Ikhtisar mengelola izin akses ke sumber daya Pusat IAM Identitas Anda - AWS IAM Identity Center
IAMSumber daya dan operasi Pusat IdentitasMemahami kepemilikan sumber dayaMengelola akses ke sumber dayaMenentukan elemen kebijakan: tindakan, efek, sumber daya, dan prinsipMenentukan kondisi dalam kebijakan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Ikhtisar mengelola izin akses ke sumber daya Pusat IAM Identitas Anda

Setiap AWS Sumber daya dimiliki oleh Akun AWS, dan izin untuk membuat atau mengakses sumber daya diatur oleh kebijakan izin. Untuk menyediakan akses, administrator akun dapat menambahkan izin ke IAM identitas (yaitu, pengguna, grup, dan peran). Beberapa layanan (seperti AWS Lambda) juga mendukung penambahan izin ke sumber daya.

catatan

Administrator akun (atau pengguna administrator) adalah pengguna dengan hak akses administrator. Untuk informasi selengkapnya, lihat praktik IAM terbaik di Panduan IAM Pengguna.

IAMSumber daya dan operasi Pusat Identitas

Di Pusat IAM Identitas, sumber daya utama adalah instance aplikasi, profil, dan set izin.

Memahami kepemilikan sumber daya

Pemilik sumber daya adalah Akun AWS yang menciptakan sumber daya. Artinya, pemilik sumber daya adalah Akun AWS entitas utama (akun, pengguna, atau IAM peran) yang mengautentikasi permintaan yang menciptakan sumber daya. Contoh berikut menggambarkan cara kerjanya:

  • Jika Pengguna root akun AWS membuat sumber daya Pusat IAM Identitas, seperti instance aplikasi atau set izin, Akun AWS adalah pemilik sumber daya itu.

  • Jika Anda membuat pengguna di AWS akun dan memberikan izin pengguna untuk membuat sumber daya Pusat IAM Identitas, pengguna kemudian dapat membuat sumber daya Pusat IAM Identitas. Namun, Anda AWS akun, tempat pengguna berada, memiliki sumber daya.

  • Jika Anda membuat IAM peran dalam AWS akun dengan izin untuk membuat sumber daya Pusat IAM Identitas, siapa pun yang dapat mengambil peran dapat membuat sumber daya Pusat IAM Identitas. Klaster Akun AWS, yang menjadi milik peran tersebut, memiliki sumber daya Pusat IAM Identitas.

Mengelola akses ke sumber daya

Kebijakan izin menjelaskan siapa yang memiliki akses ke suatu objek. Bagian berikut menjelaskan opsi yang tersedia untuk membuat kebijakan izin.

catatan

Bagian ini membahas penggunaan IAM dalam konteks Pusat IAM Identitas. Itu tidak memberikan informasi rinci tentang IAM layanan. Untuk IAM dokumentasi lengkap, lihat Apa ituIAM? dalam IAMUser Guide. Untuk informasi tentang sintaks IAM kebijakan dan deskripsi, lihat AWS IAMreferensi kebijakan dalam Panduan IAM Pengguna.

Kebijakan yang melekat pada IAM identitas disebut sebagai kebijakan berbasis identitas (kebijakan)IAM. Kebijakan yang terlampir pada sumber daya disebut sebagai kebijakan berbasis sumber daya. IAMIdentity Center hanya mendukung kebijakan (kebijakan) IAM berbasis identitas.

Kebijakan berbasis identitas (kebijakan IAM)

Anda dapat menambahkan izin ke IAM identitas. Misalnya, Anda dapat melakukan hal berikut:

  • Lampirkan kebijakan izin ke pengguna atau grup di Akun AWSAdministrator akun dapat menggunakan kebijakan izin yang terkait dengan pengguna tertentu untuk memberikan izin bagi pengguna tersebut untuk menambahkan sumber daya Pusat IAM Identitas, seperti aplikasi baru.

  • Lampirkan kebijakan izin ke peran (berikan izin lintas akun) — Anda dapat melampirkan kebijakan izin berbasis identitas ke peran untuk memberikan izin lintas akun. IAM

    Untuk informasi selengkapnya tentang penggunaan IAM untuk mendelegasikan izin, lihat Manajemen akses di IAMPanduan Pengguna.

Kebijakan izin berikut memberikan izin kepada pengguna untuk menjalankan semua tindakan yang dimulai dengan List. Tindakan ini menampilkan informasi tentang sumber daya Pusat IAM Identitas, seperti instance aplikasi atau set izin. Perhatikan bahwa karakter wildcard (*) dalam Resource elemen menunjukkan bahwa tindakan diizinkan untuk semua sumber daya Pusat IAM Identitas yang dimiliki oleh akun. 

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"sso:List*",
         "Resource":"*"
      }
   ]
}

Untuk informasi selengkapnya tentang penggunaan kebijakan berbasis identitas dengan Pusat IAM Identitas, lihat. Contoh kebijakan berbasis identitas untuk Pusat Identitas IAM Untuk informasi selengkapnya tentang pengguna, grup, peran, dan izin, lihat Identitas (pengguna, grup, dan peran) di IAMPanduan Pengguna.

Kebijakan berbasis sumber daya

Layanan lain, seperti Amazon S3, juga mendukung kebijakan izin berbasis sumber daya. Misalnya, Anda dapat melampirkan kebijakan ke bucket S3 untuk mengelola izin akses ke bucket tersebut. IAMIdentity Center tidak mendukung kebijakan berbasis sumber daya.

Menentukan elemen kebijakan: tindakan, efek, sumber daya, dan prinsip

Untuk setiap sumber daya Pusat IAM Identitas (lihatIAMSumber daya dan operasi Pusat Identitas), layanan mendefinisikan serangkaian API operasi. Untuk memberikan izin untuk API operasi ini, Pusat IAM Identitas menentukan serangkaian tindakan yang dapat Anda tentukan dalam kebijakan. Perhatikan bahwa melakukan API operasi dapat memerlukan izin untuk lebih dari satu tindakan.

Berikut ini adalah elemen-elemen kebijakan dasar:

  • Sumber Daya — Dalam kebijakan, Anda menggunakan Amazon Resource Name (ARN) untuk mengidentifikasi sumber daya yang diterapkan kebijakan tersebut.

  • Tindakan – Anda menggunakan kata kunci tindakan untuk mengidentifikasi operasi sumber daya yang ingin Anda izinkan atau tolak. Misalnya, sso:DescribePermissionsPolicies izin memungkinkan izin pengguna untuk melakukan DescribePermissionsPolicies operasi Pusat IAM Identitas.

  • Efek – Anda menentukan efek ketika pengguna meminta tindakan tertentu—efek ini dapat berupa pemberian izin atau penolakan. Jika Anda tidak secara eksplisit memberikan akses ke (mengizinkan) sumber daya, akses akan ditolak secara implisit. Anda juga dapat secara eksplisit menolak akses ke sumber daya, yang mungkin Anda lakukan untuk memastikan bahwa pengguna tidak dapat mengaksesnya, meskipun ada akses memberikan kebijakan yang berbeda.

  • Principal — Dalam kebijakan (IAMkebijakan) berbasis identitas, pengguna yang melekat pada kebijakan tersebut adalah prinsipal implisit. Untuk kebijakan berbasis sumber daya, Anda menentukan pengguna, akun, layanan, atau entitas lain yang diinginkan untuk menerima izin (berlaku hanya untuk kebijakan berbasis sumber daya). IAMIdentity Center tidak mendukung kebijakan berbasis sumber daya.

Untuk mempelajari lebih lanjut tentang sintaks IAM kebijakan dan deskripsi, lihat AWS IAMreferensi kebijakan dalam Panduan IAM Pengguna.

Menentukan kondisi dalam kebijakan

Saat memberikan izin, Anda dapat menggunakan bahasa kebijakan akses untuk menentukan kondisi yang diperlukan agar kebijakan diterapkan. Misalnya, Anda mungkin ingin kebijakan diterapkan hanya setelah tanggal tertentu. Untuk informasi selengkapnya tentang menentukan kondisi dalam bahasa kebijakan, lihat Kondisi di Panduan IAM Pengguna.

Untuk menyatakan kondisi, Anda menggunakan kunci kondisi standar. Tidak ada kunci kondisi khusus untuk Pusat IAM Identitas. Namun, ada AWS tombol kondisi yang dapat Anda gunakan sesuai kebutuhan. Untuk daftar lengkap AWS kunci, lihat Kunci kondisi global yang tersedia di Panduan IAM Pengguna.