Kapan saya menggunakan IAM? - AWS Identity and Access Management
Saat Anda melakukan fungsi pekerjaan yang berbedaKetika Anda berwenang untuk mengakses AWS sumber dayaSaat Anda masuk sebagai pengguna IAM Ketika Anda mengambil peran IAMSaat Anda membuat kebijakan dan izin

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kapan saya menggunakan IAM?

AWS Identity and Access Management adalah layanan infrastruktur inti yang menyediakan dasar untuk kontrol akses berdasarkan identitas di dalamnya AWS. Anda menggunakan IAM setiap kali Anda mengakses AWS akun Anda. Cara Anda menggunakan IAM akan tergantung pada tanggung jawab spesifik dan fungsi pekerjaan dalam organisasi Anda. Pengguna AWS layanan menggunakan IAM untuk mengakses AWS sumber daya yang diperlukan untuk day-to-day pekerjaan mereka, dengan administrator memberikan izin yang sesuai. Administrator IAM, di sisi lain, bertanggung jawab untuk mengelola identitas IAM dan menulis kebijakan untuk mengontrol akses ke sumber daya. Terlepas dari peran Anda, Anda berinteraksi dengan IAM setiap kali Anda mengautentikasi dan mengotorisasi akses ke sumber daya. AWS Ini bisa melibatkan masuk sebagai pengguna IAM, dengan asumsi peran IAM, atau memanfaatkan federasi identitas untuk akses tanpa batas. Memahami berbagai kemampuan IAM dan kasus penggunaan sangat penting untuk mengelola akses aman ke AWS lingkungan Anda secara efektif. Ketika datang untuk membuat kebijakan dan izin, IAM menyediakan pendekatan yang fleksibel dan terperinci. Anda dapat menentukan kebijakan kepercayaan untuk mengontrol prinsipal mana yang dapat mengambil peran, selain kebijakan berbasis identitas yang menentukan tindakan dan sumber daya yang dapat diakses pengguna atau peran. Dengan mengonfigurasi kebijakan IAM ini, Anda dapat membantu memastikan bahwa pengguna dan aplikasi memiliki tingkat izin yang sesuai untuk melakukan tugas yang diperlukan.

Saat Anda melakukan fungsi pekerjaan yang berbeda

AWS Identity and Access Management adalah layanan infrastruktur inti yang menyediakan dasar untuk kontrol akses berdasarkan identitas di dalamnya AWS. Anda menggunakan IAM setiap kali Anda mengakses AWS akun Anda.

Cara Anda menggunakan IAM berbeda, tergantung pada pekerjaan yang Anda lakukan. AWS

  • Pengguna layanan — Jika Anda menggunakan AWS layanan untuk melakukan pekerjaan Anda, administrator Anda memberi Anda kredensi dan izin yang Anda butuhkan. Saat Anda menggunakan fitur yang lebih canggih untuk melakukan pekerjaan Anda, Anda mungkin memerlukan izin tambahan. Memahami cara akses dikelola dapat membantu Anda meminta izin yang tepat dari administrator Anda.

  • Administrator layanan — Jika Anda bertanggung jawab atas AWS sumber daya di perusahaan Anda, Anda mungkin memiliki akses penuh ke IAM. Tugas Anda adalah menentukan fitur dan sumber daya IAM mana yang harus diakses pengguna layanan Anda. Kemudian, Anda harus mengirimkan permintaan kepada administrator IAM untuk mengubah izin pengguna layanan Anda. Tinjau informasi di halaman ini untuk memahami konsep dasar IAM.

  • Administrator IAM - Jika Anda seorang administrator IAM, Anda mengelola identitas IAM dan menulis kebijakan untuk mengelola akses ke IAM.

Ketika Anda berwenang untuk mengakses AWS sumber daya

Otentikasi adalah cara Anda masuk AWS menggunakan kredensi identitas Anda. Anda harus diautentikasi sebagai Pengguna root akun AWS, pengguna IAM, atau dengan mengasumsikan peran IAM.

Anda dapat masuk sebagai identitas federasi menggunakan kredensil dari sumber identitas seperti AWS IAM Identity Center (Pusat Identitas IAM), autentikasi masuk tunggal, atau kredensional. Google/Facebook Untuk informasi selengkapnya tentang masuk, lihat Cara masuk ke Panduan AWS Sign-In Pengguna Anda Akun AWS.

Untuk akses terprogram, AWS sediakan SDK dan CLI untuk menandatangani permintaan secara kriptografis. Untuk informasi selengkapnya, lihat Versi AWS Tanda Tangan 4 untuk permintaan API di Panduan Pengguna IAM.

Saat Anda masuk sebagai pengguna IAM

Pengguna IAM adalah identitas dengan izin khusus untuk satu orang atau aplikasi. Sebaiknya gunakan kredensi sementara alih-alih pengguna IAM dengan kredensial jangka panjang. Untuk informasi selengkapnya, lihat Mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara di Panduan Pengguna IAM.

Grup IAM menentukan kumpulan pengguna IAM dan membuat izin lebih mudah dikelola untuk kumpulan pengguna yang besar. Untuk informasi selengkapnya, lihat Kasus penggunaan untuk pengguna IAM di Panduan Pengguna IAM.

Ketika Anda mengambil peran IAM

Peran IAM adalah identitas dengan izin khusus yang menyediakan kredensil sementara. Anda dapat mengambil peran dengan beralih dari pengguna ke peran IAM (konsol) atau dengan memanggil operasi AWS CLI atau AWS API. Untuk informasi selengkapnya, lihat Metode untuk mengambil peran dalam Panduan Pengguna IAM.

Peran IAM berguna untuk akses pengguna gabungan, izin pengguna IAM sementara, akses lintas akun, akses lintas layanan, dan aplikasi yang berjalan di Amazon. EC2 Untuk informasi selengkapnya, lihat Akses sumber daya lintas akun di IAM dalam Panduan Pengguna IAM.

Saat Anda membuat kebijakan dan izin

Anda memberikan izin kepada pengguna dengan membuat kebijakan, yaitu dokumen yang mencantumkan tindakan yang dapat dilakukan pengguna dan sumber daya yang dapat memengaruhi tindakan tersebut. Setiap tindakan atau sumber daya yang tidak diizinkan secara eksplisit ditolak secara default. Kebijakan dapat dibuat dan dilampirkan ke prinsipal (pengguna, kelompok pengguna, peran yang diasumsikan oleh pengguna, dan sumber daya).

Anda dapat menggunakan kebijakan ini dengan peran IAM:

  • Kebijakan kepercayaan — Mendefinisikan prinsipal mana yang dapat mengambil peran, dan dalam kondisi apa. Kebijakan kepercayaan adalah jenis kebijakan berbasis sumber daya khusus untuk peran IAM. Peran hanya dapat memiliki satu kebijakan kepercayaan.

  • Kebijakan berbasis identitas (sebaris dan terkelola) — Kebijakan ini menentukan izin yang dapat dilakukan oleh pengguna peran (atau ditolak untuk melakukan), dan sumber daya mana.

Gunakan Contoh kebijakan berbasis identitas IAM untuk membantu Anda menentukan izin untuk identitas IAM Anda. Setelah menemukan kebijakan yang diperlukan, pilih lihat kebijakan untuk melihat JSON untuk kebijakan tersebut. Anda dapat menggunakan dokumen kebijakan JSON sebagai contoh untuk kebijakan Anda sendiri.

catatan

Jika Anda menggunakan Pusat Identitas IAM untuk mengelola pengguna, Anda menetapkan set izin di Pusat Identitas IAM alih-alih melampirkan kebijakan izin ke prinsipal. Saat Anda menetapkan izin yang disetel ke grup atau pengguna di Pusat Identitas AWS IAM, Pusat Identitas IAM akan membuat peran IAM yang sesuai di setiap akun, dan melampirkan kebijakan yang ditentukan dalam izin yang disetel ke peran tersebut. IAM Identity Center mengelola peran, dan memungkinkan pengguna resmi yang telah Anda tentukan untuk mengambil peran tersebut. Jika Anda mengubah set izin, Pusat Identitas IAM memastikan bahwa kebijakan dan peran IAM terkait diperbarui sesuai dengan itu.

Untuk informasi selengkapnya tentang Pusat Identitas IAM, lihat Apa itu Pusat Identitas IAM? dalam AWS IAM Identity Center User Guide.