Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Lampiran: Contoh profil dan kebijakan peran
## Contoh kebijakan untuk Aplikasi 1
Kebijakan sampel untuk **Profil 1** memungkinkan beberapa tindakan untuk **Bucket 1 di** Amazon Simple Storage Service (Amazon S3):
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetObject",
"s3:GetObjectTagging",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1",
"arn:aws:s3:::amzn-s3-demo-bucket1/*"
]
}
]
}
```
Kebijakan sampel untuk **Peran 1** memungkinkan `DescribeInstances` tindakan untuk instans Amazon Elastic Compute Cloud (Amazon EC2) dan memungkinkan beberapa tindakan **pada Bucket 1 dan Bucket **2** di** Amazon S3:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances"
],
"Resource": [
"arn:aws:ec2:us-east-1:123456789012:instance/i-01234567890abcdef"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetObject",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectLegalHold",
"s3:PutObjectTagging"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1",
"arn:aws:s3:::amzn-s3-demo-bucket1/*",
"arn:aws:s3:::amzn-s3-demo-bucket2",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"
]
}
]
}
```
Kebijakan **Profil 1** membatasi izin yang diberikan oleh kebijakan **Peran 1**. Ini diterapkan pada sesi peran ketika peran diasumsikan melalui IAM Roles Anywhere. Aplikasi yang mengasumsikan **Peran 1** hanya memiliki akses ke **Bucket 1**. Itu tidak dapat mengakses **Bucket 2** atau melakukan tindakan Amazon EC2 apa pun karena kebijakan **Profil 1** tidak memberikan izin ini.
## Contoh kebijakan untuk Aplikasi 2
Kebijakan sampel untuk **Profil 2** memungkinkan beberapa tindakan untuk **Bucket 2** di Amazon S3:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetObject",
"s3:GetObjectTagging",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket2",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"
]
}
]
}
```
Kebijakan sampel untuk **Peran 2** memungkinkan `DescribeInstances` tindakan untuk instans Amazon EC2 dan memungkinkan beberapa tindakan pada **Bucket 1 dan Bucket** **2 di** Amazon S3:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances"
],
"Resource": [
"arn:aws:ec2:us-east-1:567890123456:instance/i-05678901234ghijk"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetObject",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectLegalHold",
"s3:PutObjectTagging"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1",
"arn:aws:s3:::amzn-s3-demo-bucket1/*",
"arn:aws:s3:::amzn-s3-demo-bucket2",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"
]
}
]
}
```
Kebijakan untuk **Profil 2** membatasi izin yang diberikan oleh **Peran 2**. Ini diterapkan pada sesi peran ketika peran diasumsikan melalui IAM Roles Anywhere. Aplikasi yang mengasumsikan **Peran 2** hanya memiliki akses ke **Bucket 2**. Ini tidak dapat mengakses **Bucket 1** atau melakukan tindakan Amazon EC2 karena kebijakan **Profil 2** tidak memberikan izin ini.