Umum

T: Apa itu AWS Identity and Access Management (IAM)?
IAM menyediakan kontrol akses detail di seluruh AWS. Dengan IAM, Anda dapat mengontrol akses ke layanan dan sumber daya berdasarkan syarat-syarat tertentu. Gunakan kebijakan IAM untuk mengelola izin untuk tenaga kerja dan sistem Anda guna memastikan hak akses paling rendah. IAM ditawarkan tanpa biaya tambahan. Untuk informasi selengkapnya, lihat Apa itu IAM?
 
T: Bagaimana cara kerja IAM dan apa yang dapat saya lakukan dengannya?
IAM menyediakan autentikasi dan otorisasi untuk layanan AWS. Layanan akan melakukan evaluasi jika permintaan AWS diizinkan atau ditolak. Akses ditolak secara default dan hanya diizinkan jika kebijakan secara eksplisit memberikan akses. Anda dapat melampirkan kebijakan pada peran dan sumber daya untuk mengontrol akses di seluruh AWS. Untuk informasi selengkapnya, lihat Memahami cara IAM bekerja.
 
T: Apa itu izin hak akses paling rendah?
Saat Anda mengatur izin dengan kebijakan IAM, hanya berikan izin yang diperlukan untuk melakukan tugas. Praktik ini dikenal sebagai memberikan hak akses paling rendah. Anda dapat menerapkan izin hak akses paling rendah di IAM dengan menetapkan tindakan yang dapat diambil pada sumber daya tertentu berdasarkan syarat-syarat tertentu. Untuk informasi selengkapnya, lihat Manajemen akses untuk sumber daya AWS.
 
T: Bagaimana cara memulai IAM?
Untuk mulai menggunakan IAM guna mengelola izin untuk layanan dan sumber daya AWS, buat satu IAM role dan berikan izin. Untuk pengguna tenaga kerja, buat suatu peran yang dapat diambil oleh penyedia identitas Anda. Untuk sistem, buat peran yang dapat diambil oleh layanan yang sedang Anda gunakan, seperti Amazon EC2 atau AWS Lambda. Setelah peran dibuat, Anda dapat melampirkan kebijakan ke peran tersebut untuk memberikan izin yang dibutuhkan. Saat Anda baru saja memulai, Anda mungkin belum mengetahui izin tertentu yang diperlukan, sehingga Anda dapat memulai dengan yang lebih luas. Kebijakan yang dikelola AWS menyediakan izin untuk membantu Anda memulai dan tersedia di seluruh akun AWS. Lalu, mengurangi izin lebih lanjut dengan menetapkan kebijakan yang dikelola pelanggan khusus untuk kasus penggunaan Anda. Anda dapat membuat dan mengelola kebijakan dan peran di konsol IAM, atau melalui API AWS atau AWS CLI. Untuk informasi selengkapnya, lihat Memulai IAM.

Sumber daya IAM

T: Apa itu IAM role dan bagaimana cara kerjanya?
Peran AWS Identity and Access Management (IAM) menyediakan cara untuk mengakses AWS dengan mengandalkan kredensial keamanan sementara. Setiap peran memiliki serangkaian izin untuk membuat permintaan layanan AWS, dan peran tidak terkait dengan penggunaan atau grup tertentu. Sebagai gantinya, entitas tepercaya seperti penyedia identitas atau layanan AWS mengambil peran. Untuk informasi selengkapnya, lihat IAM role.

T: Mengapa saya harus menggunakan IAM role?
Anda harus menggunakan IAM role untuk memberikan akses ke akun AWS Anda dengan mengandalkan kredensial jangka pendek, yang merupakan sebuah praktik terbaik keamanan. Identitas yang diotorisasi, yang dapat berupa layanan AWS atau pengguna dari penyedia identitas Anda, dapat mengambil peran untuk membuat permintaan AWS. Untuk memberikan izin pada peran, lampirkan kebijakan IAM pada peran. Untuk informasi selengkapnya, lihat Skenario umum untuk peran.

T: Apa itu pengguna IAM dan apakah saya harus tetap menggunakannya?
Pengguna IAM adalah identitas dengan kredensial jangka panjang. Anda dapat menggunakan penggunaan IAM untuk pengguna tenaga kerja. Dalam hal ini, AWS menyarankan untuk menggunakan penyedia identitas dan bergabung ke dalam AWS dengan mengambil peran. Anda juga dapat menggunakan peran untuk memberikan akses lintas akun ke layanan dan fitur seperti fungsi AWS Lambda. Dalam beberapa skenario, Anda mungkin memerlukan pengguna IAM dengan access key yang memiliki kredensial jangka panjang dengan akses ke akun AWS Anda. Untuk skenario ini, AWS menyarankan untuk menggunakan akses informasi yang terakhir digunakan IAM untuk sering merotasi kredensial dan membuang kredensial yang tidak digunakan. Untuk informasi selengkapnya, lihat Gambaran Umum manajemen AWS identity: Pengguna.

T: Apa itu kebijakan IAM?
Kebijakan IAM menetapkan izin untuk entitas yang Anda lampirkan. Misalnya, untuk memberikan akses ke IAM role, lampirkan kebijakan ke peran tersebut. Izin yang ditetapkan di kebijakan tersebut menentukan apakah permintaan diizinkan atau ditolak. Anda juga dapat melampirkan kebijakan ke beberapa sumber daya, seperti bucket Simple Storage Service (Amazon S3), untuk memberikan akses lintas akun langsung. Dan Anda dapat melampirkan kebijakan ke organisasi atau unit organisasi AWS untuk membatasi akses di beberapa akun. AWS mengevaluasi kebijakan ini saat IAM role membuat permintaan. Untuk informasi selengkapnya, lihat Kebijakan berbasis identitas.

Memberikan akses

T: Bagaimana cara memberikan akses ke layanan dan sumber daya dengan menggunakan IAM?
Untuk memberikan akses ke layanan dan sumber daya dengan menggunakan AWS Identity and Access Management (IAM), lampirkan kebijakan IAM ke peran atau sumber daya. Anda dapat memulai dengan melampirkan kebijakan yang dikelola AWS, yang dimiliki dan diperbarui oleh AWS dan tersedia di seluruh akun AWS. Jika Anda mengetahui izin tertentu yang diperlukan untuk kasus penggunaan, Anda dapat membuat kebijakan yang dikelola pelanggan dan lampirkan ke peran. Beberapa sumber daya AWS menyediakan cara memberikan akses dengan menetapkan kebijakan yang dilampirkan ke sumber daya, seperti bucket Simple Storage Service (Amazon S3). Kebijakan berbasis sumber daya ini mengizinkan Anda memberikan akses lintas akun langsung ke sumber daya yang dilampirkan. Untuk informasi selengkapnya, lihat Manajemen akses untuk sumber daya AWS.

T: Bagaimana cara membuat kebijakan IAM?
Untuk menetapkan izin ke peran atau sumber daya, buat kebijakan, yaitu dokumen JavaScript Object Notation (JSON) yang menetapkan izin. Dokumen ini mencakup pernyataan izin yang memberikan atau menolak akses ke tindakan, sumber daya, dan syarat layanan tertentu. Setelah kebijakan dibuat, Anda dapat melampirkannya ke satu atau beberapa peran AWS untuk memberikan izin ke akun AWS Anda. Untuk memberikan akses lintas akun langsung ke sumber daya, seperti bucket Simple Storage Service (Amazon S3), gunakan kebijakan berbasis sumber daya. Buat kebijakan Anda di konsol IAM atau melalui API AWS atau AWS CLI. Untuk informasi selengkapnya, lihat Membuat kebijakan IAM.

T: Apa itu kebijakan yang dikelola AWS dan kapan harus digunakan?
Kebijakan yang dikelola AWS dibuat dan dikelola oleh AWS dan mencakup kasus penggunaan umum. Untuk memulai, Anda dapat memberikan izin yang lebih luas dengan menggunakan kebijakan yang dikelola AWS yang tersedia di akun AWS Anda dan di seluruh akun AWS umum. Lalu, saat Anda memperbaiki persyaratan, izin dapat dikurangi dengan menetapkan kebijakan yang dikelola pelanggan khusus untuk kasus penggunaan dengan tujuan untuk mencapai izin hak akses paling rendah. Untuk informasi selengkapnya, lihat Kebijakan yang dikelola AWS.

T: Apa itu kebijakan yang dikelola pelanggan dan kapan harus digunakan?
Untuk hanya memberikan akses yang diperlukan untuk melakukan tugas, Anda dapat membuat kebijakan yang dikelola pelanggan yang khusus untuk kasus penggunaan dan sumber daya Anda. Gunakan kebijakan yang dikelola pelanggan untuk terus menyempurnakan izin untuk kebutuhan tertentu Anda. Untuk informasi selengkapnya, lihat Kebijakan yang dikelola pelanggan.

T: Apa itu kebijakan inline dan kapan harus digunakan?
Kebijakan inline ditanamkan dan disematkan ke IAM role tertentu. Gunakan kebijakan inline jika Anda ingin mempertahankan hubungan langsung yang ketat antara kebijakan dan identitas yang diterapkan kepadanya. Misalnya, Anda dapat memberikan izin administratif untuk memastikan bahwa izin tersebut tidak dilampirkan ke peran lain. Untuk informasi selengkapnya, lihat Kebijakan inline.

T: Apa itu kebijakan yang dikelola sumber daya dan kapan harus digunakan?
Kebijakan berbasis sumber daya adalah kebijakan izin yang dilampirkan ke sumber daya. Misalnya, Anda dapat melampirkan kebijkan berbasis sumber daya ke kunci enkripsi bucket Simple Storage Service (Amazon S3), antrean Amazon SQS, VPC endpoint, dan AWS Key Management Service. Untuk daftar layanan yang mendukung kebijakan berbasis sumber daya, lihat Layanan AWS yang bekerja dengan IAM. Gunakan kebijakan berbasis sumber daya untuk memberikan akses lintas akun langsung. Dengan kebijakan berbasis sumber daya, Anda dapat menetapkan siapa saja yang memiliki akses ke sumber daya dan tindakan yang dapat mereka lakukan dengan sumber daya tersebut. Untuk informasi selengkapnya, lihat Kebijakan berbasis identitas dan kebijakan berbasis sumber daya.

T: Apa itu Kontrol Akses Berbasis Peran (RBAC)?
RBAC menyediakan cara untuk menetapkan izin berbasis fungsi tugas seseorang, yang dikenal di luar AWS sebagai peran. IAM menyediakan RBAC dengan menetapkan IAM role dengan izin yang sesuai dengan fungsi tugas. Anda dapat memberikan akses pada individual untuk mengambil peran-peran ini guna melakukan fungsi tugas tertentu. Dengan RBAC, Anda dapat mengaudit akses dengan melihat pada setiap IAM role dan izin terlampirnya. Untuk informasi selengkapnya, lihat Membandingkan ABAC dengan model RBAC tradisional.

T: Bagaimana cara memberikan akses menggunakan RBAC?
Sebagai praktik terbaik, berikan akses hanya ke tindakan layanan tertentu dan sumber daya yang diperlukan untuk melakukan tugas. Praktik ini dikenal sebagai memberikan hak akses paling rendah. Ketika karyawan menambahkan sumber daya baru, Anda harus memperbarui kebijakan untuk mengizinkan akses ke sumber daya tersebut.

T: Apa itu kontrol akses berbasis atribut (ABAC)?
ABAC adalah strategi otorisasi yang menetapkan izin berdasarkan atribut. Di AWS, atribut ini disebut tanda, dan Anda dapat menentukannya di sumber daya AWS, IAM role, dan di sesi peran. Dengan ABAC, Anda dapat menetapkan serangkaian izin berdasarkan nilai tanda. Anda dapat memberikan izin detail ke sumber daya tertentu dengan mewajibkan tanda pada peran atau sesi agar cocok dengan tanda di sumber daya. Misalnya, Anda dapat membuat kebijakan yang memberi developer akses ke sumber daya yang ditandai dengan judul tugas “developer.” ABAC sangat membantu dalam lingkungan yang berkembang pesat dengan memberikan izin ke sumber daya karena dibuat dengan tanda tertentu. Untuk informasi selengkapnya, lihat Kontrol Akses Berbasis Atribut untuk AWS.

T: Bagaimana cara memberikan akses menggunakan ABAC?
Untuk memberikan akses menggunakan ABAC, pertama tetapkan kunci tanda dan nilai yang ingin Anda gunakan untuk kontrol akses. Lalu, pastikan IAM role Anda memiliki kunci tanda dan nilai yang sesuai. Jika peran ini digunakan oleh beberapa identitas, Anda dapat menetapkan kunci tanda dan nilai sesi. Selanjutnya, pastikan bahwa sumber daya Anda memiliki kunci tanda dan nilai yang sesuai. Anda juga dapat mewajibkan pengguna untuk membuat sumber daya dengan tanda yang sesuai dan membatasi akses untuk mengubahnya. Setelah tanda Anda diterapkan, tentukan kebijakan yang memberikan akses ke tindakan dan tipe sumber daya tertentu, tetapi hanya jika peran atau tanda sesi cocok dengan tanda sumber daya. Untuk tutorial detail yang mendemonstrasikan cara menggunakan ABAC di AWS, lihat Tutorial IAM: Tentukan izin untuk mengakses sumber daya AWS berdasarkan tanda.

Membatasi akses

T: Bagaimana cara membatasi akses menggunakan IAM?
Dengan AWS Identity and Access Management (IAM), semua akses ditolak secara default dan memerlukan kebijakan yang memberi akses. Saat Anda mengelola izin dalam skala besar, Anda mungkin ingin menerapkan pagar pembatas izin dan membatasi akses di seluruh akun Anda. Untuk membatasi akses, tentukan pernyataan Tolak di setiap kebijakan. Jika pernyataan Tolak berlaku untuk permintaan akses, berarti selalu berlaku di atas pernyataan Izinkan. Misalnya, jika Anda mengizinkan akses ke semua tindakan di AWS tetapi menolak akses ke IAM, setiap permintaan ke IAM ditolak. Anda dapat menyertakan pernyataan Tolak di setiap tipe kebijakan, termasuk kebijakan berbasis identitas, berbasis sumber daya, dan kontrol layanan dengan AWS Organizations. Untuk informasi selengkapnya, lihat Mengontrol akses dengan AWS Identity and Access Management.

T: Apa itu kebijakan kontrol layanan AWS Organizations dan kapan harus digunakan?
SCP mirip dengan kebijakan IAM dan menggunakan sintaksis yang hampir sama. Namun, SCP tidak memberikan izin. Sebagai gantinya, SCP mengizinkan atau menolak akses ke layanan AWS untuk akun AWS individual dengan akun anggota Organisasi, atau untuk grup akun dalam unit organisasi. Tindakan tertentu dari SCP memengaruhi semua pengguna IAM dan IAM role, termasuk pengguna root dari akun anggota. Untuk informasi selengkapnya, lihat Logika evaluasi kebijakan
 

Menganalisis akses

T: Bagaimana cara bekerja untuk mendapatkan izin hak akses paling rendah?
Ketika Anda mulai memberikan izin, Anda dapat mulai dengan izin yang lebih luas saat menjelajahi dan bereksperimen. Saat kasus penggunaan Anda matang, AWS menyarankan agar Anda memperbaiki izin untuk hanya memberikan izin yang diperlukan dengan tujuan mencapai izin hak akses paling rendah. AWS menyediakan alat untuk membantu memperbaiki izin Anda. Anda dapat memulai dengan Kebijakan yang dikelola AWS, yang dibuat dan dikelola oleh AWS dan mencakup izin untuk kasus penggunaan umum. Saat Anda memperbaiki izin, tentukan izin tertentu di kebijakan yang dikelola pelanggan. Untuk membantu Anda menentukan izin tertentu yang diperlukan, gunakan AWS Identity and Access Management (IAM) Access Analyzer, tinjau log AWS CloudTrail, dan periksa informasi akses terakhir. Anda juga dapat menggunakan simulator kebijakan IAM untuk menguji dan memecahkan masalah kebijakan.

T: Apa itu IAM Access Analyzer?
Mencapai hak akses paling rendah adalah siklus berkelanjutan untuk memberikan izin detail yang tepat seiring berkembangnya kebutuhan Anda. IAM Access Analyzer membantu Anda menyederhanakan manajemen izin di setiap langkah siklus ini. Pembuatan kebijakan dengan IAM Access Analyzer menghasilkan kebijakan detail berdasarkan aktivitas akses yang direkam dalam log Anda. Hal ini berarti bahwa setelah membangun dan menjalankan aplikasi, Anda dapat membuat kebijakan yang hanya memberikan izin yang diperlukan untuk mengoperasikan aplikasi tersebut. Validasi kebijakan dengan IAM Access Analyzer menggunakan lebih dari 100 pemeriksaan kebijakan untuk memandu Anda dalam membuat dan memvalidasi kebijakan yang aman dan fungsional. Anda dapat menggunakan pemeriksaan ini saat membuat kebijakan baru atau untuk memvalidasi kebijakan yang sudah ada. Untuk informasi selengkapnya, lihat Menggunakan IAM Access Analyzer.

T: Bagaimana cara membuang izin yang tidak digunakan?
Anda mungkin memiliki pengguna IAM, peran, dan izin yang sudah tidak digunakan lagi di akun AWS Anda. Kami menyarankan agar Anda membuangnya dengan tujuan untuk mencapai akses hak akses paling rendah. Untuk pengguna IAM, Anda dapat meninjau kata sandi dan informasi yang terakhir digunakan access key. Untuk peran, Anda dapat meninjau informasi yang terakhir digunakan peran. Informasi ini tersedia di konsol IAM, API, dan SDK. Informasi yang terakhir digunakan membantu Anda mengidentifikasi pengguna dan peran yang sudah tidak digunakan lagi dan aman untuk dibuang. Anda juga dapat memperbaiki izin dengan meninjau layanan dan informasi yang terakhir diakses untuk mengidentifikasi izin yang tidak digunakan. Untuk informasi selengkapnya, lihat Menyempurnakan izin di AWS menggunakan informasi yang terakhir diakses.

T: Apa itu simulator kebijakan IAM dan kapan harus digunakan?
Simulator kebijakan IAM mengevaluasi kebijakan yang Anda pilih dan menentukan izin yang efektif untuk setiap tindakan yang Anda tentukan. Gunakan simulator kebijakan untuk menguji dan memecahkan masalah kebijakan berbasis identitas dan berbasis sumber daya, batasan izin IAM, dan SCP. Untuk informasi selengkapnya, lihat Menguji kebijakan IAM dengan simulator kebijakan IAM.

Temukan cara memulai dengan IAM

Lihat halaman Memulai
Siap membuat?
Mulai menggunakan IAM
Ada pertanyaan lagi?
Hubungi kami