# Manajemen izin Kelola izin guna mengontrol akses untuk identitas orang dan mesin yang memerlukan akses ke AWS dan beban kerja Anda. Izin memungkinkan Anda mengontrol siapa yang dapat mengakses hal tertentu, beserta kondisinya. Dengan menetapkan izin ke identitas manusia dan mesin tertentu, Anda memberinya akses ke tindakan layanan tertentu di sumber daya tertentu. Selain itu, Anda menentukan kondisi yang harus dipenuhi agar akses dapat diberikan. Terdapat beberapa cara untuk memberikan akses ke beberapa jenis sumber daya yang berbeda. Salah satunya adalah menggunakan beberapa jenis kebijakan yang berbeda. [Kebijakan berbasis identitas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) di IAM *dikelola* atau *inline*, dan dilampirkan ke identitas IAM, termasuk pengguna, grup, atau peran. Kebijakan ini memungkinkan Anda menentukan apa yang dapat dilakukan oleh identitas (izinnya). Kebijakan berbasis identitas dapat dikategorikan lebih lanjut. **Kebijakan terkelola** – Kebijakan berbasis identitas mandiri yang dapat diterapkan ke beberapa pengguna, grup, dan peran dalam akun AWS Anda. Ada dua jenis kebijakan terkelola: + **Kebijakan yang dikelola AWS** – Kebijakan terkelola yang dibuat dan dikelola oleh AWS. + **Kebijakan yang dikelola pelanggan** – Kebijakan terkelola yang Anda buat dan kelola dalam akun AWS Anda. Kebijakan yang dikelola pelanggan memberikan kontrol yang lebih presisi terhadap kebijakan Anda dibandingkan dengan kebijakan yang dikelola AWS. Kebijakan terkelola adalah metode yang diutamakan untuk menerapkan izin. Namun, Anda juga dapat menggunakan kebijakan sebaris yang Anda tambahkan langsung ke pengguna, grup, atau peran tunggal. Kebijakan inline mempertahankan hubungan satu-ke-satu yang ketat antara kebijakan dan sebuah identitas. Kebijakan sebaris akan dihapus saat Anda menghapus identitas. Di sebagian besar kasus, Anda harus membuat sendiri kebijakan yang dikelola pelanggan dengan mengikuti prinsip [hak akses paling rendah](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege). [Kebijakan berbasis sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dilampirkan pada sumber daya. Sebagai contoh, kebijakan bucket S3 merupakan kebijakan berbasis sumber daya. Kebijakan ini memberikan izin kepada principal yang dapat berada di akun yang sama atau berbeda dengan sumber daya. Untuk daftar layanan yang mendukung kebijakan berbasis sumber daya, silakan lihat [layanan-layanan AWS yang bisa digunakan dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). [Batasan izin](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) menggunakan kebijakan terkelola untuk menetapkan izin maksimum yang dapat ditetapkan administrator. Dengan demikian, Anda dapat mendelegasikan kemampuan untuk membuat dan mengelola izin kepada developer, seperti pembuatan peran IAM, tetapi membatasi izin yang dapat mereka berikan agar mereka tidak dapat memperluas izin mereka menggunakan izin yang telah mereka buat. [Kontrol akses berbasis atribut (ABAC):](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di AWS memungkinkan Anda memberikan izin berdasarkan atribut yang disebut tanda. Tanda dapat dilampirkan pada principal IAM (pengguna atau peran) dan pada sumber daya AWS. Administrator dapat membuat kebijakan IAM yang dapat digunakan kembali yang menerapkan izin berdasarkan atribut principal IAM. Sebagai contoh, sebagai administrator, Anda dapat menggunakan kebijakan IAM tunggal untuk memberi developer di organisasi Anda akses ke sumber daya AWS yang cocok dengan tanda proyek mereka. Seiring tim developer menambahkan sumber daya ke proyek, izin diterapkan secara otomatis berdasarkan atribut, sehingga tidak memerlukan pembaruan kebijakan untuk setiap sumber daya baru. [Kebijakan Kontrol Layanan (SCP) organisasi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_scp) menentukan izin maksimum untuk anggota akun organisasi atau unit organisasional (OU). SCP *membatasi* izin yang diberikan oleh kebijakan berbasis identitas atau kebijakan berbasis sumber daya kepada entitas (pengguna atau peran) dalam akun, tetapi *tidak memberikan* izin. [Kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) mengambil peran atau pengguna gabungan. Lewati kebijakan sesi saat menggunakan kebijakan Sesi CLI AWS atau API AWS untuk membatasi izin yang diberikan oleh kebijakan berbasis identitas peran atau pengguna ke sesi tersebut. Kebijakan ini *membatasi* izin untuk sesi yang dibuat, tetapi *tidak memberikan* izin. Untuk informasi selengkapnya, lihat [Kebijakan Sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session). **Topics** + [SEC03-BP01 Menetapkan persyaratan akses](sec_permissions_define.md) + [SEC03-BP02 Memberikan hak akses paling rendah](sec_permissions_least_privileges.md) + [SEC03-BP03 Menerapkan proses akses darurat](sec_permissions_emergency_process.md) + [SEC03-BP04 Mengurangi izin secara terus-menerus](sec_permissions_continuous_reduction.md) + [SEC03-BP05 Tentukan pagar pembatas izin untuk organisasi Anda](sec_permissions_define_guardrails.md) + [SEC03-BP06 Mengelola akses berdasarkan siklus hidup](sec_permissions_lifecycle.md) + [SEC03-BP07 Menganalisis akses publik dan lintas akun](sec_permissions_analyze_cross_account.md) + [SEC03-BP08 Membagikan sumber daya secara aman dalam organisasi Anda](sec_permissions_share_securely.md) + [SEC03-BP09 Membagikan sumber daya secara aman kepada pihak ketiga](sec_permissions_share_securely_third_party.md)