View a markdown version of this page

Kebijakan kontrol sumber daya (RCP) - AWS Organizations

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kebijakan kontrol sumber daya (RCP)

catatan

Kebijakan kontrol layanan (SCP) dan kebijakan kontrol sumber daya (RCP)

Gunakan SCP saat Anda perlu membatasi izin prinsipal IAM dalam akun anggota organisasi Anda.

Gunakan RCP saat Anda perlu membatasi prinsipal IAM yang berada di luar akun organisasi Anda yang membuat permintaan untuk mengakses sumber daya dalam akun anggota organisasi Anda.

Untuk informasi selengkapnya, lihat Memahami SCP dan RCP.

Kebijakan kontrol sumber daya (RCP) adalah jenis kebijakan organisasi yang dapat Anda gunakan untuk mengelola izin di organisasi Anda. RCP menawarkan kontrol pusat atas izin maksimum yang tersedia untuk sumber daya di organisasi Anda. RCP membantu Anda memastikan sumber daya di akun Anda tetap berada dalam pedoman kontrol akses organisasi Anda. RCP hanya tersedia di organisasi yang memiliki semua fitur yang diaktifkan. RCP tidak tersedia jika organisasi Anda hanya mengaktifkan fitur penagihan gabungan. Untuk petunjuk tentang mengaktifkan RCP, lihat. Mengaktifkan jenis kebijakan

RCP saja tidak cukup dalam memberikan izin ke sumber daya di organisasi Anda. Tidak ada izin yang diberikan oleh RCP. RCP mendefinisikan pagar pembatas izin, atau menetapkan batasan, pada tindakan yang dapat diambil identitas terhadap sumber daya di organisasi Anda. Administrator harus tetap melampirkan kebijakan berbasis identitas ke pengguna atau peran IAM, atau kebijakan berbasis sumber daya ke sumber daya di akun Anda untuk benar-benar memberikan izin. Untuk informasi selengkapnya, lihat Identity-based kebijakan dan kebijakan berbasis sumber daya di Panduan Pengguna IAM.

Izin efektif adalah persimpangan logis antara apa yang diizinkan oleh RCP dan kebijakan kontrol layanan (SCP) dan apa yang diizinkan oleh kebijakan berbasis identitas dan berbasis sumber daya.

RCP tidak memengaruhi sumber daya di akun manajemen

RCP tidak memengaruhi sumber daya di akun manajemen. Mereka hanya memengaruhi sumber daya di akun anggota dalam organisasi Anda. Ini juga berarti bahwa RCP berlaku untuk akun anggota yang ditetapkan sebagai administrator yang didelegasikan.

Daftar Layanan AWS yang mendukung RCP

RCP berlaku untuk tindakan berikut: Layanan AWS

Pengujian efek RCP

AWS sangat menyarankan agar Anda tidak melampirkan RCP ke akar organisasi Anda tanpa menguji secara menyeluruh dampak kebijakan terhadap sumber daya di akun Anda. Anda dapat mulai dengan melampirkan RCP ke akun pengujian individual, memindahkannya ke OU lebih rendah dalam hierarki, dan kemudian meningkatkan struktur organisasi sesuai kebutuhan. Salah satu cara untuk menentukan dampak adalah dengan meninjau AWS CloudTrail log untuk kesalahan Access Denied.

Ukuran maksimum RCP

Semua karakter dalam RCP Anda dihitung terhadap ukuran maksimumnya. Contoh dalam panduan ini menunjukkan RCP yang diformat dengan ruang putih ekstra untuk meningkatkan keterbacaannya. Namun, untuk menghemat ruang jika ukuran kebijakan Anda mendekati ukuran maksimum, maka Anda dapat menghapus spasi kosong, seperti spasi karakter dan baris putus yang berada di luar tanda kutip.

Tip

Gunakan editor visual untuk membangun RCP Anda. Ia secara otomatis menghilangkan spasi kosong.

Melampirkan RCP ke berbagai tingkatan dalam organisasi

Anda dapat melampirkan RCP langsung ke akun individual, OU, atau root organisasi. Untuk penjelasan rinci tentang cara kerja RCP, lihat. Evaluasi RCP

Efek RCP pada izin

RCP adalah jenis kebijakan AWS Identity and Access Management (IAM). Mereka paling erat kaitannya dengan kebijakan berbasis sumber daya. Namun, RCP tidak pernah memberikan izin. Sebagai gantinya, RCP adalah kontrol akses yang menentukan izin maksimum yang tersedia untuk sumber daya di organisasi Anda. Untuk informasi selengkapnya, lihat Logika evaluasi kebijakan di Panduan Pengguna IAM.

  • RCP berlaku untuk sumber daya untuk subset. Layanan AWS Untuk informasi selengkapnya, lihat Daftar Layanan AWS yang mendukung RCP.

  • RCP hanya mempengaruhi sumber daya yang dikelola oleh akun yang merupakan bagian dari organisasi yang telah melampirkan RCP. Mereka tidak memengaruhi sumber daya dari akun di luar organisasi. Misalnya, pertimbangkan bucket Amazon S3 yang dimiliki oleh Akun A di suatu organisasi. Kebijakan bucket (kebijakan berbasis sumber daya) memberikan akses ke pengguna dari Akun B di luar organisasi. Akun A memiliki RCP terlampir. RCP tersebut berlaku untuk bucket S3 di Akun A bahkan ketika diakses oleh pengguna dari Akun B. Namun, RCP tersebut tidak berlaku untuk sumber daya di Akun B saat diakses oleh pengguna di Akun A.

  • RCP membatasi izin untuk sumber daya di akun anggota. Sumber daya apa pun di akun hanya memiliki izin yang diizinkan oleh setiap orang tua di atasnya. Jika izin diblokir pada tingkat mana pun di atas akun, sumber daya di akun yang terpengaruh tidak memiliki izin tersebut, meskipun pemilik sumber daya melampirkan kebijakan berbasis sumber daya yang memungkinkan akses penuh ke pengguna mana pun.

  • RCP berlaku untuk sumber daya yang diotorisasi sebagai bagian dari permintaan operasi. Sumber daya ini dapat ditemukan di kolom “Jenis sumber daya” dari tabel Tindakan di Referensi Otorisasi Layanan. Jika sumber daya ditentukan dalam kolom “Jenis sumber daya”, maka RCP dari akun utama panggilan diterapkan. Misalnya, s3:GetObject mengotorisasi sumber daya objek. Setiap kali GetObject permintaan dibuat, RCP yang berlaku akan berlaku untuk menentukan apakah prinsipal yang meminta dapat memanggil operasi. GetObject RCP yang berlaku adalah RCP yang telah dilampirkan ke akun, ke unit organisasi (OU), atau ke akar organisasi yang memiliki sumber daya yang diakses.

  • RCP hanya memengaruhi sumber daya di akun anggota di organisasi. Mereka tidak berpengaruh pada sumber daya di akun manajemen. Ini juga berarti bahwa RCP berlaku untuk akun anggota yang ditetapkan sebagai administrator yang didelegasikan. Untuk informasi selengkapnya, lihat Praktik terbaik untuk akun manajemen.

  • Ketika prinsipal membuat permintaan untuk mengakses sumber daya dalam akun yang memiliki RCP terlampir (sumber daya dengan RCP yang berlaku), RCP disertakan dalam logika evaluasi kebijakan untuk menentukan apakah prinsipal diizinkan atau ditolak aksesnya.

  • RCP berdampak pada izin efektif dari prinsipal yang mencoba mengakses sumber daya di akun anggota dengan RCP yang berlaku, terlepas dari apakah prinsipal milik organisasi yang sama atau tidak. Ini termasuk pengguna root. Pengecualian adalah ketika prinsipal adalah peran terkait layanan karena RCP tidak berlaku untuk panggilan yang dibuat oleh peran terkait layanan. Service-linked peran memungkinkan Layanan AWS untuk melakukan tindakan yang diperlukan atas nama Anda dan tidak dapat dibatasi oleh RCP.

  • Pengguna dan peran masih harus diberikan izin dengan kebijakan izin IAM yang sesuai, termasuk kebijakan berbasis identitas dan sumber daya. Pengguna atau peran tanpa kebijakan izin IAM tidak memiliki akses, bahkan jika RCP yang berlaku mengizinkan semua layanan, semua tindakan, dan semua sumber daya.

Sumber daya dan entitas yang tidak dibatasi oleh RCP

Anda tidak dapat menggunakan RCP untuk membatasi hal berikut:

  • Tindakan apa pun pada sumber daya di akun manajemen.

  • RCP tidak memengaruhi izin efektif dari peran terkait layanan apa pun. Service-linked peran adalah jenis unik peran IAM yang ditautkan langsung ke AWS layanan dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda. Izin peran terkait layanan tidak dapat dibatasi oleh RCP. RCP juga tidak memengaruhi kemampuan AWS layanan untuk mengambil peran terkait layanan; yaitu, kebijakan kepercayaan peran terkait layanan juga tidak terpengaruh oleh RCP.

  • RCP tidak berlaku untuk Kunci yang dikelola AWS . AWS Key Management Service Kunci yang dikelola AWS dibuat, dikelola, dan digunakan atas nama Anda oleh Layanan AWS. Anda tidak dapat mengubah atau mengelola izin mereka.

  • RCP tidak memengaruhi izin berikut:

    Layanan API Sumber daya yang tidak diotorisasi oleh RCP
    AWS Key Management Service

    kms:RetireGrant

    RCP tidak memengaruhi izin. kms:RetireGrant Untuk informasi selengkapnya tentang cara izin kms:RetireGrant ditentukan, lihat Pensiun dan pencabutan hibah di Panduan Pengembang.AWS KMS