AWS Role

By

Apa itu AWS Role?

  • role adalah serangkaian izin yang memberikan akses ke tindakan dan sumber daya di AWS. Izin ini melekat pada role, bukan untuk Pengguna IAM atau grup.
  • user IAM dapat menggunakan role dalam akun AWS yang sama atau akun yang berbeda.
  • user IAM mirip dengan user IAM; peran juga merupakan identitas AWS dengan kebijakan izin yang menentukan apa yang dapat dan tidak dapat dilakukan oleh identitas itu di AWS.
  • aws role tidak terkait secara unik dengan satu orang; itu dapat digunakan oleh siapa saja yang membutuhkannya.
  • aws role tidak memiliki kredensial keamanan jangka panjang, misalnya Kata sandi atau kunci keamanan. Sebaliknya, jika pengguna menggunakan peran, kredensial keamanan sementara dibuat dan diberikan kepada pengguna.
  • Anda dapat menggunakan aws role untuk mendelegasikan akses ke pengguna, aplikasi atau layanan yang umumnya tidak memiliki akses ke sumber daya AWS Anda.

Situasi di mana “Role IAM” dapat digunakan:

  • Terkadang Anda ingin memberikan pengguna untuk mengakses sumber daya AWS di akun AWS Anda.
  • Terkadang Anda ingin memberikan pengguna untuk mengakses sumber daya AWS di akun AWS lain.
  • Ini juga memungkinkan aplikasi seluler untuk mengakses sumber daya AWS, tetapi tidak ingin menyimpan kunci dalam aplikasi.
  • Ini dapat digunakan untuk memberikan akses ke sumber daya AWS yang memiliki identitas di luar AWS.
  • Ini juga dapat digunakan untuk memberikan akses ke sumber daya AWS kepada pihak ketiga sehingga mereka dapat melakukan audit pada sumber daya AWS.

Berikut ini adalah istilah-istilah penting yang terkait dengan “Role IAM”:

  • Delegasi: Delegasi adalah proses pemberian izin kepada pengguna untuk memungkinkan akses ke sumber daya AWS yang Anda kontrol. Delegasi mengatur kepercayaan antara akun tepercaya (akun yang memiliki sumber daya) dan akun percaya (akun yang berisi pengguna yang perlu mengakses sumber daya).
    Akun terpercaya dan tepercaya dapat terdiri dari tiga jenis:

    • Akun sama
    • Dua akun berbeda di bawah kendali organisasi yang sama
    • Dua akun berbeda dimiliki oleh organisasi yang berbeda.

Untuk mendelegasikan izin untuk mengakses sumber daya, peran IAM harus dibuat dalam akun terpercaya yang memiliki dua kebijakan.

Kebijakan Izin: Ini memberikan pengguna dengan peran izin yang diperlukan untuk melakukan tugas yang dimaksud.

Kebijakan Kepercayaan: Ini menentukan anggota akun tepercaya yang dapat menggunakan peran tersebut.

  • Federasi: Federasi adalah proses menciptakan hubungan kepercayaan antara penyedia layanan eksternal dan AWS. Misalnya, Facebook memungkinkan pengguna untuk masuk ke situs web yang berbeda dengan menggunakan akun facebook mereka.
  • Kebijakan kepercayaan: Dokumen ditulis dalam format JSON untuk menentukan siapa yang diizinkan menggunakan peran tersebut. Dokumen ini ditulis berdasarkan aturan Bahasa Kebijakan IAM.
  • Kebijakan perizinan: Dokumen yang ditulis dalam format JSON untuk menentukan tindakan dan sumber daya yang dapat digunakan peran tersebut. Dokumen ini didasarkan pada aturan Bahasa Kebijakan IAM.
  • Batas izin: Ini adalah fitur lanjutan dari AWS di mana Anda dapat membatasi izin maksimum yang bisa dimiliki peran tersebut. Batas-batas izin dapat diterapkan untuk Pengguna IAM atau peran IAM tetapi tidak dapat diterapkan ke peran yang terkait layanan.
  • Principal: Principal dapat berupa pengguna akun root AWS, Pengguna IAM, atau peran. Izin yang dapat diberikan dalam salah satu dari dua cara:
    • Lampirkan kebijakan izin untuk suatu role.
    • Layanan yang mendukung kebijakan berbasis sumber daya, Anda dapat mengidentifikasi kepala sekolah dalam elemen kebijakan utama yang dilampirkan pada sumber daya.
  • Akses lintas-akun: Role vs Kebijakan Berbasis Sumber Daya: Ini memungkinkan Anda untuk memberikan akses ke sumber daya dalam satu akun ke prinsip tepercaya di akun lain yang dikenal sebagai akses lintas-akun. Beberapa layanan memungkinkan Anda untuk melampirkan kebijakan secara langsung, yang dikenal sebagai kebijakan Berbasis Sumberdaya. Layanan yang mendukung Kebijakan Berbasis Sumberdaya adalah ember Amazon S3, Amazon SNS, Amazon SQS Queues.

Leave a Comment