Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Kebijakan berbasis identitas dan kebijakan berbasis sumber daya Kebijakan adalah objek AWS yang, ketika dikaitkan dengan identitas atau sumber daya, menentukan izinnya. Saat Anda membuat kebijakan izin untuk membatasi akses ke sumber daya, Anda dapat memilih *kebijakan berbasis identitas* atau *kebijakan berbasis sumber daya*. **Kebijakan berbasis identitas** terlampir pada pengguna, grup, atau peran IAM. Kebijakan ini memungkinkan Anda menentukan apa yang dapat dilakukan oleh identitas (izinnya). Misalnya, Anda dapat melampirkan kebijakan ke pengguna IAM bernama John, yang menyatakan bahwa dia diizinkan untuk melakukan tindakan `RunInstances` Amazon EC2. Kebijakan selanjutnya dapat menyatakan bahwa John diizinkan untuk mendapatkan item dari tabel Amazon DynamoDB bernama. `MyCompany` Anda juga dapat mengizinkan John untuk mengelola kredensi keamanan IAM-nya sendiri. Kebijakan berbasis identitas dapat [terkelola atau inline](access_policies_managed-vs-inline.md). **Kebijakan berbasis sumber daya** dilampirkan pada sumber daya. Misalnya, Anda dapat melampirkan kebijakan berbasis sumber daya ke bucket Amazon S3, antrian Amazon SQS, titik akhir VPC, kunci enkripsi, serta tabel dan aliran Amazon DynamoDB. AWS Key Management Service Untuk daftar layanan yang mendukung kebijakan berbasis sumber daya, lihat [AWS layanan yang bekerja dengan IAM](reference_aws-services-that-work-with-iam.md). Dengan kebijakan berbasis sumber daya, Anda dapat menentukan siapa yang memiliki akses ke sumber daya tersebut dan tindakan apa yang dapat mereka lakukan di situ. Untuk mempelajari apakah prinsipal dalam akun di luar zona kepercayaan (organisasi atau akun terpercaya) memiliki akses untuk mengambil peran Anda, lihat [Apa yang dimaksud dengan Penganalisis Akses IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html). Kebijakan berbasis sumber daya hanya bersifat inline, tidak terkelola. **catatan** Kebijakan *Berbasis sumber daya* berbeda dari izin *tingkat sumber daya*. Anda dapat melampirkan kebijakan berbasis sumber daya secara langsung ke sumber daya, sebagaimana dijelaskan dalam topik ini. Izin tingkat sumber daya mengacu pada kemampuan untuk menggunakan [ARNs](reference_identifiers.md#identifiers-arns) untuk menentukan sumber daya individu dalam kebijakan. Kebijakan berbasis sumber daya hanya didukung oleh beberapa layanan. AWS Untuk daftar yang layanannya didukung kebijakan berbasis sumber daya dan izin tingkat sumber daya, lihat [AWS layanan yang bekerja dengan IAM](reference_aws-services-that-work-with-iam.md). Untuk mempelajari cara berinteraksi antara kebijakan berbasis identitas dan kebijakan berbasis sumber daya dalam akun yang sama, lihat [Evaluasi kebijakan untuk permintaan dalam satu akun](reference_policies_evaluation-logic_policy-eval-basics.md). Untuk mempelajari cara interaksi kebijakan di seluruh akun, lihat [Logika evaluasi kebijakan lintas akun](reference_policies_evaluation-logic-cross-account.md). Untuk lebih memahami konsep ini, lihat gambar berikut. Administrator dari akun `123456789012` terlampir *kebijakan berbasis identitas* kepada pengguna `John`, `Carlos`, dan `Mary`. Beberapa tindakan dalam kebijakan ini dapat dilakukan pada sumber daya tertentu. Misalnya, pengguna `John` dapat melakukan beberapa tindakan di `Resource X`. Ini adalah *izin tingkat sumber daya* dalam kebijakan berbasis identitas. Administrator juga menambahkan *kebijakan berbasis sumber daya* ke `Resource X`, `Resource Y`, dan `Resource Z`. Kebijakan berbasis sumber daya memungkinkan Anda menentukan siapa yang dapat mengakses sumber daya tersebut. Misalnya, kebijakan berbasis sumber daya di `Resource X` mengizinkan akses pengguna `John` dan `Mary` daftar dan baca ke sumber daya. ![Kebijakan berbasis identitas vs berbasis sumber daya](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/Types_of_Permissions.diagram.png) Contoh akun `123456789012` mengizinkan pengguna berikut untuk melakukan tindakan yang tercantum: + **John** — John dapat melakukan daftar dan membaca tindakan`Resource X`. Dia diberikan izin ini oleh kebijakan berbasis identitas pada penggunanya dan kebijakan berbasis sumber daya pada `Resource X`. + **Carlos** — Carlos dapat melakukan daftar, membaca, dan menulis tindakan`Resource Y`, tetapi ditolak aksesnya. `Resource Z` Kebijakan berbasis identitas pada Carlos memungkinkan dia untuk melakukan tindakan daftar dan baca `Resource Y`. Kebijakan berbasis sumber daya `Resource Y` juga memungkinkan dia menulis izin. Namun, meskipun kebijakan berbasis identitas miliknya mengizinkannya mengakses `Resource Z`, kebijakan berbasis sumber daya `Resource Z` menolak akses tersebut. `Deny` secara jelas menimpa `Allow` dan aksesnya ke `Resource Z` ditolak. Untuk informasi selengkapnya, lihat [Logika evaluasi kebijakan](reference_policies_evaluation-logic.md). + **Mary** — Mary dapat melakukan operasi daftar, membaca, dan menulis pada`Resource X`,`Resource Y`, dan`Resource Z`. Kebijakan berbasis identitas miliknya mengizinkan tindakan yang lebih banyak terhadap lebih banyak sumber daya daripada kebijakan berbasis sumber daya, tetapi tidak ada yang menolak akses. + **Zhang** — Zhang memiliki akses penuh ke. `Resource Z` Zhang tidak memiliki kebijakan berbasis identitas, tetapi kebijakan berbasis sumber daya `Resource Z` mengizinkannya mengakses sumber daya sepenuhnya. Zhang juga dapat melakukan tindakan daftar dan baca pada `Resource Y`. Kebijakan berbasis identitas dan kebijakan berbasis sumber daya keduanya adalah kebijakan izin dan dievaluasi bersama. Untuk permintaan yang hanya berlaku kebijakan izin, AWS pertama-tama periksa semua kebijakan untuk file. `Deny` Jika ada, maka permintaan ditolak. Kemudian AWS memeriksa setiap `Allow`. Jika setidaknya satu pernyataan mengizinkan tindakan dalam permintaan tersebut, permintaan tersebut diizinkan. Tidak peduli apakah `Allow` berada dalam kebijakan berbasis identitas atau kebijakan berbasis sumber daya. **penting** Logika ini hanya berlaku ketika permintaan dibuat dalam satu Akun AWS. Untuk permintaan yang dibuat dari satu akun ke akun lain, pemohon di `Account A` harus memiliki kebijakan berbasis identitas yang mengizinkan mereka mengajukan permintaan kepada sumber daya di `Account B`. Juga, kebijakan berbasis sumber daya di `Account B` harus mengizinkan pemohon di `Account A` untuk mengakses sumber daya. Harus ada kebijakan di kedua akun yang mengizinkan operasi, jika tidak permintaan tersebut gagal. Untuk informasi selengkapnya tentang menggunakan kebijakan berbasis sumber daya bagi akses akun silang, lihat [Akses sumber daya lintas akun di IAM](access_policies-cross-account-resource-access.md). Pengguna yang memiliki izin spesifik mungkin meminta sumber daya yang juga memiliki kebijakan izin yang terlampir. Dalam hal ini, AWS mengevaluasi kedua set izin saat menentukan apakah akan memberikan akses ke sumber daya. Untuk informasi tentang bagaimana kebijakan dievaluasi, lihat [Logika evaluasi kebijakan](reference_policies_evaluation-logic.md). **catatan** Amazon S3 mendukung kebijakan berbasis identitas dan kebijakan berbasis sumber daya (disebut sebagai *kebijakan bucket*). Sebagai tambahan, Amazon S3 mendukung mekanisme izin yang dikenal sebagai *Access Control List (ACL)* yang terpisah dari kebijakan dan izin IAM. Anda dapat menggunakan kebijakan IAM dalam kombinasi dengan Amazon ACLs S3. Untuk informasi selengkapnya, lihat [Kontrol Akses](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingAuthAccess.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.