Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Identity and Access Management untuk AWS Organizations
AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengontrol siapa yang dapat *diautentikasi* (masuk) dan *diberi wewenang* (memiliki izin) untuk menggunakan sumber daya Organizations. IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.
**Topics**
+ [Audiens](#security_iam_audience)
+ [Mengautentikasi dengan identitas](#security_iam_authentication)
+ [Mengelola akses menggunakan kebijakan](#security_iam_access-manage)
+ [Bagaimana AWS Organizations bekerja dengan IAM](security_iam_service-with-iam.md)
+ [Mengelola izin akses untuk organisasi](orgs_permissions_overview.md)
+ [Contoh kebijakan berbasis identitas](security_iam_id-based-policy-examples.md)
+ [Contoh kebijakan berbasis sumber daya](security_iam_resource-based-policy-examples.md)
+ [AWS kebijakan terkelola](orgs_reference_available-policies.md)
+ [Kontrol akses berbasis atribut dengan tag dan](orgs_tagging_abac.md)
+ [Pemecahan masalah](security_iam_troubleshoot.md)
## Audiens
Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda berdasarkan peran Anda:
+ **Pengguna layanan** - minta izin dari administrator Anda jika Anda tidak dapat mengakses fitur (lihat [Memecahkan masalah AWS Organizations identitas dan akses](security_iam_troubleshoot.md))
+ **Administrator layanan** - tentukan akses pengguna dan mengirimkan permintaan izin (lihat [Bagaimana AWS Organizations bekerja dengan IAM](security_iam_service-with-iam.md))
+ **Administrator IAM** - tulis kebijakan untuk mengelola akses (lihat [Contoh kebijakan berbasis identitas untuk AWS Organizations](security_iam_id-based-policy-examples.md))
## Mengautentikasi dengan identitas
Otentikasi adalah cara Anda masuk AWS menggunakan kredensi identitas Anda. Anda harus diautentikasi sebagai Pengguna root akun AWS, pengguna IAM, atau dengan mengasumsikan peran IAM.
Anda dapat masuk sebagai identitas federasi menggunakan kredensional dari sumber identitas seperti AWS IAM Identity Center (Pusat Identitas IAM), otentikasi masuk tunggal, atau kredensional. Google/Facebook Untuk informasi selengkapnya tentang cara masuk, lihat [Cara masuk ke Akun AWS Anda](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dalam *Panduan Pengguna AWS Sign-In *.
Untuk akses terprogram, AWS sediakan SDK dan CLI untuk menandatangani permintaan secara kriptografis. Untuk informasi selengkapnya, lihat [AWS Signature Version 4 untuk permintaan API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dalam *Panduan Pengguna IAM*.
### Akun AWS pengguna root
Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang disebut *pengguna Akun AWS root* yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Untuk tugas yang memerlukan kredensial pengguna root, lihat [Tugas yang memerlukan kredensial pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dalam *Panduan Pengguna IAM*.
### Identitas terfederasi
Sebagai praktik terbaik, mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses Layanan AWS menggunakan kredensi sementara.
*Identitas federasi* adalah pengguna dari direktori perusahaan Anda, penyedia identitas web, atau Directory Service yang mengakses Layanan AWS menggunakan kredensi dari sumber identitas. Identitas terfederasi mengambil peran yang memberikan kredensial sementara.
Untuk manajemen akses terpusat, kami menyarankan AWS IAM Identity Center. Untuk informasi selengkapnya, lihat [Apa itu Pusat Identitas IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dalam *Panduan Pengguna AWS IAM Identity Center *.
### Pengguna dan grup IAM
*[Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* adalah identitas dengan izin khusus untuk satu orang atau aplikasi. Sebaiknya gunakan kredensial sementara alih-alih pengguna IAM dengan kredensial jangka panjang. Untuk informasi selengkapnya, lihat [Mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) di Panduan Pengguna *IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) menentukan kumpulan pengguna IAM dan mempermudah pengelolaan izin untuk pengguna dalam jumlah besar. Untuk mempelajari selengkapnya, lihat [Kasus penggunaan untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dalam *Panduan Pengguna IAM*.
### Peran IAM
*[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* adalah identitas dengan izin khusus yang menyediakan kredensial sementara. Anda dapat mengambil peran dengan [beralih dari pengguna ke peran IAM (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) atau dengan memanggil operasi AWS CLI atau AWS API. Untuk informasi selengkapnya, lihat [Metode untuk mengambil peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dalam *Panduan Pengguna IAM*.
Peran IAM berguna untuk akses pengguna terfederasi, izin pengguna IAM sementara, akses lintas akun, akses lintas layanan, dan aplikasi yang berjalan di Amazon EC2. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.
## Mengelola akses menggunakan kebijakan
Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan menentukan izin saat dikaitkan dengan identitas atau sumber daya. AWS mengevaluasi kebijakan ini ketika kepala sekolah membuat permintaan. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang dokumen kebijakan JSON, lihat [Gambaran umum kebijakan JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dalam *Panduan Pengguna IAM*.
Menggunakan kebijakan, administrator menentukan siapa yang memiliki akses ke apa dengan mendefinisikan **principal** mana yang dapat melakukan **tindakan** pada **sumber daya** apa, dan dalam **kondisi** apa.
Secara default, pengguna dan peran tidak memiliki izin. Administrator IAM membuat kebijakan IAM dan menambahkannya ke peran, yang kemudian dapat diambil oleh pengguna. Kebijakan IAM mendefinisikan izin terlepas dari metode yang Anda gunakan untuk melakukan operasinya.
### Kebijakan berbasis identitas
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang Anda lampirkan ke identitas (pengguna, grup, atau peran). Kebijakan ini mengontrol tindakan apa yang bisa dilakukan oleh identitas tersebut, terhadap sumber daya yang mana, dan dalam kondisi apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Kebijakan berbasis identitas dapat berupa *kebijakan inline* (disematkan langsung ke dalam satu identitas) atau *kebijakan terkelola* (kebijakan mandiri yang dilampirkan pada banyak identitas). Untuk mempelajari cara memilih antara kebijakan terkelola dan kebijakan inline, lihat [Pilih antara kebijakan terkelola dan kebijakan inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dalam *Panduan Pengguna IAM*.
### Kebijakan berbasis sumber daya
Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contohnya termasuk *kebijakan kepercayaan peran IAM* dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya.
Kebijakan berbasis sumber daya merupakan kebijakan inline yang terletak di layanan tersebut. Anda tidak dapat menggunakan kebijakan AWS terkelola dari IAM dalam kebijakan berbasis sumber daya.
### Jenis-jenis kebijakan lain
AWS mendukung jenis kebijakan tambahan yang dapat menetapkan izin maksimum yang diberikan oleh jenis kebijakan yang lebih umum:
+ **Batasan izin** – Menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Untuk informasi selengkapnya, lihat [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dalam *Panduan Pengguna IAM*.
+ **Kebijakan kontrol layanan (SCPs)** — Tentukan izin maksimum untuk organisasi atau unit organisasi di AWS Organizations. Untuk informasi selengkapnya, lihat [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dalam *Panduan Pengguna AWS Organizations *.
+ **Kebijakan kontrol sumber daya (RCPs)** — Tetapkan izin maksimum yang tersedia untuk sumber daya di akun Anda. Untuk informasi selengkapnya, lihat [Kebijakan kontrol sumber daya (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) di *Panduan AWS Organizations Pengguna*.
+ **Kebijakan sesi** – Kebijakan lanjutan yang diteruskan sebagai parameter saat membuat sesi sementara untuk peran atau pengguna terfederasi. Untuk informasi selengkapnya, lihat [Kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dalam *Panduan Pengguna IAM*.
### Berbagai jenis kebijakan
Ketika beberapa jenis kebijakan berlaku pada suatu permintaan, izin yang dihasilkan lebih rumit untuk dipahami. Untuk mempelajari cara AWS menentukan apakah akan mengizinkan permintaan saat beberapa jenis kebijakan terlibat, lihat [Logika evaluasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) di *Panduan Pengguna IAM*.
# Bagaimana AWS Organizations bekerja dengan IAM
Sebelum Anda menggunakan IAM untuk mengelola akses ke Organizations, pelajari fitur IAM apa yang tersedia untuk digunakan dengan Organizations.
| Fitur IAM | Dukungan Organizations |
| --- | --- |
| [Kebijakan berbasis identitas](#security_iam_service-with-iam-id-based-policies) | Ya |
| [Kebijakan berbasis sumber daya](#security_iam_service-with-iam-resource-based-policies) | Ya |
| [Tindakan kebijakan](#security_iam_service-with-iam-id-based-policies-actions) | Ya |
| [Sumber daya kebijakan](#security_iam_service-with-iam-id-based-policies-resources) | Ya |
| [kunci-kunci persyaratan kebijakan (spesifik layanan)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Ya |
| [ACLs](#security_iam_service-with-iam-acls) | Tidak |
| [ABAC (tanda dalam kebijakan)](#security_iam_service-with-iam-tags) | Ya |
| [Kredensial sementara](#security_iam_service-with-iam-roles-tempcreds) | Tidak |
| [Sesi akses teruskan (FAS)](#security_iam_service-with-iam-principal-permissions) | Ya |
| [Peran layanan](#security_iam_service-with-iam-roles-service) | Ya |
| [Peran terkait layanan](#security_iam_service-with-iam-roles-service-linked) | Ya |
Untuk mendapatkan pandangan tingkat tinggi tentang cara kerja Organizations dan AWS layanan lainnya dengan sebagian besar fitur IAM, lihat [AWS layanan yang bekerja dengan IAM di Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *IAM*.
## Kebijakan berbasis identitas untuk Organizations
**Mendukung kebijakan berbasis identitas**: Ya
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang dapat Anda lampirkan ke sebuah identitas, seperti pengguna IAM, grup pengguna IAM, atau peran IAM. Kebijakan ini mengontrol jenis tindakan yang dapat dilakukan oleh pengguna dan peran, di sumber daya mana, dan berdasarkan kondisi seperti apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan terkelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan secara spesifik apakah tindakan dan sumber daya diizinkan atau ditolak, serta kondisi yang menjadi dasar dikabulkan atau ditolaknya tindakan tersebut. Untuk mempelajari semua elemen yang dapat Anda gunakan dalam kebijakan JSON, lihat [Referensi elemen kebijakan JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dalam *Panduan Pengguna IAM*.
### Contoh kebijakan berbasis identitas untuk Organizations
Untuk melihat contoh kebijakan berbasis identitas Organisasi, lihat. [Contoh kebijakan berbasis identitas untuk AWS Organizations](security_iam_id-based-policy-examples.md)
## Kebijakan berbasis sumber daya dalam Organizations
**Mendukung kebijakan berbasis sumber daya**: Ya
Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contoh kebijakan berbasis sumber daya adalah *kebijakan kepercayaan peran* IAM dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Untuk sumber daya tempat kebijakan dilampirkan, kebijakan menentukan tindakan apa yang dapat dilakukan oleh principal tertentu pada sumber daya tersebut dan dalam kondisi apa. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya. Prinsipal dapat mencakup akun, pengguna, peran, pengguna federasi, atau. Layanan AWS
Untuk mengaktifkan akses lintas akun, Anda dapat menentukan secara spesifik seluruh akun atau entitas IAM di akun lain sebagai principal dalam kebijakan berbasis sumber daya. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.
Layanan Organizations hanya mendukung satu jenis kebijakan berbasis sumber daya yang disebut kebijakan *delegasi berbasis sumber daya, yang menentukan akun anggota mana yang dapat melakukan tindakan pada kebijakan*. Anda dapat menambahkan beberapa pernyataan dalam kebijakan untuk menunjukkan kumpulan izin yang berbeda ke akun anggota.
Untuk informasi selengkapnya, lihat [Administrator yang didelegasikan untuk AWS Organizations](orgs_delegate_policies.md).
### Contoh kebijakan berbasis sumber daya dalam Organizations
Untuk melihat contoh kebijakan berbasis sumber daya Organizations, lihat, [Contoh kebijakan berbasis sumber daya untuk AWS Organizations](security_iam_resource-based-policy-examples.md)
## Tindakan kebijakan untuk Organizations
**Mendukung tindakan kebijakan:** Ya
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen `Action` dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.
Untuk melihat daftar tindakan Organizations, lihat [Tindakan yang ditentukan oleh AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#your_service-actions-as-permissions) dalam *Referensi Otorisasi Layanan*.
Tindakan kebijakan dalam Organizations menggunakan awalan berikut sebelum tindakan:
```
organizations
```
Untuk menetapkan secara spesifik beberapa tindakan dalam satu pernyataan, pisahkan tindakan tersebut dengan koma.
```
"Action": [
"organizations:action1",
"organizations:action2"
]
```
Untuk melihat contoh kebijakan berbasis identitas Organisasi, lihat. [Contoh kebijakan berbasis identitas untuk AWS Organizations](security_iam_id-based-policy-examples.md)
## Sumber daya kebijakan untuk Organizations
**Mendukung sumber daya kebijakan:** Ya
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen kebijakan JSON `Resource` menentukan objek yang menjadi target penerapan tindakan. Praktik terbaiknya, tentukan sumber daya menggunakan [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, gunakan wildcard (\$1) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.
```
"Resource": "*"
```
Untuk melihat daftar jenis sumber daya Organizations dan jenisnya ARNs, lihat [Sumber daya yang ditentukan oleh AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#your_service-resources-for-iam-policies) dalam *Referensi Otorisasi Layanan*. Untuk mempelajari dengan tindakan mana Anda dapat menentukan ARN setiap sumber daya, lihat [Tindakan yang ditentukan oleh AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#your_service-actions-as-permissions).
Untuk melihat contoh kebijakan berbasis identitas Organisasi, lihat. [Contoh kebijakan berbasis identitas untuk AWS Organizations](security_iam_id-based-policy-examples.md)
## Kunci kondisi kebijakan untuk Organizations
**Mendukung kunci kondisi kebijakan khusus layanan:** Yes
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **principal** dapat melakukan **tindakan** pada suatu **sumber daya**, dan dalam suatu **syarat**.
Elemen `Condition` menentukan ketika pernyataan dieksekusi berdasarkan kriteria yang ditetapkan. Anda dapat membuat ekspresi bersyarat yang menggunakan [operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.
Untuk melihat daftar kunci kondisi Organizations, lihat [Kunci kondisi untuk AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#your_service-policy-keys) *Referensi Otorisasi Layanan*. Untuk mempelajari tindakan dan sumber daya yang dapat Anda gunakan kunci kondisi, lihat [Tindakan yang ditentukan oleh AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#your_service-actions-as-permissions).
Untuk melihat contoh kebijakan berbasis identitas Organisasi, lihat. [Contoh kebijakan berbasis identitas untuk AWS Organizations](security_iam_id-based-policy-examples.md)
## ACLs di Organizations
**Mendukung ACLs:** Tidak
Access control lists (ACLs) mengontrol prinsipal mana (anggota akun, pengguna, atau peran) yang memiliki izin untuk mengakses sumber daya. ACLs mirip dengan kebijakan berbasis sumber daya, meskipun mereka tidak menggunakan format dokumen kebijakan JSON.
## ABAC dengan Organizations
**Mendukung ABAC (tanda dalam kebijakan):** Ya
Kontrol akses berbasis atribut (ABAC) adalah strategi otorisasi yang menentukan izin berdasarkan atribut tanda. Anda dapat melampirkan tag ke entitas dan AWS sumber daya IAM, lalu merancang kebijakan ABAC untuk mengizinkan operasi saat tag prinsipal cocok dengan tag pada sumber daya.
Untuk mengendalikan akses berdasarkan tanda, berikan informasi tentang tanda di [elemen kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dari kebijakan menggunakan kunci kondisi `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, atau `aws:TagKeys`.
Jika sebuah layanan mendukung ketiga kunci kondisi untuk setiap jenis sumber daya, nilainya adalah **Ya** untuk layanan tersebut. Jika suatu layanan mendukung ketiga kunci kondisi untuk hanya beberapa jenis sumber daya, nilainya adalah **Parsial**.
Untuk informasi selengkapnya tentang ABAC, lihat [Tentukan izin dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dalam *Panduan Pengguna IAM.* Untuk melihat tutorial yang menguraikan langkah-langkah pengaturan ABAC, lihat [Menggunakan kontrol akses berbasis atribut (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) dalam *Panduan Pengguna IAM*.
## Menggunakan kredensial sementara dengan Organizations
**Mendukung kredensi sementara**: Tidak
Kredensi sementara menyediakan akses jangka pendek ke AWS sumber daya dan secara otomatis dibuat saat Anda menggunakan federasi atau beralih peran. AWS merekomendasikan agar Anda secara dinamis menghasilkan kredensi sementara alih-alih menggunakan kunci akses jangka panjang. Untuk informasi selengkapnya, lihat [Kredensial keamanan sementara di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) dan [Layanan AWS yang berfungsi dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dalam *Panduan Pengguna IAM*.
## Teruskan sesi akses untuk Organizations
**Mendukung sesi akses terusan (FAS):** Ya
Sesi akses teruskan (FAS) menggunakan izin dari pemanggilan utama Layanan AWS, dikombinasikan dengan permintaan Layanan AWS untuk membuat permintaan ke layanan hilir. Untuk detail kebijakan ketika mengajukan permintaan FAS, lihat [Sesi akses terusan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Peran layanan untuk Organizations
**Mendukung peran layanan:** Ya
Peran layanan adalah [peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) yang diambil oleh sebuah layanan untuk melakukan tindakan atas nama Anda. Administrator IAM dapat membuat, mengubah, dan menghapus peran layanan dari dalam IAM. Untuk informasi selengkapnya, lihat [Buat sebuah peran untuk mendelegasikan izin ke Layanan AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dalam *Panduan pengguna IAM*.
**Awas**
Mengubah izin untuk peran layanan dapat merusak fungsionalitas Organizations. Edit peran layanan hanya jika Organizations memberikan panduan untuk melakukannya.
## Peran terkait layanan untuk Organizations
**Mendukung peran terkait layanan**: Ya
Peran terkait layanan adalah jenis peran layanan yang ditautkan ke. Layanan AWS Layanan tersebut dapat menjalankan peran untuk melakukan tindakan atas nama Anda. Peran terkait layanan muncul di Anda Akun AWS dan dimiliki oleh layanan. Administrator IAM dapat melihat, tetapi tidak dapat mengedit izin untuk peran terkait layanan.
Untuk detail tentang pembuatan atau manajemen peran terkait layanan, lihat [Layanan AWS yang berfungsi dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Cari layanan dalam tabel yang memiliki `Yes` di kolom **Peran terkait layanan**. Pilih tautan **Ya** untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
# Mengelola izin akses untuk organisasi dengan AWS Organizations
Semua AWS sumber daya, termasuk akar OUs, akun, dan kebijakan dalam organisasi, dimiliki oleh Akun AWS, dan izin untuk membuat atau mengakses sumber daya diatur oleh kebijakan izin. Untuk sebuah organisasi, akun pengelolaannya memiliki semua sumber daya. Administrator akun dapat mengontrol akses ke AWS sumber daya dengan melampirkan kebijakan izin ke identitas IAM (pengguna, grup, dan peran).
**catatan**
*Administrator akun* (atau pengguna administrator) adalah pengguna dengan izin administrator. Untuk informasi selengkapnya, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/accounts/latest/reference/getting-started-step4.html) di *Panduan AWS Account Management Referensi*.
Ketika memberikan izin, Anda memutuskan siapa yang mendapatkan izin, sumber daya yang mereka dapatkan izinnya, dan tindakan khusus yang ingin Anda izinkan di sumber daya tersebut.
Secara default, pengguna, grup, dan peran IAM tidak memiliki izin. Sebagai administrator di akun pengelolaan sebuah organisasi, Anda dapat melakukan tugas-tugas administratif atau mendelegasikan izin administrator kepada pengguna atau peran IAM lain dalam akun pengelolaan. Untuk melakukannya, Anda harus melampirkan kebijakan izin IAM ke pengguna, grup, atau peran IAM. Secara default, pengguna tidak memiliki izin sama sekali; hal ini kadang-kadang disebut *penolakan implisit*. Kebijakan tersebut menimpa penolakan implisit dengan *izin eksplisit* yang menentukan tindakan yang dapat dilakukan pengguna, dan sumber daya di mana mereka dapat melakukan tindakan. Jika izin diberikan ke sebuah peran, maka pengguna di akun lain dalam organisasi dapat mengambil peran itu.
## AWS Organizations sumber daya dan operasi
Bagian ini membahas bagaimana AWS Organizations konsep memetakan ke konsep setara IAM mereka.
### Sumber daya
Di AWS Organizations, Anda dapat mengontrol akses ke sumber daya berikut:
+ Akar dan OUs yang membentuk struktur hierarkis suatu organisasi
+ Akun yang merupakan anggota organisasi
+ Kebijakan yang Anda lampirkan ke entitas dalam organisasi
+ Jabat tangan yang Anda gunakan untuk mengubah status organisasi
Setiap sumber daya ini memiliki Amazon Resource Name (ARN) yang unik yang terkait dengannya. Anda mengontrol akses ke sumber daya dengan menentukan ARN di elemen `Resource` dari sebuah kebijakan izin IAM. Untuk daftar lengkap format ARN untuk sumber daya yang digunakan AWS Organizations, lihat [Jenis sumber daya yang ditentukan oleh AWS Organizations dalam Referensi](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsorganizations.html#awsorganizations-resources-for-iam-policies) *Otorisasi Layanan*.
### Operasi
AWS menyediakan serangkaian operasi untuk bekerja dengan sumber daya dalam suatu organisasi. Mereka memungkinkan Anda untuk melakukan hal-hal seperti membuat, membuat daftar, memodifikasi, mengakses isi, dan menghapus sumber daya. Sebagian besar operasi dapat direferensikan dalam elemen `Action` dari sebuah kebijakan IAM untuk mengontrol siapa yang dapat menggunakan operasi itu. Untuk daftar AWS Organizations operasi yang dapat digunakan sebagai izin dalam kebijakan IAM, lihat [Tindakan yang ditentukan oleh organisasi](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#awsorganizations-actions-as-permissions) dalam Referensi *Otorisasi Layanan*.
Saat Anda menggabungkan `Action` dan sebuah `Resource` dalam satu kebijakan izin `Statement`, Anda mengontrol dengan tepat sumber daya mana yang set tertentu tindakan dapat digunakan padanya.
### Kunci syarat
AWS menyediakan kunci kondisi yang dapat Anda kueri untuk memberikan kontrol yang lebih terperinci atas tindakan tertentu. Anda dapat melakukan referensi atas kunci syarat ini di elemen `Condition` dari sebuah kebijakan IAM untuk menentukan keadaan tambahan yang harus dipenuhi untuk pernyataan yang akan dianggap cocok.
Kunci kondisi berikut sangat berguna dengan AWS Organizations:
+ `aws:PrincipalOrgID` — Menyederhanakan penentuan elemen `Principal` dalam kebijakan berbasis sumber daya. Kunci global ini memberikan alternatif untuk mencantumkan semua akun IDs untuk semua Akun AWS dalam suatu organisasi. Alih-alih membuat daftar dari semua akun yang merupakan anggota organisasi, Anda dapat menentukan [ID Organisasi](orgs_manage_org.md) dalam elemen `Condition`.
**catatan**
Syarat global ini juga berlaku pada akun pengelolaan dari suatu organisasi.
Untuk informasi selengkapnya, lihat deskripsi [kunci konteks kondisi AWS global `PrincipalOrgID`](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.
+ `aws:PrincipalOrgPaths` — Gunakan kunci syarat ini untuk mencocokkan anggota root organisasi tertentu, OU, atau anak-anaknya. Kunci syarat `aws:PrincipalOrgPaths` mengembalikan BETUL ketika prinsipal utama (root user, IAM user, atau peran) membuat permintaan di path organisasi yang ditentukan. Path adalah representasi teks dari struktur suatu AWS Organizations entitas. Untuk informasi selengkapnya tentang jalur, lihat [Memahami jalur AWS Organizations entitas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data-orgs.html#access_policies_access-advisor-viewing-orgs-entity-path) di *Panduan Pengguna IAM*. Untuk informasi selengkapnya tentang penggunaan kunci kondisi ini, lihat [aws: PrincipalOrgPaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principal-org-paths) di *Panduan Pengguna IAM*.
Misalnya, elemen kondisi berikut cocok untuk anggota salah satu dari dua OUs dalam organisasi yang sama.
```
"Condition": {
"ForAnyValue:StringLike": {
"aws:PrincipalOrgPaths": [
"o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
"o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-jkl0-awsddddd/"
]
}
}
```
+ `organizations:PolicyType` — Anda dapat menggunakan kunci syarat ini untuk membatasi operasi API terkait kebijakan Organizations untuk bekerja hanya pada kebijakan Organizations dari jenis tertentu. Anda dapat menerapkan kunci syarat ini untuk setiap pernyataan kebijakan yang mencakup tindakan yang berinteraksi dengan kebijakan Organizations.
Anda dapat menggunakan nilai berikut dengan kunci syarat ini:
+ `SERVICE_CONTROL_POLICY`
+ `RESOURCE_CONTROL_POLICY`
+ `DECLARATIVE_POLICY_EC2`
+ `BACKUP_POLICY`
+ `TAG_POLICY`
+ `CHATBOT_POLICY`
+ `AISERVICES_OPT_OUT_POLICY`
Misalnya, kebijakan contoh berikut memungkinkan pengguna untuk melakukan operasi Organizations. Namun, jika pengguna melakukan operasi yang mengambil argumen kebijakan, maka operasi diperbolehkan hanya jika kebijakan tertentu adalah kebijakan penandaan. Operasi gagal jika pengguna menentukan jenis kebijakan lainnya.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "IfTaggingAPIThenAllowOnOnlyTaggingPolicies",
"Effect": "Allow",
"Action": "organizations:*",
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": [ "TAG_POLICY" ]
}
}
}
]
}
```
------
+ `organizations:ServicePrincipal`— Tersedia sebagai kondisi jika Anda menggunakan operasi [Aktifkan AWSService Akses](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) atau [Nonaktifkan AWSService Akses](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) untuk mengaktifkan atau menonaktifkan [akses tepercaya](orgs_integrate_services.md) dengan AWS layanan lain. Anda dapat menggunakan `organizations:ServicePrincipal` untuk membatasi permintaan yang dibuat operasi tersebut ke daftar nama prinsipal utama layanan yang disetujui.
Misalnya, kebijakan berikut memungkinkan pengguna untuk menentukan hanya AWS Firewall Manager saat mengaktifkan dan menonaktifkan akses tepercaya dengan. AWS Organizations
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowOnlyAWSFirewallIntegration",
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:ServicePrincipal": [ "fms.amazonaws.com" ]
}
}
}
]
}
```
------
Untuk daftar semua kunci kondisi AWS Organizations khusus yang dapat digunakan sebagai izin dalam kebijakan IAM, lihat [Kunci kondisi untuk](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#awsorganizations-policy-keys) Referensi AWS Organizations Otorisasi *Layanan*.
## Memahami kepemilikan sumber daya
Akun AWS Memiliki sumber daya yang dibuat di akun, terlepas dari siapa yang menciptakan sumber daya. Secara khusus, pemilik sumber daya adalah [entitas utama](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html) (yaitu, pengguna root, pengguna IAM, atau peran IAM) yang mengautentikasi permintaan pembuatan sumber daya. Akun AWS Untuk sebuah organisasi, itu ***selalu*** akun manajemen. Anda tidak dapat memanggil sebagian besar operasi yang membuat atau mengakses sumber daya organisasi dari akun anggota. Contoh berikut menggambarkan cara kerjanya:
+ Jika Anda menggunakan kredensial akun root dari akun pengelolaan Anda untuk membuat OU, maka akun pengelolaan Anda adalah pemilik sumber daya . (Dalam AWS Organizations, sumber daya adalah OU).
+ Jika Anda membuat pengguna IAM dalam akun pengelolaan Anda dan memberikan izin untuk membuat tabel sebuah OU ke pengguna tersebut, maka pengguna dapat membuat OU. Namun, akun pengelolaan Anda yang memiliki pengguna, memiliki sumber daya OU.
+ Jika Anda membuat IAM role di akun pengelolaan Anda dengan izin untuk membuat OU, siapa pun yang dapat menggunakan peran tersebut dapat membuat OU. Akun pengelolaan, yang memiliki peran (bukan pengguna yang mengambil), memiliki sumber daya OU.
## Mengelola akses ke sumber daya
*Kebijakan izin* menjelaskan siapa yang memiliki akses ke suatu objek. Bagian berikut menjelaskan opsi yang tersedia untuk membuat kebijakan izin.
**catatan**
Bagian ini membahas penggunaan IAM dalam konteks. AWS Organizations Bagian ini tidak memberikan informasi yang mendetail tentang layanan IAM. Untuk dokumentasi lengkap IAM, lihat [Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html). *Untuk informasi tentang sintaks dan deskripsi kebijakan IAM, lihat [referensi kebijakan IAM JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) di Panduan Pengguna IAM.*
Kebijakan yang terlampir pada identitas IAM disebut sebagai kebijakan *berbasis identitas* (kebijakan IAM). Kebijakan yang terlampir pada sumber daya disebut sebagai kebijakan *berbasis sumber daya*.
**Topics**
+ [Kebijakan izin berbasis identitas (kebijakan IAM)](#orgs-access-control-iam-policies)
### Kebijakan izin berbasis identitas (kebijakan IAM)
Anda dapat melampirkan kebijakan ke identitas IAM untuk memungkinkan identitas tersebut melakukan operasi pada sumber daya. AWS Misalnya, Anda dapat melakukan hal berikut:
+ **Melampirkan kebijakan izin ke pengguna atau grup di akun Anda** — Untuk memberikan izin pengguna untuk membuat AWS Organizations sumber daya, seperti [kebijakan kontrol layanan (SCP)](orgs_manage_policies_scps.md) atau OU, Anda dapat melampirkan kebijakan izin ke pengguna atau grup tempat pengguna tersebut berada. Pengguna atau grup harus ada dalam akun pengelolaan organisasi.
+ **Melampirkan kebijakan izin untuk peran (memberikan izin lintas akun)** – Anda dapat melampirkan kebijakan izin berbasis identitas ke IAM role untuk memberikan izin lintas akun ke sebuah organisasi. Misalnya, administrator dalam akun pengelolaan dapat membuat peran untuk memberikan izin lintas akun ke pengguna yang ada dalam akun anggota sebagai berikut:
1. Administrator akun pengelolaan membuat IAM role dan melampirkan kebijakan izin untuk peran yang memberikan izin pada sumber daya organisasi.
1. Administrator akun pengelolaan melampirkan kebijakan kepercayaan ke peran yang mengidentifikasi ID akun anggota sebagai `Principal` yang dapat mengambil peran tersebut.
1. Administrator akun anggota kemudian dapat mendelegasikan izin untuk mengambil peran untuk setiap pengguna yang ada di akun anggota. Dengan melakukan hal ini akan memungkinkan pengguna di akun anggota untuk membuat atau mengakses sumber daya di akun pengelolaan dan organisasi. Prinsipal dalam kebijakan kepercayaan juga dapat menjadi prinsipal AWS layanan jika Anda ingin memberikan izin ke AWS layanan untuk mengambil peran.
Untuk informasi selengkapnya tentang penggunaan IAM untuk mendelegasikan izin, lihat [Manajemen Akses](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) dalam *Panduan Pengguna IAM*.
Berikut ini adalah contoh kebijakan yang memungkinkan pengguna untuk melakukan `CreateAccount` tindakan di organisasi Anda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"Stmt1OrgPermissions",
"Effect":"Allow",
"Action":[
"organizations:CreateAccount"
],
"Resource":"*"
}
]
}
```
------
Anda juga dapat memberikan ARN sebagian dalam `Resource` elemen kebijakan untuk menunjukkan jenis sumber daya.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AllowCreatingAccountsOnResource",
"Effect":"Allow",
"Action":"organizations:CreateAccount",
"Resource":"arn:aws:organizations::*:account/*"
}
]
}
```
------
Anda juga dapat menolak pembuatan akun yang tidak menyertakan tag khusus ke akun yang sedang dibuat.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"DenyCreatingAccountsOnResourceBasedOnTag",
"Effect":"Deny",
"Action":"organizations:CreateAccount",
"Resource":"*",
"Condition":{
"StringEquals":{
"aws:ResourceTag/key":"value"
}
}
}
]
}
```
------
Untuk informasi selengkapnya tentang pengguna, grup, peran, dan izin, lihat [identitas IAM (pengguna, grup pengguna, dan peran)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) di Panduan Pengguna *IAM*.
## Menentukan elemen kebijakan: Tindakan, syarat, efek, dan sumber daya
Untuk setiap AWS Organizations sumber daya, layanan mendefinisikan serangkaian operasi API, atau tindakan, yang dapat berinteraksi dengan atau memanipulasi sumber daya tersebut dengan cara tertentu. Untuk memberikan izin untuk operasi ini, AWS Organizations tentukan serangkaian tindakan yang dapat Anda tentukan dalam kebijakan. Misalnya, untuk sumber daya OU, AWS Organizations mendefinisikan tindakan seperti berikut:
+ `AttachPolicy` dan `DetachPolicy`
+ `CreateOrganizationalUnit` dan `DeleteOrganizationalUnit`
+ `ListOrganizationalUnits` dan `DescribeOrganizationalUnit`
Dalam beberapa kasus, melakukan operasi API mungkin memerlukan izin untuk lebih dari satu tindakan dan mungkin memerlukan izin untuk lebih dari satu sumber daya.
Berikut ini adalah elemen paling basic yang dapat Anda gunakan dalam kebijakan izin IAM:
+ **Tindakan** – Gunakan kata kunci untuk mengidentifikasi operasi (tindakan) yang ingin Anda izinkan atau tolak. Misalnya, tergantung pada yang ditentukan`Effect`, `organizations:CreateAccount` mengizinkan atau menolak izin pengguna untuk melakukan operasi. AWS Organizations `CreateAccount` Untuk informasi selengkapnya, lihat [elemen kebijakan IAM JSON: Tindakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_action.html) dalam Panduan Pengguna *IAM*.
+ **Sumber Daya** – Gunakan kata kunci ini untuk menentukan ARN dari sumber daya yang kepadanya pernyataan kebijakan berlaku. Untuk informasi selengkapnya, lihat [elemen kebijakan IAM JSON: Sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) dalam Panduan Pengguna *IAM*.
+ **Syarat** – Gunakan kata kunci ini untuk menentukan syarat yang harus dipenuhi agar pernyataan kebijakan dapat diterapkan. `Condition` biasanya menentukan keadaan tambahan yang harus BETUL agar kebijakan dapat dicocokkan. Untuk informasi selengkapnya, lihat [Elemen kebijakan JSON IAM: Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
+ **Efek** – Gunakan kata kunci ini untuk menentukan apakah pernyataan kebijakan mengizinkan atau menolak tindakan pada sumber daya. Jika Anda tidak secara eksplisit memberikan akses ke (mengizinkan) sumber daya, maka akses akan ditolak secara implisit. Anda juga dapat secara eksplisit menolak akses ke sumber daya, yang mungkin Anda lakukan untuk memastikan bahwa pengguna tidak dapat melakukan tindakan tertentu pada sumber daya tertentu, meskipun kebijakan yang berbeda memberikan akses. Untuk informasi selengkapnya, lihat [elemen kebijakan IAM JSON: Efek](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_effect.html) dalam Panduan Pengguna *IAM*.
+ **Prinsipal** – Dalam kebijakan berbasis identitas (kebijakan IAM), pengguna yang kepadanya kebijakan tersebut terlampir secara otomatis adalah prinsipal. Untuk kebijakan berbasis sumber daya, Anda menentukan pengguna, akun, layanan, atau entitas lain yang diinginkan untuk menerima izin (berlaku hanya untuk kebijakan berbasis sumber daya).
*Untuk mempelajari lebih lanjut tentang sintaks dan deskripsi kebijakan IAM, lihat [referensi kebijakan IAM JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) di Panduan Pengguna IAM.*
# Contoh kebijakan berbasis identitas untuk AWS Organizations
Secara default, pengguna dan peran tidak memiliki izin untuk membuat atau memodifikasi sumber daya Organizations. Untuk memberikan izin kepada pengguna untuk melakukan tindakan di sumber daya yang mereka perlukan, administrator IAM dapat membuat kebijakan IAM.
*Untuk mempelajari cara membuat kebijakan berbasis identitas IAM menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat kebijakan IAM (konsol) di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html).*
Untuk detail tentang tindakan dan jenis sumber daya yang ditentukan oleh Organizations, termasuk format ARNs untuk setiap jenis sumber daya, lihat [Kunci tindakan, sumber daya, dan kondisi AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html) di *Referensi Otorisasi Layanan*.
**Topics**
+ [Praktik terbaik kebijakan](#security_iam_service-with-iam-policy-best-practices)
+ [Menggunakan konsol](#security_iam_id-based-policy-examples-console)
+ [Mengizinkan pengguna melihat izin mereka sendiri](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Memberikan izin admin penuh ke pengguna](#orgs_permissions_grant-admin-actions)
+ [Memberikan akses terbatas berdasarkan tindakan](#orgs_permissions_grant-limited-actions)
+ [Memberikan akses ke sumber daya tertentu](#orgs_permissions_grant-limited-resources)
+ [Memberikan kemampuan untuk mengaktifkan akses terpercaya ke prinsipal layanan terbatas](#orgs_permissions_grant-trusted-access-condition)
## Praktik terbaik kebijakan
Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus sumber daya Organizations di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
+ **Mulailah dengan kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit — Untuk mulai memberikan izin** kepada pengguna dan beban kerja Anda, gunakan *kebijakan AWS terkelola* yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Anda Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola AWS pelanggan yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat [Kebijakan yang dikelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) atau [Kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dalam *Panduan Pengguna IAM*.
+ **Menerapkan izin dengan hak akses paling rendah** – Ketika Anda menetapkan izin dengan kebijakan IAM, hanya berikan izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai *izin dengan hak akses paling rendah*. Untuk informasi selengkapnya tentang cara menggunakan IAM untuk mengajukan izin, lihat [Kebijakan dan izin dalam IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan kondisi dalam kebijakan IAM untuk membatasi akses lebih lanjut** – Anda dapat menambahkan suatu kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Sebagai contoh, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakan SSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui yang spesifik Layanan AWS, seperti CloudFormation. Untuk informasi selengkapnya, lihat [Elemen kebijakan JSON IAM: Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk memastikan izin yang aman dan fungsional** – IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan tersebut mematuhi bahasa kebijakan IAM (JSON) dan praktik terbaik IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat [Validasi kebijakan dengan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dalam *Panduan Pengguna IAM*.
+ **Memerlukan otentikasi multi-faktor (MFA)** - Jika Anda memiliki skenario yang mengharuskan pengguna IAM atau pengguna root di Anda, Akun AWS aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA ketika operasi API dipanggil, tambahkan kondisi MFA pada kebijakan Anda. Untuk informasi selengkapnya, lihat [Amankan akses API dengan MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dalam *Panduan Pengguna IAM*.
Untuk informasi selengkapnya tentang praktik terbaik dalam IAM, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.
## Menggunakan konsol Organizations
Untuk mengakses AWS Organizations konsol, Anda harus memiliki set izin minimum. Izin ini harus memungkinkan Anda untuk membuat daftar dan melihat detail tentang sumber daya Organizations di Anda Akun AWS. Jika Anda membuat kebijakan berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana mestinya untuk entitas (pengguna atau peran) dengan kebijakan tersebut.
Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau AWS API. Sebagai gantinya, izinkan akses hanya ke tindakan yang sesuai dengan operasi API yang coba mereka lakukan.
Untuk memastikan bahwa pengguna dan peran masih dapat menggunakan konsol Organizations, lampirkan juga kebijakan Organizations [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsFullAccess.html)atau [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsReadOnlyAccess.html) AWS managed ke entitas. Untuk informasi selengkapnya, lihat [Menambah izin untuk pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*.
## Mengizinkan pengguna melihat izin mereka sendiri
Contoh ini menunjukkan cara membuat kebijakan yang mengizinkan pengguna IAM melihat kebijakan inline dan terkelola yang dilampirkan ke identitas pengguna mereka. Kebijakan ini mencakup izin untuk menyelesaikan tindakan ini di konsol atau menggunakan API atau secara terprogram. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Memberikan izin admin penuh ke pengguna
Anda dapat membuat kebijakan IAM yang memberikan izin AWS Organizations administrator penuh kepada pengguna IAM di organisasi Anda. Anda dapat melakukan ini menggunakan editor kebijakan JSON di konsol IAM.
**Cara menggunakan editor kebijakan JSON untuk membuat kebijakan**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Pada panel navigasi di sebelah kiri, pilih **Kebijakan**.
Jika ini pertama kalinya Anda memilih **Kebijakan**, akan muncul halaman **Selamat Datang di Kebijakan Terkelola**. Pilih **Memulai**.
1. Di bagian atas halaman, pilih **Buat kebijakan**.
1. Di bagian **Editor kebijakan**, pilih opsi **JSON**.
1. Masukkan dokumen kebijakan JSON berikut:
```
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "organizations:*",
"Resource": "*"
}
}
```
1. Pilih **Berikutnya**.
**catatan**
Anda dapat beralih antara opsi editor **Visual** dan **JSON** kapan saja. Namun, jika Anda melakukan perubahan atau memilih **Berikutnya** di editor **Visual**, IAM dapat merestrukturisasi kebijakan Anda untuk mengoptimalkannya bagi editor visual. Untuk informasi selengkapnya, lihat [Restrukturisasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) dalam *Panduan Pengguna IAM*.
1. Pada halaman **Tinjau dan buat**, masukkan **Nama kebijakan** dan **Deskripsi** (opsional) untuk kebijakan yang Anda buat. Tinjau **Izin yang ditentukan dalam kebijakan ini** untuk melihat izin yang diberikan oleh kebijakan Anda.
1. Pilih **Buat kebijakan** untuk menyimpan kebijakan baru Anda.
Untuk mempelajari selengkapnya tentang membuat kebijakan IAM, lihat [Membuat kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) di Panduan Pengguna *IAM*.
## Memberikan akses terbatas berdasarkan tindakan
Jika Anda ingin memberikan izin terbatas bukan izin penuh, Anda dapat membuat kebijakan yang mencantumkan izin tersendiri yang ingin Anda izinkan di elemen `Action` dari kebijakan izin IAM. Seperti yang ditunjukkan dalam contoh berikut, Anda dapat menggunakan karakter wildcard (\$1) untuk memberikan izin `Describe*` dan izin `List*` saja, pada dasarnya menyediakan akses hanya-baca ke organisasi.
**catatan**
Dalam kebijakan kontrol layanan (SCP), karakter wildcard (\$1) dalam elemen `Action` hanya dapat digunakan oleh dirinya sendirinya atau di akhir string. Ia tidak dapat muncul di awal atau tengah string. Oleh karena `"servicename:action*"` itu, valid, tetapi `"servicename:*action"` dan `"servicename:some*action"` keduanya tidak valid di. SCPs
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"organizations:Describe*",
"organizations:List*"
],
"Resource": "*"
}
}
```
------
Untuk daftar semua izin yang tersedia untuk ditetapkan dalam kebijakan IAM, lihat [Tindakan yang ditentukan oleh AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#awsorganizations-actions-as-permissions) dalam Referensi Otorisasi *Layanan*.
## Memberikan akses ke sumber daya tertentu
Selain membatasi akses ke tindakan tertentu, Anda dapat membatasi akses ke entitas tertentu dalam organisasi Anda. Elemen `Resource` dalam contoh di bagian sebelumnya, keduanya menentukan karakter wildcard ("\$1"), yang berarti "sumber daya apa pun yang dapat diakses oleh tindakan." Sebaliknya, Anda dapat mengganti "\$1" dengan Amazon Resource Name (ARN) entitas tertentu yang ingin Anda izinkan akses-nya.
**Contoh: Memberikan izin untuk satu OU**
Pernyataan pertama dari kebijakan berikut memungkinkan pengguna IAM akses baca ke seluruh organisasi, tetapi pernyataan kedua memungkinkan pengguna untuk melakukan tindakan administratif AWS Organizations hanya dalam satu unit organisasi (OU) tertentu. Ini tidak berlaku untuk anak mana pun OUs. Tidak ada akses penagihan yang diberikan. Perhatikan bahwa ini tidak memberi Anda akses administratif ke Akun AWS dalam OU. Ini hanya memberikan izin untuk melakukan AWS Organizations operasi pada akun dalam OU yang ditentukan:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:Describe*",
"organizations:List*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "organizations:*",
"Resource": "arn:aws:organizations::123456789012:ou/o-/ou-"
}
]
}
```
------
Anda mendapatkan IDs untuk OU dan organisasi dari AWS Organizations konsol atau dengan menelepon `List*` APIs. Pengguna atau grup yang kepadanya Anda menerapkan kebijakan ini, dapat melakukan tindakan apapun (`"organizations:*"`) pada setiap entitas yang secara langsung terkandung dalam OU tertentu. OU diidentifikasi oleh Amazon Resource Name (ARN).
Untuk informasi selengkapnya tentang berbagai sumber daya, lihat [Jenis sumber daya yang ditentukan oleh AWS Organizations](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsorganizations.html#awsorganizations-resources-for-iam-policies) dalam *Referensi Otorisasi Layanan*. ARNs
## Memberikan kemampuan untuk mengaktifkan akses terpercaya ke prinsipal layanan terbatas
Anda dapat menggunakan elemen `Condition` dari sebuah pernyataan kebijakan untuk lebih membatasi keadaan di mana pernyataan kebijakan dianggap cocok.
**Contoh: Memberikan izin untuk mengaktifkan akses terpercaya ke satu layanan tertentu**
Pernyataan berikut menunjukkan bagaimana Anda dapat membatasi kemampuan untuk mengaktifkan akses terpercaya hanya untuk layanan yang Anda tentukan. Jika pengguna mencoba memanggil API dengan prinsip layanan yang berbeda dari yang untuk AWS IAM Identity Center, kebijakan ini tidak cocok dan permintaan ditolak:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "organizations:EnableAWSServiceAccess",
"Resource": "*",
"Condition": {
"StringEquals" : {
"organizations:ServicePrincipal" : "sso.amazonaws.com"
}
}
}
]
}
```
------
Untuk informasi selengkapnya tentang berbagai sumber daya, lihat [Jenis sumber daya yang ditentukan oleh AWS Organizations](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsorganizations.html#awsorganizations-resources-for-iam-policies) dalam *Referensi Otorisasi Layanan*. ARNs
# Contoh kebijakan berbasis sumber daya untuk AWS Organizations
Contoh kode berikut menunjukkan bagaimana Anda dapat menggunakan kebijakan delegasi berbasis sumber daya. Untuk informasi selengkapnya, lihat [Administrator yang didelegasikan untuk AWS Organizations](orgs_delegate_policies.md).
**Topics**
+ [Lihat organisasi OUs, akun, dan kebijakan](#orgs_delegate_policies_example_view_accts_orgs)
+ [Membuat, membaca, memperbarui, dan menghapus kebijakan](#orgs_delegate_policies_example_crud_policies)
+ [Tag dan untag kebijakan](#orgs_delegate_policies_example_tag_untag_policies)
+ [Lampirkan kebijakan ke satu OU atau akun](#orgs_delegate_policies_example_attach_policies)
+ [Izin konsolidasi untuk mengelola kebijakan cadangan organisasi](#orgs_delegate_policies_example_consolidate_permissions)
## Contoh: Lihat organisasi OUs, akun, dan kebijakan
Sebelum mendelegasikan pengelolaan kebijakan, Anda harus mendelegasikan izin untuk menavigasi struktur organisasi dan melihat unit organisasi (OUs), akun, dan kebijakan yang dilampirkan padanya.
Contoh ini menunjukkan bagaimana Anda dapat menyertakan izin ini dalam kebijakan delegasi berbasis sumber daya untuk akun anggota. *AccountId*
**penting**
Sebaiknya Anda menyertakan izin hanya untuk tindakan minimum yang diperlukan seperti yang ditunjukkan dalam contoh, meskipun dimungkinkan untuk mendelegasikan tindakan read-only Organizations menggunakan kebijakan ini.
Contoh kebijakan delegasi ini memberikan izin yang diperlukan untuk menyelesaikan tindakan secara terprogram dari API atau. AWS AWS CLI Untuk menggunakan kebijakan delegasi ini, ganti [teks AWS placeholder](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) *AccountId* dengan informasi Anda sendiri. Kemudian, ikuti petunjuk masuk[Administrator yang didelegasikan untuk AWS Organizations](orgs_delegate_policies.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingNecessaryDescribeListActions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy",
"organizations:ListTagsForResource"
],
"Resource": "*"
}
]
}
```
------
## Contoh: Membuat, membaca, memperbarui, dan menghapus kebijakan
Anda dapat membuat kebijakan delegasi berbasis sumber daya yang memungkinkan akun manajemen untuk mendelegasikan`create`, `read``update`, dan `delete` tindakan untuk jenis kebijakan apa pun. Contoh ini menunjukkan bagaimana Anda dapat mendelegasikan tindakan ini untuk kebijakan kontrol layanan ke akun anggota. *MemberAccountId* Dua sumber daya yang ditunjukkan dalam contoh memberikan akses ke kebijakan kontrol layanan yang AWS dikelola dan dikelola pelanggan masing-masing.
**penting**
Kebijakan ini memungkinkan administrator yang didelegasikan untuk melakukan tindakan tertentu pada kebijakan yang dibuat oleh akun mana pun di organisasi, termasuk akun manajemen.
Ini tidak mengizinkan administrator yang didelegasikan untuk melampirkan atau melepaskan kebijakan karena tidak menyertakan izin yang diperlukan untuk melakukan dan tindakan. `organizations:AttachPolicy` `organizations:DetachPolicy`
Contoh kebijakan delegasi ini memberikan izin yang diperlukan untuk menyelesaikan tindakan secara terprogram dari API atau. AWS AWS CLI Ganti teks AWS placeholder untuk*MemberAccountId*,*ManagementAccountId*, dan *OrganizationId* dengan informasi Anda sendiri. Kemudian, ikuti petunjuk masuk[Administrator yang didelegasikan untuk AWS Organizations](orgs_delegate_policies.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingDescribeListActionsWithoutCondition",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "DelegatingPolicyActionsWithCondition",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": "SERVICE_CONTROL_POLICY"
}
}
},
{
"Sid": "DelegatingMinimalActionsForSCPs",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:CreatePolicy",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DeletePolicy"
],
"Resource": [
"arn:aws:organizations::111122223333:policy/o-OrganizationId/service_control_policy/*",
"arn:aws:organizations::aws:policy/service_control_policy/*"
]
}
]
}
```
------
## Contoh: Kebijakan tag dan untag
Contoh ini menunjukkan cara membuat kebijakan delegasi berbasis sumber daya yang memungkinkan administrator yang didelegasikan untuk menandai atau menghapus tag kebijakan pencadangan. Ini memberikan izin yang diperlukan untuk menyelesaikan tindakan secara terprogram dari API atau. AWS AWS CLI
Untuk menggunakan kebijakan delegasi ini, ganti teks AWS placeholder untuk *MemberAccountId**ManagementAccountId*, dan *OrganizationId* dengan informasi Anda sendiri. Kemudian, ikuti petunjuk masuk[Administrator yang didelegasikan untuk AWS Organizations](orgs_delegate_policies.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingNecessaryDescribeListActionsWithoutCondition",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "DelegatingNecessaryDescribeListActionsWithCondition",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": "BACKUP_POLICY"
}
}
},
{
"Sid": "DelegatingTaggingBackupPolicies",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:TagResource",
"organizations:UntagResource"
],
"Resource": "arn:aws:organizations::111122223333:policy/o-OrganizationId/backup_policy/*"
}
]
}
```
------
## Contoh: Lampirkan kebijakan ke satu OU atau akun
Contoh ini menunjukkan cara Anda membuat kebijakan delegasi berbasis sumber daya yang memungkinkan administrator yang didelegasikan ke `attach` atau kebijakan Organizations dari unit `detach` organisasi tertentu (OU) atau akun tertentu. Sebelum mendelegasikan tindakan ini, Anda harus mendelegasikan izin untuk menavigasi struktur organisasi dan melihat akun di bawahnya. Untuk detailnya, lihat [Contoh: Lihat organisasi OUs, akun, dan kebijakan](#orgs_delegate_policies_example_view_accts_orgs)
**penting**
Meskipun kebijakan ini memungkinkan melampirkan atau melepaskan kebijakan dari OU atau akun yang ditentukan, kebijakan ini mengecualikan anak OUs dan akun di bawah anak. OUs
Kebijakan ini memungkinkan administrator yang didelegasikan untuk melakukan tindakan tertentu pada kebijakan yang dibuat oleh akun mana pun di organisasi, termasuk akun manajemen.
Contoh kebijakan delegasi ini memberikan izin yang diperlukan untuk menyelesaikan tindakan secara terprogram dari API atau. AWS AWS CLI Untuk menggunakan kebijakan delegasi ini, ganti teks AWS placeholder untuk*MemberAccountId*,, *ManagementAccountId**OrganizationId*, dan *TargetAccountId* dengan informasi Anda sendiri. Kemudian, ikuti petunjuk masuk[Administrator yang didelegasikan untuk AWS Organizations](orgs_delegate_policies.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingNecessaryDescribeListActions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy",
"organizations:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "AttachDetachPoliciesSpecifiedAccountOU",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:AttachPolicy",
"organizations:DetachPolicy"
],
"Resource": [
"arn:aws:organizations::111122223333:ou/o-OrganizationId/ou-OUId",
"arn:aws:organizations::111122223333:account/o-OrganizationId/TargetAccountId",
"arn:aws:organizations::111122223333:policy/o-OrganizationId/backup_policy/*"
]
}
]
}
```
------
Untuk mendelegasikan kebijakan melampirkan dan melepaskan ke OU atau akun apa pun di organisasi, ganti sumber daya dalam contoh sebelumnya dengan sumber daya berikut:
```
"Resource": [
"arn:aws:organizations::ManagementAccountId:ou/o-OrganizationId/*",
"arn:aws:organizations::ManagementAccountId:account/o-OrganizationId/*",
"arn:aws:organizations::ManagementAccountId:policy/o-OrganizationId/backup_policy/*"
]
```
## Contoh: Izin gabungan untuk mengelola kebijakan cadangan organisasi
Contoh ini menunjukkan cara membuat kebijakan delegasi berbasis sumber daya yang memungkinkan akun manajemen mendelegasikan izin penuh yang diperlukan untuk mengelola kebijakan pencadangan dalam organisasi, termasuk,,, dan `delete` tindakan `create` `read``update`, serta tindakan kebijakan. `attach` `detach`
**penting**
Kebijakan ini memungkinkan administrator yang didelegasikan untuk melakukan tindakan tertentu pada kebijakan yang dibuat oleh akun mana pun di organisasi, termasuk akun manajemen.
Contoh kebijakan delegasi ini memberikan izin yang diperlukan untuk menyelesaikan tindakan secara terprogram dari API atau. AWS AWS CLI Untuk menggunakan kebijakan delegasi ini, ganti [teks AWS placeholder](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) untuk*MemberAccountId*,, *ManagementAccountId**OrganizationId*, dan *RootId* dengan informasi Anda sendiri. Kemudian, ikuti petunjuk masuk[Administrator yang didelegasikan untuk AWS Organizations](orgs_delegate_policies.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingNecessaryDescribeListActions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "DelegatingNecessaryDescribeListActionsForSpecificPolicyType",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": "BACKUP_POLICY"
}
}
},
{
"Sid": "DelegatingAllActionsForBackupPolicies",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:CreatePolicy",
"organizations:UpdatePolicy",
"organizations:DeletePolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy",
"organizations:EnablePolicyType",
"organizations:DisablePolicyType"
],
"Resource": [
"arn:aws:organizations::111122223333:root/o-OrganizationId/r-RootId",
"arn:aws:organizations::111122223333:ou/o-OrganizationId/*",
"arn:aws:organizations::111122223333:account/o-OrganizationId/*",
"arn:aws:organizations::111122223333:policy/o-OrganizationId/backup_policy/*"
],
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": "BACKUP_POLICY"
}
}
}
]
}
```
------
# AWS kebijakan terkelola untuk AWS Organizations
Bagian ini mengidentifikasi kebijakan yang AWS dikelola yang disediakan untuk Anda gunakan untuk mengelola organisasi Anda. Anda tidak dapat mengubah atau menghapus kebijakan AWS terkelola, tetapi Anda dapat melampirkan atau melepaskannya ke entitas di organisasi sesuai kebutuhan.
## AWS Organizations kebijakan terkelola untuk digunakan dengan AWS Identity and Access Management (IAM)
Kebijakan terkelola IAM disediakan dan dikelola oleh AWS. Kebijakan terkelola menyediakan izin untuk tugas umum yang dapat Anda tetapkan kepada pengguna dengan melampirkan kebijakan terkelola tersebut ke objek pengguna IAM atau peran yang sesuai. Anda tidak perlu menulis kebijakan sendiri, dan ketika AWS memperbarui kebijakan yang sesuai untuk mendukung layanan baru, Anda secara otomatis dan segera mendapatkan manfaat dari pembaruan.
Anda dapat melihat daftar kebijakan terkelola AWS di halaman [Kebijakan](https://console.aws.amazon.com/iam/home?#/policies) pada konsol IAM. Gunakan drop-down **Filter kebijakan** untuk memilih **terkelola AWS **.
Anda dapat menggunakan kebijakan terkelola berikut ini untuk memberikan izin kepada pengguna yang ada di organisasi Anda.
### AWS kebijakan terkelola: AWSOrganizationsFullAccess
Menyediakan semua izin yang diperlukan untuk membuat dan sepenuhnya mengelola sebuah organisasi.
Lihat kebijakan: [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsFullAccess.html).
### AWS kebijakan terkelola: AWSOrganizationsReadOnlyAccess
Menyediakan akses baca saja ke informasi tentang organisasi. Izin ini tidak mengizinkan pengguna untuk melakukan perubahan.
Lihat kebijakan: [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsReadOnlyAccess.html).
### AWS kebijakan terkelola: DeclarativePoliciesEC2Report
Kebijakan ini digunakan oleh peran terkait layanan [AWSServiceRoleForDeclarativePoliciesEC2Laporkan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#ec2-report-policy) untuk memungkinkannya menjelaskan status atribut akun untuk akun anggota.
Lihat kebijakan: [DeclarativePoliciesEC2Laporkan](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/DeclarativePoliciesEC2Report.html).
## Pembaruan kebijakan yang AWS dikelola Organizations
Tabel berikut merinci pembaruan kebijakan AWS terkelola sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di [halaman Riwayat Dokumen ](document-history.md).
****
| Perubahan | Deskripsi | Date |
| --- | --- | --- |
| [AWSOrganizationsFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsFullAccess$jsonEditor)— diperbarui untuk memungkinkan izin API akun yang diperlukan untuk melihat atau memodifikasi nama akun melalui konsol Organizations. | Menambahkan `account:GetAccountInformation` tindakan untuk mengaktifkan akses untuk melihat nama akun akun apa pun di organisasi dan `account:PutAccountName` tindakan untuk mengaktifkan akses untuk mengubah nama akun apa pun di organisasi. | April 22, 2025 |
| [DeclarativePoliciesEC2Laporan](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/DeclarativePoliciesEC2Report$jsonEditor) — Kebijakan terkelola baru | Menambahkan `DeclarativePoliciesEC2Report` kebijakan untuk mengaktifkan fungsionalitas peran `AWSServiceRoleForDeclarativePoliciesEC2Report` terkait layanan. | November 22, 2024 |
| [AWSOrganizationsReadOnlyAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsReadOnlyAccess$jsonEditor)— diperbarui untuk memungkinkan izin API akun yang diperlukan untuk melihat alamat email pengguna root alamat email . | Menambahkan `account:GetPrimaryEmail` tindakan untuk mengaktifkan akses untuk melihat alamat email pengguna root alamat untuk setiap akun anggota dalam organisasi dan `account:GetRegionOptStatus` tindakan untuk mengaktifkan akses untuk melihat Wilayah yang diaktifkan untuk akun anggota mana pun di organisasi. | Juni 6, 2024 |
| [AWSOrganizationsFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsFullAccess$jsonEditor)— diperbarui untuk memasukkan `Sid` elemen yang menggambarkan pernyataan kebijakan. | Menambahkan `Sid` elemen untuk kebijakan `AWSOrganizationsFullAccess` terkelola. | Februari 6, 2024 |
| [AWSOrganizationsReadOnlyAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsReadOnlyAccess$jsonEditor)— diperbarui untuk memasukkan `Sid` elemen yang menggambarkan pernyataan kebijakan. | Menambahkan `Sid` elemen untuk kebijakan `AWSOrganizationsReadOnlyAccess` terkelola. | Februari 6, 2024 |
| [AWSOrganizationsFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsFullAccess$jsonEditor)— diperbarui untuk memungkinkan izin API akun yang diperlukan untuk mengaktifkan atau menonaktifkan Wilayah AWS melalui konsol Organizations. | Menambahkan`account:ListRegions`, `account:EnableRegion` dan `account:DisableRegion` tindakan ke kebijakan untuk mengaktifkan akses tulis untuk mengaktifkan atau menonaktifkan Wilayah untuk akun. | 22 Desember 2022 |
| [AWSOrganizationsReadOnlyAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsReadOnlyAccess$jsonEditor)— diperbarui untuk memungkinkan izin API akun yang diperlukan untuk mendaftar Wilayah AWS melalui konsol Organizations. | Menambahkan `account:ListRegions` tindakan ke kebijakan untuk mengaktifkan akses untuk melihat Wilayah untuk akun. | 22 Desember 2022 |
| [AWSOrganizationsFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsFullAccess$jsonEditor)— diperbarui untuk memungkinkan izin API akun yang diperlukan untuk menambah atau mengedit kontak akun melalui konsol Organizations. | Menambahkan `account:PutContactInformation` tindakan `account:GetContactInformation` dan ke kebijakan untuk mengaktifkan akses tulis untuk mengubah kontak untuk akun. | 21 Oktober 2022 |
| [AWSOrganizationsReadOnlyAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsReadOnlyAccess$jsonEditor)— diperbarui untuk memungkinkan izin API akun yang diperlukan untuk melihat kontak akun melalui konsol Organizations. | Menambahkan `account:GetContactInformation` tindakan ke kebijakan untuk mengaktifkan akses untuk melihat kontak untuk akun. | 21 Oktober 2022 |
| [AWSOrganizationsFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsFullAccess$jsonEditor)— diperbarui untuk memungkinkan pembuatan organisasi. | Menambahkan `CreateServiceLinkedRole` izin ke kebijakan untuk mengaktifkan pembuatan peran terkait layanan yang diperlukan untuk membuat organisasi. Izin ini dibatasi untuk menciptakan peran yang dapat digunakan oleh layanan `organizations.amazonaws.com` saja. | Agustus 24, 2022 |
| [AWSOrganizationsFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsFullAccess$jsonEditor)— diperbarui untuk memungkinkan izin API akun yang diperlukan untuk menambah, mengedit, atau menghapus kontak alternatif akun melalui konsol Organizations. | Menambahkan`account:GetAlternateContact`,`account:DeleteAlternateContact`, `account:PutAlternateContact` tindakan ke kebijakan untuk mengaktifkan akses tulis untuk mengubah kontak alternatif untuk akun. | Februari 7, 2022 |
| [AWSOrganizationsReadOnlyAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsReadOnlyAccess$jsonEditor)— diperbarui untuk memungkinkan izin API akun yang diperlukan untuk melihat kontak alternatif akun melalui konsol Organizations. | Menambahkan `account:GetAlternateContact` tindakan ke kebijakan untuk mengaktifkan akses untuk melihat kontak alternatif untuk akun. | Februari 7, 2022 |
## AWS kebijakan otorisasi terkelola
Kebijakan [otorisasi mirip dengan kebijakan](orgs_manage_policies_authorization_policies.md) izin IAM, tetapi merupakan fitur AWS Organizations daripada IAM. Anda menggunakan kebijakan otorisasi untuk mengonfigurasi dan mengelola akses untuk prinsipal dan sumber daya secara terpusat di akun anggota Anda.
Anda dapat melihat daftar kebijakan di organisasi Anda di halaman [Kebijakan](https://console.aws.amazon.com/organizations/?#/policies) di konsol Organizations.
****
| Nama kebijakan | Deskripsi | ARN |
| --- | --- | --- |
| [Penuh AWSAccess](https://console.aws.amazon.com/organizations/v2/home/policies/service-control-policy/p-FullAWSAccess) | Memungkinkan akses ke setiap operasi. | arn:aws:organizations: :aws: -Penuh policy/service\$1control\$1policy/p AWSAccess |
| [RCPFullAWSAccess](https://console.aws.amazon.com/organizations/v2/home/policies/resource-control-policy/p-RCPFullAWSAccess) | Memungkinkan akses ke setiap sumber daya. | arn:aws:organisasi: :aws: - policy/resource\$1control\$1policy/p RCPFull AWSAccess |
# Kontrol akses berbasis atribut dengan tag untuk AWS Organizations
*[Kontrol akses berbasis atribut](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)* memungkinkan Anda menggunakan atribut yang dikelola administrator seperti [tag](https://docs.aws.amazon.com/ARG/latest/userguide/tag-editor.html) yang dilampirkan pada AWS sumber daya dan AWS identitas untuk mengontrol akses ke sumber daya tersebut. Sebagi contoh, Anda dapat menentukan bahwa pengguna dapat mengakses sumber daya ketika pengguna dan sumber daya memiliki nilai yang sama untuk tag tertentu.
AWS Organizations sumber daya taggable meliputi Akun AWS, akar organisasi, unit organisasi (OUs), atau kebijakan. Bila Anda melampirkan tag ke sumber daya Organizations, Anda kemudian dapat menggunakan tag tersebut untuk mengontrol siapa yang dapat mengakses sumber daya tersebut. Anda melakukannya dengan menambahkan `Condition` elemen ke pernyataan kebijakan izin AWS Identity and Access Management (IAM) Anda yang memeriksa apakah kunci dan nilai tag tertentu ada sebelum mengizinkan tindakan. Ini memungkinkan Anda untuk membuat kebijakan IAM yang secara efektif mengatakan “Izinkan pengguna untuk mengelola hanya mereka OUs yang memiliki tag dengan kunci `X` dan nilai`Y`" atau “Izinkan pengguna untuk mengelola hanya mereka OUs yang ditandai dengan kunci `Z` yang memiliki nilai yang sama dengan kunci `Z` tag terlampir pengguna.”
Anda dapat mendasarkan pengujian `Condition` Anda pada berbagai jenis referensi tag dalam kebijakan IAM.
+ [Memeriksa tag yang dilampirkan ke sumber daya yang ditentukan dalam permintaan](#abac-resource)
+ [Memeriksa tag yang dilampirkan ke pengguna atau peran IAM yang membuat permintaan](#abac-prin)
+ [Periksa tag yang disertakan sebagai parameter dalam permintaan](#abac-request)
Untuk informasi selengkapnya tentang menggunakan tag untuk kontrol akses dalam kebijakan, lihat [Mengontrol akses ke dan untuk pengguna dan peran IAM menggunakan dengan tag sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html). Untuk sintaksis lengkap kebijakan izin IAM, lihat [Referensi kebijakan IAM JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)
## Memeriksa tag yang dilampirkan ke sumber daya yang ditentukan dalam permintaan
Ketika Anda membuat permintaan dengan menggunakan Konsol Manajemen AWS, the AWS Command Line Interface (AWS CLI), atau salah satu AWS SDKs, Anda menentukan sumber daya apa yang ingin Anda akses dengan permintaan itu. Apakah Anda mencoba untuk membuat daftar sumber daya yang tersedia dari jenis tertentu, membaca sumber daya, atau menulis ke, memodifikasi, atau memperbarui sumber daya, Anda menentukan sumber daya yang akan diakses sebagai parameter dalam permintaan. Permintaan tersebut dikontrol oleh kebijakan izin IAM yang Anda lampirkan ke pengguna dan peran Anda. Dalam kebijakan ini, Anda dapat membandingkan tag yang terlampir pada sumber daya yang diminta dan memilih untuk mengizinkan atau menolak akses berdasarkan kunci dan nilai tag tersebut.
Untuk memeriksa tag yang terlampir pada sumber daya, Anda referensi tag dalam elemen `Condition` dengan melakukan prefacing pada name kunci tag dengan string berikut: `aws:ResourceTag/`
Sebagai contoh, kebijakan contoh berikut memungkinkan pengguna atau peran untuk melakukan operasi AWS Organizations ***kecuali*** sumber daya yang memiliki tag dengan kunci `department` dan nilai `security`. Jika kunci dan nilai tersebut hadir, maka kebijakan secara eksplisit menyangkal operasi `UntagResource`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" : "organizations:*",
"Resource" : "*"
},
{
"Effect" : "Deny",
"Action" : "organizations:UntagResource",
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"aws:ResourceTag/department" : "security"
}
}
}
]
}
```
------
Untuk informasi selengkapnya tentang cara menggunakan elemen ini, lihat [Mengontrol akses ke sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html#access_iam-tags_control-resources) dan [aws: ResourceTag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) di *Panduan Pengguna IAM*.
## Memeriksa tag yang dilampirkan ke pengguna atau peran IAM yang membuat permintaan
Anda dapat mengontrol apa yang boleh dilakukan oleh orang yang membuat permintaan (prinsipal) berdasarkan tag yang dilampirkan ke pengguna atau peran IAM orang tersebut. Untuk melakukannya, gunakan kunci syarat `aws:PrincipalTag/key-name` untuk menentukan tag dan nilai yang harus dilampirkan ke pengguna atau peran yang memanggil.
Contoh berikut menunjukkan cara mengizinkan tindakan hanya ketika tag tertentu (`cost-center`) memiliki nilai yang sama pada prinsipal utama yang memanggil operasi, dan sumber daya yang sedang diakses oleh operasi. Dalam contoh ini, pengguna yang memanggil dapat memulai dan menghentikan instans Amazon EC2 hanya jika instans tersebut ditandai dengan nilai `cost-center` yang sama sebagai pengguna.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"ec2:startInstances",
"ec2:stopInstances"
],
"Resource": "*",
"Condition": {"StringEquals":
{"ec2:ResourceTag/cost-center": "${aws:PrincipalTag/cost-center}"}}
}
}
```
------
Untuk informasi selengkapnya tentang cara menggunakan elemen ini, lihat [Mengontrol akses ke prinsipal IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html#access_iam-tags_control-principals) dan [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag) di *Panduan Pengguna IAM*.
## Periksa tag yang disertakan sebagai parameter dalam permintaan
Beberapa operasi memungkinkan Anda untuk menentukan tag sebagai bagian dari permintaan. Sebagai contoh, ketika Anda membuat sumber daya, Anda dapat menentukan tag yang terlampir pada sumber daya baru. Anda dapat menentukan elemen `Condition` yang menggunakan `aws:TagKeys` untuk mengizinkan atau menolak operasi berdasarkan apakah kunci tag tertentu, atau sekumpulan kunci, disertakan dalam permintaan. Operator perbandingan ini tidak peduli nilai yang terkandung dalam tag. Ia hanya memeriksa apakah tag dengan kunci tertentu hadir.
Untuk memeriksa kunci tag, atau membuat daftar kunci, tentukan elemen `Condition` dengan sintaksis berikut:
```
"aws:TagKeys": [ "tag-key-1", "tag-key-2", ... , "tag-key-n" ]
```
Anda dapat menggunakan [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions) melakukan preface atas operator perbandingan untuk memastikan bahwa semua kunci dalam permintaan harus sesuai dengan salah satu kunci yang ditentukan dalam kebijakan. Misalnya, kebijakan sampel berikut mengizinkan operasi Organizations hanya jika semua tag yang ada dalam permintaan adalah ***bagian dari tiga*** tag dalam kebijakan ini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "organizations:*",
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"department",
"costcenter",
"manager"
]
}
}
}
}
```
------
Atau, snda dapat menggunakan [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions) melakukan preface atas operator perbandingan untuk memastikan bahwa paling tidak satu dari semua kunci dalam permintaan sesuai dengan salah satu kunci yang ditentukan dalam kebijakan. Sebagai contoh, kebijakan berikut memungkinkan operasi Organizations hanya jika ***paling tidak satu*** dari kunci tag yang ditentukan hadir dalam permintaan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "organizations:*",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"stage",
"us-east-1",
"domain"
]
}
}
}
}
```
------
Beberapa operasi memungkinkan Anda untuk menentukan tag sebagai bagian dari permintaan. Sebagai contoh, ketika Anda membuat sumber daya, Anda dapat menentukan tag yang terlampir pada sumber daya baru. Anda dapat membandingkan pasangan nilai kunci tag dalam kebijakan dengan pasangan nilai kunci yang disertakan dengan permintaan tersebut. Untuk melakukannya, referensi tag dalam elemen `Condition` dengan melakukan preface atas tag nama kunci dengan string berikut: `aws:RequestTag/key-name` dan kemudian tentukan nilai tag yang harus ada.
Misalnya, kebijakan contoh berikut menolak permintaan apa pun oleh pengguna atau peran untuk membuat Akun AWS tempat permintaan kehilangan `costcenter` tag, atau memberikan tag tersebut dengan nilai selain`1`,`2`, atau`3`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "organizations:CreateAccount",
"Resource": "*",
"Condition": {
"Null": {
"aws:RequestTag/costcenter": "true"
}
}
},
{
"Effect": "Deny",
"Action": "organizations:CreateAccount",
"Resource": "*",
"Condition": {
"ForAnyValue:StringNotEquals": {
"aws:RequestTag/costcenter": [
"1",
"2",
"3"
]
}
}
}
]
}
```
------
Untuk informasi selengkapnya tentang cara menggunakan elemen ini, lihat [aws: TagKeys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys) dan [aws: RequestTag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag) di *Panduan Pengguna IAM*.
# Memecahkan masalah AWS Organizations identitas dan akses
Gunakan informasi berikut untuk membantu Anda mendiagnosis dan memperbaiki masalah umum yang mungkin Anda temui saat bekerja dengan Organizations dan IAM.
**Topics**
+ [Saya tidak berwenang untuk melakukan tindakan di Organizations](#security_iam_troubleshoot-no-permissions)
+ [Saya tidak berwenang untuk melakukan iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Saya ingin mengizinkan orang-orang di luar saya Akun AWS untuk mengakses sumber daya Organizations saya](#security_iam_troubleshoot-cross-account-access)
## Saya tidak berwenang untuk melakukan tindakan di Organizations
Jika Anda menerima pesan kesalahan bahwa Anda tidak memiliki otorisasi untuk melakukan tindakan, kebijakan Anda harus diperbarui agar Anda dapat melakukan tindakan tersebut.
Contoh kesalahan berikut terjadi ketika pengguna IAM `mateojackson` mencoba menggunakan konsol untuk melihat detail tentang suatu sumber daya `my-example-widget` rekaan, tetapi tidak memiliki izin `organizations:GetWidget` rekaan.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: organizations:GetWidget on resource: my-example-widget
```
Dalam hal ini, kebijakan untuk pengguna `mateojackson` harus diperbarui untuk mengizinkan akses ke sumber daya `my-example-widget` dengan menggunakan tindakan `organizations:GetWidget`.
Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.
## Saya tidak berwenang untuk melakukan iam: PassRole
Jika Anda menerima kesalahan bahwa Anda tidak berwenang untuk melakukan `iam:PassRole` tindakan, kebijakan Anda harus diperbarui agar Anda dapat meneruskan peran ke Organizations.
Beberapa Layanan AWS memungkinkan Anda untuk meneruskan peran yang ada ke layanan tersebut alih-alih membuat peran layanan baru atau peran terkait layanan. Untuk melakukannya, Anda harus memiliki izin untuk meneruskan peran ke layanan.
Contoh kesalahan berikut terjadi ketika pengguna IAM bernama `marymajor` mencoba menggunakan konsol untuk melakukan tindakan di Organizations. Namun, tindakan tersebut memerlukan layanan untuk mendapatkan izin yang diberikan oleh peran layanan. Mary tidak memiliki izin untuk meneruskan peran tersebut pada layanan.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dalam kasus ini, kebijakan Mary harus diperbarui agar dia mendapatkan izin untuk melakukan tindakan `iam:PassRole` tersebut.
Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.
## Saya ingin mengizinkan orang-orang di luar saya Akun AWS untuk mengakses sumber daya Organizations saya
Anda dapat membuat peran yang dapat digunakan pengguna di akun lain atau orang-orang di luar organisasi Anda untuk mengakses sumber daya Anda. Anda dapat menentukan siapa saja yang dipercaya untuk mengambil peran tersebut. Untuk layanan yang mendukung kebijakan berbasis sumber daya atau daftar kontrol akses (ACLs), Anda dapat menggunakan kebijakan tersebut untuk memberi orang akses ke sumber daya Anda.
Untuk mempelajari selengkapnya, periksa referensi berikut:
+ Untuk mengetahui apakah Organizations mendukung fitur-fitur ini, lihat[Bagaimana AWS Organizations bekerja dengan IAM](security_iam_service-with-iam.md).
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda di seluruh sumber daya Akun AWS yang Anda miliki, lihat [Menyediakan akses ke pengguna IAM di pengguna lain Akun AWS yang Anda miliki](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) di *Panduan Pengguna IAM*.
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda kepada pihak ketiga Akun AWS, lihat [Menyediakan akses yang Akun AWS dimiliki oleh pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dalam *Panduan Pengguna IAM*.
+ Untuk mempelajari cara memberikan akses melalui federasi identitas, lihat [Menyediakan akses ke pengguna terautentikasi eksternal (federasi identitas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dalam *Panduan Pengguna IAM*.
+ *Untuk mempelajari perbedaan antara menggunakan peran dan kebijakan berbasis sumber daya untuk akses lintas akun, lihat [Akses sumber daya lintas akun di IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html).*