Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Lampiran: Contoh profil dan kebijakan peran
Contoh kebijakan untuk Aplikasi 1
Kebijakan sampel untuk Profil 1 memungkinkan beberapa tindakan untuk Bucket 1 di Amazon Simple Storage Service (Amazon S3):
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetObject", "s3:GetObjectTagging", "s3:GetObjectVersion" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket1", "arn:aws:s3:::amzn-s3-demo-bucket1/*" ] } ] }
Kebijakan sampel untuk Peran 1 memungkinkan DescribeInstances tindakan untuk instans Amazon Elastic Compute Cloud (Amazon EC2) dan memungkinkan beberapa tindakan pada Bucket 1 dan Bucket 2 di Amazon S3:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstances" ], "Resource": [ "arn:aws:ec2:us-east-1:123456789012:instance/i-01234567890abcdef" ] }, { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:ListBucket", "s3:GetObject", "s3:GetObjectTagging", "s3:GetObjectVersion", "s3:PutObject", "s3:PutObjectAcl", "s3:PutObjectLegalHold", "s3:PutObjectTagging" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket1", "arn:aws:s3:::amzn-s3-demo-bucket1/*", "arn:aws:s3:::amzn-s3-demo-bucket2", "arn:aws:s3:::amzn-s3-demo-bucket2/*" ] } ] }
Kebijakan Profil 1 membatasi izin yang diberikan oleh kebijakan Peran 1. Ini diterapkan pada sesi peran ketika peran diasumsikan melalui IAM Roles Anywhere. Aplikasi yang mengasumsikan Peran 1 hanya memiliki akses ke Bucket 1. Itu tidak dapat mengakses Bucket 2 atau melakukan EC2 tindakan Amazon apa pun karena kebijakan Profil 1 tidak memberikan izin ini.
Contoh kebijakan untuk Aplikasi 2
Kebijakan sampel untuk Profil 2 memungkinkan beberapa tindakan untuk Bucket 2 di Amazon S3:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetObject", "s3:GetObjectTagging", "s3:GetObjectVersion" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket2", "arn:aws:s3:::amzn-s3-demo-bucket2/*" ] } ] }
Kebijakan sampel untuk Peran 2 memungkinkan DescribeInstances tindakan untuk EC2 instans Amazon dan memungkinkan beberapa tindakan di Bucket 1 dan Bucket 2 di Amazon S3:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstances" ], "Resource": [ "arn:aws:ec2:us-east-1:567890123456:instance/i-05678901234ghijk" ] }, { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:ListBucket", "s3:GetObject", "s3:GetObjectTagging", "s3:GetObjectVersion", "s3:PutObject", "s3:PutObjectAcl", "s3:PutObjectLegalHold", "s3:PutObjectTagging" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket1", "arn:aws:s3:::amzn-s3-demo-bucket1/*", "arn:aws:s3:::amzn-s3-demo-bucket2", "arn:aws:s3:::amzn-s3-demo-bucket2/*" ] } ] }
Kebijakan untuk Profil 2 membatasi izin yang diberikan oleh Peran 2. Ini diterapkan pada sesi peran ketika peran diasumsikan melalui IAM Roles Anywhere. Aplikasi yang mengasumsikan Peran 2 hanya memiliki akses ke Bucket 2. Ini tidak dapat mengakses Bucket 1 atau melakukan EC2 tindakan Amazon karena kebijakan Profil 2 tidak memberikan izin ini.
