Menyiapkan AWS AppConfig - AWS AppConfig

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyiapkan AWS AppConfig

Jika Anda belum melakukannya, daftar Akun AWS dan buat pengguna administratif.

Mendaftar untuk Akun AWS

Jika Anda tidak memiliki Akun AWS, selesaikan langkah-langkah berikut untuk membuatnya.

Untuk mendaftar untuk Akun AWS
  1. Buka https://portal.aws.amazon.com/billing/pendaftaran.

  2. Ikuti petunjuk online.

    Bagian dari prosedur pendaftaran melibatkan tindakan menerima panggilan telepon dan memasukkan kode verifikasi di keypad telepon.

    Saat Anda mendaftar untuk sebuah Akun AWS, sebuah Pengguna root akun AWSdibuat. Pengguna root memiliki akses ke semua Layanan AWS dan sumber daya di akun. Sebagai praktik keamanan terbaik, tetapkan akses administratif ke pengguna, dan gunakan hanya pengguna root untuk melakukan tugas yang memerlukan akses pengguna root.

AWS mengirimi Anda email konfirmasi setelah proses pendaftaran selesai. Kapan saja, Anda dapat melihat aktivitas akun Anda saat ini dan mengelola akun Anda dengan masuk https://aws.amazon.com.rproxy.goskope.comke/ dan memilih Akun Saya.

Buat pengguna dengan akses administratif

Setelah Anda mendaftar Akun AWS, amankan Pengguna root akun AWS, aktifkan AWS IAM Identity Center, dan buat pengguna administratif sehingga Anda tidak menggunakan pengguna root untuk tugas sehari-hari.

Amankan Anda Pengguna root akun AWS
  1. Masuk ke AWS Management Consolesebagai pemilik akun dengan memilih pengguna Root dan memasukkan alamat Akun AWS email Anda. Di laman berikutnya, masukkan kata sandi.

    Untuk bantuan masuk dengan menggunakan pengguna root, lihat Masuk sebagai pengguna root di AWS Sign-In Panduan Pengguna.

  2. Aktifkan otentikasi multi-faktor (MFA) untuk pengguna root Anda.

    Untuk petunjuk, lihat Mengaktifkan MFA perangkat virtual untuk pengguna Akun AWS root (konsol) Anda di Panduan IAM Pengguna.

Buat pengguna dengan akses administratif
  1. Aktifkan Pusat IAM Identitas.

    Untuk mendapatkan petunjuk, silakan lihat Mengaktifkan AWS IAM Identity Center di Panduan Pengguna AWS IAM Identity Center .

  2. Di Pusat IAM Identitas, berikan akses administratif ke pengguna.

    Untuk tutorial tentang menggunakan Direktori Pusat Identitas IAM sebagai sumber identitas Anda, lihat Mengkonfigurasi akses pengguna dengan default Direktori Pusat Identitas IAM di Panduan AWS IAM Identity Center Pengguna.

Masuk sebagai pengguna dengan akses administratif
  • Untuk masuk dengan pengguna Pusat IAM Identitas, gunakan login URL yang dikirim ke alamat email saat Anda membuat pengguna Pusat IAM Identitas.

    Untuk bantuan masuk menggunakan pengguna Pusat IAM Identitas, lihat Masuk ke portal AWS akses di Panduan AWS Sign-In Pengguna.

Tetapkan akses ke pengguna tambahan
  1. Di Pusat IAM Identitas, buat set izin yang mengikuti praktik terbaik menerapkan izin hak istimewa paling sedikit.

    Untuk petunjuknya, lihat Membuat set izin di Panduan AWS IAM Identity Center Pengguna.

  2. Tetapkan pengguna ke grup, lalu tetapkan akses masuk tunggal ke grup.

    Untuk petunjuk, lihat Menambahkan grup di Panduan AWS IAM Identity Center Pengguna.

Memberikan akses programatis

Pengguna membutuhkan akses terprogram jika mereka ingin berinteraksi dengan AWS luar. AWS Management Console Cara untuk memberikan akses terprogram tergantung pada jenis pengguna yang mengakses AWS.

Untuk memberi pengguna akses programatis, pilih salah satu opsi berikut.

Pengguna mana yang membutuhkan akses programatis? Untuk Oleh

Identitas tenaga kerja

(Pengguna dikelola di Pusat IAM Identitas)

Gunakan kredensi sementara untuk menandatangani permintaan terprogram ke AWS CLI,, AWS SDKs atau. AWS APIs

Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan.

IAM Gunakan kredensi sementara untuk menandatangani permintaan terprogram ke AWS CLI,, AWS SDKs atau. AWS APIs Mengikuti petunjuk dalam Menggunakan kredensi sementara dengan AWS sumber daya di IAMPanduan Pengguna.
IAM

(Tidak direkomendasikan)

Gunakan kredensi jangka panjang untuk menandatangani permintaan terprogram ke AWS CLI,, AWS SDKs atau. AWS APIs

Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan.

(Disarankan) Konfigurasikan izin untuk rollback otomatis

Anda dapat mengonfigurasi AWS AppConfig untuk memutar kembali ke versi konfigurasi sebelumnya sebagai respons terhadap satu atau beberapa CloudWatch alarm Amazon. Saat mengonfigurasi penerapan untuk merespons CloudWatch alarm, Anda menentukan peran AWS Identity and Access Management (IAM). AWS AppConfig membutuhkan peran ini sehingga dapat memantau CloudWatch alarm. Prosedur ini opsional, tetapi sangat dianjurkan.

catatan

IAMPeran tersebut harus milik akun saat ini. Secara default, hanya AWS AppConfig dapat memantau alarm yang dimiliki oleh akun saat ini. Jika Anda ingin mengonfigurasi AWS AppConfig untuk memutar kembali penerapan sebagai respons terhadap metrik dari akun yang berbeda, Anda harus mengonfigurasi alarm lintas akun. Untuk informasi selengkapnya, lihat CloudWatch Konsol lintas wilayah lintas akun di CloudWatch Panduan Pengguna Amazon.

Gunakan prosedur berikut untuk membuat IAM peran yang memungkinkan AWS AppConfig untuk melakukan rollback berdasarkan CloudWatch alarm. Bagian ini mencakup prosedur berikut.

Langkah 1: Buat kebijakan izin untuk rollback berdasarkan alarm CloudWatch

Gunakan prosedur berikut untuk membuat IAM kebijakan yang memberikan AWS AppConfig izin untuk memanggil DescribeAlarms API tindakan.

Untuk membuat kebijakan IAM izin untuk rollback berdasarkan alarm CloudWatch
  1. Buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Kebijakan dan kemudian pilih Buat kebijakan.

  3. Pada halaman Buat kebijakan, pilih JSONtab.

  4. Ganti konten default pada JSON tab dengan kebijakan izin berikut, lalu pilih Berikutnya: Tag.

    catatan

    Untuk mengembalikan informasi tentang alarm CloudWatch komposit, DescribeAlarmsAPIoperasi harus diberi * izin, seperti yang ditunjukkan di sini. Anda tidak dapat mengembalikan informasi tentang alarm komposit jika DescribeAlarms memiliki cakupan yang lebih sempit.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms" ], "Resource": "*" } ] }
  5. Masukkan tag untuk peran ini, lalu pilih Berikutnya: Tinjau.

  6. Pada halaman Ulasan, masukkan SSMCloudWatchAlarmDiscoveryPolicy di bidang Nama.

  7. Pilih Buat kebijakan. Sistem mengembalikan Anda ke halaman Kebijakan.

Langkah 2: Buat IAM peran untuk rollback berdasarkan alarm CloudWatch

Gunakan prosedur berikut untuk membuat IAM peran dan tetapkan kebijakan yang Anda buat di prosedur sebelumnya.

Untuk membuat IAM peran untuk rollback berdasarkan alarm CloudWatch
  1. Buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Peran, lalu pilih Buat peran.

  3. Di bawah Pilih jenis entitas terpercaya, pilih AWS layanan.

  4. Segera di bawah Pilih layanan yang akan menggunakan peran ini, pilih EC2: EC2 Mengizinkan instans memanggil AWS layanan atas nama Anda, lalu pilih Berikutnya: Izin.

  5. Pada halaman Kebijakan izin terlampir, cari SSMCloudWatchAlarmDiscoveryPolicy.

  6. Pilih kebijakan ini dan kemudian pilih Berikutnya: Tag.

  7. Masukkan tag untuk peran ini, lalu pilih Berikutnya: Tinjau.

  8. Pada halaman Buat peran, masukkan SSMCloudWatchAlarmDiscoveryRole di bidang Nama peran, lalu pilih Buat peran.

  9. Pada halaman Peran, pilih peran yang baru saja Anda buat. Halaman Ringkasan terbuka.

Langkah 3: Tambahkan hubungan kepercayaan

Gunakan prosedur berikut untuk mengonfigurasi peran yang baru saja Anda buat agar dipercaya AWS AppConfig.

Untuk menambah hubungan kepercayaan untuk AWS AppConfig
  1. Di halaman Ringkasan untuk peran yang baru saja Anda buat, pilih tab Trust Relationships, lalu pilih Edit Trust Relationship.

  2. Edit kebijakan untuk menyertakan hanya "appconfig.amazonaws.com“, seperti yang ditunjukkan pada contoh berikut:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "appconfig.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
  3. Pilih Perbarui Kebijakan Kepercayaan.