Mulai Menggunakan AWS secara Gratis

Buat Akun Gratis
Atau Masuk ke Konsol

Dapatkan dua belas bulan akses ke AWS Tingkat Penggunaan Gratis dan nikmati fitur AWS Basic Support termasuk, layanan pelanggan 24x7x365, forum dukungan, dan banyak lagi.


T: Apa itu AWS Identity and Access Management (IAM)?
Anda dapat menggunakan AWS IAM untuk mengontrol akses individu dan grup ke sumber daya AWS Anda secara aman. Anda dapat membuat dan mengelola identitas pengguna (“Pengguna IAM”) dan memberi izin bagi pengguna IAM tersebut untuk mengakses sumber daya Anda. Anda juga dapat memberi izin bagi pengguna yang ada di luar AWS (pengguna federasi).

T: Bagaimana saya memulai dengan IAM?
Untuk mulai menggunakan IAM, Anda harus berlangganan minimal salah satu layanan AWS yang diintegrasikan dengan IAM. Anda kemudian dapat membuat dan mengelola pengguna, grup, dan izin melalui IAM API, atau konsol IAM, yang memberi Anda antarmuka tunjuk-dan-klik berbasis web. Anda juga dapat menggunakan editor visual untuk membuat kebijakan.

T: Apa masalah yang diatasi IAM?
IAM memudahkan untuk memberi akses yang aman ke sumber daya AWS Anda kepada beberapa pengguna. IAM memungkinkan Anda untuk:

  • Mengelola pengguna IAM dan akses mereka: Anda dapat membuat pengguna dalam sistem pengelolaan identitas AWS, menugaskan kredensial keamanan individu pengguna (seperti kunci akses, kata sandi, dan perangkat multi-factor authentication), atau meminta kredensial keamanan sementara untuk memberikan akses pengguna pada layanan dan sumber daya AWS. Anda dapat menentukan izin dalam upaya mengontrol operasi mana yang dapat dilaksanakan pengguna.
  • Mengelola akses untuk pengguna federasi: Anda dapat meminta kredensial keamanan dengan kedaluwarsa yang dapat dikonfigurasi bagi pengguna yang Anda kelola dalam direktori perusahaan Anda, memungkinkan Anda untuk menyediakan akses yang aman bagi karyawan dan aplikasi Anda ke sumber daya yang ada di akun AWS Anda tanpa membuat akun pengguna IAM bagi mereka. Anda menentukan izin untuk kredensial keamanan ini untuk mengontrol operasi mana yang dapat dilaksanakan pengguna.

T: Siapa yang dapat menggunakan IAM?
Setiap pelanggan AWS dapat menggunakan IAM. Layanan ini ditawarkan tanpa ada biaya tambahan. Anda akan dikenai biaya hanya untuk penggunaan layanan AWS lain oleh pengguna Anda.

T: Apa yang dimaksud dengan pengguna?
Pengguna adalah identitas unik yang dikenali oleh layanan dan aplikasi AWS. Mirip dengan pengguna login di dalam sistem operasi seperti Windows atau UNIX, pengguna memiliki nama yang unik dan dapat mengidentifikasi dirinya sendiri menggunakan kredensial keamanan yang dikenali seperti kata sandi atau kunci akses. Pengguna dapat berupa individu, sistem, atau aplikasi yang memerlukan akses ke layanan AWS. IAM mendukung pengguna (dirujuk sebagai "pengguna IAM") yang dikelola dalam sistem pengelolaan identitas AWS, dan juga memungkinkan Anda untuk memberi akses ke sumber daya AWS untuk dikelola pengguna di luar AWS dalam direktori perusahaan Anda (dirujuk sebagai "pengguna federasi").

T: Apa yang dapat dilakukan oleh pengguna?
Pengguna dapat mengajukan permintaan ke layanan web seperti Amazon S3 dan Amazon EC2. Kemampuan pengguna untuk mengakses API layanan web berada di bawah kontrol dan tanggung jawab akun AWS tempatnya ditetapkan. Anda dapat memberi izin kepada pengguna untuk mengakses salah satu atau semua layanan AWS yang telah diintegrasikan dengan IAM dan ke layanan berlangganan yang telah diikuti oleh akun AWS tersebut. Jika diizinkan, pengguna memiliki akses ke semua sumber daya yang ada di bawah akun AWS tersebut. Selain itu, jika akun AWS memiliki akses ke sumber daya dari akun AWS yang berbeda, penggunanya mungkin bisa mengakses data yang ada di bawah akun AWS tersebut. Setiap sumber daya AWS yang dibuat oleh pengguna berada di bawah kontrol dan dibayarkan untuk akun AWS-nya. Pengguna tidak dapat berlangganan secara independen ke layanan AWS atau mengontrol sumber daya.

T: Bagaimana cara pengguna memanggil layanan AWS?
Pengguna dapat mengajukan permintaan ke layanan AWS menggunakan kredensial keamanan. Izin eksplisit mengatur kemampuan pengguna untuk memanggil layanan AWS. Secara default, pengguna tidak memiliki kemampuan untuk memanggil API layanan atas nama akun tersebut.

T: Bagaimana saya memulai dengan IAM?
Untuk mulai menggunakan IAM, Anda harus berlangganan minimal salah satu layanan AWS yang diintegrasikan dengan IAM. Anda kemudian dapat membuat dan mengelola pengguna, grup, dan izin melalui IAM API, AWS CLI, atau konsol IAM, yang memberi Anda antarmuka tunjuk-dan-klik berbasis web. Anda juga dapat menggunakan Pembuat Kebijakan AWS untuk membuat kebijakan.


T: Bagaimana pengguna IAM dikelola?
IAM mendukung beberapa metode untuk:

  • Membuat dan mengelola pengguna IAM.
  • Membuat dan mengelola grup IAM.
  • Mengelola kredensial keamanan pengguna.
  • Membuat dan mengelola kebijakan untuk memberi akses ke layanan dan sumber daya AWS.

Anda dapat membuat dan mengelola pengguna, grup, dan kebijakan dengan menggunakan IAM API, AWS CLI, atau konsol IAM. Anda juga dapat menggunakan editor visual dan simulator kebijakan IAM untuk membuat dan menguji kebijakan.

T: Apa yang dimaksud dengan grup?
Grup adalah kumpulan pengguna IAM. Mengelola keanggotaan grup sebagai daftar sederhana:

  • Tambahkan pengguna ke atau hapus pengguna dari grup.
  • Pengguna dapat menjadi anggota dari beberapa grup.
  • Grup tidak boleh menjadi anggota dari grup lainnya.
  • Grup dapat diberi izin menggunakan kebijakan kontrol akses. Hal ini mempermudah untuk mengelola izin untuk pengumpulan pengguna, dibandingkan harus mengelola izin untuk setiap pengguna individu.
  • Grup tidak memiliki kredensial keamanan, dan tidak dapat mengakses layanan web secara langsung; grup tersebut ada hanya untuk mempermudah mengelola izin pengguna. Untuk perinciannya, lihat Bekerja dengan Grup dan Pengguna.

T: Apa saja kredensial keamanan yang dapat dimiliki pengguna IAM?
Pengguna IAM dapat memiliki berbagai kombinasi kredensial yang didukung AWS, seperti kunci akses AWS, sertifikat X.509, kunci SSH, kata sandi untuk login aplikasi web, atau perangkat MFA. Hal ini memungkinkan pengguna untuk berinteraksi dengan AWS dalam cara yang mereka mengerti. Seorang karyawan mungkin memiliki kunci akses AWS dan kata sandi; suatu sistem perangkat lunak mungkin hanya memiliki kunci akses AWS untuk melakukan panggilan programatis; pengguna IAM mungkin memiliki kunci SSH pribadi untuk mengakses repositori AWS CodeCommit; dan kontraktor luar mungkin hanya memiliki sertifikat X.509 untuk menggunakan antarmuka baris perintah EC2. Untuk perinciannya, lihat Kredensial Keamanan Sementara di dalam dokumentasi IAM.

T: Apa saja layanan AWS yang mendukung pengguna IAM?
Anda dapat menemukan daftar lengkap layanan AWS yang mendukung pengguna IAM di dalam bagian Layanan AWS yang Berfungsi dengan IAM dari dokumen IAM. AWS berencana untuk menambah dukungan untuk layanan lain seiring dengan berjalannya waktu.

T: Apakah saya bisa mengaktifkan dan menonaktifkan akses pengguna?
Ya. Anda dapat mengaktifkan dan menonaktifkan kunci akses pengguna IAM melalui IAM API, AWS CLI, atau konsol IAM. Jika Anda menonaktifkan kunci akses, pengguna tidak dapat mengakses layanan AWS secara programatis.

T: Siapa yang bisa mengelola pengguna untuk akun AWS?
Pemegang akun AWS dapat mengelola pengguna, grup, kredensial keamanan, dan izin. Selain itu, Anda dapat memberikan izin bagi pengguna individu untuk melakukan panggilan ke IAM API untuk mengelola pengguna lainnya. Misalnya, seorang pengguna administrator dapat dibuat untuk mengelola pengguna untuk perusahaan—praktik yang direkomendasikan. Ketika Anda memberi izin kepada pengguna untuk mengelola pengguna lainnya, mereka dapat melakukan hal ini melalui IAM API, AWS CLI, atau konsol IAM.

T: Apakah saya dapat menyusun kumpulan pengguna dalam cara hirarkis, seperti dalam LDAP?
Ya. Anda dapat mengatur pengguna dan grup di bawah jalur-jalur, yang mirip dengan jalur objek di Amazon S3—misalnya /mycompany/division/project/joe.

T: Apakah saya dapat menetapkan pengguna secara regional?
Pada awalnya tidak. Pengguna merupakan entitas global, seperti halnya akun AWS hari ini. Wilayah tidak perlu ditentukan ketika Anda menetapkan izin pengguna. Pengguna dapat menggunakan layanan AWS di wilayah geografis mana pun.

T: Bagaimana perangkat MFA dikonfigurasi untuk pengguna IAM?
Anda (pemegang akun AWS) dapat memesan beberapa perangkat MFA. Anda dapat menugaskan perangkat ini kepada pengguna IAM individu melalui IAM API, AWS CLI, atau konsol IAM.

T: Apa saja jenis rotasi kunci yang didukung untuk pengguna IAM?
Kunci akses pengguna dan sertifikat X.509 dapat dirotasi sama seperti pengidentifikasi akses root akun AWS. Anda dapat mengelola dan merotasi kunci akses dan sertifikat X.509 pengguna secara programatis melalui IAM API, AWS CLI, atau konsol IAM.

T: Apakah pengguna IAM dapat memiliki kunci EC2 SSH sendiri?
Tidak pada perilisan awal. IAM tidak memengaruhi kunci EC2 SSH atau sertifikat Windows RDP. Hal ini berarti bahwa meskipun setiap pengguna memiliki kredensial terpisah untuk mengakses API layanan web, mereka harus berbagi kunci SSH yang sama di seluruh akun AWS yang telah ditetapkan bagi pengguna tersebut.

T: Di mana saya dapat menggunakan kunci SSH saya?

Saat ini, pengguna IAM dapat menggunakan kunci SSH mereka hanya dengan AWS CodeCommit untuk mengakses repositori mereka.

T: Apakah nama pengguna IAM harus berupa alamat email?
Tidak, tetapi dapat saja berupa alamat email. Nama pengguna hanyalah utas ASCII yang unik di dalam akun AWS yang diberikan. Anda dapat menugaskan nama dengan menggunakan konvensi nama yang Anda pilih, termasuk alamat email.

T: Apa saja set karakter yang dapat saya gunakan untuk nama pengguna IAM?
Anda hanya dapat menggunakan karakter ASCII untuk entitas IAM.

T: Apakah atribut pengguna selain nama pengguna juga didukung?
Tidak pada saat ini.

T: Bagaimana kata sandi pengguna ditetapkan?
Anda dapat menetapkan kata sandi awal untuk pengguna IAM melalui konsol IAM, AWS CLI, atau IAM API. Kata sandi pengguna tak pernah muncul dalam teks yang jelas setelah penyediaan awal, dan tidak pernah ditampilkan atau dikembalikan melalui panggilan API. Pengguna IAM dapat mengelola kata sandi mereka melalui halaman Kata Sandi Saya di dalam konsol IAM. Pengguna mengakses halaman ini dengan memilih opsi Kredensial Keamanan dari daftar tarik turun di sudut kanan atas AWS Management Console.

T: Apakah saya dapat menetapkan kebijakan kata sandi untuk kata sandi pengguna saya?
Ya, Anda dapat menerapkan kata sandi yang kuat dengan mengharuskan panjang minimum atau menggunakan minimal satu angka. Anda juga dapat menerapkan kedaluwarsa kata sandi otomatis, mencegah penggunaan kembali kata sandi yang lama, dan mengharuskan reset kata sandi pada saat masuk ke AWS berikutnya. Untuk perinciannya, lihat Mengatur Kata Sandi Kebijakan Akun untuk Pengguna IAM.

T: Apakah saya dapat menggunakan kuota pada pengguna IAM?
Tidak. Semua batas ada di akun AWS sebagai suatu keseluruhan. Misalnya, jika akun AWS Anda memiliki batas 20 instans Amazon EC2, pengguna IAM dengan izin EC2 dapat memulai instans hingga mencapai batas tersebut. Anda tidak dapat membatasi apa yang dapat dilakukan oleh pengguna individu.


T: Apa itu peran IAM?
Peran IAM merupakan entitas IAM yang menentukan serangkaian izin untuk mengajukan permintaan layanan AWS. Peran IAM tidak ditautkan dengan pengguna atau grup spesifik. Sebaliknya, entitas tepercaya mengambil peran, seperti pengguna IAM, aplikasi, atau layanan AWS seperti EC2.

T: Apa saja masalah yang diatasi oleh peran IAM?
Peran IAM memungkinkan Anda untuk mendelegasikan akses dengan izin yang telah ditetapkan kepada entitas tepercaya tanpa perlu berbagi kunci akses jangka panjang. Anda dapat menggunakan peran IAM untuk mendelegasikan akses kepada pengguna IAM yang dikelola di dalam akun Anda, kepada pengguna IAM di bawah akun AWS yang berbeda, atau ke layanan AWS seperti EC2.

T: Bagaimana saya memulai dengan peran IAM?
Anda membuat peran dengan cara yang mirip dengan cara Anda membuat pengguna—beri nama peran tersebut dan lampirkan kebijakan untuk peran tersebut. Untuk perinciannya, lihat Membuat Peran IAM.

T: Bagaimana saya bisa mengambil peran IAM?
Anda mengambil peran IAM dengan menghubungi AWS Security Token Service (STS) AssumeRole API (dengan kata lain, AssumeRole, AssumeRoleWithWebIdentity, dan AssumeRoleWithSAML). API ini mengembalikan serangkaian kredensial keamanan sementara yang kemudian dapat digunakan oleh aplikasi tersebut untuk mengirim permintaan ke API layanan AWS.

T: Berapa banyak peran IAM yang dapat saya ambil?
Tidak ada batas untuk jumlah peran IAM yang dapat Anda ambil, tetapi Anda hanya dapat bertindak sebagai satu peran IAM ketika mengajukan permintaan ke layanan AWS.

T: Siapa yang dapat menggunakan peran IAM?
Setiap pelanggan AWS dapat menggunakan peran IAM.

T: Berapa biaya untuk peran IAM?
Peran IAM itu gratis. Anda akan terus membayar untuk setiap sumber daya yang digunakan oleh peran tersebut di akun AWS Anda.

T: Bagaimana peran IAM dikelola?
Anda dapat membuat dan mengelola peran IAM melalui IAM API, AWS CLI, atau konsol IAM, yang memberi Anda antarmuka tunjuk-dan-klik berbasis web.

T: Apa bedanya antara peran IAM dan pengguna IAM?
Pengguna IAM memiliki kredensial jangka panjang permanen dan digunakan untuk berinteraksi langsung dengan layanan AWS. Peran IAM tidak memiliki kredensial apa pun dan tidak dapat melakukan permintaan langsung ke layanan AWS. Peran IAM dimaksudkan untuk dimiliki oleh entitas yang berwenang, seperti pengguna IAM, aplikasi, atau layanan AWS seperti EC2.

T: Kapan sebaiknya saya menggunakan pengguna IAM, grup IAM, atau peran IAM?

Pengguna IAM memiliki kredensial jangka panjang permanen dan digunakan untuk berinteraksi langsung dengan layanan AWS. Grup IAM adalah manajemen yang mudah untuk mengelola set izin yang sama untuk suatu set pengguna IAM. Peran IAM merupakan entitas AWS Identity and Access Management (IAM) dengan izin untuk mengajukan permintaan layanan AWS. Peran IAM tidak dapat mengajukan permintaan langsung ke layanan AWS; peran tersebut dimaksudkan untuk dimiliki oleh entitas yang berwenang, seperti pengguna IAM, aplikasi, atau layanan AWS seperti EC2. Gunakan peran IAM untuk mendelegasikan akses di dalam atau di antara akun AWS.

T: Bisakah saya menambahkan pesan IAM ke suatu grup IAM?
Tidak pada saat ini.

T: Berapa jumlah kebijakan yang bisa saya lampirkan ke pesan IAM?

Untuk kebijakan inline: Anda dapat menambahkan sebanyak mungkin kebijakan inline yang Anda inginkan bagi suatu pengguna, peran, atau grup, tetapi ukuran kebijakan agregat total (jumlah ukuran dari semua kebijakan inline) per entitas tidak dapat melebihi batas berikut:

  • Ukuran kebijakan pengguna tidak boleh lebih dari 2.048 karakter.
  • Ukuran kebijakan peran tidak boleh lebih dari 10.240 karakter.
  • Ukuran kebijakan grup tidak boleh lebih dari 5.120 karakter.

Untuk kebijakan yang dikelola: Anda dapat menambahkan hingga 10 kebijakan yang dikelola untuk suatu pengguna, peran, atau grup. Ukuran dari setiap kebijakan yang dikelola tidak boleh melebihi 6.144 karakter.

T: Berapa banyak peran IAM yang dapat saya buat?
Anda dibatasi dengan 1.000 peran IAM di bawah akun AWS Anda. Jika Anda memerlukan lebih banyak peran, kirim formulir permintaan peningkatan batas IAM dengan kasus penggunaan Anda, dan kami akan mempertimbangkan permintaan Anda.

T: Apa saja layanan yang dapat diminta oleh aplikasi saya?
Aplikasi Anda dapat mengajukan permintaan untuk semua layanan AWS yang mendukung sesi peran tersebut.

T: Apa peran IAM untuk instans EC2?
Peran IAM untuk instans EC2 memungkinkan aplikasi Anda yang dijalankan di EC2 untuk mengajukan permintaan ke layanan AWS seperti Amazon S3, Amazon SQS, dan Amazon SNS tanpa perlu menyalin kunci akses AWS untuk semua instans. Untuk perincian, lihat Peran IAM untuk Amazon EC2.

T: Apa fitur peran IAM untuk instans EC2?

Peran IAM untuk instans EC2 menyediakan fitur berikut:

  • Kredensial keamanan sementara AWS untuk digunakan ketika mengajukan permintaan dari instans EC2 yang berjalan ke layanan AWS.
  • Rotasi otomatis dari kredensial keamanan sementara AWS.
  • Izin layanan AWS granular untuk aplikasi yang berjalan di instans EC2.

T: Apa masalah yang akan diatasi oleh peran IAM untuk instans EC2?
Peran IAM untuk instans EC2 menyederhanakan pengelolaan dan pengiriman kunci akses AWS ke instans EC2. Dengan menggunakan fitur ini, Anda menautkan peran IAM dengan suatu instans. Lalu instans EC2 Anda menyediakan kredensial keamanan sementara untuk aplikasi yang berjalan di instans tersebut, dan aplikasi tersebut dapat menggunakan kredensial ini untuk mengajukan permintaan secara aman ke sumber daya layanan AWS yang ditetapkan dalam peran tersebut.

T: Bagaimana saya memulai dengan peran IAM untuk instans EC2?
Untuk memahami bagaimana peran bekerja dengan instans EC2, Anda perlu menggunakan konsol IAM untuk menciptakan suatu peran, meluncurkan instans EC2 yang menggunakan peran tersebut, lalu memeriksa instans yang berjalan. Anda dapat memeriksa metadata instans untuk melihat bagaimana kredensial peran tersebut tersedia bagi suatu instans. Anda juga dapat melihat bagaimana suatu aplikasi yang berjalan di suatu instans dapat menggunakan peran tersebut. Untuk perincian lainnya, lihat Bagaimana Cara Saya Memulai?

T: Apakah saya dapat menggunakan peran IAM pada beberapa instans EC2?
Ya.

T: Apakah saya dapat mengubah peran IAM pada instans EC2 yang berjalan?
Ya. Meskipun suatu pesan biasanya ditugaskan untuk suatu instans EC2 ketika Anda meluncurkannya, suatu pesan juga dapat ditugaskan ke instans EC2 yang sudah berjalan. Untuk mempelajari cara menugaskan peran ke instans yang berjalan, lihat Peran IAM untuk Amazon EC2. Anda juga dapat mengubah izin pada peran IAM yang ditautkan dengan instans yang berjalan, dan izin yang telah diperbarui tersebut akan segera diaktifkan. 

T: Apakah saya dapat menautkan peran IAM dengan instans EC2 yang sudah berjalan?
Ya. Anda dapat menugaskan peran ke instans EC2 yang sudah berjalan. Untuk mempelajari cara menugaskan peran ke instans yang sudah berjalan, lihat Peran IAM untuk Amazon EC2.

T: Apakah saya dapat menautkan peran IAM dengan grup Auto Scaling?

Ya. Anda dapat menambahkan peran IAM sebagai parameter tambahan di dalam konfigurasi peluncuran Auto Scaling dan membuat grup Auto Scaling dengan konfigurasi peluncuran tersebut. Semua instans EC2 yang diluncurkan dalam suatu grup Auto Scaling, yang ditautkan dengan peran IAM, diluncurkan dengan peran tersebut sebagai parameter input. Untuk detail selengkapnya, lihat Apa itu Auto Scaling? dalam Panduan Pengembang Auto Scaling.

T: Apakah saya dapat menautkan lebih dari satu peran IAM dengan instans EC2?
Tidak. Anda hanya dapat menautkan satu peran IAM dengan instans EC2 pada saat ini. Batas dari satu peran per instans ini tidak dapat ditingkatkan.

T: Apa yang terjadi jika saya menghapus peran IAM yang ditautkan dengan instans EC2 yang berjalan?
Setiap aplikasi yang berjalan di instans yang menggunakan peran tersebut akan segera ditolak aksesnya.

T: Apakah saya dapat mengontrol peran IAM mana yang pengguna IAM dapat tautkan dengan instans EC2?
Ya. Untuk perinciannya, lihat Izin yang Diperlukan untuk Menggunakan Peran dengan Amazon EC2.

T: Apa saja izin yang diperlukan untuk meluncurkan instans EC2 dengan suatu peran IAM?
Anda harus memberi pengguna IAM dengan dua izin berbeda agar berhasil menjalankan instans EC2 dengan peran:

  • Izin untuk meluncurkan instans EC2.
  • Izin untuk menautkan peran IAM dengan instans EC2.

Untuk perinciannya, lihat Izin yang Diperlukan untuk Menggunakan Peran dengan Amazon EC2.

T: Siapa yang dapat mengakses kunci akses pada instans EC2?
Setiap pengguna lokal di instans tersebut dapat mengakses kunci akses yang ditautkan dengan peran IAM tersebut.

T: Bagaimana cara menggunakan peran IAM dengan aplikasi saya di instans EC2?
Jika Anda mengembangkan aplikasi Anda dengan AWS SDK, maka AWS SDK tersebut secara otomatis menggunakan kunci akses AWS yang telah disediakan di instans EC2 tersebut. Jika Anda tidak menggunakan AWS SDK, Anda dapat memanggil kunci akses dari layanan metadata instans EC2. Untuk perinciannya, lihat Menggunakan Peran IAM untuk Memberi Izin ke Aplikasi yang Berjalan di Instans Amazon EC2.

T: Bagaimana cara merotasi kredensial keamanan sementara di instans EC2?
Kredensial keamanan sementara AWS yang ditautkan dengan peran IAM secara otomatis dirotasi beberapa kali sehari. Kredensial keamanan sementara yang baru dibuat tersedia tidak lebih dari lima menit sebelum kredensial keamanan sementara yang sudah ada tersebut kedaluwarsa.

T: Apakah saya dapat menggunakan peran IAM untuk instans EC2 dengan jenis instans apa pun atau Amazon Machine Image?
Ya. Peran IAM untuk instans EC2 juga dapat berfungsi di Amazon Virtual Private Cloud (VPC), yang menandai dan memesan instans.

T: Apa itu peran tertaut-layanan?
Suatu peran tertaut-layanan merupakan jenis peran yang ditautkan ke suatu layanan AWS (juga dikenal sebagai layanan yang ditautkan) sehingga hanya layanan yang ditautkan tersebut yang dapat memiliki peran tersebut. Dengan menggunakan peran ini, Anda dapat mendelegasikan izin ke layanan AWS untuk membuat dan mengelola sumber daya AWS atas nama Anda.

T: Apakah saya dapat memiliki peran tertaut-layanan?
Tidak. Peran tertaut-layanan hanya dapat dimiliki oleh layanan yang ditautkan. Inilah alasan kenapa kebijakan kepercayaan dari suatu peran tertaut-layan tidak dapat dimodifikasi.

T: Apakah saya dapat menghapus peran tertaut-layanan?
Ya. Jika Anda tidak lagi menginginkan layanan AWS untuk melakukan aksi atas nama Anda, Anda dapat menghapus peran tertaut-layanannya. Sebelum Anda menghapus peran tersebut, Anda harus menghapus semua sumber daya AWS yang bergantung pada peran tersebut. Langkah ini memastikan agar Anda tidak menghapus secara tidak sengaja peran yang diperlukan untuk sumber daya AWS Anda agar dapat berfungsi dengan benar.

T: Bagaimana cara menghapus peran tertaut-layanan?
Anda dapat menghapus peran tertaut-layanan dari konsol IAM. Pilih Peran di jendela navigasi, pilih peran tertaut-layanan yang Anda ingin hapus, dan pilih Hapus peran. (Catatan: Untuk Amazon Lex, Anda harus menggunakan konsol Amazon Lex untuk menghapus peran tertaut-layanan.)


T: Bagaimana cara kerja suatu izin?

Kebijakan kontrol akses dilampirkan ke pengguna, grup, dan peran untuk menetapkan izin ke sumber daya AWS. Secara default, pengguna, grup, dan peran IAM tidak memiliki izin; pengguna dengan izin yang memadai harus menggunakan kebijakan untuk menetapkan izin yang diinginkan.

T: Bagaimana cara menetapkan izin menggunakan kebijakan?

Untuk menetapkan izin, Anda dapat membuat dan melampirkan kebijakan menggunakan AWS Management Console, IAM API, atau AWS CLI. Pengguna yang telah diberi izin yang diperlukan dapat membuat kebijakan dan menetapkannya ke pengguna, grup, dan peran IAM.

T: Apa itu kebijakan yang dikelola?

Kebijakan yang dikelola adalah sumber daya IAM yang menyatakan izin menggunakan bahasa kebijakan IAM. Anda dapat membuat, mengedit, dan mengelola secara terpisah dari pengguna, grup, dan peran IAM yang dilampiri dengan kebijakan tersebut. Setelah Anda melampirkan kebijakan yang dikelola ke beberapa pengguna, grup, atau peran IAM, Anda dapat memperbarui kebijakan tersebut di satu tempat dan izin secara otomatis diperpanjang untuk semua entitas yang dilampiri. Kebijakan yang dikelola dapat dikelola oleh Anda (ini disebut kebijakan yang dikelola pelanggan) atau oleh AWS (ini disebut kebijakan yang dikelola AWS). Untuk informasi selengkapnya tentang kebijakan yang dikelola, lihat Kebijakan yang Dikelola dan Kebijakan Inline.

T: Bagaimana cara membuat kebijakan yang dikelola pelanggan?

Anda dapat menggunakan editor visual atau editor JSON di dalam konsol IAM. Editor visual merupakan editor tunjuk-dan-klik yang memandu Anda selama proses pemberian izin di dalam suatu kebijakan tanpa mengharuskan Anda untuk menuliskan kebijakan tersebut di JSON. Anda dapat membuat kebijakan di JSON dengan menggunakan CLI dan SDK.

T: Bagaimana cara menetapkan izin yang digunakan secara umum?

AWS menyediakan satu set izin yang digunakan secara umum yang dapat Anda lampirkan ke pengguna, grup, dan peran IAM di akun Anda. Ini disebut kebijakan yang dikelola AWS. Salah satu contohnya adalah akses baca-saja untuk Amazon S3. Ketika AWS memperbarui kebijakan ini, izin tersebut diterapkan secara otomatis kepada pengguna, grup, dan peran yang dilampiri dengan kebijakan tersebut. Kebijakan yang dikelola AWS secara otomatis muncul di bagian Kebijakan dari konsol IAM. Ketika Anda menetapkan izin, Anda dapat menggunakan kebijakan yang dikelola AWS atau Anda dapat membuat kebijakan yang dikelola pelanggan Anda sendiri. Buat kebijakan baru berdasarkan kebijakan yang dikelola AWS yang ada, atau tetapkan kebijakan Anda sendiri.

T: Bagaimana cara kerja izin berdasarkan grup?

Gunakan grup IAM untuk menetapkan set izin yang sama kepada beberapa pengguna IAM. Pengguna juga dapat memiliki izin individu yang ditetapkan untuk pengguna tersebut. Kedua cara untuk melampirkan izin kepada pengguna tersebut bekerja sama untuk menetapkan izin keseluruhan.

T: Apa perbedaan antara menetapkan izin menggunakan grup IAM dan menetapkan izin menggunakan kebijakan yang dikelola?

Gunakan grup IAM untuk mengumpulkan pengguna IAM dan menentukan izin yang umum bagi pengguna tersebut. Gunakan kebijakan yang dikelola untuk berbagi izin di antara pengguna, grup, dan peran IAM. Misalnya, jika Anda menginginkan agar suatu grup pengguna dapat meluncurkan instans Amazon EC2, dan Anda juga ingin agar peran di instans tersebut memiliki izin yang sama dengan pengguna yang ada di dalam grup, Anda dapat membuat kebijakan yang dikelola dan menetapkannya ke grup pengguna dan peran yang ada di instans Amazon EC2.

T: Bagaimana kebijakan IAM dievaluasi bersamaan dengan kebijakan berbasis sumber daya Amazon S3, Amazon SQS, Amazon SNS, dan AWS KMS?

Kebijakan IAM dievaluasi bersama-sama dengan kebijakan berbasis sumber daya dari layanan tersebut. Ketika suatu kebijakan jenis apa pun memberikan akses (tanpa menolaknya secara jelas), maka tindakan tersebut diizinkan. Untuk informasi selengkapnya tentang logika evaluasi kebijakan, lihat Logis Evaluasi Kebijakan IAM

T: Apakah saya dapat menggunakan kebijakan yang dikelola sebagai kebijakan berbasis sumber daya?

Kebijakan yang dikelola hanya dapat dilampirkan ke pengguna, grup, atau peran IAM. Anda tidak dapat menggunakannya sebagai kebijakan berbasis sumber daya.

T: Bagaimana cara menetapkan izin granular menggunakan kebijakan?

Dengan menggunakan kebijakan, Anda dapat menentukan beberapa lapis granularitas izin. Pertama-tama, Anda dapat menetapkan tindakan layanan AWS spesifik yang Anda ingin izinkan atau secara jelas Anda tolak aksesnya. Kedua, tergantung pada tindakan tersebut, Anda dapat menetapkan sumber daya AWS spesifik yang dapat digunakan untuk melakukan tindakan tersebut. Ketiga, Anda dapat menetapkan syarat untuk menentukan kapan kebijakan tersebut diberlakukan (misalnya, jika MFA diaktifkan atau tidak).

T: Bagaimana saya dapat menghapus izin yang tidak diperlukan?

Untuk membantu Anda menentukan izin apa yang diperlukan, konsol IAM kini menampilkan data yang diakses terakhir kali oleh layanan yang menunjukkan waktu ketika suatu entitas IAM (pengguna, grup, atau peran) terakhir kali mengakses suatu layanan AWS. Dengan mengetahui apakah dan kapan suatu entitas IAM terakhir kali menggunakan izin dapat membantu Anda untuk menghapus izin yang tidak perlu dan memperketat kebijakan IAM Anda dengan lebih sedikit upaya.

T: Apakah saya dapat memberi izin untuk mengakses atau mengubah informasi tingkat akun (misalnya, instrumen pembayaran, alamat email kontak, dan riwayat penagihan)?

Ya, Anda dapat mendelegasikan kemampuan untuk pengguna IAM atau pengguna federasi untuk melihat data penagihan AWS dan memodifikasi informasi akun AWS. Untuk informasi selengkapnya tentang mengontrol akses ke informasi penagihan Anda, lihat Mengontrol Akses.

T: Siapa yang dapat membuat dan mengelola kunci akses di akun AWS?

Hanya pemilik akun AWS yang dapat mengelola kunci akses untuk akun root. Pemilik akun dan pengguna atau peran IAM yang telah diberi akses yang diperlukan tersebut dapat mengelola kunci akses untuk pengguna IAM.

T: Apakah saya dapat memberikan izin untuk mengakses sumber daya AWS yang dimiliki oleh akun AWS lainnya?
Ya. Dengan menggunakan peran IAM, pengguna IAM dan pengguna federasi dapat mengakses sumber daya yang ada di akun AWS lain melalui AWS Management Console, AWS CLI, atau API. Lihat Mengelola Peran IAM untuk informasi selengkapnya.

T: Bagaimana tampilan kebijakan itu?

Kebijakan berikut memberi akses untuk menambah, memperbarui, dan menghapus objek dari suatu folder spesifik, example_folder, di dalam bucket spesifik, example_bucket.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:PutObject",
            "s3:GetObject",
            "s3:GetObjectVersion",
            "s3:DeleteObject",
            "s3:DeleteObjectVersion"
         ],
         "Resource":"arn:aws:s3:::example_bucket/example_folder/*"
      }
   ]
}

T: Apa itu ringkasan kebijakan?

Jika Anda menggunakan konsol IAM dan memilih suatu kebijakan, Anda akan melihat ringkasan kebijakan. Ringkasan kebijakan mencantumkan tingkat akses, sumber daya, dan syarat untuk setiap layanan yang ditetapkan dalam kebijakan (lihat screenshot berikut sebagai contohnya). Tingkat akses (Lihat, Baca, Write Tulis, atau Pengelolaan izin) ditetapkan berdasarkan tindakan yang diberikan untuk setiap layanan yang ada dalam kebijakan tersebut. Anda dapat melihat kebijakan tersebut di dalam JSON dengan memilih tombol JSON.

Screenshot ringkasan kebijakan

T: Apa itu simulator kebijakan IAM?
Simulator kebijakan IAM merupakan alat untuk membantu Anda mengerti, menguji, dan memvalidasi efek dari kebijakan kontrol akses Anda.

T: Apa saja kegunaan dari simulator kebijakan tersebut?  
Anda dapat menggunakan simulator kebijakan dalam beberapa cara. Anda dapat menguji perubahan kebijakan untuk memastikan bahwa mereka memiliki efek yang diinginkan sebelum menerapkannya ke produksi. Anda dapat memvalidasi kebijakan yang sudah ada yang dilampirkan ke pengguna, grup, dan peran untuk memverifikasi dan memecahkan masalah izin. Anda juga dapat menggunakan simulator kebijakan untuk memahami bagaimana kebijakan IAM dan kebijakan berbasis sumber daya bekerja sama untuk memberikan atau menolak akses ke sumber daya AWS.

T: Siapa yang dapat menggunakan simulator kebijakan?
Simulator kebijakan tersedia bagi semua pelanggan AWS.

T: Berapa biaya simulator kebijakan?
Simulator kebijakan tersedia tanpa biaya tambahan.

T: Bagaimana saya memulai?
Kunjungi https://policysim.aws.amazon.com, atau klik tautan yang ada di konsol IAM di bawah “Informasi Tambahan.” Tentukan kebijakan baru atau pilih set kebijakan yang sudah ada dari pengguna, grup, atau peran yang ingin Anda evaluasi. Lalu pilih set tindakan dari daftar layanan AWS, berikan informasi yang diperlukan untuk menyimulasikan permintaan akses tersebut, dan jalankan simulasi untuk menentukan apakah kebijakan tersebut mengizinkan atau menolak izin ke tindakan dan sumber daya yang dipilih. Untuk mempelajari selengkapnya tentang simulator kebijakan IAM, saksikan video Cara Memulai kami atau lihat dokumentasi.

T: Apa saja jenis kebijakan yang didukung oleh simulator kebijakan IAM?
Simulator kebijakan mendukung pengujian kebijakan yang baru dimasukkan dan kebijakan yang sudah ada yang dilampirkan ke pengguna, grup, atau peran. Selain itu, Anda dapat menyimulasikan apakah kebijakan tingkat sumber daya memberi akses ke sumber daya tertentu untuk bucket Amazon S3, brankas Amazon Glacier, topik Amazon SNS, dan antrean Amazon SQS. Hal ini disertakan dalam simulasi ketika Amazon Resource Name (ARN) ditentukan di dalam bidang Sumber Daya di dalam Pengaturan Simulasi untuk layanan yang mendukung kebijakan sumber daya.

T: Jika saya mengubah kebijakan di dalam simulator kebijakan, apakah perubahan terjadi di produksi?
Tidak. Untuk menerapkan perubahan ke produksi, salin kebijakan yang telah Anda modifikasi di dalam simulator kebijakan dan lampirkan ke pengguna, grup, atau peran IAM yang diinginkan.

T: Apakah saya dapat menggunakan simulator kebijakan secara programatis?
Ya. Anda dapat menggunakan simulator kebijakan menggunakan AWS SDK atau AWS CLI selain dengan menggunakan konsol simulator kebijakan. Gunakan iam:SimulatePrincipalPolicy API untuk menguji kebijakan IAM Anda yang sudah ada secara programatis. Untuk menguji efek dari kebijakan baru atau kebijakan yang diperbarui yang belum dilampirkan ke pengguna, grup, atau peran, hubungi iam:SimulateCustomPolicy API.  


T: Bagaimana pengguna IAM dapat masuk?

Untuk masuk ke AWS Management Console sebagai pengguna IAM, Anda harus menyediakan ID akun atau nama alias akun Anda selain dari nama pengguna dan kata sandi Anda. Ketika administrator Anda membuat pengguna IAM Anda di konsol, mereka pasti telah memberi Anda dengan nama pengguna dan URL ke halaman login akun Anda. URL tersebut meliputi ID akun atau nama alias akun Anda.

https://My_AWS_Account_ID.signin.aws.amazon.com/console/

Anda juga dapat masuk di titik akhir login umum berikut dan mengetikkan ID akun atau nama alias akun Anda secara manual:

https://console.aws.amazon.com/

Untuk kenyamanan Anda, halaman login AWS menggunakan cookie browser untuk mengingat nama pengguna IAM dan informasi akun. Pada waktu berikutnya pengguna tersebut membuka halaman apa pun di dalam AWS Management Console, konsol ini menggunakan cookie tersebut untuk mengarahkan pengguna ke halaman masuk akun tersebut.

Catatan: Pengguna IAM masih dapat menggunakan tautan URL yang disediakan kepada mereka oleh administrator mereka untuk masuk ke AWS Management Console.

T: Apa itu nama alias akun AWS?

Nama alias akun adalah nama yang Anda tetapkan untuk membuatnya jadi lebih mudah untuk mengidentifikasi akun Anda. Anda dapat membuat nama alias menggunakan IAM API, AWS Command Line Tools, atau konsol IAM. Anda dapat memiliki satu nama alias per akun AWS.

T: Apa saja situs AWS yang dapat diakses oleh pengguna IAM?

Pengguna IAM dapat masuk melalui situs AWS berikut:

T: Apakah pengguna IAM dapat masuk ke properti Amazon.com lain dengan kredensial yang mereka miliki?
Tidak. Pengguna dibuat dengan IAM dikenali hanya oleh layanan AWS dan aplikasi.

T: Apakah ada API autentikasi untuk memverifikasi pengguna IAM yang masuk?
Tidak. Tidak ada cara programatis untuk memverifikasi login pengguna.

T: Apakah instans SSH ke EC2 pengguna dapat menggunakan nama pengguna dan kata sandi AWS mereka?
Tidak. Kredensial keamanan pengguna yang dibuat dengan IAM tidak didukung untuk autentikasi langsung terhadap instans EC2. Mengelola kredensial EC2 SSH merupakan tanggung jawab pelanggan yang ada di dalam konsol EC2 tersebut.


T: Apa itu kredensial keamanan sementara?
Kredensial keamanan sementara terdiri dari ID kunci akses AWS, kunci akses rahasia dagang, token keamanan. Kredensial keamanan sementara valid untuk durasi yang ditentukan dan untuk set izin yang spesifik. Kredensial keamanan sementara kadang-kadang dirujuk secara sederhana sebagai token. Token dapat diminta untuk pengguna IAM atau untuk pengguna federasi yang Anda kelola di direktori perusahaan Anda. Untuk informasi selengkapnya, baca Skenario yang Umum untuk Kredensial Sementara.

T: Apa keuntungan dari kredensial keamanan sementara?
Kredensial keamanan sementara mengizinkan Anda untuk:

  • Memperpanjang direktori pengguna internal Anda untuk memungkinkan federasi ke AWS, memungkinkan karyawan dan aplikasi Anda untuk mengakses layanan AWS API tanpa perlu membuat identitas AWS untuk pengguna tersebut.
  • Minta kredensial keamanan sementara untuk jumlah pengguna federasi yang tidak terbatas.
  • Konfigurasikan periode waktu setelah kredensial keamanan sementara tersebut kedaluwarsa, menawarkan keamanan yang ditingkatkan ketika mengakses API layanan AWS melalui perangkat seluler tempat terdapat risiko kehilangan perangkat tersebut.

T: Bagaimana cara meminta kredensial pengguna sementara untuk pengguna federasi?
Anda dapat memanggil GetFederationToken, AssumeRole, AssumeRoleWithSAML, atau AssumeRoleWithWebIdentity STS API.

T: Bagaimana pengguna IAM dapat meminta kredensial keamanan sementara untuk penggunaan mereka sendiri?
Pengguna IAM dapat meminta kredensial keamanan sementara untuk penggunaan mereka sendiri dengan cara menghubungi AWS STS GetSessionToken API. Kedaluwarsa default untuk kredensial sementara ini adalah 12 jam; waktu minimum adalah 15 menit, dan waktu maksimum adalah 36 jam.

Anda juga dapat menggunakan kredensial sementara dengan Akses API yang Dilindungi dengan Multi-Factor Authentication (MFA).

T: Bagaimana saya dapat menggunakan kredensial keamanan sementara untuk menghubungi API layanan AWS?
Jika Anda membuat permintaan HTTPS API ke AWS, Anda dapat mengajukan permintaan tersebut dengan kredensial keamanan sementara yang Anda dapatkan dari AWS Security Token Service (AWS STS). Untuk melakukan hal ini, lakukan hal berikut:

  • Gunakan ID kunci akses dan kunci akses rahasia yang disediakan dengan kredensial keamanan sementara dengan cara yang sama dengan cara Anda menggunakan kredensial jangka panjang untuk mengajukan permintaan. Untuk informasi lainnya tentang mengajukan permintaan HTTPS API, lihat Mengajukan Permintaan AWS API di dalam Referensi Umum AWS.
  • Gunakan token sesi yang disediakan dengan kredensial keamanan sementara. Sertakan token sesi di dalam header "x-amz-security-token". Lihat permintaan contoh berikut ini.
    • Untuk Amazon S3, melalui header "x-amz- security-token" HTTP. 
    • Untuk layanan AWS lainnya, melalui parameter SecurityToken.

T: Apa layanan AWS yang menerima kredensial keamanan sementara?
Untuk daftar layanan yang didukung, lihat Layanan AWS yang Berfungsi dengan IAM.

T: Apa ukuran maksimum kebijakan akses yang dapat saya tentukan ketika meminta kredensial keamanan sementara (baik itu GetFederationToken atau AssumeRole)?
Plaintext kebijakan haruslah 2048 byte atau lebih pendek. Akan tetapi, konversi internal mengompresinya menjadi format biner terkemas dengan limit terpisah.

T: Apakah kredensial keamanan sementara dapat dicabut sebelum kedaluwarsa?
Tidak. Ketika meminta kredensial sementara, kami rekomendasikan hal berikut:

  • Ketika membuat kredensial keamanan sementara, atur kedaluwarsa ke suatu nilai yang sesuai untuk aplikasi Anda.
  • Karena izin akun root tidak dapat dibatasi, gunakan pengguna IAM dan bukan akun root untuk membuat kredensial keamanan sementara. Anda dapat mencabut izin dari pengguna IAM yang menerbitkan panggilan awal yang meminta izin tersebut. Tindakan ini akan segera mencabut hak istimewa untuk semua kredensial keamanan sementara yang diterbitkan oleh pengguna IAM

T: Apakah saya dapat mengaktifkan kembali atau memperpanjang kedaluwarsa kredensial keamanan sementara?
Tidak. Merupakan praktik yang baik untuk memeriksa kedaluwarsa secara aktif dan meminta kredensial keamanan sementara yang baru sebelum yang lama kedaluwarsa. Proses rotasi ini secara otomatis dikelola untuk Anda ketika kredensial keamanan sementara digunakan dalam peran untuk instans EC2.

T: Apakah kredensial keamanan sementara didukung di semua wilayah?
Pelanggan dapat meminta token dari titik akhir AWS STS di semua wilayah, termasuk AWS GovCloud (AS) dan wilayah Tiongkok (Beijing). Kredensial sementara dari AWS GovCloud (AS) dan Tiongkok (Beijing) dapat digunakan hanya di wilayah tempat asal mereka. Kredensial sementara yang diminta dari wilayah lain seperti bagian Timur AS (Virginia Utara) atau UE (Irlandia) dapat digunakan di semua wilayah kecuali AWS GovCloud (AS) dan Tiongkok (Beijing).

T: Apakah saya dapat membatasi penggunaan kredensial keamanan sementara ke suatu wilayah atau subset wilayah?

Tidak. Anda tidak dapat membatasi kredensial keamanan sementara ke suatu wilayah atau subset wilayah tertentu, kecuali kredensial keamanan sementara dari AWS GovCloud (AS) dan Tiongkok (Beijing), yang dapat digunakan hanya di wilayah yang sesuai dari tempat asalnya.

T: Apa yang perlu saya lakukan sebelum dapat mulai menggunakan titik akhir AWS STS?

Titik akhir AWS STS aktif secara default di semua wilayah dan Anda dapat mulai menggunakannya tanpa tindakan lebih lanjut.

T: Apa yang terjadi jika saya mencoba menggunakan titik akhir AWS STS regional yang telah dinonaktifkan untuk akun AWS saya?

Jika Anda mencoba untuk menggunakan titik akhir AWS STS regional yang telah dinonaktifkan untuk akun AWS Anda, Anda akan melihat pengecualian AccessDenied dari AWS STS dengan pesan berikut: “AWS STS is not activated in this region for this account: AccountID. Administrator akun Anda dapat mengaktifkan AWS STS di wilayah ini menggunakan konsol IAM.”

T: Apa saja izin yang diperlukan untuk mengaktifkan atau menonaktifkan wilayah AWS STS dari halaman Pengaturan Akun?

Hanya pengguna dengan izin iam:* minimal yang dapat mengaktifkan atau menonaktifkan wilayah AWS STS dari halaman Pengaturan Akun di dalam konsol IAM. Perhatikan bahwa titik akhir AWS STS di wilayah Bagian Timur AS (Virginia U.), AWS GovCloud (AS), dan Tiongkok (Beijing) selalu aktif dan tidak dapat dinonaktifkan.

T: Dapatkah saya menggunakan API atau CLI untuk mengaktifkan atau menonaktifkan wilayah AWS STS?

TIdak. Tidak ada dukungan API atau CLI pada saat ini untuk mengaktifkan atau menonaktifkan wilayah AWS STS. Kami berencana untuk menyediakan dukungan API dan CLI pada rilisan mendatang.


T: Apa itu federasi identitas?
AWS Identity dan Access Management (IAM) mendukung federasi identitas untuk akses yang didelegasikan ke Konsol AWS Management Console atau AWS API. Dengan federasi identitas, identitas eksternal diberi akses yang aman ke sumber daya di akun AWS Anda tanpa perlu membuat pengguna IAM. Identitas eksternal ini dapat berasal dari penyedia identitas perusahaan Anda (seperti Microsoft Active Directory atau dari AWS Directory Service) atau dari penyedia identitas web (seperti Amazon Cognito, Login with Amazon, Facebook, Google, atau setiap penyedia yang kompatibel dengan OpenID Connect).

T: Apa itu pengguna federasi?
Pengguna federasi (identitas eksternal) adalah pengguna yang Anda kelola di luar AWS di dalam direktori perusahaan Anda, tetapi yang Anda berikan akses ke akun AWS Anda menggunakan kredensial sementara. Mereka berbeda dari pengguna IAM, yang dibuat dan dikelola di akun AWS Anda.

T: Apakah Anda mendukung SAML?
Ya, AWS mendukung Security Assertion Markup Language (SAML) 2.0.

T: Apa profil SAML yang didukung oleh AWS?
Titik akhir AWS single sign-on (SSO) mendukung IdP-initiated HTTP-POST yang mengikat Profil WebSSO SAML. Hal ini memungkinkan pengguna federasi untuk masuk ke AWS Management Console menggunakan asersi SAML. Tuntutan SAML juga dapat digunakan untuk meminta kredensial keamanan sementara menggunakan AssumeRoleWithSAML API. Untuk informasi selengkapnya, lihat Tentang Federasi Berbasis SAML 2.0.

T: Apakah pengguna federasi dapat mengakses AWS API?
Ya. Anda dapat meminta kredensial keamanan sementara secara programatis untuk pengguna federasi Anda untuk memberi mereka dengan akses yang aman dan langsung ke AWS API. Kami telah menyediakan aplikasi sampel yang mendemonstrasikan bagaimana Anda dapat mengaktifkan federasi identitas, memberikan akses ke API layanan AWS bagi pengguna yang dikelola oleh Microsoft Active Directory. Untuk informasi lainnya, lihat Menggunakan Kredensial Keamanan Sementara untuk Meminta Akses ke Sumber Daya AWS.

T: Apakah pengguna federasi dapat mengakses AWS Management Console?
Ya. Terdapat beberapa cara untuk mencapai hal ini. Salah satu caranya adalah dengan meminta kredensial keamanan sementara secara programatis (seperti GetFederationToken atau AssumeRole) untuk pengguna federasi Anda dan menyertakan kredensial tersebut sebagai bagian dari permintaan login ke AWS Management Console. Setelah Anda mengautentikasi pengguna dan memberi mereka kredensial keamanan sementara, Anda membuat token login yang digunakan oleh titik akhir AWS single sign-on (SSO). Tindakan pengguna di dalam konsol dibatasi ke kebijakan kontrol akses yang ditautkan dengan kredensial keamanan sementara tersebut. Untuk detail lainnya, lihat Membuat URL yang Memungkinkan Pengguna Federasi untuk Mengakses AWS Management Console (Broker Federasi Kustom).

Alternatif lainnya, Anda dapat memposting tuntutan SAML secara langsung ke login AWS (https://signin.aws.amazon.com/saml). Tindakan pengguna di dalam konsol dibatasi untuk kebijakan kontrol akses yang ditautkan dengan peran IAM yang dimiliki menggunakan tuntutan SAML. Untuk detail lainnya, lihat Memungkinkan Pengguna Federasi SAML 2.0 untuk Mengakses AWS Management Console.

Menggunakan pendekatan yang mengizinkan pengguna federasi untuk mengakses konsol tanpa harus login dengan nama pengguna dan kata sandi. Kami telah menyediakan aplikasi sampel yang mendemonstrasikan bagaimana Anda dapat mengaktifkan federasi identitas, memberikan akses ke AWS Management Console bagi pengguna yang dikelola oleh Microsoft Active Directory. 

T: Bagaimana cara mengontrol apa saja yang diizinkan untuk dilakukan oleh pengguna federasi ketika login ke konsol tersebut?
Ketika Anda meminta kredensial keamanan sementara untuk pengguna federasi Anda dengan menggunakan AssumeRole API, Anda secara opsional dapat menyertakan kebijakan akses dengan permintaan tersebut. Hak istimewa pengguna federasi merupakan perpotongan dari izin yang diberikan oleh kebijakan akses yang diberikan dengan permintaan tersebut dan kebijakan akses yang dilampirkan ke peran IAM yang dimiliki. Kebijakan akses yang diberikan dengan permintaan tersebut tidak dapat meningkatkan hak istimewa yang ditautkan dengan peran IAM yang diberikan. Ketika Anda meminta kredensial keamanan sementara untuk pengguna federasi Anda dengan menggunakan GetFederationToken API, Anda harus menyediakan kebijakan kontrol akses dengan permintaan tersebut. Hak istimewa pengguna federasi merupakan perpotongan dari izin yang diberikan oleh kebijakan akses yang diberikan dengan permintaan tersebut dan kebijakan akses yang dilampirkan ke peran IAM yang digunakan untuk mengajukan permintaan tersebut. Kebijakan akses yang diberikan dengan permintaan tersebut tidak dapat meningkatkan hak istimewa yang ditautkan dengan peran IAM yang digunakan untuk mengajukan permintaan tersebut. Izin pengguna federasi ini berlaku untuk akses API dan tindakan yang dilakukan di dalam AWS Management Console.

T: Apa saja izin yang diperlukan oleh pengguna federasi untuk menggunakan konsol tersebut?
Pengguna memerlukan izin ke API layanan AWS yang dipanggil oleh AWS Management Console. Izin umum yang diperlukan untuk mengakses layanan AWS didokumentasikan dalam Menggunakan Kredensial Keamanan Sementara untuk Meminta Akses ke Sumber Daya AWS.

T: Bagaimana cara mengontrol berapa lama pengguna federasi memiliki akses ke AWS Management Console?
Tergantung pada API yang digunakan untuk menciptakan kredensial keamanan sementara, Anda dapat menentukan limit seksi antara 15 menit dan 36 jam (untuk GetFederationToken dan GetSessionToken) dan antara 15 menit dan 12 jam (untuk AssumeRole* API), selama waktu pengguna federasi tersebut dapat mengakses konsol. Ketika sesi tersebut kedaluwarsa, pengguna federasi harus meminta sesi baru dengan kembali ke penyedia identitas Anda, tempat Anda dapat memberi mereka akses kembali. Pelajari selengkapnya tentang mengatur durasi sesi.  

T: Apa yang terjadi ketika waktu tunggu sesi konsol federasi identitas sudah habis?
Pengguna menerima pesan yang menyatakan bahwa waktu tunggu sesi konsol sudah habis dan bahwa mereka perlu meminta sesi baru. Anda dapat menentukan URL untuk mengarahkan pengguna ke laman web intranet lokal Anda tempat mereka dapat meminta sesi yang baru. Anda menambahkan URL ini ketika menentukan parameter Issuer sebagai bagian dari permintaan login Anda. Untuk informasi lainnya, lihat Memungkinkan Pengguna Federasi SAML 2.0 untuk Mengakses AWS Management Console.

T: Bagaimana pengguna federasi dapat saya beri akses ke AWS Management Console?
Tidak ada batas untuk jumlah pengguna federasi yang dapat diberikan akses ke konsol.

T: Apa itu federasi identitas web?

Federasi identitas web memungkinkan Anda untuk membuat aplikasi seluler yang didukung oleh AWS yang menggunakan penyediaan identitas publik (seperti Amazon Cognito, Login with Amazon, Facebook, Google, atau setiap penyedia yang kompatibel dengan OpenID Connect) untuk autentikasi. Dengan federasi identitas web, Anda memiliki cara yang mudah untuk mengintegrasikan login dari penyedia identitas publik (IdP) ke dalam aplikasi Anda tanpa perlu menulis kode sisi server apa pun dan tanpa mendistribusikan kredensial keamanan AWS jangka panjang dengan aplikasi tersebut.

Untuk informasi selengkapnya tentang federasi identitas web dan cara memulai, lihat Tentang Federasi Identitas Web.

 

T: Bagaimana cara mengaktifkan federasi identitas dengan akun dari IdP publik?

Untuk hasil terbaik, gunakan Amazon Cognito sebagai broker identitas Anda untuk hampir semua skenario federasi identitas web. Amazon Cognito mudah digunakan dan menyediakan kemampuan tambahan seperti akses anonim (tidak terautentikasi), dan menyinkronkan data pengguna di seluruh perangkat dan penyedia. Akan tetapi, jika Anda telah membuat suatu aplikasi yang menggunakan federasi identitas web dengan cara memanggil AssumeRoleWithWebIdentity API secara manual, Anda dapat melanjutkan untuk menggunakannya dan aplikasi Anda akan tetap berfungsi.

Berikut ini adalah langkah-langkah dasar untuk mengaktifkan federasi identitas menggunakan salah satu IdP web yang didukung:

  1. Mendaftar sebagai pengembang dengan IdP tersebut dan konfigurasikan aplikasi Anda dengan IdP tersebut, yang akan memberi Anda dengan ID yang unik untuk aplikasi Anda.
  2. Jika Anda menggunakan IdP yang kompatibel dengan OIDC, buat entitas penyedia identitas untuknya di dalam IAM.
  3. Di dalam AWS, buat satu atau beberapa peran IAM. 
  4. Di dalam aplikasi Anda, autentikasi pengguna Anda dengan IdP publik.
  5. Di dalam aplikasi Anda, buat panggilan yang tidak didaftarkan ke AssumeRoleWithWebidentity API untuk meminta kredensial keamanan sementara. 
  6. Dengan menggunakan kredensial keamanan sementara yang Anda dapatkan dalam respons dari AssumeRoleWithWebidentity, aplikasi Anda membuat permintaan terdaftar ke AWS API.
  7. Aplikasi Anda menyimpan kredensial keamanan sementara tersebut sebagai cache sehingga Anda tidak perlu mendapatkan kredensial yang baru setiap kali aplikasi perlu mengajukan permintaan ke AWS.

Untuk langkah terperinci lainnya, lihat Menggunakan API Federasi Identitas Web untuk Aplikasi Seluler.

T: Apa perbedaan antara federasi identitas yang menggunakan AWS Directory Service dengan yang menggunakan solusi manajemen identitas pihak ketiga?

Jika Anda ingin pengguna federasi Anda hanya bisa mengakses AWS Management Console, dengan menggunakan AWS Directory Service akan menyediakan kemampuan yang mirip dibandingkan dengan jika menggunakan solusi manajemen identitas pihak ketiga. Pengguna akhir dapat login menggunakan kredensial perusahaan mereka yang sudah ada dan mengakses AWS Management Console. Karena AWS Directory Service merupakan layanan yang dikelola, pelanggan tidak perlu menyiapkan atau mengelola infrastruktur federasi, tetapi lebih perlu untuk membuat direktori AD Connector untuk mengintegrasikan dengan direktori di tempat mereka. Jika Anda tertarik dalam memberi pengguna federasi Anda dengan akses ke AWS API, gunakan penawaran pihak ketiga, atau terapkan server proxy Anda sendiri.


T: Apakah Penagihan AWS menyediakan pemecahan penggunaan dan biaya agregat berdasarkan pengguna?
Tidak, hal ini tidak didukung pada saat ini.

T: Apakah layanan IAM dikenakan biaya?
Tidak, ini merupakan fitur akun AWS Anda yang disediakan tanpa dikenai biaya tambahan.

T: Siapa yang membayar untuk penggunaan yang ditimbulkan oleh pengguna yang ada di dalam Akun AWS?
Pemilik akun AWS mengontrol dan bertanggung jawab untuk semua penggunaan, data, dan sumber daya di bawah akun ini.

T: Apakah aktivitas pengguna yang dapat ditagihkan dicatat dalam log data penggunaan AWS?
Tidak untuk saat ini. Hal ini direncanakan untuk rilisan mendatang.

T: Bagaimana IAM jika dibandingkan dengan Consolidated Billing?
IAM dan Consolidated Billing merupakan fitur pelengkap. Consolidated Billing memungkinkan Anda untuk mengonsolidasi pembayaran untuk beberapa akun AWS di dalam perusahaan Anda dengan menentukan akun pembayaran tunggal. Cakupan IAM tidak berkaitan dengan Consolidated Billing. Pengguna yang sudah ada di dalam batasan akun AWS dan tidak memiliki izin untuk memiliki izin di seluruh akun yang ditautkan. Untuk perincian selengkapnya, lihat Membayar Tagihan untuk Beberapa Akun Menggunakan Consolidated Billing.

T: Apakah pengguna dapat mengakses informasi tagihan akun AWS?
Ya, tetapi hanya jika Anda mengizinkannya. Agar pengguna IAM dapat mengakses informasi tagihan, Anda pertama-tama harus memberikan akses ke Aktivitas Akun atau Laporan Penggunaan. Lihat Mengontrol Akses.


T: Apa yang terjadi jika pengguna mencoba untuk mengakses layanan yang belum diintegrasikan dengan IAM?
Layanan tersebut mengembalikan pesan kesalahan “Access denied” (Akses ditolak).

T: Apakah tindakan IAM dicatat untuk tujuan audit?
Ya. Anda dapat mencatat tindakan IAM, tindakan STS, dan login AWS Management Console dengan cara mengaktifkan AWS CloudTrail. Untuk mempelajari selengkapnya tentang pencatatan AWS, lihat AWS CloudTrail.

T: Apakah ada perbedaan antara orang dan agen perangkat lunak sebagai entitas AWS?
Tidak, kedua entitas ini diperlakukan seperti pengguna dengan kredensial keamanan dan izin. Akan tetapi, orang merupakan satu-satunya pengguna yang menggunakan kata sandi di dalam AWS Management Console.

T: Apakah pengguna bekerja sama dengan AWS Support Center dan Trusted Advisor?
Ya, pengguna IAM memiliki kemampuan untuk membuat dan memodifikasi kasus dukungan serta menggunakan Trusted Advisor.

T: Apakah ada limit kuota default yang ditautkan dengan IAM?
Ya, secara default, akun AWS Anda memiliki kuota asal yang ditetapkan untuk semua entitas yang berkaitan dengan IAM. Untuk perinciannya, lihat Pembatasan pada Entitas IAM dan Objek.

Kuota ini dapat berubah. Jika Anda memerlukan peningkatan, Anda dapat mengakses formulir Peningkatan Limit Layanan melalui halaman Hubungi Kami, dan memilih Grup dan Pengguna IAM dari daftar tarik turun Jenis Limit.


T. Apa itu AWS MFA?
AWS multi-factor authentication (AWS MFA) menyediakan tingkat keamanan tambahan yang dapat Anda terapkan ke lingkungan AWS Anda. Anda dapat mengaktifkan AWS MFA untuk akun AWS Anda dan untuk pengguna AWS Identity and Access Management (IAM) individu yang Anda buat di bawah akun Anda.

T. Bagaimana cara kerja AWS MFA?
Terdapat dua cara utama untuk mengautentikasi menggunakan perangkat AWS MFA:

  • Pengguna AWS Management Console: Ketika pengguna dengan MFA yang diaktifkan melakukan login ke situs web AWS, mereka akan diminta konfirmasi untuk nama pengguna dan kata sandi mereka (faktor pertama–apa yang mereka ketahui), dan respons autentikasi dari perangkat AWS MFA mereka (faktor kedua–apa yang mereka miliki). Semua situs web AWS yang memerlukan login, seperti AWS Management Console, mendukung AWS MFA sepenuhnya. Anda juga dapat menggunakan AWS MFA bersama dengan penghapusan aman Amazon S3 untuk perlindungan tambahan dari versi tersimpan S3 Anda.
  • Pengguna AWS API: Anda dapat menerapkan autentikasi MFA dengan cara menambahkan pembatasan MFA ke kebijakan IAM Anda. Untuk mengakses API dan sumber daya yang dilindungi dalam cara ini, pengembang dapat meminta kredensial keamanan sementara dan memenuhi parameter MFA opsional di permintaan AWS Security Token Service (STS) API mereka (layanan yang menerbitkan kredensial keamanan sementara). Kredensial keamanan sementara yang divalidasi MFA dapat digunakan untuk memanggil API dan sumber daya yang dilindungi oleh MFA. Catatan: Saat ini AWS STS dan API yang terlindungi MFA tidak mendukung kunci keamanan U2F seperti MFA.

T. Bagaimana saya dapat membantu melindungi sumber daya AWS saya dengan MFA?
Ikuti dua langkah mudah berikut:

1. Dapatkan perangkat MFA. Anda memiliki 3 pilihan:

  • Beli kunci keamanan perangkat keras YubiKey dari Yubico, penyedia pihak ketiga.
  • Beli perangkat keras dari Gemalto, suatu penyedia perangkat pihak ketiga.
  • Instal aplikasi yang kompatibel dengan MFA virtual pada perangkat seperti telepon pintar Anda.

Kunjungi laman AWS MFA untuk perincian tentang cara mendapatkan perangkat keras atau perangkat MFA virtual.

2. Setelah Anda memiliki perangkat MFA, Anda harus mengaktifkannya di dalam konsol IAM. Anda dapat pula menggunakan AWS CLI untuk mengaktifkan MFA virtual dan MFA perangkat keras (perangkat Gemalto) untuk pengguna IAM. Catatan: saat ini AWS CLI tidak mendukung aktivasi kunci keamanan U2F.

T. Apakah ada biaya yang dikaitkan dengan penggunaan AWS MFA?
AWS tidak mengenakan biaya tambahan apa pun karena menggunakan AWS MFA dengan akun AWS Anda. Akan tetapi, jika Anda ingin menggunakan perangkat MFA fisik maka Anda akan perlu membeli perangkat MFA yang kompatibel dengan AWS MFA dari Gemalto atau Yubico, penyedia pihak ketiga. Untuk perincian selengkapnya, harap kunjungi situs web Yubico atau Gemalto.

T. Apakah saya dapat memiliki beberapa perangkat MFA aktif untuk akun AWS saya?
Ya. Setiap pengguna IAM dapat memiliki perangkat MFA sendiri. Akan tetapi, setiap identitas (pengguna IAM atau akun root) dapat ditautkan dengan satu perangkat MFA saja.

T. Dapatkah saya menggunakan kunci keamanan U2F pada beberapa akun AWS?

Ya. AWS memungkinkan Anda menggunakan kunci keamanan U2F yang sama pada beberapa root dan pengguna IAM di berbagai akun.

T. Dapatkah saya menggunakan MFA virtual, perangkat keras, atau SMS pada berbagai akun AWS?
Tidak. Perangkat MFA atau nomor telepon seluler yang berasosiasi pada MFA virtual, perangkat keras, dan SMS MFA terikat ke suatu identitas AWS individu (pengguna IAM atau akun root). Jika Anda memiliki aplikasi yang kompatibel dengan TOTP yang terinstal di telepon pintar Anda, Anda dapat membuat beberapa perangkat MFA virtual pada telepon pintar yang sama. Setiap satu perangkat MFA virtual terikat ke identitas tunggal, sama seperti perangkat MFA (Gemalto) perangkat keras. Jika Anda melepaskan penautan (menonaktifkan) perangkat MFA, Anda kemudian dapat menggunakannya dengan identitas AWS yang berbeda. Saat ini perangkat MFA yang terasosiasi pada MFA perangkat keras tidak dapat digunakan lebih dari satu identitas secara berturut-turut.

T. Saya sudah memiliki perangkat MFA (Gemalto) perangkat keras dari tempat kerja saya atau dari layanan lain yang saya gunakan, apakah saya dapat menggunakan kembali perangkat ini dengan AWS MFA?
Tidak. AWS MFA mengandalkan pada mengetahui rahasia unik yang ditautkan dengan perangkat MFA perangkat keras (Gemalto) Anda untuk dapat mendukung penggunaannya. Karena pembatasan keamanan yang mengharuskan agar rahasia tersebut tidak boleh dibagikan antara beberapa pihak, AWS MFA tidak dapat mendukung penggunaan perangkat Gemalto Anda yang sudah ada. Hanya perangkat MFA perangkat keras yang kompatibel yang dibeli dari Gemalto yang dapat digunakan dengan AWS MFA. Anda dapat menggunakan ulang kunci keamanan U2F yang sudah ada pada MFA AWS, sebagaimana kunci keamanan U2F tidak berbagi rahasia antara banyak pihak.

T. Saya memiliki masalah dengan pesanan untuk perangkat MFA menggunakan situs web penyedia pihak ketiga. Di mana saya bisa mendapatkan bantuan?
Layanan pelanggan Yubico atau Gemalto dapat membantu Anda.

T. Saya menerima perangkat MFA yang cacat atau rusak dari penyedia pihak ketiga. Di mana saya bisa mendapatkan bantuan?
Layanan pelanggan Yubico atau Gemalto dapat membantu Anda.

T. Saya baru saja menerima perangkat MFA dari penyedia pihak ketiga. Apa yang harus saya lakukan?
Anda cukup mengaktifkan perangkat MFA tersebut untuk mengaktifkan AWS MFA bagi akun AWS Anda.  Lihat konsol IAM untuk melakukan tugas ini.

T. Apa itu perangkat MFA virtual?
Perangkat MFA virtual merupakan entri yang dibuat dalam aplikasi perangkat lunak yang kompatibel dengan TOTP yang dapat menghasilkan kode autentikasi enam digit. Aplikasi perangkat lunak tersebut dapat berjalan pada perangkat komputasi yang kompatibel, seperti telepon pintar.

T. Apa perbedaan antara perangkat MFA virtual dan perangkat MFA fisik?
Perangkat MFA virtual menggunakan protokol yang sama seperti perangkat MFA fisik. Perangkat MFA virtual merupakan perangkat berbasis perangkat lunak dan dapat berjalan pada perangkat Anda yang sudah ada seperti telepon pintar. Sebagian besar aplikasi MFA virtual juga memungkinkan Anda untuk mengaktifkan lebih dari satu perangkat MFA virtual, yang membuatnya lebih nyaman digunakan daripada perangkat MFA fisik.

T. Apa saja aplikasi MFA virtual yang dapat saya gunakan dengan AWS MFA?
Anda dapat menggunakan aplikasi yang menghasilkan kode autentikasi yang kompatibel dengan TOTP, seperti aplikasi Google Authenticator, dengan AWS MFA. Anda dapat menyediakan perangkat MFA virtual baik secara otomatis dengan cara memindai kode QR dengan kamera di perangkat tersebut atau dengan cara entri seed manual ke dalam aplikasi MFA virtual.

Kunjungi halaman MFA untuk daftar aplikasi MFA virtual yang didukung.

T. Apa itu kode QR?
Kode QR adalah barcode dua dimensi yang dapat dibaca oleh pembaca barcode QR khusus dan sebagian besar telepon pintar. Kode tersebut terdiri dari persegi hitam yang ditata dalam pola persegi yang lebih besar di latar belakang putih. Kode QR tersebut mengandung informasi konfigurasi keamanan yang diperlukan untuk menyediakan perangkat MFA virtual ke dalam aplikasi MFA virtual Anda.

T. Bagaimana cara saya menyediakan perangkat MFA virtual yang baru?
Anda dapat mengonfigurasi perangkat MFA virtual baru di konsol IAM untuk pengguna IAM Anda serta untuk akun root AWS Anda. Anda juga dapat menggunakan perintah aws iam create-virtual-mfa-device di AWS CLI atau CreateVirtualMFADevice API untuk menyediakan perangkat MFA virtual baru di bawah akun Anda. aws iam create-virtual-mfa-device dan CreateVirtualMFADevice API mengembalikan informasi konfigurasi yang diperlukan, memanggil sebuah seed, untuk mengonfigurasi perangkat MFA virtual di aplikasi yang kompatibel dengan AWS MFA Anda. Anda dapat memberi pengguna IAM Anda dengan izin untuk memanggil API ini secara langsung atau melakukan penyediaan awal bagi mereka.

T. Bagaimana cara menangani dan mendistribusikan bahan seed untuk perangkat MFA virtual?

Anda harus memperlakukan bahan seed seperti rahasia lainnya (misalnya kunci rahasia AWS dan kata sandi).

T. Bagaimana saya dapat mengaktifkan pengguna IAM untuk mengelola perangkat MFA virtual di bawah akun saya?
Beri pengguna IAM dengan izin untuk memanggil CreateVirtualMFADevice API. Anda dapat menggunakan API ini untuk menyediakan perangkat MFA virtual yang baru.

T. Apakah saya masih dapat meminta akses pratinjau ke SMS MFA?

Kami tidak lagi menerima partisipan baru untuk pratinjau MFA SMS. Kami menyarankan Anda menggunakan MFA pada akun AWS dengan menggunakan kunci keamanan U2F, perangkat keras atau perangkat MFA virtual (berbasis perangkat lunak).

T. Kapan pratinjau untuk SMS MFA berakhir?

Pada tanggal 1 Februari 2019, AWS tidak lagi mengharuskan pengguna IAM untuk memasukkan kode enam digit MFA jika pengguna IAM disetel dengan "Perangkat SMS MFA". Pengguna ini juga tidak akan lagi diberikan kode SMS ketika mereka masuk. Kami menyarankan Anda menggunakan MFA melalui kunci keamanan U2F, perangkat keras atau perangkat MFA virtual (berbasis perangkat lunak). Anda dapat terus menggunakan fitur ini hingga 31 Januari 2019.

T. Di mana saya mengaktifkan AWS MFA?
Anda dapat mengaktifkan AWS MFA untuk suatu akun AWS dan pengguna IAM Anda di dalam konsol IAM, AWS CLI atau dengan memanggil AWS API. Catatan: saat ini CLI AWS dan API AWS tidak mendukung aktivasi kunci keamanan U2F.

T. Apa informasi yang saya perlukan untuk mengaktifkan perangkat keras atau perangkat MFA virtual?
Jika Anda mengaktifkan perangkat MFA dengan konsol IAM maka Anda hanya memerlukan perangkat tersebut. Jika Anda menggunakan AWS CLI atau IAM API, maka Anda memerlukan hal berikut:

1. Nomor seri perangkat MFA. Format nomor seri tergantung pada apakah Anda menggunakan perangkat keras atau perangkat virtual:

- Perangkat MFA perangkat keras: Nomor seri tersebut ada di label barcode yang ada di bagian belakang perangkat tersebut.
- Perangkat MFA Virtual: Nomor seri tersebut merupakan nilai Amazon Resource Name (ARN) yang dikembalikan ketika Anda menjalankan perintah iam-virtualmfadevicecreate di dalam AWS CLI atau memanggil CreateVirtualMFADevice API.

2. Dua kode MFA berurutan yang ditampilkan perangkat MFA.

T. Perangkat MFA saya sepertinya berfungsi secara normal, tetapi saya tidak dapat mengaktifkannya. Apa yang harus saya lakukan?
Harap hubungi kami untuk mendapat bantuan.

T. Jika saya mengaktifkan AWS MFA untuk akun root AWS saya atau pengguna IAM saya, apakah mereka selalu harus menggunakan MFA untuk masuk ke AWS Management Console?
Ya. Pengguna kredensial root AWS dan pengguna IAM harus memiliki perangkat MFA bersama mereka setiap kali mereka perlu login ke situs web AWS.

Jika perangkat MFA Anda hilang, rusak, dicuri, atau tidak berfungsi, Anda dapat login menggunakan faktor autentikasi alternatif, menonaktifkan perangkat MFA, dan mengaktifkan perangkat baru. Sebagai praktik keamanan terbaik, kami merekomendasikan agar Anda mengubah kata sandi akun root Anda.

Jika pengguna IAM Anda kehilangan atau merusak perangkat MFA mereka, atau jika perangkat tersebut dicuri atau berhenti berfungsi, Anda dapat menonaktifkan sendiri AWS MFA dengan menggunakan konsol IAM atau AWS CLI.

T. Jika saya mengaktifkan AWS MFA untuk akun root AWS saya atau pengguna IAM saya, apakah mereka selalu harus menyelesaikan tantangan MFA untuk memanggil AWS API secara langsung?
Tidak, hal ini bersifat opsional. Akan tetapi, Anda harus menyelesaikan tantangan MFA jika Anda berencana untuk memanggil API yang diamankan oleh akses API yang dilindungi MFA.

Jika Anda memanggil AWS API menggunakan kunci akses untuk akun root AWS atau pengguna IAM, Anda tidak perlu memasukkan kode MFA. Untuk alasan keamanan, kami sarankan agar Anda menghapus semua kunci akses dari akun root AWS Anda dan bukannya memanggil AWS API dengan kunci akses tersebut untuk pengguna IAM yang memiliki izin yang diperlukan.

Catatan: saat ini kunci keamanan U2F tidak bekerja dengan API yang dilindungi MFA dan saat ini tidak dapat digunakan sebagai MFA untuk API AWS.

T. Bagaimana cara saya login ke Portal AWS dan AWS Management Console menggunakan perangkat MFA saya?
Ikuti dua langkah ini:

Jika Anda login dengan akun root AWS, lakukan login seperti biasa dengan nama pengguna dan kata sandi Anda ketika diminta. Untuk login sebagai pengguna IAM, gunakan URL spesifik akun, dan berikan nama pengguna dan kata sandi Anda ketika diminta.

Jika Anda telah mengaktifkan MFA virtual, perangkat keras, atau SMS MFA, masukkan 6 digit kode MFA yang muncul pada perangkat MFA Anda. Jika Anda telah mengaktifkan kunci keamanan U2F, sisipkan kunci tersebut ke dalam porta USB komputer, tunggu sampai kunci berkedip, kemudian sentuh tombol atau disk emas pada kunci Anda.

T. Apakah AWS MFA berpengaruh pada cara saya mengakses API Layanan AWS?
AWS MFA mengubah cara pengguna IAM mengakses API Layanan AWS hanya jika administrator akun memilih untuk mengaktifkan akses API yang dilindungi oleh MFA. Administrator dapat mengaktifkan fitur ini untuk menambahkan lapisan keamanan tambahan terhadap akses ke API yang sensitif dengan mengharuskan agar penelepon mengautentikasi dengan perangkat AWS MFA. Untuk informasi selengkapnya, lihat dokumen akses API yang dilindungi oleh MFA secara lebih terperinci.

Pengecualian lainnya termasuk S3 PUT bucket versioning, GET bucket versioning, dan DELETE object API, yang memungkinkan Anda untuk mewajibkan autentikasi MFA untuk menghapus atau mengubah keadaan versi bucket Anda. Untuk informasi selengkapnya, lihat dokumen S3 yang membahas tentang Mengonfigurasi Bucket dengan MFA Delete secara lebih terperinci.

Untuk semua kasus lainnya, AWS MFA saat ini tidak mengubah cara Anda mengakses API layanan AWS.

Catatan: saat ini kunci keamanan U2F tidak bekerja dengan API yang dilindungi MFA dan saat ini tidak dapat digunakan sebagai MFA untuk API AWS.

T. Untuk MFA virtual dan perangkat keras, dapatkah saya menggunakan kode MFA yang diberikan lebih dari sekali?
Tidak. Untuk alasan keamanan, Anda hanya dapat menggunakan setiap kode MFA yang disediakan oleh perangkat MFA virtual dan perangkat keras sekali.

T. Saya baru-baru ini diminta untuk menyinkronkan ulang perangkat MFA saya karena kode MFA saya ditolak. Apakah saya perlu khawatir?
Tidak, hal ini terjadi sesekali. MFA virtual dan perangkat keras mengandalkan pada jam yang ada di perangkat MFA Anda yang disinkronkan dengan jam di server kami. Kadang-kadang, jam ini dapat berbeda. Jika hal ini terjadi, ketika Anda menggunakan perangkat MFA untuk login ke halaman aman akses di situs web AWS atau di AWS Management Console, AWS secara otomatis mencoba untuk menyinkronkan ulang perangkat MFA tersebut dengan cara meminta agar Anda menyediakan dua kode MFA berurutan (sama seperti yang Anda lakukan selama aktivasi).

Kunci keamanan U2F tidak gagal sinkronisasi dan tidak perlu sinkronisasi ulang.

T. Perangkat MFA saya sepertinya berfungsi secara normal, tetapi saya tidak dapat menggunakannya untuk login ke AWS Management Console. Apa yang harus saya lakukan?
Jika Anda menggunakan MFA virtual atau perangkat keras, kami sarankan agar Anda menyinkronkan ulang perangkat MFA untuk kredensial pengguna IAM Anda. Jika Anda sudah mencoba untuk menyinkronkan ulang dan masih memiliki masalah untuk login, Anda dapat login menggunakan faktor autentikasi alternatif dan mereset perangkat MFA Anda.

Jika Anda menggunakan kunci keamanan U2F, Anda dapat masuk menggunakan faktor alternatif dari autentifikasi dan mengatur ulang perangkat MFA Anda.

Jika Anda masih menghadapi masalah, hubungi kami untuk mendapat bantuan.

T. Perangkat MFA saya hilang, rusak, dicuri, atau tidak berfungsi, dan sekarang saya tidak dapat login ke AWS Management Console. Apa yang harus saya lakukan?
Jika perangkat MFA Anda ditautkan dengan akun root AWS:

T. Bagaimana cara menonaktifkan AWS MFA?

Untuk menonaktifkan AWS MFA untuk akun AWS Anda, Anda dapat menonaktifkan perangkat autentikasi Anda menggunakan halaman Kredensial Keamanan. Untuk menonaktifkan AWS MFA untuk pengguna IAM Anda, Anda perlu menggunakan konsol IAM atau AWS CLI.

T. Apakah saya dapat menggunakan AWS MFA di GovCloud?
Ya, Anda dapat menggunakan MFA virtual AWS dan perangkat MFA perangkat keras di GovCloud.

T. Apa itu akses API yang dilindungi MFA?
Akses API yang dilindungi MFA merupakan fungsionalitas opsional yang mengizinkan administrator akun untuk menerapkan autentikasi tambahan untuk API yang ditentukan pelanggan dengan cara mengharuskan pengguna tersebut untuk menyediakan faktor autentikasi kedua selain dari kata sandi. Secara khusus, memungkinkan administrator untuk menyertakan kondisi di dalam kebijakan IAM mereka yang memeriksa dan mewajibkan autentikasi MFA untuk akses ke API terpilih. Pengguna melakukan panggilan ke API tersebut pertama-tama harus mendapatkan kredensial sementara yang menyatakan bahwa pengguna tersebut memasukkan kode MFA yang valid.

T. Dapatkah saya menggunakan kunci keamanan U2F pada API yang dilindungi MFA?

Tidak. Saat ini API yang dilindungi MFA tidak mendukung kunci keamanan U2F.

T. Apa masalah yang diatasi oleh akses API yang dilindungi MFA?
Sebelumnya, pelanggan dapat mengharuskan MFA untuk akses ke AWS Management Console, tetapi tidak dapat menerapkan persyaratan MFA di pengembang dan aplikasi yang berinteraksi secara langsung dengan API layanan AWS. Akses API yang dilindungi MFA memastikan bahwa kebijakan IAM diterapkan secara universal tanpa memerhatikan jalur akses . Akibatnya, Anda kini dapat mengembangkan aplikasi Anda sendiri yang menggunakan AWS dan meminta konfirmasi pengguna untuk autentikasi MFA sebelum memanggil API yang mumpuni atau mengakses sumber daya yang sensitif.

T. Bagaimana cara memulai dengan akses API yang dilindungi MFA?
Anda dapat memulai dengan dua langkah mudah:

  1. Menugaskan perangkat MFA ke pengguna IAM Anda. Anda dapat membeli fob kunci perangkat keras, atau mengunduh aplikasi yang kompatibel dengan TOTP untuk telepon pintar, tablet, atau komputer Anda. Lihat halaman detail MFA untuk informasi selengkapnya mengenai perangkat AWS MFA.
  2. Aktifkan akses API yang dilindungi MFA dengan membuat kebijakan izin untuk pengguna IAM dan/atau grup IAM yang ingin Anda tetapkan agar wajib menggunakan autentikasi MFA. Untuk mempelajari selengkapnya tentang syntax bahasa kebijakan akses, lihat dokumen bahasa kebijakan akses.

T. Bagaimana pengembang dan pengguna mengakses API dan sumber daya yang diamankan dengan akses API yang dilindungi MFA?
Pengembang dan pengguna berinteraksi dengan akses API yang dilindungi MFA baik di AWS Management Console dan di API.

Di dalam AWS Management Console, setiap pengguna IAM yang mengaktifkan MFA harus mengautentikasi dengan perangkat mereka untuk login. Pengguna yang tidak memiliki MFA tidak menerima akses ke API dan sumber daya yang dilindungi MFA.

Pada tingkat API, pengembang dapat mengintegrasikan AWS MFA ke dalam aplikasi mereka untuk meminta pengguna agar mengautentikasi menggunakan perangkat MFA yang ditetapkan untuk mereka sebelum memanggil API yang mumpuni atau mengakses sumber daya yang sensitif. Pengembang mengaktifkan fungsionalitas ini dengan menambahkan parameter MFA opsional (nomor seri dan kode MFA) untuk meminta agar diberikan kredensial keamanan sementara (permintaan tersebut juga dirujuk sebagai "permintaan sesi"). Jika parameter tersebut valid, kredensial keamanan sementara yang menyatakan status MFA tersebut akan dikembalikan. Lihat dokumen kredensial keamanan sementara untuk informasi lainnya.

T. Siapa yang dapat menggunakan akses API yang dilindungi MFA?
Akses API yang dilindungi MFA tersedia secara gratis bagi semua pelanggan AWS.

T. Apa saja layanan yang berfungsi dengan akses API yang dilindungi MFA?
Akses API yang dilindungi MFA didukung oleh semua layanan AWS yang mendukung kredensial keamanan sementara. Untuk daftar layanan yang didukung, lihat Layanan AWS yang Berfungsi dengan IAM dan meninjau kolom berlabel Mendukung kredensial keamanan sementara.

T. Apa yang terjadi jika pengguna menyediakan informasi perangkat MFA yang salah ketika meminta kredensial keamanan sementara?
Permintaan untuk menerbitkan kredensial keamanan sementara gagal. Permintaan kredensial keamanan sementara yang menentukan parameter MFA harus menyediakan nomor seri yang benar dari perangkat yang ditautkan ke pengguna IAM serta kode MFA yang valid.

T. Apakah akses API yang dilindungi MFA mengontrol akses API untuk akun root AWS?
Tidak, akses API yang dilindungi MFA hanya mengontrol akses untuk pengguna IAM. Akun root tidak terikat oleh kebijakan IAM, itulah kenapa kami merekomendasikan agar Anda membuat pengguna IAM untuk berinteraksi dengan API layanan AWS daripada menggunakan kredensial akun root AWS.

T. Apakah pengguna harus memiliki perangkat MFA yang ditetapkan bagi mereka untuk dapat menggunakan akses API yang dilindungi MFA?
Ya, pengguna pertama-tama harus ditetapkan dengan perangkat keras unik atau perangkat MFA virtual.

T. Apakah akses API yang dilindungi MFA kompatibel dengan objek S3, objek SQS, dan topik SNS?
Ya.

T. Bagaimana akses API yang dilindungi MFA berinteraksi dengan kasus penggunaan MFA yang sudah ada seperti S3 MFA Delete?
Akses API yang dilindungi MFA dan S3 MFA Delete tidak saling berinteraksi. S3 MFA Delete saat ini tidak mendukung kredensial keamanan sementara. Sebaliknya, panggilan ke S3 MFA Delete API harus dilakukan menggunakan kunci akses jangka panjang.

T. Apakah akses API yang dilindungi MFA berfungsi di wilayah GovCloud (AS)?
Ya.

T. Apakah akses API yang dilindungi MFA berfungsi untuk pengguna federasi?
Pelanggan tidak dapat menggunakan akses API yang dilindungi MFA untuk mengontrol akses bagi pengguna federasi. GetFederatedSession API tidak menerima parameter MFA. Karena pengguna federasi tidak dapat mengautentikasi dengan perangkat AWS MFA, mereka tidak dapat mengakses sumber daya yang ditentukan menggunakan akses API yang dilindungi MFA.

T. Apa yang akan ditagihkan kepada saya karena menggunakan AWS IAM?

IAM adalah fitur akun AWS yang ditawarkan tanpa dikenai biaya tambahan. Anda akan dikenai biaya hanya untuk penggunaan layanan AWS lain oleh pengguna Anda.