Kebijakan IAM / IAM Policies adalah pernyataan izin formal yang akan diberikan kepada entitas. Kebijakan bisa dilampirkan ke entitas IAM mana pun. Entitas mencakup pengguna, grup, peran, atau sumber daya. Misalnya, anda dapat melampirkan kebijakan ke sumber daya AWS yang akan memblokir semua permintaan yang tidak berasal dari rentang alamat Protokol Internet (IP) yang disetujui. Kebijakan menentukan tindakan apa yang diizinkan, yang mana sumber daya untuk mengizinkan tindakan, dan apa efeknya ketika pengguna meminta akses sumber daya.

IAM policies : AWS Cloud Security

Urutan di mana kebijakan dievaluasi tidak berpengaruh pada hasil evaluasi. Semua kebijakan dievaluasi, dan hasilnya selalu berupa permintaan yang diizinkan atau ditolak. Kapan ada konflik, kebijakan yang paling ketat berlaku.

Ada dua jenis kebijakan IAM. Kebijakan berbasis identitas adalah kebijakan izin yang anda bisa lampirkan ke prinsipal (atau identitas) seperti pengguna, peran, atau grup IAM. Kebijakan ini mengontrol apa tindakan yang dapat dilakukan identitas, pada sumber daya apa, dan dalam kondisi apa. Berbasis identitas kebijakan dapat dikategorikan lebih lanjut sebagai :

• Kebijakan terkelola – Kebijakan berbasis identitas mandiri yang dapat anda lampirkan ke banyak pengguna, grup, dan peran di akun AWS anda

• Kebijakan sebaris – Kebijakan yang anda buat dan kelola, dan yang disematkan langsung ke kelompok atau peran pengguna tunggal.

Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang anda lampirkan ke sumber daya, seperti S3 keranjang. Kebijakan ini mengontrol tindakan apa yang dapat dilakukan oleh prinsipal tertentu pada sumber daya itu, dan dalam kondisi apa.

IAM policy example

Seperti disebutkan sebelumnya, dokumen kebijakan IAM ditulis dalam JSON.

Contoh kebijakan IAM memberi pengguna akses hanya ke sumber daya berikut :

• Tabel DynamoDB yang namanya diwakili oleh nama tabel.

• Bucket S3 akun AWS, yang namanya diwakili oleh nama-bucket dan semua objek yang dikandungnya.

Kebijakan IAM juga menyertakan elemen penolakan (“Efek”:”Deny”) secara eksplisit. NotResource elemen membantu memastikan bahwa pengguna tidak dapat menggunakan tindakan atau sumber daya DynamoDB atau S3 lainnya kecuali tindakan dan sumber daya yang ditentukan dalam kebijakan bahkan jika izin telah diberikan dalam polis/kebijakan lain. Pernyataan penolakan eksplisit akan lebih diutamakan daripada pernyataan izinkan.

Artikel Lainnya :

• Authorization: What actions are permitted – AWS Cloud Security
• IAM MFA : AWS Cloud Security
• Authenticate as an IAM user to gain access : AWS Cloud Security

Referensi

• https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html