Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
WKLD.02 — Batasi cakupan penggunaan kredensi dengan izin kebijakan berbasis sumber daya
Kebijakan adalah objek yang dapat menentukan izin atau menentukan kondisi akses. Ada dua jenis kebijakan utama:
-
Kebijakan berbasis identitas dilampirkan ke kepala sekolah dan menentukan apa izin kepala sekolah di lingkungan. AWS
-
Kebijakan berbasis sumber daya dilampirkan ke sumber daya, seperti bucket Amazon Simple Storage Service (Amazon S3), atau titik akhir virtual private cloud (). VPC Kebijakan ini menentukan prinsip mana yang diizinkan mengakses, tindakan yang didukung, dan kondisi lain yang harus dipenuhi.
Agar prinsipal diizinkan mengakses untuk melakukan tindakan terhadap sumber daya, ia harus memiliki izin yang diberikan dalam kebijakan berbasis identitas dan memenuhi persyaratan kebijakan berbasis sumber daya. Untuk informasi selengkapnya, lihat Kebijakan berbasis identitas dan kebijakan berbasis sumber daya (dokumentasi). IAM
Kondisi yang disarankan untuk kebijakan berbasis sumber daya meliputi:
-
Batasi akses hanya ke prinsipal dalam organisasi tertentu (didefinisikan dalam AWS Organizations) dengan menggunakan kondisi.
aws:PrincipalOrgID -
Batasi akses ke lalu lintas yang berasal dari titik tertentu VPC atau VPC titik akhir dengan menggunakan
aws:SourceVpcatauaws:SourceVpcekondisi, masing-masing. -
Izinkan atau tolak lalu lintas berdasarkan alamat IP sumber dengan menggunakan suatu
aws:SourceIpkondisi.
Berikut ini adalah contoh kebijakan berbasis sumber daya yang menggunakan aws:PrincipalOrgID kondisi untuk mengizinkan hanya prinsipal di organisasi yang mengakses bucket S3: <o-xxxxxxxxxxx> <bucket-name>
{ "Version":"2012-10-17", "Statement":[ { "Sid":"AllowFromOrganization", "Effect":"Allow", "Principal":"*", "Action":"s3:*", "Resource":"arn:aws:s3:::<bucket-name>/*", "Condition": { "StringEquals": {"aws:PrincipalOrgID":"<o-xxxxxxxxxxx>"} } } ] }
