Menggunakan Kebijakan Berbasis Identitas (IAM Policy) untuk AWS Organizations - AWS Organizations
Memberikan izin admin penuh ke penggunaMemberikan akses terbatas berdasarkan tindakanMemberikan akses ke sumber daya tertentuMemberikan kemampuan untuk mengaktifkan akses terpercaya ke prinsipal layanan terbatas

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan Kebijakan Berbasis Identitas (IAM Policy) untuk AWS Organizations

Sebagai administrator akun pengelolaan sebuah organisasi, Anda dapat mengontrol akses ke sumber daya AWS dengan melampirkan kebijakan izin untuk identitas (IAM) AWS Identity and Access Management (pengguna, grup, dan peran) dalam organisasi. Ketika memberikan izin, Anda memutuskan orang yang mendapatkan izin, sumber daya yang mereka dapatkan izinnya, dan tindakan khusus yang ingin Anda izinkan di sumber daya tersebut. Jika izin diberikan ke sebuah peran, maka peran tersebut dapat diambil oleh pengguna di akun lain dalam organisasi.

Secara default, pengguna tidak memiliki izin apa pun. Semua izin harus secara eksplisit diberikan oleh kebijakan. Jika izin tidak secara eksplisit diberikan, maka izin itu secara implisit ditolak. Jika izin secara eksplisit ditolak, maka itu mengesampingkan kebijakan lain yang mungkin telah mengizinkannya. Dengan kata lain, pengguna hanya memiliki izin yang secara eksplisit diberikan dan yang tidak secara eksplisit ditolak.

Selain teknik basic yang dijelaskan dalam topik ini, Anda dapat mengontrol akses ke organisasi Anda dengan menggunakan tag yang diterapkan ke sumber daya di organisasi Anda: root organisasi, unit organisasi (OU), akun, dan kebijakan. Untuk informasi lebih lanjut, lihat Kontrol akses berbasis atribut dengan tag dan AWS Organizations.

Memberikan izin admin penuh ke pengguna

Anda dapat membuat kebijakan IAM yang memberikan izin administrator AWS Organizations penuh kepada pengguna IAM di organisasi Anda. Anda dapat melakukan ini menggunakan editor kebijakan JSON di konsol IAM.

Untuk menggunakan editor kebijakan JSON untuk membuat kebijakan

  1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Pada panel navigasi di sebelah kiri, pilih Kebijakan.

    Jika ini pertama kalinya Anda memilih Kebijakan, akan muncul halaman Selamat Datang di Kebijakan Terkelola. Pilih Memulai.

  3. Di bagian atas halaman, pilih Buat kebijakan.

  4. Di bagian Editor kebijakan, pilih opsi JSON.

  5. Masukkan dokumen kebijakan JSON berikut:

    {
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": "organizations:*",
        "Resource": "*"
    }
}

  6. Pilih Berikutnya.

    catatan

    Anda dapat beralih antara opsi editor Visual dan JSON kapan saja. Namun, jika Anda melakukan perubahan atau memilih Berikutnya di editor Visual, IAM dapat merestrukturisasi kebijakan Anda untuk mengoptimalkannya bagi editor visual. Untuk informasi selengkapnya, lihat Restrukturisasi kebijakan dalam Panduan Pengguna IAM.

  7. Pada halaman Tinjau dan buat, masukkan Nama kebijakan dan Deskripsi (opsional) untuk kebijakan yang Anda buat. Tinjau Izin yang ditentukan dalam kebijakan ini untuk melihat izin yang diberikan oleh kebijakan Anda.

  8. Pilih Buat kebijakan untuk menyimpan kebijakan baru Anda.

Untuk mempelajari selengkapnya tentang membuat kebijakan IAM, lihat Membuat kebijakan IAM di Panduan Pengguna IAM.

Memberikan akses terbatas berdasarkan tindakan

Jika Anda ingin memberikan izin terbatas bukan izin penuh, Anda dapat membuat kebijakan yang mencantumkan izin tersendiri yang ingin Anda izinkan di elemen Action dari kebijakan izin IAM. Seperti yang ditunjukkan dalam contoh berikut, Anda dapat menggunakan karakter wildcard (*) untuk memberikan izin Describe* dan izin List* saja, pada dasarnya menyediakan akses hanya-baca ke organisasi.

catatan

Dalam kebijakan kontrol layanan (SCP), karakter wildcard (*) dalam elemen Action hanya dapat digunakan oleh dirinya sendirinya atau di akhir string. Ia tidak dapat muncul di awal atau tengah string. Karena itu, "servicename:action*" valid, tapi "servicename:*action" dan "servicename:some*action" keduanya tidak valid di SCP.

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "organizations:Describe*", 
            "organizations:List*" 
        ],
        "Resource": "*"
    }
}

Untuk daftar semua izin yang tersedia untuk ditetapkan dalam kebijakan IAM, lihat Tindakan yang ditentukan oleh AWS Organizations dalam Referensi Otorisasi Layanan.

Memberikan akses ke sumber daya tertentu

Selain membatasi akses ke tindakan tertentu, Anda dapat membatasi akses ke entitas tertentu dalam organisasi Anda. Elemen Resource dalam contoh di bagian sebelumnya, keduanya menentukan karakter wildcard ("*"), yang berarti "sumber daya apa pun yang dapat diakses oleh tindakan." Sebaliknya, Anda dapat mengganti "*" dengan Amazon Resource Name (ARN) entitas tertentu yang ingin Anda izinkan akses-nya.

Contoh: Memberikan izin untuk satu OU

Pernyataan pertama dari kebijakan berikut memungkinkan pengguna IAM akses baca ke seluruh organisasi, tetapi pernyataan kedua memungkinkan pengguna untuk melakukan tindakan administratif AWS Organizations hanya dalam satu unit organisasi (OU) tertentu. Hal ini tidak meluas ke setiap OU anak. Tidak ada akses penagihan yang diberikan. Perhatikan bahwa ia tidak memberikan akses administratif ke Akun AWS di OU. Ia hanya memberikan izin untuk melakukan operasi AWS Organizations pada akun yang ada dalam OU tertentu:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "organizations:Describe*", 
        "organizations:List*" 
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "organizations:*",
      "Resource": "arn:aws:organizations::<masterAccountId>:ou/o-<organizationId>/ou-<organizationalUnitId>"
    }
  ]
}

Anda mendapatkan ID untuk OU dan organisasi dari konsol AWS Organizations atau dengan memanggil API List*. Pengguna atau grup yang kepadanya Anda menerapkan kebijakan ini, dapat melakukan tindakan apapun ("organizations:*") pada setiap entitas yang secara langsung terkandung dalam OU tertentu. OU diidentifikasi oleh Amazon Resource Name (ARN).

Untuk informasi selengkapnya tentang ARN untuk berbagai sumber daya, lihat Jenis sumber daya yang ditentukan oleh AWS Organizations dalam Referensi Otorisasi Layanan.

Memberikan kemampuan untuk mengaktifkan akses terpercaya ke prinsipal layanan terbatas

Anda dapat menggunakan elemen Condition dari sebuah pernyataan kebijakan untuk lebih membatasi keadaan di mana pernyataan kebijakan dianggap cocok.

Contoh: Memberikan izin untuk mengaktifkan akses terpercaya ke satu layanan tertentu

Pernyataan berikut menunjukkan bagaimana Anda dapat membatasi kemampuan untuk mengaktifkan akses terpercaya hanya untuk layanan yang Anda tentukan. Jika pengguna mencoba untuk memanggil API dengan prinsipal utama layanan yang berbeda dari yang untuk AWS IAM Identity Center, maka kebijakan ini tidak cocok dan permintaan ditolak:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "organizations:EnableAWSServiceAccess",
            "Resource": "*",
            "Condition": { 
                "StringEquals" : {
                    "organizations:ServicePrincipal" : "sso.amazonaws.com"
                }
            }
        }
    ]
}

Untuk informasi selengkapnya tentang ARN untuk berbagai sumber daya, lihat Jenis sumber daya yang ditentukan oleh AWS Organizations dalam Referensi Otorisasi Layanan.