Apa itu Peran

Peran adalah serangkaian izin yang memberikan akses ke tindakan dan sumber daya di AWS. Izin ini dilampirkan ke peran, bukan ke Pengguna IAM atau grup.
Pengguna IAM dapat menggunakan peran di akun AWS yang sama atau akun yang berbeda.
Pengguna IAM mirip dengan Pengguna IAM; role juga merupakan identitas AWS dengan kebijakan izin yang menentukan apa yang dapat dan tidak dapat dilakukan oleh identitas tersebut di AWS.
Peran tidak dikaitkan secara unik dengan satu orang; dapat digunakan oleh siapa saja yang membutuhkannya.
Peran tidak memiliki kredensial keamanan jangka panjang, yaitu sandi atau kunci keamanan. Sebagai gantinya, jika pengguna menggunakan peran, kredensial keamanan sementara akan dibuat dan diberikan kepada pengguna.
Anda dapat menggunakan peran untuk mendelegasikan akses ke pengguna, aplikasi, atau layanan yang biasanya tidak memiliki akses ke sumber daya AWS Anda.

Terkadang Anda ingin mengizinkan pengguna untuk mengakses sumber daya AWS di akun AWS Anda.
Terkadang Anda ingin mengizinkan pengguna untuk mengakses sumber daya AWS di akun AWS lain.
Ini juga memungkinkan aplikasi seluler mengakses sumber daya AWS, tetapi tidak ingin menyimpan kunci di aplikasi.
Ini dapat digunakan untuk memberikan akses ke sumber daya AWS yang memiliki identitas di luar AWS.
Itu juga dapat digunakan untuk memberikan akses ke sumber daya AWS kepada pihak ketiga sehingga mereka dapat melakukan audit pada sumber daya AWS.

Delegasi: Delegasi adalah proses pemberian izin kepada pengguna untuk mengizinkan akses ke sumber daya AWS yang Anda kendalikan. Delegasi menyiapkan kepercayaan antara akun tepercaya (akun yang memiliki sumber daya) dan akun tepercaya (akun yang berisi pengguna yang perlu mengakses sumber daya).

Akun tepercaya dan tepercaya dapat terdiri dari tiga jenis:

Akun yang sama
Dua akun berbeda di bawah kendali organisasi yang sama
Dua akun berbeda yang dimiliki oleh organisasi berbeda.
Untuk mendelegasikan izin untuk mengakses sumber daya, peran IAM harus dibuat di akun terpercaya yang memiliki dua kebijakan terlampir.

Kebijakan Izin: Ini memberi pengguna peran izin yang diperlukan untuk melakukan tugas yang dimaksud.

Kebijakan Kepercayaan: Ini menentukan anggota akun tepercaya mana yang dapat menggunakan peran tersebut.

Federasi: Federasi adalah proses menciptakan hubungan kepercayaan antara penyedia layanan eksternal dan AWS. Misalnya, Facebook memungkinkan pengguna untuk masuk ke berbagai situs web dengan menggunakan akun facebook mereka.
Kebijakan kepercayaan: Dokumen ditulis dalam format JSON untuk menentukan siapa yang diizinkan menggunakan peran tersebut. Dokumen ini ditulis berdasarkan aturan Bahasa Kebijakan IAM.
Kebijakan izin: Dokumen yang ditulis dalam format JSON untuk menentukan tindakan dan sumber daya yang dapat digunakan oleh peran tersebut. Dokumen ini didasarkan pada aturan Bahasa Kebijakan IAM.
Batas izin: Ini adalah fitur lanjutan AWS di mana Anda dapat membatasi izin maksimum yang dapat dimiliki oleh peran tersebut. Batasan izin dapat diterapkan ke Pengguna IAM atau peran IAM tetapi tidak dapat diterapkan ke peran tertaut layanan.
Prinsipal: Prinsipal dapat berupa pengguna akun root AWS, Pengguna IAM, atau peran. Izin yang dapat diberikan dengan salah satu dari dua cara berikut:

Lampirkan kebijakan izin ke peran.
Layanan yang mendukung kebijakan berbasis sumber daya, Anda dapat mengidentifikasi prinsipal dalam elemen utama kebijakan yang melekat pada sumber daya.

Akses lintas akun: Peran vs Kebijakan Berbasis Sumber Daya: Ini memungkinkan Anda untuk memberikan akses ke sumber daya di satu akun ke prinsipal tepercaya di akun lain yang dikenal sebagai akses lintas akun. Beberapa layanan memungkinkan Anda melampirkan kebijakan secara langsung, yang dikenal sebagai kebijakan Berbasis Sumber Daya. Layanan yang mendukung Kebijakan Berbasis Sumber Daya adalah bucket Amazon S3, Amazon SNS, Amazon SQS Queues.