Kasus Penggunaan Peran IAM

Konsol IAM: Ketika Pengguna IAM bekerja di Konsol IAM dan ingin menggunakan peran, maka mereka mengakses izin peran untuk sementara. Pengguna IAM melepaskan izin asli mereka dan mengambil izin dari peran tersebut. Saat Pengguna IAM keluar dari peran, izin aslinya dipulihkan.
Akses Terprogram: Layanan AWS seperti instans Amazon EC2 dapat menggunakan peran dengan meminta kredensial keamanan sementara menggunakan permintaan terprogram ke AWS.

Pengguna IAM: Peran IAM digunakan untuk memberikan izin kepada Pengguna IAM Anda untuk mengakses sumber daya AWS dalam akun Anda sendiri atau berbeda. Pengguna IAM dapat menggunakan izin yang melekat pada peran menggunakan Konsol IAM. Peran juga mencegah akses tidak disengaja ke sumber daya AWS yang sensitif.
Aplikasi dan Layanan: Anda dapat memberikan akses izin yang dilampirkan dengan peran ke aplikasi dan layanan dengan memanggil fungsi AssumeRole API. Fungsi AssumeRole mengembalikan kredensial keamanan sementara yang terkait dengan peran. Aplikasi dan layanan hanya dapat mengambil tindakan yang diizinkan oleh peran tersebut. Aplikasi tidak dapat keluar dari peran seperti yang dilakukan Pengguna IAM di Konsol, melainkan berhenti menggunakan kredensial sementara dan melanjutkan kredensial aslinya.
Pengguna Federasi: Pengguna Federasi dapat masuk menggunakan kredensial sementara yang disediakan oleh penyedia identitas. AWS menyediakan IDP (penyedia identitas) dan kredensial sementara yang terkait dengan peran kepada pengguna. Kredensial memberikan akses izin kepada pengguna.

Beralih ke peran sebagai Pengguna IAM di satu akun AWS untuk mengakses sumber daya di akun lain yang Anda miliki.

Anda dapat memberikan izin kepada Pengguna IAM Anda untuk beralih peran dalam akun AWS Anda atau akun lain. Misalnya, Anda memiliki instans Amazon EC2 yang sangat penting bagi organisasi Anda. Alih-alih langsung memberikan izin kepada pengguna untuk menghentikan instans, Anda dapat membuat peran dengan hak istimewa yang memungkinkan administrator untuk beralih ke peran saat mereka perlu menghentikan instans.
Anda harus memberikan izin kepada pengguna untuk mengambil peran secara eksplisit.
Peran autentikasi multifaktor dapat ditambahkan ke peran sehingga hanya pengguna yang masuk dengan MFA yang dapat menggunakan peran tersebut.
Peran mencegah perubahan yang tidak disengaja pada sumber daya sensitif, terutama jika Anda menggabungkannya dengan audit sehingga peran hanya dapat digunakan saat dibutuhkan.
Pengguna IAM di satu akun dapat beralih ke peran di akun yang sama atau berbeda. Dengan peran, pengguna dapat mengakses sumber daya yang diizinkan oleh peran tersebut. Saat pengguna beralih ke peran tersebut, izin aslinya akan dicabut. Jika pengguna keluar dari peran tersebut, izin aslinya akan dipulihkan.

Layanan AWS menggunakan peran untuk mengakses sumber daya AWS.
Setiap layanan berbeda dalam cara menggunakan peran dan cara menetapkan peran ke layanan.
Misalkan layanan AWS seperti instans Amazon EC2 yang menjalankan aplikasi Anda, ingin mengajukan permintaan ke sumber daya AWS seperti ember Amazon S3, layanan tersebut harus memiliki kredensial keamanan untuk mengakses sumber daya. Jika Anda menyematkan kredensial keamanan langsung ke dalam instans, maka mendistribusikan kredensial ke beberapa instans akan menimbulkan risiko keamanan. Untuk mengatasi masalah tersebut, Anda dapat membuat peran yang ditetapkan ke instans Amazon EC2 yang memberikan izin untuk mengakses sumber daya.

Menyediakan akses ke pengguna yang diautentikasi secara eksternal.

Terkadang pengguna memiliki identitas di luar AWS seperti di direktori perusahaan Anda. Jika pengguna tersebut ingin bekerja dengan sumber daya AWS, mereka harus mengetahui kredensial keamanannya. Dalam situasi seperti itu, kita dapat menggunakan peran untuk menentukan izin bagi penyedia identitas (IDP) pihak ketiga.
Federasi berbasis SAML
SAML 2.0 (Security Assertion Markup Language 2.0) adalah framework terbuka yang digunakan oleh banyak penyedia identitas. SAML memberi pengguna sistem masuk tunggal federasi ke AWS Management Console, sehingga pengguna dapat masuk ke AWS Management Console.

Federasi identitas web
Misalkan Anda membuat aplikasi seluler yang mengakses sumber daya AWS seperti game yang berjalan di perangkat seluler, tetapi informasinya disimpan menggunakan Amazon S3 dan DynamoDB.
Saat Anda membuat aplikasi semacam itu, Anda perlu membuat permintaan ke layanan AWS yang harus ditandatangani dengan kunci akses AWS. Namun, disarankan untuk tidak menggunakan kredensial AWS jangka panjang, bahkan dalam bentuk terenkripsi. Aplikasi harus meminta kredensial keamanan sementara yang dibuat secara dinamis bila diperlukan dengan menggunakan federasi identitas web. Kredensial keamanan sementara ini akan dipetakan ke peran yang memiliki izin yang diperlukan aplikasi untuk melakukan tugas.
Dengan federasi identitas web, pengguna tidak memerlukan kode masuk khusus atau identitas pengguna apa pun. Seorang Pengguna dapat masuk menggunakan penyedia identitas eksternal seperti masuk dengan Amazon, Facebook, Google atau OpenID lainnya. Setelah masuk, pengguna mendapatkan token autentikasi, dan mereka menukar token autentikasi untuk menerima kredensial keamanan sementara.

Saat pihak ketiga ingin mengakses sumber daya AWS, Anda dapat menggunakan peran untuk mendelegasikan akses kepada mereka. Peran IAM memberikan pihak ketiga ini untuk mengakses sumber daya AWS tanpa membagikan kredensial keamanan apa pun.
Pihak ketiga memberikan informasi berikut untuk membuat peran:
Pihak ketiga memberikan ID akun yang berisi Pengguna IAM untuk menggunakan peran Anda. Anda perlu menentukan ID akun AWS sebagai kepala sekolah saat Anda menentukan kebijakan kepercayaan untuk peran tersebut.
ID eksternal pihak ketiga digunakan untuk dikaitkan dengan peran tersebut. Anda menentukan ID eksternal untuk menentukan kebijakan kepercayaan peran.
Izin digunakan oleh pihak ketiga untuk mengakses sumber daya AWS. Izin dikaitkan dengan peran yang dibuat saat Anda menentukan kebijakan kepercayaan. Kebijakan menentukan tindakan apa yang dapat mereka ambil dan sumber daya apa yang dapat mereka gunakan.