Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Pedoman evaluasi kebijakan
AWS akan mengevaluasi kebijakan yang Anda kirimkan terhadap seperangkat pedoman. Pedoman evaluasi yang sama berlaku untuk templat kebijakan dan batasan izin, dengan perbedaan kecil dicatat jika sesuai.
Untuk tujuan evaluasi, kami memisahkan layanan ke dalam kelompok yang berbeda. Perbedaan yang paling penting adalah untuk layanan yang sensitif terhadap keamanan, yang mengelola akses, kredensi, dan kunci. Kebijakan yang memberikan akses ke layanan ini perlu difokuskan secara sempit pada pekerjaan yang sedang dilakukan. Layanan yang sensitif terhadap keamanan meliputi: AWS Identity and Access Management (IAM) and Access Management (IAM) AWS , Key Management Service (KMS), Resource AWS Access Manager (RAM), IAM Identity Center, Organizations AWS , dan Secrets Manager. AWS AWS
Perbedaan sekunder adalah layanan yang dapat mengakses data melintasi batas akun. Kebijakan untuk layanan ini harus mencakup perlindungan untuk mencegah akses lintas akun yang tidak disengaja.
Validasi umum
Semua pernyataan kebijakan harus mengikuti pedoman ini:
Semua pernyataan harus menyertakan bidang Efek, Tindakan (atau NotAction), Sumber Daya, dan Kondisi dalam urutan tersebut
Semua tindakan dalam satu pernyataan harus terdaftar menurut abjad
Semua yang ARNs termasuk dalam kebijakan harus mengikuti sintaks yang didefinisikan dalam dokumentasi publik untuk layanan yang relevan
NotAction bidang hanya dapat digunakan dalam pernyataan Deny
Tindakan dalam pernyataan Izinkan harus menyertakan kode layanan. Wildcard generik (“*”) tidak diperbolehkan
Pembatasan layanan yang peka terhadap keamanan
Pembatasan berikut berlaku untuk layanan sensitif keamanan yang disebutkan di atas:
Tindakan dalam pernyataan Izinkan harus lebih spesifik daripada [layanan] :*
Tindakan dalam pernyataan Izinkan untuk templat kebijakan akses sementara tidak boleh berisi wildcard
Tindakan sensitif, seperti iam: PassRole atau iam:CreateServiceLinkedRole, memerlukan pelingkupan tambahan, seperti sumber daya tertentu atau pemeriksaan bersyarat. Tindakan ini meliputi:
Peran IAM lewat
Tindakan modifikasi peran IAM
Tindakan modifikasi kebijakan IAM
AWS KMS menulis atau operasi kriptografi
AWS RAM menulis atau berbagi operasi
AWS Operasi Secrets Manager untuk mengambil atau memodifikasi rahasia, atau memodifikasi kebijakan sumber daya
Tindakan lain dapat menggunakan sumber daya wildcard, seperti iam: ListUsers atau iam: GetPolicy
Tindakan yang mengelola kredensyal, seperti iam:CreateAccessKey, diblokir
Pembatasan khusus IAM
Untuk IAM:
Hanya operasi penulisan terbatas yang diizinkan untuk peran dan kebijakan IAM. Anda tidak dapat meminta izin pada sumber daya IAM lainnya seperti pengguna, grup, dan sertifikat.
Lampiran kebijakan atau tindakan manajemen kebijakan inline terbatas pada peran dengan batas izin. Batas izin harus disediakan oleh mitra atau pada daftar kebijakan AWS terkelola yang diizinkan. AWS kebijakan terkelola dapat diizinkan jika kebijakan tersebut tidak memberikan izin yang sangat istimewa atau administratif. Misalnya, kebijakan AWS terkelola untuk fungsi pekerjaan tertentu atau SecurityAudit kebijakan mungkin dapat diterima. AWS akan meninjau setiap kebijakan yang AWS dikelola case-by-case berdasarkan selama proses orientasi.
Manajemen kebijakan hanya diperbolehkan untuk kebijakan dengan jalur khusus mitra: arn:aws:iam: :@ {} :policy/partner_domain.com/ [feature] * AccountId
Tag hanya dapat diterapkan selama pembuatan sumber daya, dan hanya untuk peran dan kebijakan
iam: PassRole cek harus cocok dengan nama atau awalan jalur tertentu
AWS STS-pembatasan khusus
Untuk AWS STS:
sts: AssumeRole harus dicakup untuk peran tertentu ARN, peran awalan ARN, atau terbatas pada satu set akun atau unit organisasi ID/organizational
Pembatasan Pusat Identitas IAM
Untuk Pusat AWS Identitas IAM, tindakan berikut diblokir:
Semua tindakan yang berhubungan dengan manajemen izin (misalnya, sso:) AttachCustomerManagedPolicyReferenceToPermissionSet
Modifikasi pengguna, grup, dan keanggotaan untuk AWS Identity Store
Manajemen tag
AWS Pembatasan Organisasi
Untuk AWS Organizations, hanya tindakan baca yang diizinkan.
Validasi khusus layanan tambahan
Tindakan yang memperoleh rahasia atau kredensyal, seperti lem: GetConnection atau pergeseran merah:GetClusterCredentials, harus memiliki kondisi yang cocok baik penuh, awalan ARNs ARN, atau tag
Untuk Amazon Redshift: redshift: hanya GetClusterCredentials diperbolehkan pada nama database tertentu, dan redshift: GetClusterCredentialsWith IAM hanya diperbolehkan pada nama workgroup tertentu
catatan
Saat mengelola sumber daya IAM di akun, sebaiknya gunakan jalur yang menunjukkan nama Anda, misalnya arn:aws:iam: :111122223333:. role/partner.com/rolename Ini akan membantu membedakan sumber daya yang terkait dengan integrasi Anda dan membuat penemuan, audit, dan analisis lebih mudah bagi pelanggan.
Persyaratan akses lintas akun
Pernyataan yang berpotensi memungkinkan akses lintas akun harus mencakup setidaknya satu dari yang berikut:
Kondisi yang menentukan akun atau organisasi untuk sumber daya (misalnya, aws: ResourceOrgId mencocokkan satu atau lebih nilai yang diharapkan)
Bidang Sumber Daya yang menyertakan akun tertentu (misalnya, arn:aws:sqs: *:111122223333: *)
Bidang Sumber Daya yang menyertakan akun non-wildcard dan nama sumber daya lengkap (misalnya, arn:aws:s3:::) full-bucket-name
catatan
Akses lintas akun adalah kemampuan sensitif yang membutuhkan pembenaran bisnis yang jelas. AWS akan dengan hati-hati meninjau perlunya akses lintas akun selama proses orientasi.
