Pengujian kebijakan IAM dengan simulator kebijakan IAM - AWS Identity and Access Management
Bagaimana simulator kebijakan IAM bekerjaIzin diperlukan untuk menggunakan simulator kebijakan IAMMenggunakan simulator kebijakan IAM (konsol)Menggunakan simulator kebijakan IAM (AWS CLI dan AWS API)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pengujian kebijakan IAM dengan simulator kebijakan IAM

Untuk informasi lebih lanjut tentang bagaimana dan mengapa menggunakan kebijakan IAM, lihat Kebijakan dan izin di AWS Identity and Access Management.

Anda dapat mengakses Konsol Simulator Kebijakan IAM di:/https://policysim.aws.amazon.com

penting

Hasil simulator kebijakan dapat berbeda dari AWS lingkungan hidup Anda. Kami menyarankan Anda memeriksa kebijakan Anda terhadap AWS lingkungan hidup Anda setelah pengujian menggunakan simulator kebijakan untuk mengonfirmasi bahwa Anda memiliki hasil yang diinginkan. Untuk informasi selengkapnya, lihat Bagaimana simulator kebijakan IAM bekerja.

Dengan simulator kebijakan IAM, Anda dapat menguji dan memecahkan masalah kebijakan berbasis identitas dan batas izin IAM. Berikut adalah beberapa hal umum yang bisa Anda lakukan dengan simulator kebijakan:

  • Uji kebijakan berbasis identitas yang dilampirkan ke pengguna IAM, grup IAM, atau peran dalam Anda. Akun AWS Jika lebih dari satu kebijakan terlampir ke pengguna, grup pengguna, atau peran, Anda bisa menguji semua kebijakan, atau memilih kebijakan tertentu untuk diuji. Anda bisa menguji tindakan mana yang diizinkan atau ditolak oleh kebijakan terpilih untuk sumber daya tertentu.

  • Menguji dan memecahkan masalah efek batasan izin pada entitas IAM. Anda hanya dapat mensimulasikan satu batas izin pada satu waktu.

  • Uji efek kebijakan berbasis sumber daya pada pengguna IAM yang dilampirkan ke AWS sumber daya, seperti bucket Amazon S3, antrian Amazon SQS, topik Amazon SNS, atau kubah Amazon S3 Glacier. Untuk menggunakan kebijakan berbasis sumber daya dalam simulator kebijakan untuk pengguna IAM, Anda harus menyertakan sumber daya dalam simulasi. Anda juga harus memilih kotak centang untuk menyertakan kebijakan sumber daya tersebut dalam simulasi.

    catatan

    Simulasi kebijakan berbasis sumber daya tidak didukung untuk peran IAM.

  • Jika Anda Akun AWS adalah anggota organisasi di AWS Organizations, maka Anda dapat menguji dampak kebijakan kontrol layanan (SCPs) pada kebijakan berbasis identitas Anda.

    catatan

    Simulator kebijakan tidak mengevaluasi SCPs yang memiliki kondisi apa pun.

  • Uji kebijakan berbasis identitas baru yang belum dilampirkan ke pengguna, grup pengguna, atau peran dengan mengetik atau menyalinnya ke dalam simulator kebijakan. Semua ini hanya digunakan dalam simulasi dan tidak disimpan. Anda tidak dapat mengetik atau menyalin kebijakan berbasis sumber daya di simulator kebijakan.

  • Uji kebijakan berbasis identitas dengan layanan, tindakan, dan sumber daya yang dipilih. Misalnya, Anda bisa menguji untuk memastikan kebijakan Anda mengizinkan entitas untuk melakukan ListAllMyBuckets, CreateBucket, dan DeleteBucket tindakan di layanan Amazon S3 di bucket tertentu.

  • Simulasikan skenario dunia nyata dengan menyediakan kunci konteks, misalnya alamat IP atau tanggal, yang disertakan keCondition elemn dalam kebijakan yang diuji.

    catatan

    Simulator kebijakan tidak mensimulasikan tag yang disediakan sebagai input jika kebijakan berbasis identitas dalam simulasi tidak memiliki Condition elemen yang secara eksplisit memeriksa tag.

  • Identifikasi pernyataan spesifik mana dalam kebijakan berbasis identitas yang menghasilkan mengizinkan atau menolak akses ke sumber daya atau tindakan tertentu.

Bagaimana simulator kebijakan IAM bekerja

Simulator kebijakan mengevaluasi pernyataan dalam kebijakan berbasis identitas dan masukan yang Anda berikan selama simulasi. Hasil simulator kebijakan dapat berbeda dari AWS lingkungan hidup Anda. Kami menyarankan Anda memeriksa kebijakan Anda terhadap AWS lingkungan hidup Anda setelah pengujian menggunakan simulator kebijakan untuk mengonfirmasi bahwa Anda memiliki hasil yang diinginkan.

Simulator kebijakan berbeda dari AWS lingkungan hidup dengan cara-cara berikut:

  • Simulator kebijakan tidak membuat permintaan AWS layanan yang sebenarnya, sehingga Anda dapat menguji permintaan dengan aman yang mungkin membuat perubahan yang tidak diinginkan pada AWS lingkungan hidup Anda. Simulator kebijakan tidak mempertimbangkan nilai kunci konteks nyata dalam produksi.

  • Karena simulator kebijakan tidak mensimulasikan menjalankan tindakan yang dipilih, simulator kebijakan tidak dapat melaporkan respons apa pun terhadap permintaan yang disimulasikan. Satu-satunya hasil yang dikembalikan adalah apakah tindakan yang diminta akan diizinkan atau ditolak.

  • Jika Anda mengedit kebijakan di simulator kebijakan, perubahan ini hanya memengaruhi simulator kebijakan. Kebijakan terkait di Anda Akun AWS tetap tidak berubah.

  • Anda tidak dapat menguji kebijakan kontrol layanan (SCPs) dengan kondisi apa pun.

  • Simulator kebijakan tidak mendukung simulasi untuk kebijakan kontrol sumber daya (RCPs).

  • Simulator kebijakan tidak mendukung simulasi untuk peran IAM dan pengguna untuk akses lintas akun.

catatan

Simulator kebijakan IAM tidak menentukan layanan mana yang mendukung kunci kondisi global untuk otorisasi. Misalnya, simulator kebijakan tidak mengidentifikasi bahwa layanan tidak mendukung aws:TagKeys.

Izin diperlukan untuk menggunakan simulator kebijakan IAM

Anda bisa menggunakan konsol simulator kebijakan atau API simulator kebijakan untuk menguji kebijakan. Secara default, pengguna konsol dapat menguji kebijakan yang belum dilampirkan ke pengguna, grup pengguna, atau peran dengan mengetik atau menyalin kebijakan tersebut ke dalam simulator kebijakan. Kebijakan ini hanya dipakai dalam simulasi dan tidak mengungkap informasi sensitif. Pengguna API harus berizin untuk menguji kebijakan yang belum dilampirkan. Anda dapat mengizinkan pengguna konsol atau API untuk menguji kebijakan yang dilampirkan ke pengguna IAM, grup IAM, atau peran dalam Anda. Akun AWS Untuk melakukannya, Anda harus mengizinkan pengambilan kebijakan tersebut. Guna menguji kebijakan berbasis sumber daya, pengguna harus berizin untuk mengambil kebijakan sumber daya tersebut.

Untuk contoh kebijakan konsol dan API yang memungkinkan pengguna menyimulasikan kebijakan, lihat Contoh kebijakan: AWS Identity and Access Management (IAM).

Izin diperlukan untuk menggunakan konsol simulator kebijakan

Anda dapat mengizinkan pengguna untuk menguji kebijakan yang dilampirkan ke pengguna IAM, grup IAM, atau peran dalam Anda. Akun AWS Untuk melakukannya, Anda harus mengizinkan pengguna Anda untuk mengambil kebijakan tersebut. Guna menguji kebijakan berbasis-sumber daya, pengguna harus berizin untuk mengambil kebijakan sumber daya tersebut.

Untuk melihat kebijakan contoh yang mengizinkan penggunaan konsol simulator kebijakan untuk kebijakan yang melekat ke pengguna, grup pengguna, atau peran, lihat IAM: Akses konsol simulator kebijakan.

Untuk melihat kebijakan contoh yang memungkinkan penggunaan konsol simulator kebijakan hanya untuk pengguna dengan jalur tertentu, lihat IAM: Akses konsol simulator kebijakan berdasarkan jalur pengguna.

Untuk membuat kebijakan yang memungkinkan penggunaan konsol simulator kebijakan hanya untuk satu tipe entitas, gunakan prosedur berikut.

Untuk memungkinkan pengguna konsol mensimulasikan kebijakan bagi pengguna

Sertakan tindakan berikut dalam kebijakan Anda:

  • iam:GetGroupPolicy

  • iam:GetPolicy

  • iam:GetPolicyVersion

  • iam:GetUser

  • iam:GetUserPolicy

  • iam:ListAttachedUserPolicies

  • iam:ListGroupsForUser

  • iam:ListGroupPolicies

  • iam:ListUserPolicies

  • iam:ListUsers

Untuk memungkinkan pengguna konsol mensimulasikan kebijakan untuk grup IAM

Sertakan tindakan berikut dalam kebijakan Anda:

  • iam:GetGroup

  • iam:GetGroupPolicy

  • iam:GetPolicy

  • iam:GetPolicyVersion

  • iam:ListAttachedGroupPolicies

  • iam:ListGroupPolicies

  • iam:ListGroups

Untuk memungkinkan pengguna konsol mensimulasikan kebijakan untuk peran

Sertakan tindakan berikut dalam kebijakan Anda:

  • iam:GetPolicy

  • iam:GetPolicyVersion

  • iam:GetRole

  • iam:GetRolePolicy

  • iam:ListAttachedRolePolicies

  • iam:ListRolePolicies

  • iam:ListRoles

Untuk menguji kebijakan berbasis-sumber daya, pengguna harus berizin untuk mengambil kebijakan sumber daya tersebut.

Untuk memungkinkan pengguna konsol menguji kebijakan berbasis sumber daya di bucket Amazon S3

Sertakan tindakan berikut dalam kebijakan Anda:

  • s3:GetBucketPolicy

Misalnya, kebijakan berikut memakai tindakan ini untuk memungkinkan pengguna konsol mensimulasikan kebijakan berbasis sumber daya dalam bucket Amazon S3 tertentu.

JSON
{
        "Version": "2012-10-17",
        "Statement": [
          {
            "Effect": "Allow",
            "Action": "s3:GetBucketPolicy",
            "Resource":"arn:aws:s3:::bucket-name/*"
          }
        ]
      }

Izin diperlukan untuk menggunakan API simulator kebijakan

Operasi API simulator kebijakan GetContextKeyForCustomPolicydan SimulateCustomPolicymemungkinkan Anda menguji kebijakan yang belum dilampirkan ke pengguna, grup pengguna, atau peran. Untuk menguji kebijakan tersebut, Anda meneruskan kebijakan sebagai string ke API. Kebijakan ini hanya dipakai dalam simulasi dan tidak mengungkap informasi sensitif. Anda juga dapat menggunakan API untuk menguji kebijakan yang dilampirkan ke pengguna IAM, grup IAM, atau peran dalam Anda. Akun AWS Untuk melakukan itu, Anda harus memberi pengguna izin untuk menelepon GetContextKeyForPrincipalPolicydan SimulatePrincipalPolicy.

Untuk melihat contoh kebijakan yang memungkinkan penggunaan API simulator kebijakan untuk kebijakan terlampir dan tidak terikat saat ini Akun AWS, lihatIAM: Akses API simulator kebijakan.

Untuk membuat kebijakan yang memungkinkan penggunaan konsol API simulator kebijakan hanya untuk satu tipe kebijakan, gunakan prosedur berikut.

Untuk memungkinkan pengguna API menyimulasikan kebijakan yang diteruskan secara langsung ke API sebagai string

Sertakan tindakan berikut dalam kebijakan Anda:

  • iam:GetContextKeysForCustomPolicy

  • iam:SimulateCustomPolicy

Untuk memungkinkan pengguna API mensimulasikan kebijakan yang dilampirkan ke pengguna IAM, grup IAM, peran, atau sumber daya

Sertakan tindakan berikut dalam kebijakan Anda:

  • iam:GetContextKeysForPrincipalPolicy

  • iam:SimulatePrincipalPolicy

Misalnya, untuk memberi pengguna bernama Bob izin menyimulasikan kebijakan yang ditetapkan untuk pengguna bernama Alice, beri Bob akses ke sumber daya berikut ini: arn:aws:iam::777788889999:user/alice.

Untuk melihat kebijakan contoh yang memungkinkan penggunaan API simulator kebijakan hanya untuk pengguna dengan jalur tertentu, lihat IAM: Akses API simulator kebijakan berdasarkan jalur pengguna.

Menggunakan simulator kebijakan IAM (konsol)

Secara default, pengguna konsol dapat menguji kebijakan yang belum dilampirkan ke pengguna, grup pengguna, atau peran dengan mengetik atau menyalin kebijakan tersebut ke konsol simulator kebijakan. Kebijakan ini hanya dipakai dalam simulasi dan tidak mengungkap informasi sensitif.

Untuk menguji kebijakan yang tidak melekat ke pengguna, grup pengguna, atau peran (konsole)

  1. Buka konsol simulator kebijakan IAM di: https://policysim.aws.amazon.com/.

  2. Di menu Mode: pada bagian atas halaman, pilih Kebijakan Baru.

  3. Di Policy Sandbox, pilih Buat Kebijakan Baru.

  4. Ketik atau salin kebijakan ke dalam simulator kebijakan, dan gunakan simulator kebijakan seperti yang dijelaskan dalam langkah-langkah berikut.

Setelah memiliki izin untuk menggunakan Konsol Simulator Kebijakan IAM, Anda dapat menggunakan simulator kebijakan untuk menguji kebijakan pengguna, grup pengguna, peran, atau sumber daya IAM.

Untuk menguji kebijakan yang melekat ke pengguna, grup pengguna, atau peran (konsole)

  1. Buka konsol simulator kebijakan IAM di https://policysim.aws.amazon.com/.

    catatan

    Untuk masuk ke simulator kebijakan sebagai pengguna IAM, gunakan URL login unik Anda untuk masuk ke. AWS Management Console Lalu pergi ke https://policysim.aws.amazon.com/. Untuk informasi lebih lanjut mengenai masuk sebagai pengguna IAM, lihat Cara IAM pengguna masuk AWS.

    Simulator kebijakan terbuka dalam mode Kebijakan yang Ada dan mencantumkan pengguna IAM di akun Anda di bawah Pengguna, Grup, dan Peran.

  2. Pilih opsi yang sesuai dengan tugas Anda:

    Untuk menguji ini: Lakukan ini:
    Kebijakan yang melekat pada pengguna Pilih Pengguna pada daftarPengguna, Grup, dan Peran. Lalu pilih pengguna.
    Kebijakan yang melekat pada grup pengguna Pilih Grup pada daftarPengguna, Grup, dan Peran. Lalu pilih grup pengguna.
    Kebijakan yang melekat pada peran Pilih Peran pada daftarPengguna, Grup, dan Peran. Lalu pilih peran.
    Kebijakan yang terlampir pada sumber daya Lihat Tahap 9.
    Kebijakan khusus untuk pengguna, grup pengguna, atau peran Pilih Buat Kebijakan Baru. Pada panel Kebijakan baru, ketik atau tempelkan kebijakan dan pilih Terapkan.
    Kiat

    Untuk menguji kebijakan yang dilampirkan ke grup pengguna, Anda dapat meluncurkan simulator kebijakan IAM langsung dari konsol IAM: Di panel navigasi, pilih Grup pengguna. Pilih nama grup yang dimana Anda ingin menguji kebijakan, dan kemudian pilih tabIzin. Pilih Simulasi.

    Untuk menguji kebijakan yang dikelola pelanggan yang terlampir pada pengguna: Di panel navigasi, pilih Pengguna. Pilih nama pengguna dengan siapa Anda ingin menguji kebijakan. Lalu pilih tabIzin dan perluas kebijakan yang ingin Anda uji. Di ujung kanan, pilih Simulasikan kebijakan. Simulator Kebijakan IAM terbuka di jendela baru dan menampilkan kebijakan terpilih di panelKebijakan.

  3. (Opsional) Jika akun Anda adalah anggota organisasi AWS Organizations, pilih kotak centang di samping AWS Organizations SCPsuntuk menyertakan SCPs dalam evaluasi simulasi Anda. SCPsadalah kebijakan JSON yang menentukan izin maksimum untuk organisasi atau unit organisasi (OU). SCP membatasi izin untuk entitas di akun anggota. Jika SCP memblokir layanan atau tindakan, maka tidak ada entitas pada akun tersebut yang bisa mengakses layanan itu atau serta tidak bisa melakukan tindakan tersebut. Hal ini juga berlaku bahkan jika administrator dengan tegas mengizinkan layanan atau tindakan tersebut melalui IAM atau kebijakan sumber daya.

    Jika akun Anda bukan anggota organisasi, maka kotak centang tidak muncul.

  4. (Opsional) Anda dapat menguji kebijakan yang ditetapkan sebagai batas izin untuk entitas IAM (pengguna atau peran), tetapi tidak untuk grup IAM. Jika kebijakan batasan izin saat ini diatur untuk entitas, ia muncul dalam panel Kebijakan. Anda hanya bisa mengatur satu batasan izin untuk sebuah entitas. Untuk menguji batasan izin yang berbeda, Anda bisa membuat batasan izin khusus. Untuk melakukannya, pilih Buat Kebijakan Baru. Panel Kebijakan baru akan terbuka. Di menu, pilih Kebijakan Batasan Izin IAM Khusus. Masukkan nama untuk kebijakan baru dan ketik atau salin kebijakan ke ruang di bawah ini. Pilih Terapkan untuk menyimpan kebijakan tersebut. Selanjutnya, pilih Kembali untuk kembali ke panel Kebijakan awal. Kemudian pilih kotak centang di sebelah batas izin yang ingin Anda gunakan untuk simulasi.

  5. (Opsional) Anda hanya bisa menguji subset kebijakan yang melekat pada pengguna, grup pengguna, atau peran. Untuk melakukannya, di panel Kebijakan, kosongkan kotak centang di samping setiap kebijakan yang ingin Anda kecualikan.

  6. Di bawah Simulator Kebijakan, pilih Pilih layanan lalu pilih layanan yang ingin diuji. Lalu pilih Pilih tindakan dan pilih satu atau lebih tindakan untuk diuji. Walaupun menu menunjukkan pilihan yang tersedia hanya untuk satu layanan pada satu waktu, semua layanan dan tindakan yang telah Anda pilih muncul di Pengaturan Tindakan dan Hasil.

  7. (Opsional) Jika salah satu kebijakan yang Anda pilih Tahap 2 dan Tahap 5 menyertakan kondisi dengan kunci kondisi AWS global, berikan nilai untuk kunci tersebut. Anda melakukan hal ini dengan memperluas bagianPengaturan Global dan mengetikkan nilai untuk nama utama yang ditampilkan di sana.

    Awas

    Jika Anda membiarkan nilai untuk kunci kondisi kosong, maka kunci tersebut akan diabaikan selama simulasi. Pada beberapa kasus, hal ini menghasilkan kesalahan, dan simulasi gagal untuk dijalankan. Pada kasus lain, simulasi berjalan, namun hasilnya mungkin tidak bisa diandalkan. Pada kasus tersebut, simulasi tidak sesuai dengan kondisi dunia nyata yang mencakup nilai untuk kunci kondisi atau variabel.

  8. (Opsional) Setiap tindakan terpilih muncul di daftarPengaturan Tindakan dan Hasil denganTidak disimulasikan muncul di kolomIzin sampai Anda benar-benar menjalankan simulasi tersebut. Sebelum menjalankan simulasi, Anda bisa mengonfigurasi setiap tindakan dengan sumber daya. Untuk mengonfigurasi tindakan individu untuk skenario tertentu, pilih panah untuk memperluas baris tindakan. Bila tindakan mendukung izin tingkat-sumber daya, Anda bisa mengetik Amazon Resource Name (ARN) dari sumber daya tertentu yang aksesnya ingin Anda uji. Secara default, setiap sumber daya diatur sebagai wildcard (*). Anda juga bisa menentukan nilai tertentu untuk kunci konteks kondisi mana pun. Seperti disebut sebelumnya, kunci dengan nilai kosong diabaikan, yang bisa menimbulkan kegagalan simulasi atau hasil yang tidak bisa diandalkan.

    1. Pilih panah di samping nama tindakan untuk memperluas setiap baris dan mengonfigurasi tambahan informasi yang diperlukan untuk secara akurat menyimulasikan tindakan pada skenario Anda. Bila tindakan tersebut membutuhkan izin tingkat-sumber daya, Anda bisa mengetik Amazon Resource Name (ARN) dari sumber daya tertentu yang Anda ingin simulasikan aksesnya. Secara default, setiap sumber daya diatur sebagai wildcard (*).

    2. Bila tindakan tersebut mendukung izin tingkat sumber daya namun tidak memerlukannya, maka Anda bisa memilih Tambah Sumber Daya untuk memilih tipe sumber daya yang ingin Anda tambahkan ke simulasi.

    3. Jika salah satu kebijakan terpilih mencakup Condition elemen yang merujuk ke kunci konteks untuk layanan tindakan ini, maka nama kunci tersebut akan muncul di bawah tindakan. Anda dapat menetapkan nilai yang akan dipakai selama simulasi tindakan tersebut untuk sumber daya yang ditentukan.

    Tindakan yang memerlukan grup tipe sumber daya berbeda

    Beberapa tindakan memerlukan tipe sumber daya yang berbeda dengan keadaan berbeda. Setiap grup tipe sumber daya terkait dengan sebuah skenario. Jika salah satu dari ini berlaku untuk simulasi Anda, pilih dan simulator kebijakan memerlukan jenis sumber daya yang sesuai untuk skenario itu. Daftar berikut menunjukkan setiap opsi skenario yang didukung dan sumber daya yang harus Anda tentukan untuk menjalankan simulasi tersebut.

    Setiap EC2 skenario Amazon berikut mengharuskan Anda menentukaninstance,image, dan security-group sumber daya. Jika skenario Anda mencakup volume EBS, maka Anda harus menjelaskannya volume sebagai sumber daya. Jika EC2 skenario Amazon menyertakan cloud pribadi virtual (VPC), maka Anda harus menyediakan sumber daya. network-interface Jika termasuk IP subnet, maka Anda harus menentukan subnet sumber dayanya. Untuk informasi selengkapnya tentang opsi EC2 skenario Amazon, lihat Platform yang Didukung di Panduan EC2 Pengguna Amazon.

    • EC2-VPC- InstanceStore

      instance, image, security-group, network-interface

    • EC2-VPC- -Subnet InstanceStore

      instance, image, security-group, network-interface, subnet

    • EC2-VPC-EBS

      instance, image, security-group, network-interface, volume

    • EC2-VPC-EBS-Subnet

      instance, image, security-group, network-interface, subnet, volume

  9. (Opsional) Jika Anda ingin memasukkan kebijakan berbasis sumber daya dalam simulasi Anda, maka terlebih dahulu Anda harus memilih tindakan yang ingin Anda simulasikan pada sumber daya tersebut dalam Tahap 6. Perluas baris untuk tindakan terpilih, dan ketik ARN sumber daya tersebut dengan kebijakan yang ingin Anda simulasikan. Lalu pilih Sertakan Kebijakan Sumber Daya di samping kotak teks ARN. Simulator kebijakan IAM saat ini mendukung kebijakan berbasis sumber daya hanya dari layanan berikut: Amazon S3 (hanya kebijakan berbasis sumber daya; saat ini tidak didukung ACLs ), Amazon SQS, Amazon SNS, dan brankas S3 Glacier yang tidak terkunci (brankas terkunci saat ini tidak didukung).

  10. Pilih Jalankan Simulasi di sudut kanan atas.

    Izin kolom di setiap baris Pengaturan Tindakan dan Hasil menampilkan hasil simulasi dari tindakan tersebut di sumber daya yang ditentukan.

  11. Untuk melihat pernyataan mana dalam kebijakan yang secara eksplisit mengizinkan atau menolak tindakan, pilih tautan pernyataan N yang cocok di kolom Izin untuk memperluas baris. Lalu pilih tautanTampilkan pernyataan. Panel Kebijakan menunjukkan kebijakan yang relevan dengan pernyataan yang memengaruhi hasil simulasi yang disoroti.

    catatan

    Jika sebuah tindakan secara implisit ditolak—yaitu, jika tindakan tersebut ditolak hanya karena tidak secara eskplisit diizinkan—opsi Daftar dan Tampilkan pernyataan tidak ditampilkan.

Pemecahan masalah pesan konsol simulator kebijakan IAM

Tabel berikut mencantumkan pesan informasi dan peringatan yang mungkin Anda jumpai saat menggunakan simulator kebijakan IAM. Tabel ini juga memberikan langkah-langkah yang bisa Anda ambil untuk menyelesaikannya.

Pesan Langkah-langkah untuk menyelesaikan
Kebijakan ini telah diedit Perubahan tidak akan disimpan ke akun Anda.

Tidak ada tindakan yang diperlukan.

Pesan ini bersifat informatif Jika Anda mengedit kebijakan yang ada di simulator kebijakan IAM, perubahan Anda tidak akan memengaruhi kebijakan Anda Akun AWS. Simulator kebijakan memungkinkan Anda membuat perubahan pada kebijakan hanya untuk tujuan pengujian.
Tidak bisa mengambil kebijakan sumber daya. Alasan: detailed error message Simulator kebijakan tidak dapat mengakses kebijakan berbasis sumber daya yang diminta. Pastikan ARN sumber daya yang ditentukan sudah benar dan pengguna yang menjalankan simulasi memiliki izin untuk membaca kebijakan sumber daya.
Satu atau lebih kebijakan memerlukan nilai dalam pengaturan simulasi. Simulasi bisa gagal tanpa nilai ini.

Pesan ini muncul jika kebijakan yang sedang Anda uji berisi kunci kondisi atau variabel namun Anda tidak memberi nilai apa pun untuk kunci atau variabel tersebut diPengaturan Simulasi.

Untuk mengabaikan pesan ini, pilih Pengaturan Simulasi, Lalu masukkan nilai untuk setiap kunci kondisi atau variabel.
Anda telah mengubah kebijakan. Hasil ini tidak lagi valid.

Pesan ini muncul jika Anda telah mengubah kebijakan yang dipilih ketika hasil ditampilkan di panelHasil. Hasil yang ditampilkan di panel Hasil tidak diperbarui secara dinamis.

Untuk mengabaikan pesan ini, pilih Jalankan Simulasi lagi untuk menampilkan hasil simulasi baru berdasarkan perubahan yang dibuat di panelKebijakan.
Sumber daya yang Anda ketikkan untuk simulasi ini tidak cocok dengan layanan ini.

Pesan ini muncul jika Anda sudah mengetikkan Amazon Resource Name (ARN) di panelPengaturan Simulasi yang tidak cocok dengan layanan yang Anda pilih untuk simulasi saat ini. Misalnya, pesan ini muncul jika Anda menentukan ARN untuk sumber daya Amazon DynamoDB tetapi Anda memilih Amazon Redshift sebagai layanan yang akan disimulasikan.

Untuk mengabaikan pesan ini, lakukan salah satu hal berikut:

  • Lepaskan ARN dari kotak pada panel Pengaturan Simulasi.

  • Pilih layanan yang cocok dengan ARN yang Anda tentukan dalam Pengaturan Simulasi.
Tindakan ini termasuk dalam layanan yang mendukung mekanisme kontrol akses khusus selain kebijakan berbasis sumber daya, seperti kebijakan kunci Amazon S3 ACLs atau S3 Glacier vault. Simulator kebijakan tidak mendukung mekanisme ini, sehingga hasilnya bisa berbeda dari lingkungan produksi Anda.

Tidak ada tindakan yang diperlukan.

Pesan ini bersifat informatif Dalam versi saat ini, simulator kebijakan mengevaluasi kebijakan yang dilampirkan ke pengguna dan grup IAM, dan dapat mengevaluasi kebijakan berbasis sumber daya untuk Amazon S3, Amazon SQS, Amazon SNS, dan S3 Glacier. Simulator kebijakan tidak mendukung semua mekanisme kendali akses yang didukung oleh layanan AWS lainnya.
DynamoDB FGAC saat ini tidak didukung.

Tidak ada tindakan yang diperlukan.

Pesan informatif ini merujuk ke kendali akses fine-grained. Kontrol akses berbutir halus adalah kemampuan untuk menggunakan kondisi kebijakan IAM untuk menentukan siapa yang dapat mengakses item dan atribut data individual dalam tabel dan indeks DynamoDB. Juga merujuk ke tindakan yang bisa dilakukan pada tabel dan indeks ini. Versi simulator terkini dari simulator kebijakan IAM tidak mendukung tipe kondisi kebijakan semacam ini. Untuk informasi selengkapnya tentang kontrol akses berbutir halus DynamoDB, lihat Kontrol Akses Berbutir Baik untuk DynamoDB.
Anda memiliki kebijakan yang tidak mematuhi sintaksis kebijakan. Anda dapat menggunakan validasi kebijakan untuk meninjau pembaruan yang disarankan bagi kebijakan Anda.

Pesan ini muncul di bagian atas daftar kebijakan jika Anda memiliki kebijakan yang tidak mematuhi tata bahasa kebijakan IAM. Untuk menyimulasikan kebijakan ini, tinjau opsi validasi kebijakan di Validasi kebijakan IAM untuk mengidentifikasi dan memperbaiki kebijakan ini.
Kebijakan ini harus diperbarui agar mematuhi aturan sintaksis kebijakan terbaru.

Pesan ini muncul jika Anda memiliki kebijakan yang tidak mematuhi tata bahasa kebijakan IAM. Untuk menyimulasikan kebijakan ini, tinjau opsi validasi kebijakan di Validasi kebijakan IAM untuk mengidentifikasi dan memperbaiki kebijakan ini.

Menggunakan simulator kebijakan IAM (AWS CLI dan AWS API)

Perintah simulator kebijakan biasanya butuh memanggil operasi API untuk melakukan dua hal:

  1. Mengevaluasi kebijakan dan mengembalikan daftar kunci konteks yang mereka referensikan. Anda perlu tahu kunci konteks mana yang direferensikan sehingga Anda bisa memasok nilai bagi mereka di langkah berikutnya.

  2. Simulasikan kebijakan, berikan daftar tindakan, sumber daya, dan kunci konteks yang digunakan selama simulasi.

Untuk alasan keamanan, operasi API telah dibagi menjadi dua grup:

Di kedua kasus tersebut, operasi API menyimulasikan efek dari satu atau lebih kebijakan dari daftar tindakan dan sumber daya. Setiap tindakan dipasangkan dengan setiap sumber daya dan simulasi menentukan apakah kebijakan itu mengizinkan atau menolak tindakan untuk sumber daya tersebut. Anda juga bisa memberi nilai bagi setiap kunci konteks yang menjadi referensi kebijakan Anda. Anda bisa mendapatkan daftar kunci konteks yang referensi kebijakan dengan terlebih dahulu memanggil GetContextKeysForCustomPolicy atau GetContextKeysForPrincipalPolicy. Jika Anda tidak memberikan nilai untuk kunci konteks, simulasi masih berjalan. Tetapi hasilnya mungkin tidak dapat diandalkan karena simulator kebijakan tidak dapat memasukkan kunci konteks itu dalam evaluasi.

Untuk mendapatkan daftar kunci konteks (AWS CLI, AWS API)

Gunakan hal berikut untuk mengevaluasi daftar kebijakan dan mengembalikan daftar kunci konteks yang dipakai dalam kebijakan.

Untuk mensimulasikan kebijakan IAM (AWS CLI, AWS API)

Gunakan hal berikut untuk menyimulasikan kebijakan IAM untuk menentukan izin efektif pengguna.