Resource-based policies, sementara kebijakan berbasis identitas melekat pada pengguna, grup, atau peran, kebijakan berbasis sumber daya melekat pada pengguna, grup, atau peran dilampirkan ke sumber daya, seperti bucket S3. Kebijakan ini menentukan siapa yang dapat mengakses sumber daya dan tindakan apa yang dapat mereka lakukan di atasnya.

Resource-based policies

Kebijakan berbasis sumber daya hanya ditentukan sebaris, yang berarti anda menentukan kebijakan di sumber daya itu sendiri, alih-alih membuat dokumen kebijakan IAM terpisah yang anda lampirkan. Misalnya, untuk membuat kebijakan bucket S3 (sejenis kebijakan berbasis sumber daya) pada bucket S3, navigasikan ke bucket, klik tab Permissions, klik tombol Bucket Policy, dan tentukan format JSON dokumen kebijakan di sana. Daftar kontrol akses (ACL) Amazon S3 adalah contoh lain dari kebijakan berbasis JSON.

Diagram menunjukkan dua cara berbeda yang dapat diberikan akses kepada pengguna MaryMajor objek dalam ember S3 yang diberi nama foto. Di sebelah kiri, anda melihat contoh identitas kebijakan atau based policy. Kebijakan IAM yang memberikan akses ke bucket S3 dilampirkan ke MaryMajor pengguna. Di sebelah kanan, anda melihat contoh kebijakan berbasis sumber daya. Kebijakan bucket S3 untuk keranjang foto menetapkan bahwa pengguna MaryMajor diizinkan untuk membuat daftar dan membaca objek di keranjang.

Perhatikan bahwa anda dapat menentukan pernyataan penolakan dalam kebijakan keranjang untuk membatasi akses ke IAM tertentu pengguna, bahkan jika pengguna diberikan akses dalam kebijakan berbasis identitas yang terpisah. Penolakan eksplisit pernyataan akan selalu diutamakan daripada pernyataan izinkan apa pun.

Artikel Lainnya :

• IAM policies : AWS Cloud Security
• Authorization: What actions are permitted – AWS Cloud Security
• IAM MFA : AWS Cloud Security

Referensi

• https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html