Amazon Monitron tidak lagi terbuka untuk pelanggan baru. Pelanggan yang sudah ada dapat terus menggunakan layanan seperti biasa. Untuk kemampuan yang mirip dengan Amazon Monitron, lihat posting blog
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Bagaimana Amazon Monitron Bekerja dengan IAM
Sebelum Anda menggunakan IAM untuk mengelola akses ke Amazon Monitron, Anda harus memahami fitur IAM apa yang tersedia untuk digunakan dengan Amazon Monitron. Untuk mendapatkan tampilan tingkat tinggi tentang cara kerja Amazon Monitron dan layanan AWS lainnya dengan IAM, AWS lihat Layanan yang Bekerja dengan IAM di Panduan Pengguna IAM.
Topik
Kebijakan Berbasis Identitas Amazon Monitron
Untuk menentukan tindakan dan sumber daya yang diizinkan atau ditolak serta kondisi di mana tindakan diizinkan atau ditolak, gunakan kebijakan berbasis identitas IAM. Amazon Monitron mendukung tindakan, sumber daya, dan kunci kondisi tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam kebijakan JSON, lihat Referensi Elemen Kebijakan JSON IAM dalam Panduan Pengguna IAM.
Tindakan
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana utama dapat melakukan tindakan pada sumber daya, dan dalam kondisi apa.
Elemen Action dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Tindakan kebijakan biasanya memiliki nama yang sama dengan operasi AWS API terkait. Ada beberapa pengecualian, misalnya tindakan hanya izin yang tidak memiliki operasi API yang cocok. Ada juga beberapa operasi yang memerlukan beberapa tindakan dalam suatu kebijakan. Tindakan tambahan ini disebut tindakan dependen.
Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.
Di Amazon Monitron, tindakan kebijakan menggunakan awalan berikut sebelum tindakan:. monitron: Misalnya, untuk memberikan izin kepada seseorang untuk membuat proyek dengan CreateProject operasi Amazon Monitron, Anda menyertakan monitron:CreateProject tindakan tersebut dalam kebijakan mereka. Pernyataan kebijakan harus memuat elemen Action atau NotAction. Amazon Monitron mendefinisikan serangkaian tindakannya sendiri yang menjelaskan tugas yang dapat Anda lakukan dengan layanan ini.
catatan
Dengan deleteProject operasi ini, Anda harus memiliki izin AWS IAM Identity Center (SSO) untuk dihapus. Tanpa izin ini, fungsi hapus masih akan menghapus proyek. Namun, itu tidak akan menghapus sumber daya dari SSO dan Anda mungkin berakhir dengan referensi menggantung di SSO.
Untuk menetapkan beberapa tindakan dalam satu pernyataan, pisahkan dengan koma seperti berikut:
"Action": [ "monitron:action1", "monitron:action2" ]
Anda dapat menentukan beberapa tindakan menggunakan wildcard (*). Sebagai contoh, untuk menentukan semua tindakan yang dimulai dengan kata List, sertakan tindakan berikut:
"Action": "monitron:List*"
Sumber daya
Amazon Monitron tidak mendukung menentukan sumber daya ARNs dalam kebijakan.
Kunci kondisi
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana utama dapat melakukan tindakan pada sumber daya, dan dalam kondisi apa.
Elemen Condition (atau blok Condition) akan memungkinkan Anda menentukan kondisi yang menjadi dasar suatu pernyataan berlaku. Elemen Condition bersifat opsional. Anda dapat membuat ekspresi bersyarat yang menggunakan operator kondisi, misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta.
Jika Anda menentukan beberapa elemen Condition dalam sebuah pernyataan, atau beberapa kunci dalam elemen Condition tunggal, maka AWS akan mengevaluasinya menggunakan operasi AND logis. Jika Anda menentukan beberapa nilai untuk satu kunci kondisi, AWS mengevaluasi kondisi menggunakan OR operasi logis. Semua kondisi harus dipenuhi sebelum izin pernyataan diberikan.
Anda juga dapat menggunakan variabel placeholder saat menentukan kondisi. Sebagai contoh, Anda dapat memberikan izin kepada pengguna IAM untuk mengakses sumber daya hanya jika izin tersebut mempunyai tanda yang sesuai dengan nama pengguna IAM mereka. Untuk informasi selengkapnya, lihat Elemen kebijakan IAM: variabel dan tanda dalam Panduan Pengguna IAM.
AWS mendukung kunci kondisi global dan kunci kondisi khusus layanan. Untuk melihat semua kunci kondisi AWS global, lihat kunci konteks kondisi AWS global di Panduan Pengguna IAM.
Amazon Monitron mendefinisikan kumpulan kunci kondisinya sendiri dan juga mendukung penggunaan beberapa kunci kondisi global. Untuk daftar semua kunci kondisi AWS global, lihat Kunci Konteks Kondisi AWS Global di Panduan Pengguna IAM.
Untuk melihat daftar kunci kondisi Amazon Monitron, lihat Tindakan yang ditentukan oleh Amazon Monitron di Panduan Pengguna IAM. Untuk mempelajari tindakan dan sumber daya yang dapat Anda gunakan kunci kondisi, lihat Kunci kondisi untuk Amazon Monitron.
Contoh
Untuk melihat contoh kebijakan berbasis identitas Amazon Monitron, lihat. Contoh Kebijakan Berbasis Identitas Amazon Monitron
Kebijakan Berbasis Sumber Daya Amazon Monitron
Amazon Monitron tidak mendukung kebijakan berbasis sumber daya.
Otorisasi Berdasarkan Tag Amazon Monitron
Anda dapat mengaitkan tag dengan jenis sumber daya Amazon Monitron tertentu untuk otorisasi. Untuk mengontrol akses berdasarkan tag, berikan informasi tag dalam elemen kondisi kebijakan menggunakanAmazon Monitron:TagResource/${TagKey},aws:RequestTag/${TagKey}, atau kunci aws:TagKeys kondisi.
Peran IAM Amazon Monitron
Peran IAM adalah entitas dalam AWS akun Anda yang memiliki izin tertentu.
Menggunakan Kredensial Sementara dengan Amazon Monitron
Anda dapat menggunakan kredensial sementara untuk masuk ke federasi, mengasumsikan peran IAM, atau mengasumsikan peran lintas akun. Anda memperoleh kredensil keamanan sementara dengan memanggil operasi AWS STS API seperti AssumeRoleatau. GetFederationToken
Amazon Monitron mendukung penggunaan kredensil sementara.
Peran Tertaut Layanan
Peran terkait AWS layanan memungkinkan layanan mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran terkait layanan muncul di akun IAM Anda dan dimiliki oleh layanan tersebut. Administrator IAM dapat melihat tetapi tidak dapat mengedit izin untuk peran terkait layanan.
Amazon Monitron mendukung peran terkait layanan.
Peran Layanan
Fitur ini memungkinkan layanan untuk menerima peran layanan atas nama Anda. Peran ini mengizinkan layanan untuk mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran layanan muncul di akun IAM Anda dan dimiliki oleh akun tersebut. Ini berarti administrator IAM dapat mengubah izin untuk peran ini. Namun, melakukan hal itu dapat merusak fungsionalitas layanan.
Amazon Monitron mendukung peran layanan.
Contoh Kebijakan Berbasis Identitas Amazon Monitron
Secara default, pengguna dan peran IAM tidak memiliki izin untuk membuat atau memodifikasi sumber daya Amazon Monitron. Mereka juga tidak dapat melakukan tugas menggunakan AWS Management Console. Administrator IAM harus memberikan izin kepada pengguna, grup, atau peran IAM yang memerlukannya. Kemudian pengguna, grup, atau peran ini dapat melakukan operasi spesifik pada sumber daya tertentu yang mereka butuhkan. Administrator kemudian harus melampirkan kebijakan tersebut ke pengguna IAM atau grup yang memerlukan izin tersebut.
Untuk mempelajari cara membuat kebijakan berbasis identitas IAM menggunakan contoh dokumen kebijakan JSON ini, lihat Membuat Kebijakan pada Tab JSON dalam Panduan Pengguna IAM.
Topik
Praktik Terbaik Kebijakan
Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus sumber daya Amazon Monitron di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
-
Mulailah dengan kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit — Untuk mulai memberikan izin kepada pengguna dan beban kerja Anda, gunakan kebijakan AWS terkelola yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Anda Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola AWS pelanggan yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat Kebijakan yang dikelola AWS atau Kebijakan yang dikelola AWS untuk fungsi tugas dalam Panduan Pengguna IAM.
-
Menerapkan izin dengan hak akses paling rendah – Ketika Anda menetapkan izin dengan kebijakan IAM, hanya berikan izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai izin dengan hak akses paling rendah. Untuk informasi selengkapnya tentang cara menggunakan IAM untuk mengajukan izin, lihat Kebijakan dan izin dalam IAM dalam Panduan Pengguna IAM.
-
Gunakan kondisi dalam kebijakan IAM untuk membatasi akses lebih lanjut – Anda dapat menambahkan suatu kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Sebagai contoh, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakan SSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui yang spesifik Layanan AWS, seperti AWS CloudFormation. Untuk informasi selengkapnya, lihat Elemen kebijakan JSON IAM: Kondisi dalam Panduan Pengguna IAM.
-
Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk memastikan izin yang aman dan fungsional – IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan tersebut mematuhi bahasa kebijakan IAM (JSON) dan praktik terbaik IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat Validasi kebijakan dengan IAM Access Analyzer dalam Panduan Pengguna IAM.
-
Memerlukan otentikasi multi-faktor (MFA) - Jika Anda memiliki skenario yang mengharuskan pengguna IAM atau pengguna root di Anda, Akun AWS aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA ketika operasi API dipanggil, tambahkan kondisi MFA pada kebijakan Anda. Untuk informasi selengkapnya, lihat Amankan akses API dengan MFA dalam Panduan Pengguna IAM.
Untuk informasi selengkapnya tentang praktik terbaik dalam IAM, lihat Praktik terbaik keamanan di IAM dalam Panduan Pengguna IAM.
Menggunakan Konsol Amazon Monitron
Untuk menyiapkan Amazon Monitron menggunakan konsol, selesaikan proses penyiapan awal menggunakan pengguna dengan hak istimewa tinggi (seperti pengguna dengan kebijakan AdministratorAccess terkelola terlampir).
Untuk mengakses konsol Amazon Monitron untuk day-to-day operasi setelah penyiapan awal, Anda harus memiliki set izin minimum. Izin ini harus memungkinkan Anda untuk membuat daftar dan melihat detail tentang sumber daya Amazon Monitron di akun AWS Anda dan menyertakan serangkaian izin yang terkait dengan Pusat Identitas IAM. Jika Anda membuat kebijakan berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan ini, konsol tidak akan berfungsi sebagaimana dimaksud untuk entitas (pengguna atau peran IAM) dengan kebijakan tersebut. Untuk fungsionalitas dasar Amazon Monitron Console, Anda harus melampirkan kebijakan AmazonMonitronFullAccess terkelola. Bergantung pada situasinya, Anda mungkin juga memerlukan izin tambahan untuk layanan Organizations dan SSO. Hubungi AWS dukungan jika Anda memerlukan informasi lebih lanjut.
Contoh: Daftar Semua Proyek Amazon Monitron
Kebijakan contoh ini memberikan izin kepada pengguna IAM di AWS akun Anda untuk mencantumkan semua proyek di akun Anda.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "monitron:ListProject" "Resource": "*" } ] }
Contoh: Daftar Proyek Amazon Monitron Berdasarkan Tag
Anda dapat menggunakan kondisi dalam kebijakan berbasis identitas untuk mengontrol akses ke sumber daya Amazon Monitron berdasarkan tag. Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan yang memungkinkan daftar proyek. Namun, izin diberikan hanya jika tag proyek location memiliki nilaiSeattle. Kebijakan ini juga memberi izin yang diperlukan untuk menyelesaikan tindakan ini pada konsol tersebut.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ListProjectsInConsole", "Effect": "Allow", "Action": "monitron:ListProjects", "Resource": "*" "Condition": { "StringEquals": { "aws:ResourceTag/location": "Seattle" } } } ] }
Untuk informasi selengkapnya, lihat Elemen kebijakan IAM JSON: Syarat dalam Panduan Pengguna IAM.
Memecahkan Masalah Identitas dan Akses Amazon Monitron
Gunakan informasi berikut untuk membantu Anda mendiagnosis dan memperbaiki masalah umum yang mungkin Anda temui saat bekerja dengan Amazon Monitron dan IAM.
Topik
Saya Tidak Berwenang untuk Melakukan Tindakan di Amazon Monitron
Jika Anda menerima pesan kesalahan bahwa Anda tidak memiliki otorisasi untuk melakukan tindakan, kebijakan Anda harus diperbarui agar Anda dapat melakukan tindakan tersebut.
Contoh kesalahan berikut terjadi ketika pengguna IAM mateojackson mencoba menggunakan konsol untuk melihat detail tentang suatu sumber daya my-example-widgetmonitron: rekaan.GetWidget
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: monitron:GetWidgeton resource:my-example-widget
Dalam hal ini, kebijakan untuk pengguna mateojackson harus diperbarui untuk mengizinkan akses ke sumber daya my-example-widgetmonitron:.GetWidget
Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.
Saya Ingin Mengizinkan Orang Di Luar AWS Akun Saya Mengakses Sumber Daya Amazon Monitron Saya
Anda dapat membuat peran yang dapat digunakan pengguna di akun lain atau orang-orang di luar organisasi Anda untuk mengakses sumber daya Anda. Anda dapat menentukan siapa saja yang dipercaya untuk mengambil peran tersebut. Untuk layanan yang mendukung kebijakan berbasis sumber daya atau daftar kontrol akses (ACLs), Anda dapat menggunakan kebijakan tersebut untuk memberi orang akses ke sumber daya Anda.
Untuk mempelajari selengkapnya, periksa referensi berikut:
-
Untuk mengetahui apakah Amazon Monitron mendukung fitur-fitur ini, lihat. Bagaimana Amazon Monitron Bekerja dengan IAM
-
Untuk mempelajari cara menyediakan akses ke sumber daya Anda di seluruh sumber daya Akun AWS yang Anda miliki, lihat Menyediakan akses ke pengguna IAM di pengguna lain Akun AWS yang Anda miliki di Panduan Pengguna IAM.
-
Untuk mempelajari cara menyediakan akses ke sumber daya Anda kepada pihak ketiga Akun AWS, lihat Menyediakan akses yang Akun AWS dimiliki oleh pihak ketiga dalam Panduan Pengguna IAM.
-
Untuk mempelajari cara memberikan akses melalui federasi identitas, lihat Menyediakan akses ke pengguna terautentikasi eksternal (federasi identitas) dalam Panduan Pengguna IAM.
-
Untuk mempelajari perbedaan antara menggunakan peran dan kebijakan berbasis sumber daya untuk akses lintas akun, lihat Akses sumber daya lintas akun di IAM di Panduan Pengguna IAM.
