Izin kustom untuk AWS kebijakan terkelola dan dikelola pelanggan - AWS IAM Identity Center
Kebijakan inlineAWS kebijakan terkelola Kebijakan yang dikelola pelangganBatas izin

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Izin kustom untuk AWS kebijakan terkelola dan dikelola pelanggan

Anda dapat membuat set izin dengan izin Kustom, menggabungkan salah satu AWS kebijakan terkelola dan terkelola pelanggan yang Anda miliki AWS Identity and Access Management (IAM) bersama dengan kebijakan inline. Anda juga dapat menyertakan batas izin, menyetel izin maksimum yang dapat diberikan oleh kebijakan lain kepada pengguna yang ditetapkan izin Anda.

Untuk petunjuk tentang cara membuat set izin, lihatMembuat, mengelola, dan menghapus set izin.

Jenis kebijakan yang dapat Anda lampirkan ke set izin

Kebijakan inline

Anda dapat melampirkan kebijakan inline ke set izin. Kebijakan sebaris adalah blok teks yang diformat sebagai IAM kebijakan yang Anda tambahkan langsung ke set izin. Anda dapat menempelkan kebijakan, atau membuat kebijakan baru dengan alat pembuatan kebijakan di konsol Pusat IAM Identitas saat Anda membuat set izin baru. Anda juga dapat membuat IAM kebijakan dengan AWS Generator Kebijakan.

Saat Anda menerapkan set izin dengan kebijakan sebaris, Pusat IAM Identitas akan membuat IAM kebijakan di Akun AWS di mana Anda menetapkan set izin Anda. IAMPusat Identitas membuat kebijakan saat Anda menetapkan izin yang disetel ke akun. Kebijakan tersebut kemudian dilampirkan pada IAM peran Anda Akun AWS yang diasumsikan oleh pengguna Anda.

Saat Anda membuat kebijakan sebaris dan menetapkan set izin, Pusat IAM Identitas akan mengonfigurasi kebijakan di Akun AWS untuk Anda. Saat membuat set izinKebijakan yang dikelola pelanggan, Anda harus membuat kebijakan di Akun AWS diri Anda sendiri sebelum Anda menetapkan set izin.

AWS kebijakan terkelola

Anda dapat melampirkan AWS kebijakan terkelola ke set izin Anda. AWS Kebijakan yang dikelola adalah IAM kebijakan yang AWS mempertahankan. Sebaliknya, Kebijakan yang dikelola pelanggan adalah IAM kebijakan di akun Anda yang Anda buat dan pertahankan. AWS kebijakan terkelola menangani kasus penggunaan hak istimewa paling tidak umum di Akun AWS. Anda dapat menetapkan AWS kebijakan terkelola sebagai izin untuk peran yang dibuat Pusat IAM Identitas, atau sebagai batas izin.

AWS mempertahankan AWS kebijakan terkelola untuk fungsi pekerjaan yang menetapkan izin akses khusus pekerjaan ke Anda AWS sumber daya. Anda dapat menambahkan satu kebijakan fungsi pekerjaan ketika Anda memilih untuk menggunakan izin yang telah ditentukan sebelumnya dengan set izin Anda. Saat memilih Izin khusus, Anda dapat menambahkan lebih dari satu kebijakan fungsi pekerjaan.

Klaster Akun AWS juga mengandung sejumlah besar AWS IAMkebijakan terkelola untuk spesifik Layanan AWS dan kombinasi dari Layanan AWS. Saat Anda membuat set izin dengan izin Kustom, Anda dapat memilih dari banyak tambahan AWS kebijakan terkelola untuk ditetapkan ke set izin Anda.

AWS mengisi setiap Akun AWS dengan AWS kebijakan terkelola. Untuk menerapkan izin yang ditetapkan dengan AWS kebijakan terkelola, Anda tidak perlu terlebih dahulu membuat kebijakan di Akun AWS. Saat membuat set izinKebijakan yang dikelola pelanggan, Anda harus membuat kebijakan di Akun AWS diri Anda sendiri sebelum Anda menetapkan set izin.

Untuk informasi lebih lanjut tentang AWS kebijakan terkelola, lihat AWS kebijakan terkelola dalam Panduan IAM Pengguna.

Kebijakan yang dikelola pelanggan

Anda dapat melampirkan kebijakan yang dikelola pelanggan ke set izin Anda. Kebijakan yang dikelola pelanggan adalah IAM kebijakan di akun Anda yang Anda buat dan pertahankan. Sebaliknya, AWS kebijakan terkelola adalah IAM kebijakan di akun Anda yang AWS mempertahankan. Anda dapat menetapkan kebijakan terkelola pelanggan sebagai izin untuk peran yang dibuat Pusat IAM Identitas, atau sebagai batas izin.

Bila Anda membuat set izin dengan kebijakan terkelola pelanggan, Anda harus membuat IAM kebijakan dengan nama dan jalur yang sama di masing-masing Akun AWS di mana Pusat IAM Identitas menetapkan set izin Anda. Jika Anda menentukan jalur kustom, pastikan untuk menentukan jalur yang sama di masing-masing Akun AWS. Untuk informasi selengkapnya, lihat Nama dan jalur ramah di Panduan IAM Pengguna. IAMIdentity Center melampirkan IAM kebijakan ke IAM peran yang dibuatnya di Akun AWS. Sebagai praktik terbaik, terapkan izin yang sama ke kebijakan di setiap akun tempat Anda menetapkan izin yang ditetapkan. Untuk informasi selengkapnya, lihat Gunakan IAM kebijakan dalam set izin.

Untuk informasi selengkapnya, lihat Kebijakan yang dikelola pelanggan di Panduan IAM Pengguna.

Batas izin

Anda dapat melampirkan batas izin ke set izin Anda. Batas izin adalah AWS IAMkebijakan terkelola atau terkelola pelanggan yang menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada prinsipal. IAM Saat Anda menerapkan batas izin, Anda Kebijakan inlineKebijakan yang dikelola pelanggan, dan tidak AWS kebijakan terkelola dapat memberikan izin apa pun yang melebihi izin yang diberikan oleh batas izin Anda. Batas izin tidak memberikan izin apa pun, melainkan membuatnya sehingga IAM mengabaikan semua izin di luar batas.

Bila Anda membuat izin yang ditetapkan dengan kebijakan terkelola pelanggan sebagai batas izin, Anda harus membuat IAM kebijakan dengan nama yang sama di masing-masing Akun AWS di mana Pusat IAM Identitas menetapkan set izin Anda. IAMPusat Identitas melampirkan IAM kebijakan sebagai batas izin ke IAM peran yang dibuatnya di Akun AWS .

Untuk informasi selengkapnya, lihat Batas izin untuk IAM entitas di Panduan IAM Pengguna.