakan IAM, lihat Referensi Kebijakan IAM JSON dalam Panduan Pengguna IAM.
Kebijakan yang terlampir pada identitas IAM disebut sebagai kebijakan berbasis identitas (kebijakan IAM). Kebijakan yang dilampirkan pada sumber daya disebut sebagai kebijakan berbasis sumber daya. hanya mendukung kebijakan berbasis identitas (kebijakan IAM).
Kebijakan Berbasis Identitas (Kebijakan IAM)
Anda dapat melampirkan kebijakan ke identitas IAM Anda. Misalnya, Anda dapat melakukan hal berikut:
-
Lampirkan kebijakan izin ke pengguna atau grup di akun Anda — Untuk memberikan izin pengguna untuk membuat sumber daya, seperti aplikasi, Anda dapat melampirkan kebijakan izin ke pengguna atau grup tempat pengguna tersebut berada.
-
Melampirkan kebijakan izin pada peran (memberikan izin lintas akun) – Anda dapat melampirkan kebijakan izin berbasis identitas ke peran IAM untuk memberikan izin lintas akun. Misalnya, administrator di akun A dapat membuat peran untuk memberikan izin lintas akun ke akun lain Akun AWS (misalnya, akun B) atau layanan Amazon sebagai berikut:
-
Administrator akun A membuat IAM role dan melampirkan kebijakan izin untuk peran yang memberikan izin pada sumber daya di akun A.
-
Administrator akun A melampirkan kebijakan kepercayaan pada akun identifikasi peran B sebagai penanggung jawab yang dapat menjalankan peran tersebut.
-
Administrator akun B kemudian dapat mendelegasikan izin untuk mengasumsikan peran ke pengguna dalam akun B. Dengan melakukannya, pengguna dalam akun B dapat membuat atau mengakses sumber daya di akun A. Prinsip dalam kebijakan kepercayaan juga dapat menjadi prinsip layanan Amazon jika Anda ingin memberikan izin layanan Amazon untuk menjalankan peran tersebut.
Untuk informasi selengkapnya tentang penggunaan IAM untuk mendelegasikan izin, lihat Manajemen Akses dalam Panduan Pengguna IAM.
-
Berikut ini adalah contoh kebijakan yang memberikan izin untuk kinesisanalytics:CreateApplication tindakan, yang diperlukan untuk membuat aplikasi.
catatan
Ini adalah contoh kebijakan pengantar. Saat Anda melampirkan kebijakan ke pengguna, pengguna akan dapat membuat aplikasi menggunakan AWS CLI atau AWS SDK. Namun, pengguna akan membutuhkan lebih banyak izin untuk mengonfigurasi input dan output. Selain itu, pengguna akan membutuhkan lebih banyak izin saat menggunakan konsol. Bagian selanjutnya memberikan informasi selengkapnya.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1473028104000", "Effect": "Allow", "Action": [ "kinesisanalytics:CreateApplication" ], "Resource": [ "*" ] } ] }
Untuk informasi selengkapnya tentang menggunakan kebijakan berbasis identitas dengan, lihat. Menggunakan Kebijakan Berbasis Identitas (Kebijakan IAM) untuk Untuk informasi lebih lanjut tentang pengguna, grup, peran, dan izin, lihat Identitas (Pengguna, Grup, dan Peran) dalam Panduan Pengguna IAM.
Kebijakan Berbasis Sumber Daya
Layanan lain, seperti Amazon S3, juga mendukung kebijakan izin berbasis sumber daya. Misalnya, Anda dapat melampirkan kebijakan ke bucket S3 untuk mengelola izin akses ke bucket tersebut. tidak mendukung kebijakan berbasis sumber daya.
Menentukan Elemen Kebijakan: Tindakan, Pengaruh, dan Prinsipal
Untuk setiap sumber daya , layanan menentukan serangkaian operasi API. Untuk memberikan izin bagi operasi API ini, menentukan serangkaian tindakan yang dapat Anda tentukan dalam kebijakan. Beberapa operasi API dapat memerlukan izin untuk lebih dari satu tindakan untuk melakukan operasi API. Untuk informasi selengkapnya tentang sumber daya dan operasi API, lihat Sumber Daya dan Operasi dan Tindakan.
Berikut adalah elemen-elemen kebijakan yang paling dasar:
-
Sumber Daya – Anda menggunakan Amazon Resource Name (ARN) untuk mengidentifikasi sumber daya yang diberlakukan oleh kebijakan tersebut. Untuk informasi selengkapnya, lihat Sumber Daya dan Operasi.
-
Tindakan – Anda menggunakan kata kunci tindakan untuk mengidentifikasi operasi sumber daya yang ingin Anda izinkan atau tolak. Misalnya, Anda dapat menggunakan
createuntuk mengizinkan pengguna membuat aplikasi. -
Pengaruh – Anda menetapkan pengaruh, baik memperbolehkan atau menolak, ketika pengguna meminta tindakan tertentu. Jika Anda tidak secara eksplisit memberikan akses ke (mengizinkan) sumber daya, akses akan ditolak secara implisit. Anda juga dapat secara eksplisit menolak akses ke sumber daya, yang mungkin Anda lakukan untuk memastikan bahwa pengguna tidak dapat mengaksesnya, meskipun kebijakan yang berbeda memberikan akses.
-
Prinsipal – Dalam kebijakan berbasis identitas (kebijakan IAM), pengguna yang kebijakannya terlampir adalah prinsipal implisit. Untuk kebijakan berbasis sumber daya, Anda menentukan pengguna, akun, layanan, atau entitas lain yang ingin Anda terima izinnya (berlaku hanya untuk kebijakan berbasis-sumber daya) tidak mendukung kebijakan berbasis-sumber daya.
Untuk mem-pelajari selengkapnya tentang sintaksis dan penjelasan kebijakan IAM, lihat Referensi Kebijakan JSON IAM dalam Panduan Pengguna IAM.
Untuk tabel yang menampilkan semua operasi API dan sumber daya yang diterapkan, lihat Izin API: Tindakan, Izin, dan Referensi Sumber Daya.
Menentukan Syarat dalam Kebijakan
Ketika Anda memberikan izin, Anda dapat menggunakan bahasa kebijakan akses untuk menentukan syarat kapan kebijakan akan berlaku. Misalnya, Anda mungkin ingin kebijakan diterapkan hanya setelah tanggal tertentu. Untuk informasi selengkapnya tentang menentukan kondisi dalam bahasa kebijakan, lihat Kondisi dalam Panduan Pengguna IAM.
Untuk menyatakan syarat, Anda menggunakan kunci kondisi yang telah ditentukan sebelumnya. Tidak ada kunci syarat khusus untuk . Namun, ada tombol kondisi AWS-wide yang dapat Anda gunakan sesuai kebutuhan. Untuk daftar lengkap tombol AWS-wide, lihat Kunci yang Tersedia untuk Ketentuan di Panduan Pengguna IAM.
