Identity and access management di AWS Firewall Manager - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Identity and access management di AWS Firewall Manager

Akses ke AWS Firewall Manager memerlukan kredensial. Kredensial-kredensi tersebut harus memiliki izin untuk mengaksesAWS Firewall Managersumber daya, seperti kebijakan. Bagian berikut memberikan detail tentang bagaimana Anda dapat menggunakanAWS Identity and Access Management(IAM)dan Firewall Manager untuk membantu mengamankan akses ke sumber daya Anda.

Autentikasi

Anda dapat mengakses AWS sebagai salah satu jenis identitas berikut:

  • Akun AWSpengguna root— Saat Anda membuatAkun AWS, Anda memulai dengan satu identitas masuk yang memiliki akses penuh ke semuaLayanan AWSdan sumber daya di akun. Identitas ini disebut pengguna root Akun AWS dan diakses dengan cara masuk menggunakan alamat email dan kata sandi yang Anda gunakan saat membuat akun. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Lindungi kredensi pengguna root Anda dan gunakan untuk melakukan tugas yang hanya dapat dilakukan oleh pengguna root. Untuk daftar tugas yang mengharuskan Anda masuk sebagai pengguna root, lihatTugas yang memerlukan kredensial pengguna rootdi dalamAWSReferensi umum.

  • Pengguna IAM— SebuahPengguna IAMadalah identitas dalam diri AndaAWSakun yang memiliki izin khusus spesifik (misalnya, izin untuk membuat aturan di Firewall Manager). Anda dapat menggunakan nama pengguna dan kata sandi IAM untuk masuk untuk mengamankan halaman web AWS seperti AWS Management Console, Forum Diskusi AWS, atau Pusat AWS Support.

     

    Selain nama pengguna dan kata sandi, Anda juga dapat membuat access key untuk setiap pengguna. Anda dapat menggunakan kunci ini ketika mengakses layanan AWS secara terprogram, baik melalui salah satu dari beberapa SDK atau dengan menggunakan AWS Command Line Interface (CLI). Alat SDK dan CLI menggunakan access key untuk menandatangani permintaan Anda secara kriptografis. Jika Anda tidak menggunakan alat AWS, Anda harus menandatangani permintaan tersebut sendiri. Firewall ManagerTanda Tangan Versi 4, protokol untuk mengautentikasi permintaan API inbound. Untuk informasi selengkapnya tentang melakukan autentikasi permintaan, lihat Proses Penandatanganan Tanda Tangan Versi 4 dalam Referensi Umum AWS.

     

  • IAM roleIAM role adalah identitas IAM yang dapat Anda buat di akun Anda yang memiliki izin spesifik. IAM role serupa dengan pengguna IAM, yang merupakan identitas AWS dengan kebijakan izin yang menentukan apa yang dapat dan tidak dapat dilakukan identitas di AWS. Namun, alih-alih secara unik terkait dengan satu orang, peran dimaksudkan untuk dapat menjadi dapat diasumsikan oleh siapa pun yang membutuhkannya. Selain itu, peran tidak memiliki kredensial jangka panjang standar seperti kata sandi atau kunci akses yang terkait dengannya. Sebagai gantinya, saat Anda mengambil peran, kredensial keamanan sementara untuk sesi peran Anda akan diberikan. IAM role dengan kredensial sementara berguna dalam situasi berikut:

     

    • Akses pengguna gabungan— Alih-alih membuat pengguna IAM, Anda dapat menggunakan identitas yang ada dariAWS Directory Service, direktori pengguna perusahaan Anda, penyedia identitas web, atau toko identitas IAM Identity Center. Identitas ini dikenal sebagaiidentitas. Untuk menetapkan izin ke identitas gabungan, Anda dapat membuat peran dan menentukan izin untuk peran tersebut. Ketika identitas eksternal mengautentikasi, identitas tersebut terkait dengan peran dan diberikan izin yang didefinisikan olehnya. Jika Anda menggunakan IAM Identity Center, Anda mengkonfigurasi set izin. IAM Identity Center mengkorelasikan izin yang ditetapkan ke peran dalam IAM untuk mengontrol apa yang dapat diakses identitas Anda setelah mereka mengautentikasi. Untuk informasi selengkapnya tentang penggabungan identitas, lihatMembuat peran untuk Penyedia Identitas pihak ketigadi dalamPanduan Pengguna IAM. Untuk informasi selengkapnya tentang IAM Identity Center, lihatApa itu IAM Identity Center?di dalamAWS IAM Identity Center (successor to AWS Single Sign-On)Panduan Pengguna.

       

    • Akses layanan AWS – Peran layanan adalah IAM role yang diasumsikan oleh layanan untuk melakukan tindakan atas nama Anda. Administrator IAM dapat membuat, memodifikasi, dan menghapus peran layanan dari dalam IAM. Untuk informasi selengkapnya, lihatMembuat peran untuk mendelegasikan izin keLayanan AWSdi dalamPanduan Pengguna IAM.

       

    • Aplikasi yang berjalan di Amazon EC2 – Anda dapat menggunakan IAM role untuk mengelola kredensial sementara untuk aplikasi yang berjalan pada instans EC2, dan membuat permintaan API AWS CLI atau AWS. Menyimpan access key di dalam instans EC2 lebih disarankan. Untuk menugaskan sebuah peran AWS ke instans EC2 dan membuatnya tersedia untuk semua aplikasinya, Anda dapat membuat sebuah profil instans yang dilampirkan ke instans. Profil instans berisi peran dan memungkinkan program yang berjalan di instans EC2 untuk mendapatkan kredensial sementara. Untuk informasi selengkapnya, lihat Menggunakan IAM role untuk memberikan izin pada aplikasi yang berjalan di instans Amazon EC2 dalam Panduan Pengguna IAM.

Pengendalian akses

Anda dapat memiliki kredensi yang valid untuk mengautentikasi permintaan, namun kecuali jika Anda memiliki izin, Anda tidak dapat membuat atau mengakses.AWS Firewall Managersumber daya. Misalnya, Anda harus memiliki izin untuk membuat Firewall Managerkebijakan.

Bagian berikut menggambarkan cara mengelola izin untuk AWS Firewall Manager. Sebaiknya Anda membaca gambaran umumnya terlebih dahulu.