Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengontrol akses dengan AWS Identity and Access Management
Dengan AWS Identity and Access Management (IAM), Anda dapat membuat pengguna IAM untuk mengontrol siapa yang memiliki akses ke sumber daya mana di Anda. Akun AWS Anda dapat menggunakan IAM AWS CloudFormation untuk mengontrol apa yang dapat dilakukan pengguna AWS CloudFormation, seperti apakah mereka dapat melihat templat tumpukan, membuat tumpukan, atau menghapus tumpukan.
Selain AWS CloudFormation tindakan, Anda dapat mengelola AWS layanan dan sumber daya apa yang tersedia untuk setiap pengguna. Dengan begitu, Anda dapat mengontrol sumber daya mana yang dapat diakses pengguna saat mereka menggunakannya AWS CloudFormation. Misalnya, Anda dapat menentukan pengguna mana yang dapat membuat instans Amazon EC2, menghentikan instance database, atau memperbarui VPC. Izin yang sama diterapkan kapan saja mereka gunakan AWS CloudFormation untuk melakukan tindakan tersebut.
Untuk informasi selengkapnya tentang semua layanan yang dapat Anda kontrol aksesnya, lihat AWS layanan yang mendukung IAM di Panduan Pengguna IAM.
Topik
AWS CloudFormation tindakan
Saat membuat grup atau pengguna di grup Akun AWS, Anda dapat mengaitkan kebijakan IAM dengan grup atau pengguna tersebut, yang menentukan izin yang ingin Anda berikan. Misalnya, bayangkan Anda memiliki sekelompok developer pemula. Anda dapat membuat grup Junior
application developers yang berisi semua developer pemula. Kemudian, Anda mengaitkan kebijakan dengan grup yang memungkinkan pengguna hanya melihat AWS CloudFormation tumpukan. Dalam skenario ini, Anda mungkin memiliki kebijakan seperti contoh berikut:
contoh Contoh kebijakan yang memberikan izin menampilkan tumpukan
{ "Version":"2012-10-17", "Statement":[{ "Effect":"Allow", "Action":[ "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStackResource", "cloudformation:DescribeStackResources" ], "Resource":"*" }] }
Kebijakan ini memberikan izin untuk semua tindakan API DescribeStack yang tercantum dalam elemen Action.
penting
Jika Anda tidak menentukan nama tumpukan atau ID dalam pernyataan Anda, Anda juga harus memberikan izin untuk menggunakan semua sumber daya untuk tindakan menggunakan wildcard * untuk elemen Resource tersebut.
Selain AWS CloudFormation tindakan, pengguna yang membuat atau menghapus tumpukan memerlukan izin tambahan yang bergantung pada templat tumpukan. Misalnya, jika Anda memiliki template yang menjelaskan Antrian Amazon SQS, pengguna harus memiliki izin yang sesuai untuk tindakan Amazon SQS agar berhasil membuat tumpukan, seperti yang ditunjukkan dalam kebijakan contoh berikut:
contoh Contoh kebijakan yang memberikan tindakan pembuatan dan tampilan tumpukan dan semua tindakan Amazon SQS
{ "Version":"2012-10-17", "Statement":[{ "Effect":"Allow", "Action":[ "sqs:*", "cloudformation:CreateStack", "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStackResources", "cloudformation:GetTemplate", "cloudformation:ValidateTemplate" ], "Resource":"*" }] }
Untuk daftar semua AWS CloudFormation tindakan yang dapat Anda izinkan atau tolak, lihat Referensi AWS CloudFormation API.
AWS CloudFormation tindakan khusus konsol
Pengguna yang menggunakan AWS CloudFormation konsol memerlukan izin tambahan yang tidak diperlukan untuk menggunakan AWS Command Line Interface atau AWS CloudFormation API. Dibandingkan dengan API AWS CLI dan, konsol menyediakan fitur tambahan yang memerlukan izin tambahan, seperti unggahan templat ke bucket Amazon S3 dan daftar drop-down untuk tipe parameter spesifik.AWS
Untuk semua tindakan berikut, berikan izin ke semua sumber daya; jangan batasi tindakan pada tumpukan atau bucket tertentu.
Tindakan wajib berikut hanya digunakan oleh AWS CloudFormation konsol dan tidak didokumentasikan dalam referensi API. Tindakan ini memungkinkan pengguna untuk mengunggah template ke bucket Amazon S3.
cloudformation:CreateUploadBucket
Saat pengguna mengunggah templat, mereka memerlukan izin Amazon S3 berikut:
s3:PutObject s3:ListBucket s3:GetObject s3:CreateBucket
Untuk templat dengan Jenis parameter khusus AWS, pengguna memerlukan izin untuk membuat panggilan API deskripsi yang sesuai. Sebagai contoh, jika templat mencakup jenis parameter AWS::EC2::KeyPair::KeyName, pengguna perlu izin untuk memanggil tindakan DescribeKeyPairs EC2 (inilah cara konsol mendapatkan nilai untuk daftar menurun parameter). Contoh berikut adalah tindakan yang diperlukan pengguna untuk jenis parameter lainnya:
ec2:DescribeSecurityGroups (for the AWS::EC2::SecurityGroup::Id parameter type) ec2:DescribeSubnets (for the Subnet::Id parameter type) ec2:DescribeVpcs (for the AWS::EC2::VPC::Id parameter type)
AWS CloudFormation sumber daya
AWS CloudFormation mendukung izin tingkat sumber daya, sehingga Anda dapat menentukan tindakan untuk tumpukan tertentu, seperti yang ditunjukkan dalam kebijakan berikut:
contoh Contoh kebijakan yang menolak tindakan menghapus dan memperbarui tumpukan untuk MyProductionStack
{ "Version":"2012-10-17", "Statement":[{ "Effect":"Deny", "Action":[ "cloudformation:DeleteStack", "cloudformation:UpdateStack" ], "Resource":"arn:aws:cloudformation:us-east-1:123456789012:stack/MyProductionStack/*" }] }
Kebijakan di atas menggunakan wild card di akhir nama tumpukan sehingga hapus tumpukan dan perbarui tumpukan ditolak pada ID tumpukan penuh (seperti arn:aws:cloudformation:us-east-1:123456789012:stack/MyProductionStack/abc9dbf0-43c2-11e3-a6e8-50fa526be49c) dan pada nama tumpukan (seperti MyProductionStack).
Untuk memungkinkan AWS::Serverless berubah untuk membuat set perubahan, kebijakan harus menyertakan izin tingkat sumber daya arn:aws:cloudformation:<region>:aws:transform/Serverless-2016-10-31, seperti yang ditunjukkan dalam kebijakan berikut:
contoh Contoh kebijakan yang memungkinkan tindakan membuat set perubahan untuk perubahan tersebut
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "cloudformation:CreateChangeSet" ], "Resource": "arn:aws:cloudformation:us-west-2:aws:transform/Serverless-2016-10-31" }] }
Contoh kebijakan yang memberikan izin set tumpukan yang dikelola layanan
Berikut ini adalah contoh kebijakan IAM yang memberikan izin set tumpukan yang dikelola layanan ke entitas utama (pengguna, peran, atau grup). Pengguna dengan kebijakan ini hanya dapat menjalankan operasi pada kumpulan tumpukan dengan templat yang berisi tipe sumber daya Amazon S3 (AWS::S3::*) atau jenis AWS::SES::ConfigurationSet sumber daya. Jika masuk ke akun manajemen organisasi dengan ID123456789012, pengguna juga hanya dapat melakukan operasi pada kumpulan tumpukan yang menargetkan OU dengan ID ou-1sfsrsdsfrewr, dan hanya dapat melakukan operasi pada kumpulan tumpukan dengan ID yang menargetkan ID with 987654321012. stack-set-id Akun AWS
Operasi set tumpukan gagal jika templat kumpulan tumpukan berisi tipe sumber daya selain yang ditentukan dalam kebijakan, atau jika target penerapan adalah OU atau ID akun selain yang ditentukan dalam kebijakan untuk akun manajemen dan kumpulan tumpukan terkait.
Pembatasan kebijakan ini hanya berlaku ketika operasi set tumpukan menargetkanus-east-1,us-west-2, atau eu-west-2 Wilayah AWS.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:*" ], "Resource": [ "arn:aws:cloudformation:*:*:stackset/*", "arn:aws:cloudformation:*:*:type/resource/AWS-S3-*", "arn:aws:cloudformation:us-west-2::type/resource/AWS-SES-ConfigurationSet", "arn:aws:cloudformation:*:123456789012:stackset-target/*/ou-1fsfsrsdsfrewr", "arn:aws:cloudformation:*:123456789012:stackset-target/stack-set-id/987654321012" ], "Condition": { "ForAllValues:StringEqualsIgnoreCase": { "cloudformation:TargetRegion": [ "us-east-1", "us-west-2", "eu-west-1" ] } } } ] }
AWS CloudFormation kondisi
Dalam kebijakan IAM, Anda dapat secara opsional menentukan kondisi yang mengontrol kapan kebijakan diberlakukan. Misalnya, Anda dapat menentukan kebijakan yang mengizinkan pengguna membuat tumpukan hanya saat mereka menentukan URL templat tertentu. Anda dapat menentukan kondisi AWS CloudFormation-spesifik dan kondisi AWS-wide, sepertiDateLessThan, yang menentukan kapan kebijakan berhenti berlaku. Untuk informasi selengkapnya dan daftar kondisi AWS-wide, lihat Kondisi dalam referensi elemen kebijakan IAM di Panduan Pengguna IAM.
catatan
Jangan gunakan kondisi aws:SourceIp AWS-wide. AWS CloudFormation menyediakan sumber daya dengan menggunakan alamat IP sendiri, bukan alamat IP dari permintaan asal. Misalnya, saat Anda membuat tumpukan, AWS CloudFormation membuat permintaan dari alamat IP-nya untuk meluncurkan instans Amazon EC2 atau untuk membuat bucket Amazon S3, bukan dari alamat IP dari panggilan atau CreateStack perintah. aws cloudformation create-stack
Daftar berikut menjelaskan kondisi AWS CloudFormation-spesifik. Syarat ini diterapkan hanya ketika pengguna membuat atau memperbarui tumpukan:
cloudformation:ChangeSetName-
Nama set AWS CloudFormation perubahan yang ingin Anda kaitkan dengan kebijakan. Gunakan syarat ini untuk mengontrol set perubahan mana yang dapat dijalankan atau dihapus oleh pengguna .
cloudformation:ImportResourceTypes-
Jenis sumber daya templat yang ingin Anda kaitkan dengan kebijakan, seperti
AWS::EC2::Instance. Gunakan syarat ini untuk mengontrol jenis sumber daya mana yang dapat digunakan pengguna saat mereka mengimpor sumber daya ke dalam tumpukan. Kondisi ini diperiksa terhadap jenis sumber daya yang dideklarasikan pengguna dalamResourcesToImportparameter, yang saat ini hanya didukung untuk AWS CLI dan permintaan API. Saat menggunakan parameter ini, Anda harus menentukan semua jenis sumber daya yang Anda inginkan agar dikontrol pengguna selama operasi impor. Untuk informasi selengkapnya tentangResourcesToImportparameter, lihatCreateChangeSettindakan di Referensi AWS CloudFormation API.Untuk daftar kemungkinan
ResourcesToImport, lihat Sumber daya yang mendukung operasi impor.Gunakan konvensi penamaan sumber daya tiga bagian untuk menentukan jenis sumber daya mana yang dapat digunakan pengguna, dari semua sumber daya di seluruh organisasi, hingga jenis sumber daya individual.
organization::*-
Tentukan semua jenis sumber daya untuk organisasi tertentu.
organization::service_name-
Tentukan semua jenis sumber daya untuk layanan tertentu dalam organisasi tertentu.
organization::service_nameresource_type-
Tentukan jenis sumber daya tertentu.
Sebagai contoh:
AWS::*-
Tentukan semua jenis AWS sumber daya yang didukung.
AWS::service_name::*-
Tentukan semua sumber daya yang didukung untuk AWS layanan tertentu.
AWS::service_name::resource_type-
Tentukan jenis AWS sumber daya tertentu, seperti
AWS::EC2::Instance(semua instans EC2).
cloudformation:ResourceTypes-
Jenis sumber daya templat, seperti
AWS::EC2::Instance, yang ingin Anda kaitkan dengan kebijakan. Gunakan syarat ini untuk mengontrol jenis sumber daya mana yang dapat digunakan pengguna saat mereka membuat atau memperbarui tumpukan. Kondisi ini diperiksa terhadap jenis sumber daya yang dideklarasikan pengguna dalamResourceTypesparameter, yang saat ini hanya didukung untuk AWS CLI dan permintaan API. Saat menggunakan parameter ini, pengguna harus menentukan semua jenis sumber daya yang ada di templat mereka. Untuk informasi selengkapnya tentangResourceTypesparameter, lihatCreateStacktindakan di Referensi AWS CloudFormation API.Untuk daftar jenis sumber daya, lihat AWS referensi jenis sumber daya dan properti.
Gunakan konvensi penamaan sumber daya tiga bagian untuk menentukan jenis sumber daya mana yang dapat digunakan pengguna, dari semua sumber daya di seluruh organisasi, hingga jenis sumber daya individual.
organization::*-
Tentukan semua jenis sumber daya untuk organisasi tertentu.
organization::service_name-
Tentukan semua jenis sumber daya untuk layanan tertentu dalam organisasi tertentu.
organization::service_nameresource_type-
Tentukan jenis sumber daya tertentu.
Sebagai contoh:
AWS::*-
Tentukan semua jenis AWS sumber daya yang didukung.
AWS::service_name::*-
Tentukan semua sumber daya yang didukung untuk AWS layanan tertentu.
AWS::service_name::resource_type-
Tentukan jenis AWS sumber daya tertentu, seperti
AWS::EC2::Instance(semua instans EC2). Alexa::ASK::*-
Tentukan semua jenis sumber daya di Alexa Skill Kit.
Alexa::ASK::Skill-
Tentukan jenis sumber daya Keahlian individual.
Custom::*-
Tentukan semua sumber daya kustom.
Untuk informasi selengkapnya tentang sumber daya kustom, lihat Sumber daya khusus.
Custom::resource_type-
Tentukan jenis sumber daya kustom tertentu.
Untuk informasi selengkapnya tentang sumber daya kustom, lihat Sumber daya khusus.
cloudformation:RoleARN-
Nama Sumber Daya Amazon (ARN) dari peran layanan IAM yang ingin Anda kaitkan dengan kebijakan. Gunakan syarat ini untuk mengontrol peran layanan mana yang dapat digunakan pengguna saat mereka bekerja dengan tumpukan atau set perubahan.
cloudformation:StackPolicyUrl-
URL kebijakan tumpukan Amazon S3 yang ingin Anda kaitkan dengan kebijakan. Gunakan syarat ini untuk mengontrol kebijakan tumpukan mana yang dapat dikaitkan pengguna dengan tumpukan selama tindakan membuat atau memperbarui tumpukan. Untuk informasi selengkapnya tentang kebijakan tumpukan, lihat Mencegah pembaruan ke sumber daya tumpukan.
catatan
Untuk memastikan bahwa pengguna hanya dapat membuat atau memperbarui tumpukan dengan kebijakan tumpukan yang Anda unggah, setel bucket S3
read onlyuntuk pengguna tersebut. cloudformation:TemplateUrl-
URL template Amazon S3 yang ingin Anda kaitkan dengan kebijakan. Gunakan syarat ini untuk mengontrol templat mana yang dapat digunakan pengguna saat mereka membuat atau memperbarui tumpukan.
catatan
Untuk memastikan bahwa pengguna hanya dapat membuat atau memperbarui tumpukan dengan templat yang Anda unggah, atur bucket S3
read onlyuntuk pengguna tersebut.catatan
Kondisi AWS CloudFormation spesifik berikut berlaku untuk parameter API dengan nama yang sama:
-
cloudformation:ChangeSetName -
cloudformation:RoleARN -
cloudformation:StackPolicyUrl -
cloudformation:TemplateUrl
Misalnya,
cloudformation:TemplateUrlhanya berlaku untuk parameterTemplateUrluntuk APICreateStack,UpdateStack, danCreateChangeSet. -
Contoh
Contoh kebijakan berikut mengizinkan pengguna untuk hanya menggunakan URL templat https://s3.amazonaws.com/testbucket/test.template untuk membuat atau memperbarui tumpukan.
contoh Syarat URL templat
{ "Version":"2012-10-17", "Statement":[ { "Effect" : "Allow", "Action" : [ "cloudformation:CreateStack", "cloudformation:UpdateStack" ], "Resource" : "*", "Condition" : { "StringEquals" : { "cloudformation:TemplateUrl" : [ "https://s3.amazonaws.com/testbucket/test.template" ] } } } ] }
Contoh kebijakan berikut memungkinkan pengguna untuk menyelesaikan semua AWS CloudFormation operasi kecuali operasi impor.
contoh Syarat impor jenis sumber daya
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAllStackOperations", "Effect": "Allow", "Action": "cloudformation:*", "Resource": "*" }, { "Sid": "DenyImport", "Effect": "Deny", "Action": "cloudformation:*", "Resource": "*", "Condition": { "ForAnyValue:StringLike": { "cloudformation:ImportResourceTypes": [ "*" ] } } } ] }
Contoh kebijakan berikut memungkinkan semua operasi tumpukan, selain operasi impor hanya pada sumber daya tertentu (dalam contoh ini,AWS::S3::Bucket.
contoh Syarat impor jenis sumber daya
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowImport", "Effect": "Allow", "Action": "cloudformation:*", "Resource": "*" "Condition": { "ForAllValues:StringEqualsIgnoreCase": { "cloudformation:ImportResourceTypes": [ "AWS::S3::Bucket" ] } } } ] }
Contoh kebijakan berikut memungkinkan pengguna untuk membuat tumpukan tetapi menolak permintaan jika template stack menyertakan sumber daya apa pun dari layanan IAM. Kebijakan ini juga mengharuskan pengguna untuk menentukan ResourceTypes parameter, yang hanya tersedia untuk AWS CLI dan permintaan API. Kebijakan ini menggunakan pernyataan penolakan eksplisit sehingga jika ada kebijakan lain yang memberikan izin tambahan, kebijakan ini selalu tetap berlaku (pernyataan penolakan eksplisit selalu mengesampingkan pernyataan izin eksplisit).
contoh Syarat jenis sumber daya
{ "Version":"2012-10-17", "Statement":[ { "Effect" : "Allow", "Action" : [ "cloudformation:CreateStack" ], "Resource" : "*" }, { "Effect" : "Deny", "Action" : [ "cloudformation:CreateStack" ], "Resource" : "*", "Condition" : { "ForAnyValue:StringLikeIfExists" : { "cloudformation:ResourceTypes" : [ "AWS::IAM::*" ] } } }, { "Effect": "Deny", "Action" : [ "cloudformation:CreateStack" ], "Resource": "*", "Condition": { "Null": { "cloudformation:ResourceTypes": "true" } } } ] }
Contoh kebijakan berikut ini mirip dengan contoh sebelumnya. Kebijakan ini memungkinkan pengguna untuk membuat tumpukan kecuali template stack menyertakan sumber daya apa pun dari layanan IAM. Hal ini juga mengharuskan pengguna untuk menentukan ResourceTypes parameter, yang hanya tersedia untuk AWS CLI dan permintaan API. Kebijakan ini lebih sederhana, tetapi tidak menggunakan pernyataan penolakan eksplisit. Kebijakan lain, yang memberikan izin tambahan, dapat menimpa kebijakan ini.
contoh Syarat jenis sumber daya
{ "Version":"2012-10-17", "Statement":[ { "Effect" : "Allow", "Action" : [ "cloudformation:CreateStack" ], "Resource" : "*", "Condition" : { "ForAllValues:StringNotLikeIfExists" : { "cloudformation:ResourceTypes" : [ "AWS::IAM::*" ] }, "Null":{ "cloudformation:ResourceTypes": "false" } } } ] }
Mengakui sumber daya IAM dalam templat AWS CloudFormation
Sebelum Anda dapat membuat tumpukan, AWS CloudFormation memvalidasi template Anda. Selama validasi, AWS CloudFormation periksa template Anda untuk sumber daya IAM yang mungkin dibuatnya. Sumber daya IAM, seperti pengguna dengan akses penuh, dapat mengakses dan memodifikasi sumber daya apa pun di sumber daya Anda Akun AWS. Oleh karena itu, kami menyarankan agar Anda meninjau izin yang terkait dengan setiap sumber daya IAM sebelum melanjutkan sehingga Anda tidak secara tidak sengaja membuat sumber daya dengan izin yang meningkat. Untuk memastikan bahwa Anda telah melakukannya, Anda harus mengakui bahwa template berisi sumber daya tersebut, memberikan kemampuan AWS CloudFormation yang ditentukan sebelum membuat tumpukan.
Anda dapat mengetahui kemampuan AWS CloudFormation template dengan menggunakan AWS CloudFormation konsol, AWS Command Line Interface (AWS CLI), atau API:
-
Di AWS CloudFormation konsol, pada halaman Review wizard Create Stack atau Update Stack, pilih Saya mengakui bahwa template ini dapat membuat sumber daya IAM.
-
Dalam AWS CLI, ketika Anda menggunakan
aws cloudformation update-stackperintahaws cloudformation create-stackdan, tentukanCAPABILITY_IAMatauCAPABILITY_NAMED_IAMnilai untuk--capabilitiesparameter. Jika template Anda menyertakan sumber daya IAM, Anda dapat menentukan salah satu kemampuan. Jika template Anda menyertakan nama kustom untuk sumber daya IAM, Anda harus menentukanCAPABILITY_NAMED_IAM. -
Di API, saat Anda menggunakan
CreateStackdanUpdateStacktindakan, tentukanCapabilities.member.1=CAPABILITY_IAMatauCapabilities.member.1=CAPABILITY_NAMED_IAM. Jika template Anda menyertakan sumber daya IAM, Anda dapat menentukan salah satu kemampuan. Jika template Anda menyertakan nama kustom untuk sumber daya IAM, Anda harus menentukanCAPABILITY_NAMED_IAM.
penting
Jika template Anda berisi sumber daya IAM bernama kustom, jangan membuat beberapa tumpukan menggunakan kembali template yang sama. Sumber daya IAM harus unik secara global dalam akun Anda. Jika Anda menggunakan template yang sama untuk membuat beberapa tumpukan di Wilayah yang berbeda, tumpukan Anda mungkin berbagi sumber daya IAM yang sama, daripada masing-masing memiliki yang unik. Sumber daya bersama di antara tumpukan dapat memiliki konsekuensi yang tidak diinginkan yang tidak dapat Anda pulihkan. Misalnya, jika Anda menghapus atau memperbarui sumber daya IAM bersama dalam satu tumpukan, Anda akan secara tidak sengaja memodifikasi sumber daya tumpukan lain.
Mengelola kredensional untuk aplikasi yang berjalan di instans Amazon EC2
Jika Anda memiliki aplikasi yang berjalan pada instans Amazon EC2 dan perlu membuat permintaan ke AWS sumber daya seperti bucket Amazon S3 atau tabel DynamoDB, aplikasi memerlukan kredensi keamanan. AWS Namun, mendistribusikan dan menyematkan kredensial keamanan jangka panjang di setiap instans yang Anda luncurkan merupakan tantangan dan potensi risiko keamanan. Alih-alih menggunakan kredensil jangka panjang, seperti kredensil pengguna IAM, sebaiknya Anda membuat peran IAM yang terkait dengan instans Amazon EC2 saat instans diluncurkan. Aplikasi kemudian bisa mendapatkan kredensil keamanan sementara dari instans Amazon EC2. Anda tidak perlu menyematkan kredensial jangka panjang pada instans. Selain itu, untuk mempermudah pengelolaan kredensional, Anda dapat menentukan hanya satu peran untuk beberapa instans Amazon EC2; Anda tidak perlu membuat kredensil unik untuk setiap instans.
Untuk potongan templat yang menunjukkan cara meluncurkan instans dengan peran, lihat Contoh templat IAM role.
catatan
Aplikasi pada instans yang menggunakan kredensial keamanan sementara dapat memanggil tindakan AWS CloudFormation apa pun. Namun, karena AWS CloudFormation berinteraksi dengan banyak AWS layanan lain, Anda harus memverifikasi bahwa semua layanan yang ingin Anda gunakan mendukung kredensi keamanan sementara. Untuk informasi selengkapnya, lihat AWS layanan yang mendukung AWS STS.
Memberikan akses sementara (akses gabungan)
Dalam beberapa kasus, Anda mungkin ingin memberi pengguna tanpa AWS kredensi akses sementara ke Anda. Akun AWS Daripada membuat dan menghapus kredensi jangka panjang kapan pun Anda ingin memberikan akses sementara, gunakan AWS Security Token Service ().AWS STS Misalnya, Anda dapat menggunakan peran IAM. Dari satu peran IAM, Anda dapat secara terprogram membuat dan kemudian mendistribusikan banyak kredensil keamanan sementara (yang mencakup kunci akses, kunci akses rahasia, dan token keamanan). Kredensi ini memiliki masa pakai yang terbatas, sehingga tidak dapat digunakan untuk mengakses Anda Akun AWS setelah kedaluwarsa. Anda juga dapat membuat beberapa peran IAM untuk memberikan tingkat izin yang berbeda kepada pengguna individu. Peran IAM berguna untuk skenario seperti identitas federasi dan sistem masuk tunggal.
Identitas gabungan adalah identitas berbeda yang dapat Anda gunakan di berbagai sistem. Untuk pengguna perusahaan dengan sistem identitas on-premise yang sudah ditetapkan (seperti LDAP atau Direktori Aktif), Anda dapat menangani semua autentikasi dengan sistem identitas on-premise Anda. Setelah pengguna diautentikasi, Anda memberikan kredensi keamanan sementara dari pengguna atau peran IAM yang sesuai. Misalnya, Anda dapat membuat peran dan administrators developers peran, di mana administrator memiliki akses penuh ke AWS
akun dan pengembang memiliki izin untuk bekerja hanya dengan AWS CloudFormation tumpukan. Setelah administrator diautentikasi, administrator berwenang untuk mendapatkan kredensial keamanan sementara dari peran administrators tersebut. Namun, untuk developer, mereka dapat memperoleh kredensial keamanan sementara hanya dari peran developers tersebut.
Anda juga dapat memberikan akses kepada pengguna federasi ke file. AWS Management Console Setelah pengguna mengautentikasi dengan sistem identitas on-premise, Anda dapat membuat URL sementara secara terprogram yang memberikan akses langsung ke AWS Management Console. Saat pengguna menggunakan URL sementara, mereka tidak perlu masuk AWS karena telah diautentikasi (single sign-on). Selain itu, karena URL dibuat dari kredensial keamanan sementara pengguna, izin yang tersedia dengan kredensial tersebut menentukan izin apa yang dimiliki pengguna di AWS Management Console.
Anda dapat menggunakan beberapa AWS STS API berbeda untuk menghasilkan kredensil keamanan sementara. Untuk informasi selengkapnya tentang API mana yang akan digunakan, lihat Cara mendapatkan kredensil keamanan sementara di Menggunakan Kredensial Keamanan Sementara.
penting
Anda tidak dapat bekerja dengan IAM ketika Anda menggunakan kredensil keamanan sementara yang dihasilkan dari API. GetFederationToken Sebaliknya, jika Anda perlu bekerja dengan IAM, gunakan kredensil keamanan sementara dari suatu peran.
AWS CloudFormation berinteraksi dengan banyak AWS layanan lainnya. Saat Anda menggunakan kredensil keamanan sementara AWS CloudFormation, verifikasi bahwa semua layanan yang ingin Anda gunakan mendukung kredensil keamanan sementara. Untuk informasi selengkapnya, lihat AWS layanan yang mendukung AWS STS.
Untuk informasi selengkapnya, lihat sumber daya terkait berikut di Menggunakan Kredensial Keamanan Sementara:
