Mengelola izin diAWS RAM - AWS Resource Access Manager
Cara kerja izin terkelolaJenis izin terkelola

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengelola izin diAWS RAM

DiAWS RAM, ada dua jenis izin terkelola, izinAWS terkelola, dan izin terkelola pelanggan.

Izin terkelola menentukan bagaimana konsumen dapat bertindak berdasarkan sumber daya dalam pangsa sumber daya. Saat membuat berbagi sumber daya, Anda harus menentukan izin terkelola mana yang akan digunakan untuk setiap jenis sumber daya yang disertakan dalam pembagian sumber daya. Template kebijakan dalam izin terkelola berisi semua yang diperlukan untuk kebijakan berbasis sumber daya kecuali untuk pokok dan sumber daya. Amazon Resource Name (ARN) dari sumber daya dan ARN dari principals yang terkait dengan berbagi sumber daya melengkapi elemen dari kebijakan berbasis sumber daya. AWS RAMkemudian penulis kebijakan berbasis sumber daya yang melekat pada semua sumber daya dalam berbagi sumber daya.

Setiap izin terkelola dapat memiliki satu atau beberapa versi. Satu versi ditetapkan sebagai versi default untuk izin terkelola itu. Kadang-kadang,AWS memperbarui izinAWS terkelola untuk jenis sumber daya dengan membuat versi baru dan menunjuk versi baru itu sebagai default. Anda juga dapat memperbarui izin terkelola pelanggan Anda dengan membuat versi baru. Izin terkelola yang sudah dilampirkan ke pembagian sumber daya tidak diperbarui secara otomatis. AWS RAMKonsol menunjukkan kapan versi default baru tersedia, dan Anda dapat meninjau perubahan dalam versi default baru dibandingkan dengan yang sebelumnya.

catatan

Kami menyarankan agar Anda memperbarui ke versi baru dari izinAWS terkelola sesegera mungkin. Pembaruan ini biasanya menambahkan dukungan untuk yang baru atau diperbaruiLayanan AWS yang dapat berbagi jenis sumber daya tambahan menggunakanAWS RAM. Versi default baru juga dapat mengatasi dan memperbaiki kerentanan keamanan.

penting

Anda hanya dapat melampirkan versi default izin terkelola ke berbagi sumber daya baru.

Anda dapat mengambil daftar izin terkelola yang tersedia kapan saja. Untuk informasi selengkapnya, lihat Melihat izin yang dikelola.

Topik

Cara kerja izin terkelola

Untuk ringkasan singkat, tonton video berikut yang menunjukkan cara izin terkelola memungkinkan Anda menerapkan praktik terbaik dengan akses hak istimewa keAWS sumber daya Anda.

Video ini menunjukkan cara menulis dan mengasosiasikan izin terkelola pelanggan mengikuti praktik terbaik dengan hak istimewa yang paling tidak. Untuk informasi,Membuat dan menggunakan izin terkelola pelanggan diAWS RAM

Saat membuat berbagi sumber daya, Anda mengaitkan izinAWS terkelola dengan setiap jenis sumber daya yang ingin Anda bagikan. Jika izin terkelola memiliki lebih dari satu versi, pangsa sumber daya baru selalu menggunakan versi yang ditetapkan sebagai default.

Setelah Anda membuat berbagi sumber daya,AWS RAM gunakan izin terkelola untuk menghasilkan kebijakan berbasis sumber daya yang dilampirkan ke setiap sumber daya bersama.

Template kebijakan dalam izin terkelola menetapkan hal berikut:

Efek

Menunjukkan apakahDeny akanAllow atau izin utama untuk melakukan operasi pada sumber daya bersama. Untuk izin yang dikelola, efeknya selaluAllow. Untuk informasi selengkapnya, lihat Efek di Panduan Pengguna IAM.

Action

Daftar operasi yang kepala sekolah diberikan izin untuk melakukan. Ini bisa menjadi tindakan dalamAWS Management Console atau operasi diAWS Command Line Interface (AWS CLI) atauAWS API. Tindakan didefinisikan olehAWS izin. Untuk informasi selengkapnya, lihat Tindakan di Panduan Pengguna IAM.

Kondisi

Kapan dan bagaimana prinsipal dapat berinteraksi dengan sumber daya dalam berbagi sumber daya. Kondisi menambahkan lapisan keamanan tambahan ke sumber daya bersama Anda. Gunakan mereka untuk membatasi akses untuk tindakan sensitif ke sumber daya bersama Anda. Misalnya, Anda dapat menyertakan kondisi yang mengharuskan tindakan berasal dari rentang alamat IP perusahaan tertentu, atau bahwa tindakan harus dilakukan oleh pengguna yang diautentikasi dengan autentikasi multi-faktor. Untuk informasi selengkapnya tentang kondisi, lihat kunci konteks kondisiAWS global di Panduan Pengguna IAM. Untuk informasi,AWS

catatan

Ketentuan tersedia untuk izin yang dikelola pelanggan dan jenis sumber daya yang didukung untuk izinAWS terkelola.

Untuk informasi tentang kondisi yang dikecualikan dari penggunaan dengan izin yang dikelola pelanggan, lihatPertimbangan untuk menggunakan izin terkelola pelanggan di AWS RAM.

Jenis izin terkelola

Saat membuat berbagi sumber daya, Anda memilih izin terkelola untuk diasosiasikan dengan setiap jenis sumber daya yang Anda sertakan dalam berbagi sumber daya. AWSizin terkelola ditentukan oleh layanan yangAWS memiliki sumber daya dan dikelola olehAWS RAM. Anda penulis dan memelihara izin pelanggan Anda sendiri dikelola.

  • AWSizin terkelola - Ada satu izin terkelola default yang tersedia untuk setiap jenis sumber daya yangAWS RAM mendukung. Izin terkelola default adalah izin yang digunakan untuk jenis sumber daya kecuali Anda secara eksplisit memilih salah satu izin terkelola tambahan. Izin terkelola default dimaksudkan untuk mendukung skenario pelanggan yang paling umum untuk berbagi sumber daya dari jenis yang ditentukan. Izin terkelola default memungkinkan prinsipal untuk melakukan tindakan spesifik yang ditentukan oleh layanan untuk jenis sumber daya. Misalnya, untuk jenisec2:Subnet sumber daya Amazon VPC, izin terkelola default memungkinkan prinsipal untuk melakukan tindakan berikut:

    • ec2:RunInstances

    • ec2:CreateNetworkInterface

    • ec2:DescribeSubnets

    Nama-nama izinAWS terkelola default menggunakan format berikut:AWSRAMDefaultPermissionShareableResourceType. Misalnya, untuk jenisec2:Subnet sumber daya, nama izinAWS terkelola default adalahAWSRAMDefaultPermissionSubnet.

    catatan

    Izin terkelola default terpisah dari versi default izin terkelola. Semua izin terkelola, baik default atau salah satu izin terkelola tambahan yang didukung oleh beberapa jenis sumber daya, merupakan izin terpisah dan lengkap dengan efek dan tindakan berbeda yang mendukung skenario berbagi yang berbeda, seperti akses baca-tulis versus akses hanya-baca. Setiap izin terkelola,AWS apakah pelanggan yang dikelola dapat memiliki beberapa versi, salah satunya adalah versi default untuk izin itu.

    Misalnya, ketika Anda berbagi jenis sumber daya yang mendukung akses penuh (ReaddanWrite) izin terkelola dan izin terkelola hanya-baca, Anda dapat membuat satu berbagi sumber daya untuk administrator dengan izin terkelola akses penuh. Anda kemudian dapat membuat pangsa sumber daya terpisah untuk pengembang lain menggunakan izin terkelola hanya-baca untuk mengikuti praktik pemberian hak istimewa paling sedikit.

    catatan

    SemuaAWS layanan yang bekerja denganAWS RAM dukungan setidaknya satu izin terkelola default. Anda dapat melihat izin yang tersedia untuk masing-masingLayanan AWS di halaman pustaka Izin terkelola. Halaman ini memberikan rincian tentang setiap izin terkelola yang tersedia, termasuk setiap saham sumber daya yang saat ini terkait dengan izin dan apakah berbagi dengan prinsipal eksternal diperbolehkan, jika berlaku. Untuk informasi selengkapnya, lihat Melihat izin yang dikelola.

    Untuk layanan yang tidak mendukung izin terkelola tambahan, saat Anda membuat berbagi sumber daya,AWS RAM secara otomatis menerapkan izin default yang ditentukan untuk jenis sumber daya yang Anda pilih. Jika didukung, Anda juga akan memiliki opsi untuk memilih Buat izin terkelola pelanggan di halaman izin terkelola Rekanan.

  • Izin terkelola pelanggan - Izin terkelola pelanggan adalah izin terkelola yang Anda buat dan pertahankan dengan menentukan secara tepat tindakan mana yang dapat dilakukan di bawah kondisi dengan sumber daya yang digunakan bersamaAWS RAM. Misalnya, Anda ingin membatasi akses baca untuk pool Amazon VPC IP Address Manager (IPAM), yang membantu Anda mengelola alamat IP Anda dalam skala besar. Anda dapat membuat izin terkelola pelanggan untuk pengembang Anda untuk menetapkan alamat IP, tetapi tidak melihat kisaran alamat IP yang ditetapkan akun pengembang lainnya. Anda dapat mengikuti praktik terbaik dengan hak istimewa yang paling tidak, hanya memberikan izin yang diperlukan untuk melakukan tugas pada sumber daya bersama.