Izin memungkinkan Anda menentukan dan mengontrol akses ke layanan dan sumber daya AWS. Untuk memberikan izin ke IAM role, Anda dapat melampirkan kebijakan yang menentukan jenis akses, tindakan yang dapat dilakukan, dan sumber daya tempat tindakan dapat dilakukan.
Dengan menggunakan kebijakan IAM, Anda memberikan akses ke API dan sumber daya layanan AWS tertentu. Anda juga dapat menentukan kondisi tertentu di mana akses diberikan, seperti memberikan akses ke identitas dari organisasi AWS tertentu atau akses melalui layanan AWS tertentu.
Dengan peran IAM Anda mendelegasikan akses ke pengguna atau layanan AWS untuk beroperasi dalam akun AWS Anda. Pengguna dari penyedia identitas atau layanan AWS Anda dapat mengambil peran untuk mendapatkan kredensial keamanan sementara yang dapat digunakan untuk membuat permintaan AWS di akun IAM role. Akibatnya, IAM role menyediakan cara untuk mengandalkan kredensial jangka pendek bagi pengguna, beban kerja, dan layanan AWS yang perlu melakukan tindakan di akun AWS Anda.
Pelajari selengkapnya tentang pendelegasian akses menggunakan peran IAM
Gunakan IAM Roles Anywhere untuk mengizinkan beban kerja yang berjalan di luar AWS, seperti lingkungan on-premise, hibrida, dan multicloud, untuk mengakses sumber daya AWS menggunakan sertifikat digital X.509 yang dikeluarkan oleh otoritas sertifikat terdaftar Anda. Dengan IAM Roles Anywhere, Anda bisa mendapatkan kredensial AWS sementara dan menggunakan peran IAM serta kebijakan yang sama dengan yang telah Anda konfigurasikan untuk beban kerja AWS Anda guna mengakses sumber daya AWS.
Mencapai hak akses paling rendah adalah siklus berkelanjutan untuk memberikan izin terperinci yang tepat seiring berkembangnya kebutuhan Anda. Penganalisis Akses IAM membantu Anda merampingkan pengelolaan izin selagi Anda mengatur, memverifikasi, dan menyempurnakan izin.
Dengan AWS Organizations, Anda dapat menggunakan kebijakan kontrol layanan (SCP) untuk menetapkan pagar pembatas izin yang dipatuhi oleh semua pengguna dan peran IAM dalam akun organisasi. Baik Anda baru mulai menggunakan SCP atau sudah memiliki SCP, Anda dapat menggunakan analisis akses IAM untuk membantu membatasi izin dengan percaya diri di seluruh organisasi AWS Anda.
Kontrol akses berdasarkan atribut (ABAC) adalah strategi otorisasi yang dapat Anda gunakan untuk membuat izin secara cermat berdasarkan kepada atribut pengguna, seperti departemen, peran tugas, dan nama tim. Dengan menggunakan ABAC, Anda dapat mengurangi jumlah izin berbeda yang Anda perlukan untuk membuat kontrol mendetail di akun AWS Anda.