Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Identity and Access Management untuk Manajemen AWS Biaya
AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengontrol siapa yang dapat diautentikasi (masuk) dan diberi wewenang (memiliki izin) untuk menggunakan AWS sumber daya Manajemen Biaya. IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.
Topik
Jenis pengguna dan izin penagihan
Tabel ini merangkum tindakan default yang diizinkan dalam Manajemen AWS Biaya untuk setiap jenis pengguna penagihan.
| Jenis pengguna | Deskripsi | Izin penagihan |
|---|---|---|
| Pemilik akun |
Orang atau entitas yang ditetapkan dalam nama akun Anda. |
|
| Pengguna |
Seseorang atau aplikasi yang didefinisikan sebagai pengguna dalam akun oleh pemilik akun atau pengguna administratif. Akun dapat berisi banyak pengguna. |
|
| Pemilik akun manajemen organisasi |
Orang atau entitas yang terkait dengan akun AWS Organizations manajemen. Akun manajemen membayar untuk AWS penggunaan yang dilakukan oleh akun anggota dalam suatu organisasi. |
|
| Pemilik akun anggota organisasi |
Orang atau entitas yang terkait dengan akun AWS Organizations anggota. Akun manajemen membayar untuk AWS penggunaan yang dilakukan oleh akun anggota dalam suatu organisasi. |
|
Audiens
Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda berdasarkan peran Anda:
-
Pengguna layanan - meminta izin dari administrator Anda jika Anda tidak dapat mengakses fitur (lihatMemecahkan masalah identitas dan akses Manajemen AWS Biaya)
-
Administrator layanan - menentukan akses pengguna dan mengirimkan permintaan izin (lihatBagaimana Manajemen AWS Biaya bekerja dengan IAM)
-
Administrator IAM - menulis kebijakan untuk mengelola akses (lihatContoh kebijakan berbasis identitas untuk Manajemen Biaya AWS)
Mengautentikasi dengan identitas
Otentikasi adalah cara Anda masuk AWS menggunakan kredensi identitas Anda. Anda harus diautentikasi sebagai Pengguna root akun AWS, pengguna IAM, atau dengan mengasumsikan peran IAM.
Anda dapat masuk sebagai identitas federasi menggunakan kredensional dari sumber identitas seperti AWS IAM Identity Center (Pusat Identitas IAM), autentikasi masuk tunggal, atau kredensional. Google/Facebook Untuk informasi selengkapnya tentang masuk, lihat Cara masuk ke Panduan AWS Sign-In Pengguna Anda Akun AWS.
Untuk akses terprogram, AWS sediakan SDK dan CLI untuk menandatangani permintaan secara kriptografis. Untuk informasi selengkapnya, lihat Versi AWS Tanda Tangan 4 untuk permintaan API di Panduan Pengguna IAM.
Akun AWS pengguna root
Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang disebut pengguna Akun AWS root yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Untuk tugas yang memerlukan kredensi pengguna root, lihat Tugas yang memerlukan kredenal pengguna root di Panduan Pengguna IAM.
Identitas gabungan
Sebagai praktik terbaik, mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses Layanan AWS menggunakan kredensi sementara.
Identitas federasi adalah pengguna dari direktori perusahaan Anda, penyedia identitas web, atau Directory Service yang mengakses Layanan AWS menggunakan kredensi dari sumber identitas. Identitas federasi mengambil peran yang memberikan kredensi sementara.
Untuk manajemen akses terpusat, kami sarankan AWS IAM Identity Center. Untuk informasi lebih lanjut, lihat Apa itu Pusat Identitas IAM? dalam AWS IAM Identity Center User Guide.
Pengguna dan grup IAM
Pengguna IAM adalah identitas dengan izin khusus untuk satu orang atau aplikasi. Sebaiknya gunakan kredensi sementara alih-alih pengguna IAM dengan kredensial jangka panjang. Untuk informasi selengkapnya, lihat Mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara di Panduan Pengguna IAM.
Grup IAM menentukan kumpulan pengguna IAM dan membuat izin lebih mudah dikelola untuk kumpulan pengguna yang besar. Untuk informasi selengkapnya, lihat Kasus penggunaan untuk pengguna IAM di Panduan Pengguna IAM.
Peran IAM
Peran IAM adalah identitas dengan izin khusus yang menyediakan kredensil sementara. Anda dapat mengambil peran dengan beralih dari pengguna ke peran IAM (konsol) atau dengan memanggil operasi AWS CLI atau AWS API. Untuk informasi selengkapnya, lihat Metode untuk mengambil peran dalam Panduan Pengguna IAM.
Peran IAM berguna untuk akses pengguna gabungan, izin pengguna IAM sementara, akses lintas akun, akses lintas layanan, dan aplikasi yang berjalan di Amazon. EC2 Untuk informasi selengkapnya, lihat Akses sumber daya lintas akun di IAM dalam Panduan Pengguna IAM.
Mengelola akses menggunakan kebijakan
Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan menentukan izin saat dikaitkan dengan identitas atau sumber daya. AWS mengevaluasi kebijakan ini ketika kepala sekolah membuat permintaan. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang dokumen kebijakan JSON, lihat Ringkasan kebijakan JSON di Panduan Pengguna IAM.
Menggunakan kebijakan, administrator menentukan siapa yang memiliki akses ke apa dengan mendefinisikan prinsipal mana yang dapat melakukan tindakan pada sumber daya apa, dan dalam kondisi apa.
Secara default, pengguna dan peran tidak memiliki izin. Administrator IAM membuat kebijakan IAM dan menambahkannya ke peran, yang kemudian dapat diasumsikan oleh pengguna. Kebijakan IAM menentukan izin terlepas dari metode yang digunakan untuk melakukan operasi.
Kebijakan berbasis identitas
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang Anda lampirkan ke identitas (pengguna, grup, atau peran). Kebijakan ini mengontrol tindakan apa yang dapat dilakukan identitas, pada sumber daya mana, dan dalam kondisi apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat Tentukan izin IAM kustom dengan kebijakan terkelola pelanggan dalam Panduan Pengguna IAM.
Kebijakan berbasis identitas dapat berupa kebijakan inline (disematkan langsung ke dalam satu identitas) atau kebijakan terkelola (kebijakan mandiri yang dilampirkan pada beberapa identitas). Untuk mempelajari cara memilih antara kebijakan terkelola dan sebaris, lihat Memilih antara kebijakan terkelola dan kebijakan sebaris di Panduan Pengguna IAM.
Kebijakan berbasis sumber daya
Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contohnya termasuk kebijakan kepercayaan peran IAM dan kebijakan bucket Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Anda harus menentukan prinsipal dalam kebijakan berbasis sumber daya.
Kebijakan berbasis sumber daya merupakan kebijakan inline yang terletak di layanan tersebut. Anda tidak dapat menggunakan kebijakan AWS terkelola dari IAM dalam kebijakan berbasis sumber daya.
Jenis-jenis kebijakan lain
AWS mendukung jenis kebijakan tambahan yang dapat menetapkan izin maksimum yang diberikan oleh jenis kebijakan yang lebih umum:
-
Batas izin — Tetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Untuk informasi selengkapnya, lihat Batas izin untuk entitas IAM di Panduan Pengguna IAM.
-
Kebijakan kontrol layanan (SCPs) — Tentukan izin maksimum untuk organisasi atau unit organisasi di AWS Organizations. Untuk informasi selengkapnya, lihat Kebijakan kontrol layanan di Panduan Pengguna AWS Organizations .
-
Kebijakan kontrol sumber daya (RCPs) — Tetapkan izin maksimum yang tersedia untuk sumber daya di akun Anda. Untuk informasi selengkapnya, lihat Kebijakan kontrol sumber daya (RCPs) di Panduan AWS Organizations Pengguna.
-
Kebijakan sesi — Kebijakan lanjutan diteruskan sebagai parameter saat membuat sesi sementara untuk peran atau pengguna gabungan. Untuk informasi selengkapnya, lihat Kebijakan sesi dalam Panduan Pengguna IAM.
Berbagai jenis kebijakan
Ketika beberapa jenis kebijakan berlaku pada suatu permintaan, izin yang dihasilkan lebih rumit untuk dipahami. Untuk mempelajari cara AWS menentukan apakah akan mengizinkan permintaan saat beberapa jenis kebijakan terlibat, lihat Logika evaluasi kebijakan di Panduan Pengguna IAM.
Peran terkait layanan untuk Manajemen Biaya AWS
Peran terkait layanan adalah jenis peran layanan yang ditautkan ke. Layanan AWS Layanan tersebut dapat menjalankan peran untuk melakukan tindakan atas nama Anda. Peran terkait layanan muncul di Anda Akun AWS dan dimiliki oleh layanan. Administrator IAM dapat melihat, tetapi tidak dapat mengedit izin untuk peran terkait layanan.
Untuk detail tentang pembuatan atau manajemen peran terkait layanan, lihat Layanan AWS yang berfungsi dengan IAM. Cari layanan dalam tabel yang memiliki Yes di kolom Peran terkait layanan. Pilih tautan Ya untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
