Batasi izin dengan pernyataan kebijakan peran IAM - Panduan Pengguna Tingkat Lanjut AMS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Batasi izin dengan pernyataan kebijakan peran IAM

AMS menggunakan peran IAM untuk menetapkan izin pengguna melalui layanan federasi Anda.

Zona Pendaratan Akun Tunggal AMS: Lihat SALZ: Peran Pengguna IAM Default.

AMS Zona Pendaratan Multi-Akun: Lihat MALZ: Peran Pengguna IAM Default.

Peran IAM adalah entitas IAM yang mendefinisikan serangkaian izin untuk membuat permintaan layanan. AWS Peran IAM tidak terkait dengan pengguna atau grup tertentu. Sebaliknya, entitas tepercaya mengambil peran, seperti pengguna IAM, aplikasi, atau AWS layanan seperti Amazon EC2. Untuk informasi lebih lanjut, lihat Peran IAM.

Anda dapat mencatat kebijakan yang diinginkan untuk pengguna yang mengasumsikan peran pengguna AMS IAM dengan menggunakan operasi API AWS Security Token Service (STS) AssumeRoledengan meneruskan kebijakan IAM yang lebih ketat di bawah bidang permintaan. Policy

Contoh pernyataan kebijakan yang dapat Anda gunakan untuk membatasi akses CT disediakan berikutnya.

Dengan menggunakan grup Active Directory (AD) yang dikonfigurasi, dan operasi AWS Security Token Service (STS) API AssumeRole, Anda dapat menetapkan izin untuk pengguna atau grup tertentu, termasuk membatasi akses ke jenis perubahan tertentu ()CTs. Anda dapat menggunakan pernyataan kebijakan yang ditunjukkan di bawah ini untuk membatasi akses CT dengan berbagai cara.

Pernyataan tipe perubahan AMS di profil instans IAM default yang memungkinkan akses ke semua panggilan AMS API (amscm dan amsskms) dan semua jenis perubahan:

{
    "Sid": "AWSManagedServicesFullAccess",
    "Effect": "Allow",
    "Action": [
        "amscm:*",
        "amsskms:*"
    ],
    "Resource": [
        "*"
    ]
}

  1. Pernyataan untuk mengizinkan akses dan semua tindakan hanya untuk dua yang ditentukan CTs, di mana “Tindakan” adalah operasi AMS API (salah satu amscm atauamsskms), dan “Sumber Daya” mewakili jenis perubahan IDs dan nomor versi yang ada:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "amscm:*",
            "Resource": [
                "arn:aws:amscm:*:*:changetype/ct-ID1:1.0",
                "arn:aws:amscm:*:*:changetype/ct-ID2:1.0"
            ]
        }
    ]
}

  2. Pernyataan untuk mengizinkan akses untuk CreateRfc, UpdateRfc, dan hanya SubmitRfc pada dua yang ditentukan CTs:

  3. Pernyataan untuk mengizinkan akses untuk CreateRfc, UpdateRfc, dan SubmitRfc pada semua yang tersedia CTs:

  4. Pernyataan untuk menolak akses untuk semua tindakan pada CT terbatas dan mengizinkan yang lain CTs: