Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Memahami izin
Sebagai bagian dari proses orientasi fitur, Anda harus mendaftarkan kebijakan dengan IAM yang menentukan izin yang ingin Anda minta di akun pelanggan. AWS Proses pendaftaran memberikan pengalaman yang lebih konsisten bagi pelanggan dan membantu menghindari jebakan umum dalam penulisan kebijakan.
Selama pendaftaran, AWS evaluasi kebijakan Anda terhadap serangkaian validasi. Validasi ini dimaksudkan untuk membakukan format dan struktur kebijakan, dan memberikan perlindungan dasar terhadap anti-pola yang diketahui. Validasi juga mengurangi risiko eskalasi hak istimewa, akses lintas akun yang tidak diinginkan, dan akses luas ke sumber daya bernilai tinggi di akun pelanggan.
Jenis Izin
AWS akan mempertimbangkan dua kategori izin: sementara dan jangka panjang.
Izin Sementara
Izin sementara membatasi izin yang ditetapkan untuk sesi akses sementara yang didelegasikan. Izin sementara dijelaskan dalam templat kebijakan yang diterapkan pada sesi yang didelegasikan. Template mendukung parameter yang Anda berikan saat Anda membuat permintaan delegasi. Nilai parameter ini kemudian terikat ke sesi. Izin sementara bekerja dengan cara yang sama seperti kebijakan sesi yang tersedia AWS STS saat ini: kebijakan membatasi kemampuan pengguna yang mendasarinya, tetapi tidak memberikan akses tambahan apa pun. Untuk informasi selengkapnya, lihat AWS STS dokumentasi tentang kebijakan sesi.
Izin Jangka Panjang
Izin jangka panjang membatasi izin peran apa pun yang dibuat atau dikelola melalui akses sementara. Izin jangka panjang diimplementasikan sebagai batas izin IAM. Anda dapat mengirimkan satu atau beberapa batasan izin AWS sebagai bagian dari orientasi. Setelah disetujui, AWS akan berbagi kebijakan ARN dengan Anda yang dapat Anda referensikan dalam kebijakan Anda.
Kebijakan batas ini memiliki dua fitur penting. Pertama, mereka tidak dapat diubah. Jika Anda ingin memperbarui izin, Anda dapat mendaftarkan batas izin baru. Anda kemudian dapat melampirkan batas izin baru ke peran pelanggan Anda dengan mengirimkan permintaan delegasi baru. Kedua, kebijakan tidak dibuat template. Karena kebijakan batas yang sama dibagi secara global, mereka tidak dapat diubah berdasarkan per pelanggan.
penting
Batas izin memiliki batas ukuran maksimum 6.144 karakter.
catatan
Jika Anda ingin memperbarui batas izin atau templat kebijakan, hubungi IAM di aws-iam-partner-onboarding @amazon .com. Setelah batas izin baru terdaftar, Anda kemudian dapat mengirim permintaan delegasi kepada pelanggan untuk memperbarui peran IAM dan melampirkan batas izin yang baru terdaftar. Lihat bagian Contoh untuk lebih jelasnya.
Contoh Kasus Penggunaan: Beban Kerja Pemrosesan Data
Pertimbangkan penyedia produk yang menjalankan beban kerja pemrosesan data di akun pelanggan. Penyedia perlu menyiapkan infrastruktur selama orientasi awal, tetapi juga membutuhkan akses berkelanjutan untuk mengoperasikan beban kerja.
Izin sementara (untuk pengaturan awal):
Membuat EC2 instans Amazon, VPC, dan grup keamanan
Buat bucket Amazon S3 untuk data yang diproses
Buat peran IAM untuk operasi yang sedang berlangsung
Lampirkan batas izin ke peran IAM
Izin jangka panjang (peran IAM dengan batas izin untuk operasi yang sedang berlangsung):
Memulai dan menghentikan EC2 instans Amazon untuk menjalankan pekerjaan pemrosesan
Baca data masukan dari bucket Amazon S3
Tulis hasil yang diproses ke bucket Amazon S3
Izin sementara digunakan sekali selama orientasi untuk mengonfigurasi infrastruktur. Peran IAM yang dibuat selama proses ini memiliki batas izin yang membatasi izin maksimumnya hanya untuk operasi yang diperlukan untuk manajemen beban kerja yang sedang berlangsung. Ini memastikan bahwa meskipun kebijakan peran diubah, itu tidak dapat melebihi izin yang ditentukan dalam batas.
