Identity and Access Management untuk Amazon DevOps Guru - DevOps Guru Amazon
AudiensMengautentikasi dengan identitasMengelola akses menggunakan kebijakanPembaruan kebijakan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Identity and Access Management untuk Amazon DevOps Guru

AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengontrol siapa yang dapat diautentikasi (masuk) dan diberi wewenang (memiliki izin) untuk menggunakan sumber daya Guru. DevOps IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.

Topik

Audiens

Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda berdasarkan peran Anda:

Mengautentikasi dengan identitas

Otentikasi adalah cara Anda masuk AWS menggunakan kredensi identitas Anda. Anda harus diautentikasi sebagai Pengguna root akun AWS, pengguna IAM, atau dengan mengasumsikan peran IAM.

Anda dapat masuk sebagai identitas federasi menggunakan kredensyal dari sumber identitas seperti AWS IAM Identity Center (Pusat Identitas IAM), autentikasi masuk tunggal, atau kredensyal. Google/Facebook Untuk informasi selengkapnya tentang cara masuk, lihat Cara masuk ke Akun AWS Anda dalam Panduan Pengguna AWS Sign-In .

Untuk akses terprogram, AWS sediakan SDK dan CLI untuk menandatangani permintaan secara kriptografis. Untuk informasi selengkapnya, lihat AWS Signature Version 4 untuk permintaan API dalam Panduan Pengguna IAM.

Akun AWS pengguna root

Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang disebut pengguna Akun AWS root yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Untuk tugas yang memerlukan kredensial pengguna root, lihat Tugas yang memerlukan kredensial pengguna root dalam Panduan Pengguna IAM.

Identitas terfederasi

Sebagai praktik terbaik, mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses Layanan AWS menggunakan kredensi sementara.

Identitas federasi adalah pengguna dari direktori perusahaan Anda, penyedia identitas web, atau Directory Service yang mengakses Layanan AWS menggunakan kredensyal dari sumber identitas. Identitas terfederasi mengambil peran yang memberikan kredensial sementara.

Untuk manajemen akses terpusat, kami menyarankan AWS IAM Identity Center. Untuk informasi selengkapnya, lihat Apa itu Pusat Identitas IAM? dalam Panduan Pengguna AWS IAM Identity Center .

Pengguna dan grup IAM

Pengguna IAM adalah identitas dengan izin khusus untuk satu orang atau aplikasi. Sebaiknya gunakan kredensial sementara alih-alih pengguna IAM dengan kredensial jangka panjang. Untuk informasi selengkapnya, lihat Mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensyal sementara di Panduan Pengguna IAM.

Grup IAM menentukan kumpulan pengguna IAM dan mempermudah pengelolaan izin untuk pengguna dalam jumlah besar. Untuk mempelajari selengkapnya, lihat Kasus penggunaan untuk pengguna IAM dalam Panduan Pengguna IAM.

Peran IAM

Peran IAM adalah identitas dengan izin khusus yang menyediakan kredensial sementara. Anda dapat mengambil peran dengan beralih dari pengguna ke peran IAM (konsol) atau dengan memanggil operasi AWS CLI atau AWS API. Untuk informasi selengkapnya, lihat Metode untuk mengambil peran dalam Panduan Pengguna IAM.

Peran IAM berguna untuk akses pengguna gabungan, izin pengguna IAM sementara, akses lintas akun, akses lintas layanan, dan aplikasi yang berjalan di Amazon. EC2 Untuk informasi selengkapnya, lihat Akses sumber daya lintas akun di IAM dalam Panduan Pengguna IAM.

Mengelola akses menggunakan kebijakan

Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan menentukan izin saat dikaitkan dengan identitas atau sumber daya. AWS mengevaluasi kebijakan ini ketika kepala sekolah membuat permintaan. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang dokumen kebijakan JSON, lihat Gambaran umum kebijakan JSON dalam Panduan Pengguna IAM.

Menggunakan kebijakan, administrator menentukan siapa yang memiliki akses ke apa dengan mendefinisikan principal mana yang dapat melakukan tindakan pada sumber daya apa, dan dalam kondisi apa.

Secara default, pengguna dan peran tidak memiliki izin. Administrator IAM membuat kebijakan IAM dan menambahkannya ke peran, yang kemudian dapat diambil oleh pengguna. Kebijakan IAM mendefinisikan izin terlepas dari metode yang Anda gunakan untuk melakukan operasinya.

Kebijakan berbasis identitas

Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang Anda lampirkan ke identitas (pengguna, grup, atau peran). Kebijakan ini mengontrol tindakan apa yang bisa dilakukan oleh identitas tersebut, terhadap sumber daya yang mana, dan dalam kondisi apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat Tentukan izin IAM kustom dengan kebijakan yang dikelola pelanggan dalam Panduan Pengguna IAM.

Kebijakan berbasis identitas dapat berupa kebijakan inline (disematkan langsung ke dalam satu identitas) atau kebijakan terkelola (kebijakan mandiri yang dilampirkan pada banyak identitas). Untuk mempelajari cara memilih antara kebijakan terkelola dan kebijakan inline, lihat Pilih antara kebijakan terkelola dan kebijakan inline dalam Panduan Pengguna IAM.

Kebijakan berbasis sumber daya

Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contohnya termasuk kebijakan kepercayaan peran IAM dan kebijakan bucket Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Anda harus menentukan principal dalam kebijakan berbasis sumber daya.

Kebijakan berbasis sumber daya merupakan kebijakan inline yang terletak di layanan tersebut. Anda tidak dapat menggunakan kebijakan AWS terkelola dari IAM dalam kebijakan berbasis sumber daya.

Jenis-jenis kebijakan lain

AWS mendukung jenis kebijakan tambahan yang dapat menetapkan izin maksimum yang diberikan oleh jenis kebijakan yang lebih umum:

  • Batasan izin – Menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Untuk informasi selengkapnya, lihat Batasan izin untuk entitas IAM dalam Panduan Pengguna IAM.

  • Kebijakan kontrol layanan (SCPs) — Tentukan izin maksimum untuk organisasi atau unit organisasi di AWS Organizations. Untuk informasi selengkapnya, lihat Kebijakan kontrol layanan dalam Panduan Pengguna AWS Organizations .

  • Kebijakan kontrol sumber daya (RCPs) — Tetapkan izin maksimum yang tersedia untuk sumber daya di akun Anda. Untuk informasi selengkapnya, lihat Kebijakan kontrol sumber daya (RCPs) di Panduan AWS Organizations Pengguna.

  • Kebijakan sesi – Kebijakan lanjutan yang diteruskan sebagai parameter saat membuat sesi sementara untuk peran atau pengguna terfederasi. Untuk informasi selengkapnya, lihat Kebijakan sesi dalam Panduan Pengguna IAM.

Berbagai jenis kebijakan

Ketika beberapa jenis kebijakan berlaku pada suatu permintaan, izin yang dihasilkan lebih rumit untuk dipahami. Untuk mempelajari cara AWS menentukan apakah akan mengizinkan permintaan saat beberapa jenis kebijakan terlibat, lihat Logika evaluasi kebijakan di Panduan Pengguna IAM.

DevOpsGuru memperbarui kebijakan AWS terkelola dan peran terkait layanan

Lihat detail tentang pembaruan kebijakan AWS terkelola dan peran terkait layanan untuk DevOps Guru sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di Guru. DevOps Sejarah dokumen Amazon DevOps Guru

Ubah Deskripsi Date

AmazonDevOpsGuruConsoleFullAccess— Perbarui ke kebijakan yang ada.

 Kebijakan AmazonDevOpsGuruFullAccess terkelola sekarang mendukung langganan Amazon SNS. 9 Agustus 2023

AmazonDevOpsGuruReadOnlyAccess – Pembaruan ke kebijakan yang ada

 Kebijakan AmazonDevOpsGuruReadOnlyAccess terkelola sekarang mendukung akses hanya-baca ke daftar langganan Amazon SNS. 9 Agustus 2023

AmazonDevOpsGuruServiceRolePolicy— Perbarui ke kebijakan yang ada.

 Peran AWSServiceRoleForDevOpsGuru terkait layanan sekarang mendukung akses ke tindakan GET API Gateway di REST. APIs 11 Januari 2023
AmazonDevOpsGuruServiceRolePolicy— Perbarui ke kebijakan yang ada. Peran AWSServiceRoleForDevOpsGuru terkait layanan sekarang mendukung beberapa tindakan Amazon Simple Storage Service dan Service Quotas. Oktober 19, 2022

AmazonDevOpsGuruFullAccess – Pembaruan ke kebijakan yang ada

 Kebijakan yang AmazonDevOpsGuruFullAccess dikelola

sekarang mendukung akses ke CloudWatch FilterLogEvents tindakan.

 30 Agustus 2022

AmazonDevOpsGuruConsoleFullAccess – Pembaruan ke kebijakan yang ada

Kebijakan AmazonDevOpsGuruConsoleFullAccess terkelola sekarang mendukung akses ke CloudWatch FilterLogEvents tindakan.

 30 Agustus 2022

AmazonDevOpsGuruReadOnlyAccess – Pembaruan ke kebijakan yang ada

 Kebijakan AmazonDevOpsGuruReadOnlyAccess terkelola sekarang mendukung akses hanya-baca ke tindakan. CloudWatch FilterLogEvents 30 Agustus 2022

AmazonDevOpsGuruServiceRolePolicy— Perbarui ke kebijakan yang ada.

Peran AWSServiceRoleForDevOpsGuru terkait layanan sekarang mendukung tindakan CloudWatch logFilterLogEvents,DescribeLogGroups, dan. DescribeLogStreams

 12 Juli 2022

Kebijakan berbasis identitas untuk DevOps Guru — Kebijakan terkelola baru.

AmazonDevOpsGuruConsoleFullAccessKebijakan telah ditambahkan.

 Desember 16, 2021

AmazonDevOpsGuruServiceRolePolicy— Perbarui ke kebijakan yang ada.

Peran AWSServiceRoleForDevOpsGuru terkait layanan sekarang mendukung Performance DescribeMetricsKeys Insights, dan tindakan Amazon RDS. DescribeDBInstances

 1 Desember 2021

AmazonDevOpsGuruReadOnlyAccess – Pembaruan ke kebijakan yang ada

Kebijakan AmazonDevOpsGuruReadOnlyAccess terkelola sekarang mendukung akses hanya-baca ke tindakan Amazon DescribeDBInstances RDS.

 1 Desember 2021

AmazonDevOpsGuruFullAccess – Pembaruan ke kebijakan yang ada

Kebijakan AmazonDevOpsGuruFullAccess terkelola sekarang mendukung akses ke DescribeDBInstances tindakan Amazon RDS.

 1 Desember 2021

Kebijakan berbasis identitas untuk Amazon Guru DevOps— Kebijakan baru ditambahkan.

Peran AWSServiceRoleForDevOpsGuru terkait layanan sekarang mendukung akses ke tindakan Amazon RDS dan Performance DescribeDBInstances Insights. GetResourceMetrics

Kebijakan AmazonDevOpsGuruOrganizationsAccess terkelola menyediakan akses ke DevOps Guru dalam suatu organisasi.

 November 16, 2021

AmazonDevOpsGuruServiceRolePolicy— Perbarui ke kebijakan yang ada.

AWSServiceRoleForDevOpsGuruPeran terkait layanan sekarang mendukung AWS Organizations.

 4 November 2021

AmazonDevOpsGuruServiceRolePolicy— Perbarui ke kebijakan yang ada.

Peran AWSServiceRoleForDevOpsGuru terkait layanan sekarang berisi kondisi ssm:CreateOpsItem dan ssm:AddTagsToResource tindakan baru.

 11 Oktober 2021

Izin peran terkait layanan untuk Guru DevOps— Perbarui ke kebijakan yang ada.

Peran AWSServiceRoleForDevOpsGuru terkait layanan sekarang berisi kondisi ssm:CreateOpsItem dan ssm:AddTagsToResource tindakan baru.

 14 Juni 2021

AmazonDevOpsGuruReadOnlyAccess – Pembaruan ke kebijakan yang ada

Kebijakan AmazonDevOpsGuruReadOnlyAccess terkelola sekarang memungkinkan akses hanya-baca ke tindakan Guru AWS Identity and Access Management GetRole dan tindakan DevOps GuruDescribeFeedback.

 14 Juni 2021

AmazonDevOpsGuruReadOnlyAccess – Pembaruan ke kebijakan yang ada

Kebijakan AmazonDevOpsGuruReadOnlyAccess terkelola sekarang memungkinkan akses hanya-baca ke DevOps Guru GetCostEstimation dan StartCostEstimation tindakan.

 27 April 2021

AmazonDevOpsGuruServiceRolePolicy— Perbarui ke kebijakan yang ada.

AWSServiceRoleForDevOpsGuruPeran tersebut sekarang memungkinkan akses ke tindakan EC2 Auto Scaling DescribeAutoScalingGroups Amazon AWS Systems Manager AddTagsToResource dan Amazon.

 27 April 2021

DevOpsGuru mulai melacak perubahan

DevOpsGuru mulai melacak perubahan untuk kebijakan yang AWS dikelola.

 10 Desember 2020