Kebijakan berbasis identitas AWS WA Tool Kebijakan berbasis sumber daya Tindakan kebijakan Sumber daya kebijakan Kunci kondisi kebijakan ACL di AWS WA Tool Otorisasi berdasarkan tanda AWS WA Tool Kredensial sementara Izin principal Peran layanan Peran terkait layanan

Cara kerja AWS Well-Architected Tool dengan IAM

Sebelum Anda menggunakan IAM untuk mengelola akses ke AWS WA Tool, Anda harus memahami fitur IAM yang tersedia untuk digunakan dengan AWS WA Tool.

Fitur IAM yang dapat Anda gunakan dengan AWS Well-Architected Tool
Fitur IAM	Dukungan AWS WA Tool
Kebijakan berbasis identitas	Ya
Kebijakan berbasis sumber daya	Tidak
Tindakan kebijakan	Ya
Sumber daya kebijakan	Ya
kunci-kunci persyaratan kebijakan (spesifik layanan)	Ya
ACL	Tidak
ABAC (tanda dalam kebijakan)	Ya
Kredensial sementara	Ya
Izin principal	Ya
Peran layanan	Tidak
Peran terkait layanan	Tidak

Untuk mendapatkan gambaran tingkat tinggi tentang cara AWS WA Tool dan layanan AWS lain bekerja dengan sebagian besar fitur IAM, lihat Layanan AWS yang bekerja dengan IAM dalam Panduan Pengguna IAM.

Kebijakan berbasis identitas AWS WA Tool

Mendukung tindakan kebijakan: Ya

Administrator dapat menggunakan kebijakan JSON AWS untuk menentukan secara spesifik siapa yang memiliki akses terhadap apa. Artinya, principal manakah yang dapat melakukan tindakan pada sumber daya apa, dan dengan kondisi apa.

Elemen Action dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.

Kebijakan berbasis sumber daya dalam AWS WA Tool

Mendukung kebijakan berbasis sumber daya: Tidak

Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contoh kebijakan berbasis sumber daya adalah kebijakan kepercayaan peran IAM dan kebijakan bucket Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Untuk sumber daya tempat kebijakan dilampirkan, kebijakan menentukan tindakan apa yang dapat dilakukan oleh principal tertentu pada sumber daya tersebut dan dalam kondisi apa. Anda harus menentukan principal dalam kebijakan berbasis sumber daya. Principal dapat mencakup akun, pengguna, peran, pengguna terfederasi, atau Layanan AWS.

Untuk mengaktifkan akses lintas akun, Anda dapat menentukan secara spesifik seluruh akun atau entitas IAM di akun lain sebagai principal dalam kebijakan berbasis sumber daya. Untuk informasi selengkapnya, lihat Akses sumber daya lintas akun di IAM dalam Panduan Pengguna IAM.

Tindakan kebijakan untuk AWS WA Tool

Mendukung tindakan kebijakan: Ya

Tindakan kebijakan di AWS WA Tool menggunakan prefiks berikut sebelum tindakan: wellarchitected:. Misalnya, untuk mengizinkan entitas menentukan beban kerja, administrator harus melampirkan kebijakan yang mengizinkan wellarchitected:CreateWorkload tindakan. Demikian pula, untuk mencegah entitas menghapus beban kerja, administrator dapat melampirkan kebijakan yang menolak tindakan wellarchitected:DeleteWorkload. Pernyataan kebijakan harus menyertakan elemen Action atau NotAction. AWS WA Tool menentukan serangkaian tindakannya sendiri yang menjelaskan tugas yang dapat Anda lakukan dengan layanan ini.

Untuk melihat daftar tindakan AWS WA Tool, lihat Tindakan yang Ditentukan oleh AWS Well-Architected Tool dalam Referensi Otorisasi Layanan.

Sumber daya kebijakan

Mendukung sumber daya kebijakan: Ya

Elemen kebijakan JSON Resource menentukan objek yang menjadi target penerapan tindakan. Praktik terbaiknya, tentukan sumber daya menggunakan Amazon Resource Name (ARN). Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, gunakan wildcard (*) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.


"Resource": "*"

Untuk melihat daftar jenis sumber daya AWS WA Tool dan ARN-nya, lihat Sumber daya yang ditentukan oleh AWS Well-Architected Tool dalam Referensi Otorisasi Layanan. Untuk mempelajari dengan tindakan mana Anda dapat menentukan ARN setiap sumber daya, lihat Tindakan yang ditentukan oleh AWS Well-Architected Tool.

Sumber daya beban kerja AWS WA Tool memiliki ARN berikut:


arn:${Partition}:wellarchitected:${Region}:${Account}:workload/${ResourceId}

Untuk informasi selengkapnya tentang format ARN, lihat Amazon Resource Name (ARN) dan Namespace Layanan AWS.

ARN dapat ditemukan di halaman Properti beban kerja untuk beban kerja. Misalnya, untuk menentukan beban kerja tertentu:


"Resource": "arn:aws:wellarchitected:us-west-2:123456789012:workload/11112222333344445555666677778888"

Untuk menetapkan semua beban kerja milik akun tertentu, gunakan wildcard (*):


"Resource": "arn:aws:wellarchitected:us-west-2:123456789012:workload/*"

Beberapa tindakan AWS WA Tool, seperti yang digunakan untuk membuat dan menampilkan daftar sumber daya, tidak dapat dilakukan pada sumber daya tertentu. Dalam kasus tersebut, Anda harus menggunakan wildcard (*).


"Resource": "*"

Untuk melihat daftar jenis sumber daya AWS WA Tool dan ARN-nya, lihat Sumber Daya yang Ditentukan oleh AWS Well-Architected Tool dalam Referensi Otorisasi Layanan. Untuk mempelajari dengan tindakan mana Anda dapat menentukan ARN setiap sumber daya, lihat Tindakan yang ditentukan oleh AWS Well-Architected Tool.

Kunci kondisi kebijakan untuk AWS WA Tool

Mendukung kunci kondisi kebijakan khusus layanan: Yes

Elemen Condition menentukan ketika pernyataan dieksekusi berdasarkan kriteria yang ditetapkan. Anda dapat membuat ekspresi bersyarat yang menggunakan operator kondisi, misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta. Untuk melihat semua kunci kondisi global AWS, lihat Kunci konteks kondisi global AWS dalam Panduan Pengguna IAM.

AWS WA Tool mendukung kunci kondisi khusus layanan (wellarchitected:JiraProjectKey) dan mendukung penggunaan sebagian kunci kondisi global. Untuk melihat semua kunci kondisi global AWS, lihat Kunci Konteks Kondisi Global AWS dalam Referensi Otorisasi Layanan.

ACL di AWS WA Tool

Mendukung ACL: Tidak

Daftar kontrol akses (ACL) mengendalikan principal mana (anggota akun, pengguna, atau peran) yang memiliki izin untuk mengakses sumber daya. ACL serupa dengan kebijakan berbasis sumber daya, meskipun kebijakan tersebut tidak menggunakan format dokumen kebijakan JSON.

Otorisasi berdasarkan tanda AWS WA Tool

Mendukung ABAC (tanda dalam kebijakan): Ya

Kontrol akses berbasis atribut (ABAC) adalah strategi otorisasi yang menentukan izin berdasarkan atribut tanda. Anda dapat melampirkan tanda ke entitas IAM dan sumber daya AWS, lalu merancang kebijakan ABAC untuk mengizinkan operasi ketika tanda principal cocok dengan tanda pada sumber daya.

Untuk mengendalikan akses berdasarkan tanda, berikan informasi tentang tanda di elemen kondisi dari kebijakan menggunakan kunci kondisi aws:ResourceTag/key-name, aws:RequestTag/key-name, atau aws:TagKeys.

Jika sebuah layanan mendukung ketiga kunci kondisi untuk setiap jenis sumber daya, nilainya adalah Ya untuk layanan tersebut. Jika suatu layanan mendukung ketiga kunci kondisi untuk hanya beberapa jenis sumber daya, nilainya adalah Parsial.

Untuk informasi selengkapnya tentang ABAC, lihat Tentukan izin dengan otorisasi ABAC dalam Panduan Pengguna IAM. Untuk melihat tutorial dengan langkah-langkah untuk menyiapkan ABAC, lihat Menggunakan kontrol akses berbasis atribut (ABAC) dalam Panduan Pengguna IAM.

Menggunakan kredensial sementara dengan AWS WA Tool

Mendukung kredensial sementara: Ya

Kredensial sementara menyediakan akses jangka pendek ke sumber daya AWS dan secara otomatis dibuat saat Anda menggunakan federasi atau beralih peran. AWS merekomendasikan agar Anda secara dinamis menghasilkan kredensial sementara alih-alih menggunakan kunci akses jangka panjang. Untuk informasi selengkapnya, lihat Kredensial keamanan sementara di IAM dan Layanan AWS yang berfungsi dengan IAM dalam Panduan Pengguna IAM.

Izin principal lintas layanan untuk AWS WA Tool

Mendukung sesi akses terusan (FAS): Ya

Sesi akses terusan (FAS) menggunakan izin dari principal yang memanggil Layanan AWS, yang dikombinasikan dengan Layanan AWS, untuk mengajukan permintaan ke layanan hilir. Untuk detail kebijakan ketika mengajukan permintaan FAS, lihat Sesi akses terusan.

Peran layanan untuk AWS WA Tool

Mendukung peran layanan: Tidak

Peran layanan adalah peran IAM yang diambil oleh sebuah layanan untuk melakukan tindakan atas nama Anda. Administrator IAM dapat membuat, mengubah, dan menghapus peran layanan dari dalam IAM. Untuk informasi selengkapnya, lihat Buat sebuah peran untuk mendelegasikan izin ke Layanan AWS dalam Panduan pengguna IAM.

Peran terkait untuk AWS WA Tool

Mendukung peran terkait layanan: Tidak

Peran terkait layanan adalah jenis peran layanan yang tertaut dengan Layanan AWS. Layanan tersebut dapat menjalankan peran untuk melakukan tindakan atas nama Anda. Peran terkait layanan akan muncul di Akun AWS Anda dan dimiliki oleh layanan tersebut. Administrator IAM dapat melihat, tetapi tidak dapat mengedit izin untuk peran terkait layanan.

Untuk detail tentang pembuatan atau manajemen peran terkait layanan, lihat Layanan AWS yang berfungsi dengan IAM. Cari layanan dalam tabel yang memiliki Yes di kolom Peran terkait layanan. Pilih tautan Ya untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Manajemen identitas dan akses

Contoh kebijakan berbasis identitas