Buat kebijakan IAM (konsol) - AWS Identity and Access Management
Membuat kebijakan IAMMembuat kebijakan menggunakan editor JSONMembuat kebijakan dengan editor visualMengimpor kebijakan terkelola yang ada

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat kebijakan IAM (konsol)

Sebuahkebijakan adalah entitas yang, saat dilampirkan dengan sebuah identitas atau sumber daya, menjelaskan izinnya. Anda dapat menggunakan Konsol Manajemen AWS untuk membuat kebijakan yang dikelola pelanggan di IAM. Kebijakan yang dikelola pelanggan adalah kebijakan mandiri yang Anda kelola sendiri. Akun AWS Anda kemudian dapat melampirkan kebijakan ke identitas (pengguna, grup, dan peran) di situs Anda Akun AWS.

Jumlah dan ukuran sumber daya IAM dalam AWS akun terbatas. Untuk informasi selengkapnya, lihat IAM dan AWS STS kuota.

Membuat kebijakan IAM

Anda dapat membuat kebijakan terkelola pelanggan Konsol Manajemen AWS menggunakan salah satu metode berikut:

  • JSON — Tempel dan sesuaikan publikasi contoh kebijakan berbasis-identitas.

  • Editor visual — Susun kebijakan baru dari nol di editor visual. Jika Anda menggunakan editor visual, Anda tidak harus memahami sintaksis JSON.

  • Impor — Impor dan sesuaikan kebijakan terkelola dari akun Anda. Anda dapat mengimpor kebijakan AWS terkelola atau kebijakan terkelola pelanggan yang sebelumnya Anda buat.

Jumlah dan ukuran sumber daya IAM dalam AWS akun terbatas. Untuk informasi selengkapnya, lihat IAM dan AWS STS kuota.

Membuat kebijakan menggunakan editor JSON

Anda dapat mengetik atau menempelkan kebijakan di JSON dengan memilih opsi JSON. Metode ini berguna untuk menyalin contoh kebijakan untuk dipakai di akun Anda. Atau, Anda bisa mengetik dokumen kebijakan JSON Anda sendiri di editor JSON. Anda juga dapat menggunakan opsi JSON untuk beralih antara editor visual dan JSON untuk membandingkan tampilan.

Saat Anda membuat atau mengedit kebijakan di editor JSON, IAM melakukan validasi kebijakan untuk membantu Anda membuat kebijakan yang efektif. IAM mengidentifikasi kesalahan sintaks JSON, sementara IAM Access Analyzer menyediakan pemeriksaan kebijakan tambahan dengan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda menyempurnakan kebijakan lebih lanjut.

Dokumen kebijakan JSON terdiri atas satu atau lebih pernyataan. Setiap pernyataan harus berisi semua tindakan yang berbagi efek yang sama (Allow atau Deny) dan mendukung sumber daya dan kondisi yang sama. Jika satu tindakan mengharuskan Anda untuk menentukan semua sumber daya ("*") dan tindakan lain mendukung Amazon Resource Name (ARN) dari sumber daya tertentu, mereka harus berada dalam dua pernyataan JSON terpisah. Untuk rincian format ARN, lihat Amazon Resource Name (ARN) di dalam Panduan Referensi Umum AWS . Untuk informasi umum tentang kebijakan IAM, lihat Kebijakan dan izin di AWS Identity and Access Management. Untuk informasi tentang bahasa kebijakan IAM, lihat Referensi kebijakan IAM JSON.

Cara menggunakan editor kebijakan JSON untuk membuat kebijakan

  1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi sebelah kiri, pilih Kebijakan.

  3. Pilih Buat kebijakan.

  4. Di bagian Editor kebijakan, pilih opsi JSON.

  5. Ketik atau tempel dokumen kebijakan JSON. Untuk rincian bahasa kebijakan IAM, lihat Referensi kebijakan IAM JSON.

  6. Selesaikan peringatan keamanan, kesalahan, atau peringatan umum yang dihasilkan selama validasi kebijakan, lalu pilih Berikutnya.

    catatan

    Anda dapat beralih antara opsi editor Visual dan JSON kapan saja. Namun, jika Anda melakukan perubahan atau memilih Berikutnya di editor Visual, IAM dapat merestrukturisasi kebijakan Anda untuk mengoptimalkannya bagi editor visual. Untuk informasi selengkapnya, lihat Restrukturisasi kebijakan.

  7. (Opsional) Saat membuat atau mengedit kebijakan Konsol Manajemen AWS, Anda dapat membuat templat kebijakan JSON atau YAMAL yang dapat Anda gunakan dalam CloudFormation templat.

    Untuk melakukannya, di editor Kebijakan pilih Tindakan, lalu pilih Buat CloudFormation templat. Untuk mempelajari selengkapnya, CloudFormation lihat referensi jenis AWS Identity and Access Management sumber daya di Panduan AWS CloudFormation Pengguna.

  8. Setelah selesai menambahkan izin ke kebijakan, pilih Berikutnya.

  9. Pada halaman Tinjau dan buat, ketik Nama Kebijakan dan Deskripsi (opsional) untuk kebijakan yang Anda buat. Tinjau Izin yang ditentukan dalam kebijakan ini untuk melihat izin yang diberikan oleh kebijakan Anda.

  10. (Opsional) Tambahkan metadata ke kebijakan dengan melampirkan tanda sebagai pasangan nilai kunci. Untuk informasi selengkapnya tentang menggunakan tanda di IAM, lihat Tag untuk AWS Identity and Access Management sumber daya.

  11. Pilih Buat kebijakan untuk menyimpan kebijakan baru Anda.

Setelah Anda membuat kebijakan, Anda dapat melampirkannya ke grup, pengguna, atau peran Anda. Untuk informasi selengkapnya, lihat Menambahkan dan menghapus izin identitas IAM.

Membuat kebijakan dengan editor visual

Editor visual di konsol IAM akan memandu Anda dalam membuat kebijakan tanpa harus menulis sintaksis JSON. Untuk melihat contoh penggunaan editor visual dalam pembuatan kebijakan, lihat Mengontrol akses ke identitas.

Untuk menggunakan editor visual dalam pembuatan kebijakan

  1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi sebelah kiri, pilih Kebijakan.

  3. Pilih Buat kebijakan.

  4. Di bagian Editor kebijakan, temukan bagian Pilih layanan, lalu pilih AWS layanan. Anda bisa menggunakan kotak pencarian di bagian atas untuk membatasi hasil pada daftar layanan. Anda bisa memilih hanya satu layanan pada blok izin editor visual. Untuk memberikan akses ke lebih dari satu layanan, tambahkan beberapa blok izin dengan memilih Tambahkan lebih banyak izin.

  5. Di Tindakan yang diizinkan, pilih tindakan yang akan ditambahkan ke kebijakan. Anda bisa memilih tindakan dengan cara berikut:

    • Pilih kotak centang untuk semua tindakan.

    • Pilih tambah tindakan untuk mengetik nama tindakan tertentu. Anda bisa menggunakan wildcards (*) untuk menentukan beberapa tindakan.

    • Pilih satu grup Tingkat akses untuk memilih semua tindakan untuk tingkat akses tersebut (misalnya, Baca, Tulis, atau Daftar).

    • Perluas setiap grup Tingkat akses untuk memilih tindakan individu.

    Secara default, kebijakan yang Anda buat mengizinkan tindakan yang Anda pilih. Sebaliknya, untuk menolak tindakan terpilih, pilih Beralih ke menolak izin. Karena IAM menolak secara default, kami merekomendasikan sebagai praktik terbaik keamanan agar Anda mengizinkan hanya tindakan dan sumber daya yang diperlukan pengguna saja. Anda harus membuat pernyataan JSON untuk menolak izin hanya bila Anda ingin membatalkan izin secara terpisah mengizinkan pernyataan atau kebijakan lain. Kami sarankan Anda membatasi jumlah izin penolakan seminim mungkin karena dapat meningkatkan kesulitan izin pemecahan masalah.

  6. Untuk Sumber Daya, bila layanan dan tindakan yang Anda pilih di langkah sebelumnya tidak mendukung pilihan sumber daya tertentu, semua sumber daya diperbolehkan dan Anda tidak bisa mengedit bagian ini.

    Jika Anda memilih satu atau lebih tindakan yang mendukungizin tingkat sumber daya, maka editor visual akan mendaftar sumber daya tersebut. Kemudian Anda bisa memperluas Sumber Daya untuk menentukan sumber daya bagi kebijakan Anda.

    Anda dapat menentukan sumber daya dengan cara berikut:

    • Pilih Tambah ARNs untuk menentukan sumber daya berdasarkan Nama Sumber Daya Amazon (ARN) mereka. Anda dapat menggunakan editor atau daftar ARNs ARN visual secara manual. Untuk informasi lebih lanjut tentang sintaks ARN, lihat Amazon Resource Name (ARN) pada Panduan Referensi Umum AWS . Untuk informasi tentang penggunaan ARNs dalam Resource elemen kebijakan, lihatElemen kebijakan IAM JSON: Resource.

    • Pilih Apa saja di akun ini di samping sumber daya untuk memberikan izin ke sumber daya apa pun dari jenis itu.

    • Pilih Semua untuk memilih semua sumber daya untuk layanan ini.

  7. (Opsional) Pilih Ketentuan permintaan - opsional untuk menambahkan kondisi ke kebijakan yang Anda buat. Kondisi membatasi efek dari pernyataan kebijakan JSON. Misalnya, Anda dapat menentukan bahwa pengguna diizinkan melakukan tindakan pada sumber daya hanya ketika permintaan pengguna tersebut terjadi di rentang waktu tertentu. Anda juga bisa menggunakan kondisi yang umum dipakai untuk membatasi apakah seorang pengguna harus menggunakan multi-factor authentication (MFA). Atau Anda bisa meminta agar permintaan yang berasal dari rentang alamat IP tertentu. Untuk daftar semua kunci konteks yang dapat Anda gunakan dalam kondisi kebijakan, lihat Tindakan, sumber daya, dan kunci kondisi untuk AWS layanan di Referensi Otorisasi Layanan.

    Anda bisa memilih kondisi dengan cara berikut:

    • Gunakan kotak centang untuk memilih kondisi yang umum digunakan.

    • Pilih Tambahkan kondisi lain untuk menentukan kondisi lain. Pilih kondisi dari Kunci Kondisi, Pengukur, dan Operator, lalu ketik Nilai. Untuk menambahkan lebih dari satu nilai, pilih Tambah. Anda dapat mempertimbangkan nilai tersebut terhubung secara logika "ATAU" operator. Setelah selesai, pilih Tambahkan kondisi.

    Untuk menambahkan lebih dari satu kondisi, pilih Tambahkan kondisi lain lagi. Ulangi seperlunya. Setiap kondisi berlaku hanya untuk blok izin editor visual yang satu ini. Semua kondisi haruslah benar agar blok izin dapat dianggap cocok. Dengan kata lain, pertimbangkan kondisi yang akan dihubungkan oleh logika “DAN” operator.

    Untuk informasi lebih lanjut mengenai elemen Kondisi, lihat Elemen kebijakan IAM JSON: Condition di Referensi kebijakan IAM JSON.

  8. Untuk menambahkan lebih banyak blok izin, pilih Tambahkan izin lainnya. Untuk setiap blok, ulangi langkah 2 sampai 5.

    catatan

    Anda dapat beralih antara opsi editor Visual dan JSON kapan saja. Namun, jika Anda melakukan perubahan atau memilih Berikutnya di editor Visual, IAM dapat merestrukturisasi kebijakan Anda untuk mengoptimalkannya bagi editor visual. Untuk informasi selengkapnya, lihat Restrukturisasi kebijakan.

  9. (Opsional) Saat membuat atau mengedit kebijakan Konsol Manajemen AWS, Anda dapat membuat templat kebijakan JSON atau YAMAL yang dapat Anda gunakan dalam CloudFormation templat.

    Untuk melakukannya, di editor Kebijakan pilih Tindakan, lalu pilih Buat CloudFormation templat. Untuk mempelajari selengkapnya, CloudFormation lihat referensi jenis AWS Identity and Access Management sumber daya di Panduan AWS CloudFormation Pengguna.

  10. Setelah selesai menambahkan izin ke kebijakan, pilih Berikutnya.

  11. Pada halaman Tinjau dan buat, ketik Nama Kebijakan dan Deskripsi (opsional) untuk kebijakan yang Anda buat. Tinjau Izin yang ditentukan dalam kebijakan ini untuk memastikan bahwa Anda telah memberikan izin yang dimaksud.

  12. (Opsional) Tambahkan metadata ke kebijakan dengan melampirkan tanda sebagai pasangan nilai kunci. Untuk informasi selengkapnya tentang menggunakan tanda di IAM, lihat Tag untuk AWS Identity and Access Management sumber daya.

  13. Pilih Buat kebijakan untuk menyimpan kebijakan baru Anda.

Setelah Anda membuat kebijakan, Anda dapat melampirkannya ke grup, pengguna, atau peran Anda. Untuk informasi selengkapnya, lihat Menambahkan dan menghapus izin identitas IAM.

Mengimpor kebijakan terkelola yang ada

Cara mudah untuk membuat kebijakan baru adalah dengan mengimpor kebijakan terkelola yang ada di dalam akun Anda yang setidaknya memiliki beberapa izin yang Anda perlukan. Anda kemudian bisa mengubah kebijakan tersebut untuk menyesuaikannya dengan persyaratan baru Anda.

Anda tidak bisa mengimpor kebijakan inline. Untuk mempelajari perbedaan antara kebijakan terkelola dan kebijakan inline, lihat Kebijakan terkelola dan kebijakan inline.

Untuk mengimpor kebijakan terkelola yang sudah ada di editor visual

  1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi sebelah kiri, pilih Kebijakan.

  3. Pilih Buat kebijakan.

  4. Di editor Kebijakan, pilih Visual dan kemudian di sisi kanan halaman, pilih Tindakan lalu pilih Kebijakan impor.

  5. Di jendela Kebijakan impor, pilih kebijakan terkelola yang paling cocok dengan kebijakan yang ingin Anda sertakan dalam kebijakan baru Anda. Anda dapat menggunakan kotak pencarian di bagian atas untuk membatasi hasil dalam daftar kebijakan.

  6. Pilih kebijakan Impor.

    Kebijakan yang diimpor ditambahkan pada blok izin baru di bagian bawah kebijakan Anda.

  7. Gunakan editor Visual atau pilih JSON untuk menyesuaikan kebijakan Anda. Lalu pilih Selanjutnya.

    catatan

    Anda dapat beralih antara opsi editor Visual dan JSON kapan saja. Namun, jika Anda melakukan perubahan atau memilih Berikutnya di editor Visual, IAM dapat merestrukturisasi kebijakan Anda untuk mengoptimalkannya bagi editor visual. Untuk informasi selengkapnya, lihat Restrukturisasi kebijakan.

  8. Pada halaman Tinjau dan buat, ketik Nama Kebijakan dan Deskripsi (opsional) untuk kebijakan yang Anda buat. Anda tidak bisa mengedit pengaturan kemudian. Tinjau Izin yang ditentukan dalam kebijakan ini, lalu pilih Buat kebijakan untuk menyimpan pekerjaan Anda.

Untuk mengimpor kebijakan terkelola yang ada di editor JSON

  1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi sebelah kiri, pilih Kebijakan.

  3. Pilih Buat kebijakan.

  4. Di bagian Editor kebijakan, pilih opsi JSON, lalu di sisi kanan halaman, pilih Tindakan lalu pilih Kebijakan impor.

  5. Di jendela Kebijakan impor, pilih kebijakan terkelola yang paling cocok dengan kebijakan yang ingin Anda sertakan dalam kebijakan baru Anda. Anda dapat menggunakan kotak pencarian di bagian atas untuk membatasi hasil dalam daftar kebijakan.

  6. Pilih kebijakan Impor.

    Pernyataan dari kebijakan yang diimpor ditambahkan di bagian bawah kebijakan JSON Anda.

  7. Sesuaikan kebijakan Anda di JSON. Selesaikan peringatan keamanan, kesalahan, atau peringatan umum yang dihasilkan selama validasi kebijakan, lalu pilih Berikutnya. Sesuaikan kebijakan Anda di JSON, atau pilih Visual editor (Editor visual). Lalu pilih Selanjutnya.

    catatan

    Anda dapat beralih antara opsi editor Visual dan JSON kapan saja. Namun, jika Anda melakukan perubahan atau memilih Berikutnya di editor Visual, IAM dapat merestrukturisasi kebijakan Anda untuk mengoptimalkannya bagi editor visual. Untuk informasi selengkapnya, lihat Restrukturisasi kebijakan.

  8. Pada halaman Tinjau dan buat, ketik Nama Kebijakan dan Deskripsi (opsional) untuk kebijakan yang Anda buat. Anda tidak bisa mengedit hal ini kemudian. Tinjau kebijakan Izin yang ditentukan dalam kebijakan ini, lalu pilih Buat kebijakan untuk menyimpan pekerjaan Anda.

Setelah Anda membuat kebijakan, Anda dapat melampirkannya ke grup, pengguna, atau peran Anda. Lihat informasi yang lebih lengkap di Menambahkan dan menghapus izin identitas IAM.