Identity and access management di AWS WAF - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Identity and access management di AWS WAF

Akses ke AWS WAF memerlukan kredensial. Kredensial-nya harus memiliki izin untuk mengaksesAWSsumber daya, sepertiAWS WAFsumber daya atau bucket Amazon S3. Bagian berikut memberikan perincian tentang cara menggunakanAWS Identity and Access Management(IAM)danAWS WAFuntuk membantu mengamankan akses ke sumber daya Anda.

Autentikasi

Anda dapat mengakses AWS sebagai salah satu jenis identitas berikut:

  • Akun AWSpengguna root

    Saat Anda membuatAkun AWS, Anda memulai dengan satu identitas masuk yang memiliki akses penuh ke semuaLayanan AWSdan sumber daya di akun. Identitas ini disebut pengguna root Akun AWS dan diakses dengan cara masuk menggunakan alamat email dan kata sandi yang Anda gunakan saat membuat akun. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Melindungi kredensyal pengguna root Anda dan gunakan untuk melakukan tugas yang hanya dapat dilakukan oleh pengguna root. Untuk daftar tugas yang mengharuskan Anda masuk sebagai pengguna root, lihatTugas yang memerlukan kredensial pengguna rootdi dalamAWSReferensi Umum.

  • Pengguna dan kelompok IAM

    Pengguna IAM adalah identitas dalam akun Akun AWS Anda yang memiliki izin khusus untuk satu orang atau aplikasi. Pengguna IAM dapat memiliki kredensial jangka panjang, seperti nama pengguna dan kata sandi atau satu set access key. Untuk mempelajari cara membuat kunci akses, lihat Mengelola access key untuk pengguna IAM dalam Panduan Pengguna IAM. Saat Anda membuat access key untuk pengguna IAM, pastikan bahwa Anda melihat pasangan kunci dan menyimpannya dengan aman. Anda tidak dapat memulihkan secret access key di masa mendatang. Sebaliknya, Anda harus membuat pasangan access key baru.

    Grup IAM adalah identitas yang menentukan kumpulan dari para pengguna IAM. Anda tidak dapat masuk sebagai kelompok. Anda dapat menggunakan grup untuk menentukan izin untuk beberapa pengguna sekaligus. Grup membuat izin lebih mudah dikelola untuk set besar pengguna. Misalnya, Anda dapat memiliki grup yang diberi nama IAMAdmins dan memberikan izin kepada grup tersebut untuk mengelola sumber daya IAM.

    Para pengguna berbeda dari peran. Seorang pengguna secara unik terkait dengan satu orang atau aplikasi, tetapi peran ini dimaksudkan untuk dapat digunakan oleh siapa pun yang membutuhkannya. Pengguna memiliki kredensial jangka panjang permanen, tetapi peran memberikan kredensial sementara. Untuk mempelajari selengkapnya, lihat Kapan harus membuat pengguna IAM (bukan peran) dalam Panduan Pengguna IAM.

  • Peran IAM

    Sebuah role IAM adalah identitas IAM yang dapat Anda buat di akun Anda yang memiliki izin spesifik. IAM role serupa dengan pengguna IAM, yang merupakan identitas AWS dengan kebijakan izin yang menentukan apa yang dapat dan tidak dapat dilakukan identitas di AWS. Namun, alih-alih secara unik terkait dengan satu orang, peran dimaksudkan untuk dapat menjadi dapat diasumsikan oleh siapa pun yang membutuhkannya. Selain itu, peran tidak memiliki kredensial jangka panjang standar seperti kata sandi atau kunci akses yang terkait dengannya. Sebagai gantinya, saat Anda mengambil peran, kredensial keamanan sementara untuk sesi peran Anda akan diberikan. IAM role dengan kredensial sementara berguna dalam situasi berikut:

    • Akses pengguna gabungan- Alih-alih membuat pengguna IAM, Anda dapat menggunakan identitas yang ada dariAWS Directory Service, direktori pengguna perusahaan Anda, penyedia identitas web, atau toko identitas IAM Identity Center. Identitas ini dikenal sebagaiidentitas federasi. Untuk menetapkan izin untuk identitas gabungan, Anda dapat membuat peran dan menentukan izin untuk peran tersebut. Ketika identitas eksternal mengautentikasi, identitas tersebut terkait dengan peran dan diberikan izin yang didefinisikan olehnya. Jika Anda menggunakan IAM Identity Center, Anda mengkonfigurasi set izin. IAM Identity Center mengkorelasikan izin yang ditetapkan ke peran dalam IAM untuk mengontrol apa yang dapat diakses identitas Anda setelah mereka mengautentikasi. Untuk informasi selengkapnya tentang gabungan identitas, lihatMembuat peran untuk Penyedia Identitas pihak ketigadi dalamPanduan Pengguna IAM. Untuk informasi selengkapnya tentang IAM Identity Center, lihatApa itu IAM Identity Center?di dalamAWS IAM Identity Center (successor to AWS Single Sign-On)Panduan Pengguna.

    • Layanan AWSakses- Peran layanan adalahPeran IAMbahwa layanan mengasumsikan untuk melakukan tindakan atas nama Anda. Administrator IAM dapat membuat, memodifikasi, dan menghapus peran layanan dari dalam IAM. Untuk informasi selengkapnya, lihatMembuat peran untuk mendelegasikan izin keLayanan AWSdi dalamPanduan Pengguna IAM.

    • Aplikasi yang berjalan di Amazon EC2 – Anda dapat menggunakan IAM role untuk mengelola kredensial sementara untuk aplikasi yang berjalan pada instans EC2, dan membuat permintaan API AWS CLI atau AWS. Menyimpan access key di dalam instans EC2 lebih disarankan. Untuk menugaskan sebuah peran AWS ke instans EC2 dan membuatnya tersedia untuk semua aplikasinya, Anda dapat membuat sebuah profil instans yang dilampirkan ke instans. Profil instans berisi peran dan memungkinkan program yang berjalan di instans EC2 untuk mendapatkan kredensial sementara. Untuk informasi selengkapnya, lihat Menggunakan IAM role untuk memberikan izin pada aplikasi yang berjalan di instans Amazon EC2 dalam Panduan Pengguna IAM.

Pengendalian akses

Anda dapat memiliki kredensi yang valid untuk mengautentikasi permintaan, tetapi kecuali jika Anda memiliki izin, Anda tidak dapat membuat atau mengaksesAWS WAFsumber daya Misalnya, Anda harus memiliki izin untuk membuatAWS WAF ACL Webataukelompok aturan.

Bagian berikut menggambarkan cara mengelola izin untuk AWS WAF. Sebaiknya Anda membaca gambaran umumnya terlebih dahulu.