Peran IAM memungkinkan Anda mendelegasikan akses ke pengguna atau layanan yang biasanya tidak memiliki akses ke sumber daya AWS organisasi Anda. Pengguna IAM atau layanan AWS dapat berperan untuk mendapatkan kredensial keamanan sementara yang dapat digunakan untuk melakukan panggilan AWS API. Maka, Anda tidak harus berbagi kredensial jangka panjang atau menetapkan izin untuk setiap entitas yang membutuhkan akses ke sumber daya.

Akses aman ke layanan AWS dengan menggunakan IAM role (6:04)

Skenario berikut ini menyoroti beberapa tantangan yang dapat Anda atasi dengan mendelegasikan akses:

  • Memberikan kepada aplikasi yang berjalan pada instans Amazon EC2 akses ke sumber daya AWS

Untuk memberikan kepada aplikasi pada instans Amazon EC2 akses ke sumber daya AWS, pengembang dapat mendistribusikan kredensialnya ke setiap instans. Aplikasi kemudian dapat menggunakan kredensial tersebut untuk mengakses sumber daya seperti bucket Amazon S3 atau data Amazon DynamoDB. Namun demikian, mendistribusikan kredensial jangka panjang untuk setiap instans merupakan tantangan yang harus dikelola dan menjadi potensi risiko bagi keamanan. Video di atas menggambarkan cara untuk menggunakan peran agar dapat mengatasi masalah keamanan ini secara lebih detail.

  • Akses antar-akun
Untuk mengontrol atau mengelola akses ke sumber daya, seperti mengisolasi lingkungan pengembangan dari lingkungan produksi, Anda mungkin memiliki beberapa akun AWS sekaligus. Namun, dalam beberapa kasus, pengguna dari satu akun suatu saat akan perlu mengakses sumber daya di akun lain. Misalnya, pengguna dari lingkungan pengembangan mungkin memerlukan akses ke lingkungan produksi untuk mempromosikan pembaruan. Oleh karena itu, pengguna harus memiliki kredensial untuk setiap akun, tetapi mengelola beberapa kredensial untuk beberapa akun akan menyulitkan manajemen identitas. Menggunakan peran IAM dapat menyederhanakan ini. Lihat studi kasus Trend Micro untuk melihat akses lintas akun yang sedang berjalan.
  • Memberikan izin kepada layanan AWS
Sebelum layanan AWS dapat melakukan aksi untuk Anda, Anda harus memberi mereka izin untuk melakukannya. Anda dapat menggunakan IAM role untuk memberikan izin bagi layanan AWS untuk memanggil layanan AWS lainnya atas nama Anda, atau membuat dan mengelola sumber daya AWS untuk Anda di akun Anda. Layanan AWS seperti Amazon Lex juga menawarkan peran tertaut layanan yang sudah ditentukan sebelumnya dan hanya dapat dijalankan oleh layanan spesifik tersebut.

Untuk selengkapnya tentang cara untuk mengelola peran pada IAM, lihat bagian Peran dalam panduan Menggunakan IAM.

Pelajari cara untuk mengelola izin dengan IAM

Kunjungi halaman manajemen izin
Siap membangun?
Mulai menggunakan IAM
Ada pertanyaan lagi?
Hubungi kami