Menciptakan peran dan memberlakukan kebijakan (konsol) - AWS Identity and Access Management
Contoh 1: Mengonfigurasi pengguna sebagai administrator basis data (konsol)Contoh 2: Mengonfigurasi pengguna sebagai administrator jaringan (konsol)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menciptakan peran dan memberlakukan kebijakan (konsol)

Beberapa kebijakan yang tercantum sebelumnya memberikan kemampuan untuk mengonfigurasi AWS layanan dengan peran yang memungkinkan layanan tersebut melakukan operasi atas nama Anda. Kebijakan fungsi pekerjaan menentukan nama peran yang tepat yang harus Anda gunakan atau setidaknya menyertakan awalan yang menentukan bagian pertama dari nama yang dapat digunakan. Untuk membuat salah satu peran ini, lakukan langkah-langkah dalam prosedur berikut.

Untuk membuat peran untuk Layanan AWS (IAMkonsol)

  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi IAM konsol, pilih Peran, lalu pilih Buat peran.

  3. Untuk jenis entitas Tepercaya, pilih Layanan AWS.

  4. Untuk kasus Layanan atau penggunaan, pilih layanan, lalu pilih kasus penggunaan. Kasus penggunaan ditentukan oleh layanan untuk menyertakan kebijakan kepercayaan yang diperlukan layanan.

  5. Pilih Berikutnya.

  6. Untuk kebijakan Izin, opsi bergantung pada kasus penggunaan yang Anda pilih:

    • Jika layanan menentukan izin untuk peran tersebut, Anda tidak dapat memilih kebijakan izin.

    • Pilih dari serangkaian kebijakan izin terbatas.

    • Pilih dari semua kebijakan izin.

    • Pilih kebijakan tanpa izin, buat kebijakan setelah peran dibuat, lalu lampirkan kebijakan ke peran.

  7. (Opsional) Tetapkan batas izin. Ini adalah fitur lanjutan yang tersedia untuk peran layanan, tetapi bukan peran tertaut layanan.

    1. Buka bagian Setel batas izin, lalu pilih Gunakan batas izin untuk mengontrol izin peran maksimum.

      IAMmenyertakan daftar kebijakan yang AWS dikelola dan dikelola pelanggan di akun Anda.

    2. Pilih kebijakan yang akan digunakan untuk batas izin.

  8. Pilih Berikutnya.

  9. Untuk nama Peran, opsi bergantung pada layanan:

    • Jika layanan menentukan nama peran, Anda tidak dapat mengedit nama peran.

    • Jika layanan mendefinisikan awalan untuk nama peran, Anda dapat memasukkan akhiran opsional.

    • Jika layanan tidak menentukan nama peran, Anda dapat memberi nama peran.

      penting

      Saat Anda memberi nama peran, perhatikan hal berikut:

      • Nama peran harus unik di dalam diri Anda Akun AWS, dan tidak dapat dibuat unik berdasarkan kasus.

        Misalnya, jangan membuat peran bernama keduanya PRODROLE danprodrole. Ketika nama peran digunakan dalam kebijakan atau sebagai bagian dariARN, nama peran akan peka huruf besar/kecil, namun ketika nama peran muncul kepada pelanggan di konsol, seperti selama proses login, nama peran tersebut tidak peka huruf besar/kecil.

      • Anda tidak dapat mengedit nama peran setelah dibuat karena entitas lain mungkin mereferensikan peran tersebut.

  10. (Opsional) Untuk Deskripsi, masukkan deskripsi untuk peran tersebut.

  11. (Opsional) Untuk mengedit kasus penggunaan dan izin untuk peran, di Langkah 1: Pilih entitas tepercaya atau Langkah 2: Tambahkan izin, pilih Edit.

  12. (Opsional) Untuk membantu mengidentifikasi, mengatur, atau mencari peran, tambahkan tag sebagai pasangan nilai kunci. Untuk informasi selengkapnya tentang penggunaan tag diIAM, lihat Tag untuk AWS Identity and Access Management sumber daya di Panduan IAM Pengguna.

  13. Tinjau peran lalu pilih Buat peran.

Contoh 1: Mengonfigurasi pengguna sebagai administrator basis data (konsol)

Contoh ini menunjukkan langkah-langkah yang diperlukan untuk mengkonfigurasi Alice, IAM pengguna, sebagai Administrator Database. Anda menggunakan informasi di baris pertama tabel di bagian itu dan memungkinkan pengguna untuk mengaktifkan RDS pemantauan Amazon. Anda melampirkan DatabaseAdministratorkebijakan ke IAM pengguna Alice sehingga mereka dapat mengelola layanan database Amazon. Kebijakan itu juga memungkinkan Alice untuk meneruskan peran yang dipanggil rds-monitoring-role ke RDS layanan Amazon yang memungkinkan layanan untuk memantau RDS database Amazon atas nama mereka.

  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Pilih Kebijakan, database ketik kotak pencarian, lalu tekan enter.

  3. Pilih tombol radio untuk DatabaseAdministratorkebijakan, pilih Tindakan, lalu pilih Lampirkan.

  4. Dalam daftar entitas, pilih Alice dan kemudian pilih Lampirkan kebijakan. Alice sekarang dapat mengelola database AWS . Namun, agar Alice dapat memantau basis data tersebut, Anda harus mengonfigurasi peran layanan.

  5. Di panel navigasi IAM konsol, pilih Peran, lalu pilih Buat peran.

  6. Pilih jenis peran AWS Layanan, lalu pilih Amazon RDS.

  7. Pilih RDSPeran Amazon untuk kasus penggunaan Pemantauan yang Ditingkatkan.

  8. Amazon RDS mendefinisikan izin untuk peran Anda. Pilih Next: Review (Berikutnya: Tinjauan) untuk melanjutkan.

  9. Nama peran harus salah satu yang ditentukan oleh DatabaseAdministrator kebijakan yang dimiliki Alice sekarang. Salah satunya adalah rds-monitoring-role. Masukkan itu untuk nama Peran.

  10. (Opsional) Untuk Deskripsi peran, masukkan deskripsi.

  11. Setelah meninjau perinciannya, pilih Buat peran.

  12. Alice sekarang dapat mengaktifkan RDSEnhanced Monitoring di bagian Monitoring RDS konsol Amazon. Misalnya, mereka mungkin melakukan ini ketika mereka membuat instance DB, membuat replika baca, atau memodifikasi instance DB. Mereka harus memasukkan nama peran yang mereka buat (rds-monitoring-role) di kotak Peran Pemantauan saat mereka menyetel Aktifkan Pemantauan yang Ditingkatkan ke Ya.

Contoh 2: Mengonfigurasi pengguna sebagai administrator jaringan (konsol)

Contoh ini menunjukkan langkah-langkah yang diperlukan untuk mengkonfigurasi Jorge, IAM pengguna, sebagai Administrator Jaringan. Ini menggunakan informasi dalam tabel di bagian itu untuk memungkinkan Jorge memantau lalu lintas IP yang pergi ke dan dari aVPC. Ini juga memungkinkan Jorge untuk menangkap informasi itu di log di CloudWatch Log. Anda melampirkan NetworkAdministratorkebijakan ke IAM pengguna Jorge sehingga mereka dapat mengonfigurasi sumber daya AWS jaringan. Kebijakan itu juga memungkinkan Jorge untuk meneruskan peran yang namanya dimulai flow-logs* ke Amazon EC2 saat Anda membuat log alur. Dalam skenario ini, tidak seperti Contoh 1, tidak ada jenis peran layanan yang ditentukan sebelumnya sehingga Anda harus melakukan beberapa langkah secara berbeda.

  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Kebijakan lalu masukkan network di kotak pencarian, lalu tekan enter.

  3. Pilih tombol radio di sebelah NetworkAdministratorkebijakan, pilih Tindakan, lalu pilih Lampirkan.

  4. Dalam daftar pengguna, pilih kotak centang di sebelah Jorge, lalu pilih Lampirkan kebijakan. Jorge sekarang dapat mengelola sumber daya AWS jaringan. Namun, untuk mengaktifkan pemantauan lalu lintas IP di AndaVPC, Anda harus mengonfigurasi peran layanan.

  5. Karena peran layanan yang perlu Anda buat tidak memiliki kebijakan yang dikelola sebelumnya, Anda harus membuatnya terlebih dahulu. Pada panel navigasi, pilih Kebijakan, lalu pilih Buat kebijakan.

  6. Di bagian Editor kebijakan, pilih JSONopsi dan salin teks dari dokumen JSON kebijakan berikut. Tempel teks ini ke dalam kotak JSONteks. 

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

  7. Selesaikan peringatan keamanan, kesalahan, atau peringatan umum yang dihasilkan selama validasi kebijakan, lalu pilih Berikutnya.

    catatan

    Anda dapat beralih antara opsi Visual dan JSONeditor kapan saja. Namun, jika Anda membuat perubahan atau memilih Berikutnya di editor Visual, IAM mungkin merestrukturisasi kebijakan Anda untuk mengoptimalkannya untuk editor visual. Untuk informasi selengkapnya, lihat Restrukturisasi kebijakan.

  8. Pada halaman Tinjau dan buat, ketik vpc-flow-logs-policy-for-service-role nama kebijakan. Tinjau Izin yang ditentukan dalam kebijakan ini untuk melihat izin yang diberikan oleh kebijakan Anda, lalu pilih Buat kebijakan untuk menyimpan pekerjaan Anda.

    Kebijakan baru muncul di daftar kebijakan terkelola dan siap dilampirkan.

  9. Di panel navigasi IAM konsol, pilih Peran, lalu pilih Buat peran.

  10. Pilih jenis peran AWS Layanan, lalu pilih Amazon EC2.

  11. Pilih kasus EC2 penggunaan Amazon.

  12. Pada halaman Lampirkan kebijakan izin, pilih kebijakan yang Anda buat sebelumnya, vpc-flow-logs-policy- for-service-role, lalu pilih Berikutnya: Tinjau.

  13. Nama peran harus diizinkan oleh NetworkAdministrator kebijakan yang dimiliki Jorge sekarang. Nama apa pun yang dimulai dengan flow-logs- diperbolehkan. Untuk contoh ini, masukkan flow-logs-for-jorge nama Peran.

  14. (Opsional) Untuk Deskripsi peran, masukkan deskripsi.

  15. Setelah meninjau perinciannya, pilih Buat peran.

  16. Sekarang, Anda dapat mengonfigurasi kebijakan kepercayaan yang diperlukan untuk skenario ini. Pada halaman Peran, pilih flow-logs-for-jorgeperan (nama, bukan kotak centang). Pada halaman perincian peran baru Anda, pilih Hubungan kepercayaan, lalu pilihEdit hubungan kepercayaan.

  17. Ubah baris "Layanan" agar dibaca sebagai berikut, menggantikan entri untuk ec2.amazonaws.com:

            "Service": "vpc-flow-logs.amazonaws.com"

  18. Jorge sekarang dapat membuat log aliran untuk subnet VPC atau subnet di konsol AmazonEC2. Saat Anda membuat log alur, tentukan flow-logs-for-jorgeperannya. Peran tersebut memiliki izin untuk membuat data log dan menuliskan data ke log itu.