Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menggunakan IAM Peran untuk Memberikan Izin ke Aplikasi dan Skrip yang Berjalan di Instans Streaming AppStream 2.0
Aplikasi dan skrip yang berjalan pada instance streaming AppStream 2.0 harus menyertakan AWS kredensil dalam permintaan mereka. AWS API Anda dapat membuat IAM peran untuk mengelola kredensional ini. IAMPeran menentukan sekumpulan izin yang dapat Anda gunakan untuk mengakses AWS sumber daya. Namun, peran ini tidak terkait secara unik dengan satu orang. Sebaliknya, dapat diasumsikan oleh siapa saja yang membutuhkannya.
Anda dapat menerapkan IAM peran ke instance streaming AppStream 2.0. Saat instance streaming beralih ke (mengasumsikan) peran, peran tersebut memberikan kredensyal keamanan sementara. Aplikasi atau skrip Anda menggunakan kredensyal ini untuk melakukan API tindakan dan tugas manajemen pada instance streaming. AppStream 2.0 mengelola sakelar kredenal sementara untuk Anda.
Daftar Isi
- Praktik Terbaik untuk Menggunakan IAM Peran Dengan Instans Streaming AppStream 2.0
- Mengonfigurasi IAM Peran yang Ada untuk Digunakan Dengan Instans Streaming AppStream 2.0
- Cara Membuat IAM Peran untuk Digunakan Dengan Instans Streaming AppStream 2.0
- Cara Menggunakan IAM Peran Dengan Instans Streaming AppStream 2.0
Praktik Terbaik untuk Menggunakan IAM Peran Dengan Instans Streaming AppStream 2.0
Saat Anda menggunakan IAM peran dengan instans streaming AppStream 2.0, kami sarankan Anda mengikuti praktik berikut:
Batasi izin yang Anda berikan untuk AWS API tindakan dan sumber daya.
Ikuti prinsip hak istimewa paling sedikit saat Anda membuat dan melampirkan IAM kebijakan ke IAM peran yang terkait dengan instans streaming AppStream 2.0. Saat Anda menggunakan aplikasi atau skrip yang memerlukan akses ke AWS API tindakan atau sumber daya, tentukan tindakan dan sumber daya spesifik yang diperlukan. Kemudian, buat kebijakan yang memungkinkan aplikasi atau skrip hanya melakukan tindakan tersebut. Untuk informasi selengkapnya, lihat Memberikan Hak Istimewa Paling Sedikit di Panduan IAM Pengguna.
Buat IAM peran untuk setiap sumber daya AppStream 2.0.
Membuat IAM peran unik untuk setiap sumber daya AppStream 2.0 adalah praktik yang mengikuti prinsip hak istimewa paling sedikit. Melakukannya juga memungkinkan Anda mengubah izin untuk sumber daya tanpa memengaruhi sumber daya lainnya.
Batasi di mana kredenal dapat digunakan.
IAMkebijakan memungkinkan Anda menentukan kondisi di mana IAM peran Anda dapat digunakan untuk mengakses sumber daya. Misalnya, Anda dapat menyertakan kondisi untuk menentukan rentang alamat IP tempat permintaan dapat berasal. Melakukannya mencegah kredensyal digunakan di luar lingkungan Anda. Untuk informasi selengkapnya, lihat Menggunakan Ketentuan Kebijakan untuk Keamanan Ekstra di Panduan IAM Pengguna.
Mengonfigurasi IAM Peran yang Ada untuk Digunakan Dengan Instans Streaming AppStream 2.0
Topik ini menjelaskan cara mengonfigurasi IAM peran yang ada sehingga Anda dapat menggunakannya dengan pembuat gambar dan instance streaming armada.
Prasyarat
IAMPeran yang ingin Anda gunakan dengan pembuat gambar AppStream 2.0 atau instance streaming armada harus memenuhi prasyarat berikut:
IAMPeran tersebut harus berada di akun Amazon Web Services yang sama dengan instans streaming AppStream 2.0.
IAMPeran tidak bisa menjadi peran layanan.
Kebijakan hubungan kepercayaan yang melekat pada IAM peran harus mencakup layanan AppStream 2.0 sebagai prinsipal. Principal adalah entitas AWS yang dapat melakukan tindakan dan mengakses sumber daya. Kebijakan juga harus mencakup
sts:AssumeRoletindakan. Konfigurasi kebijakan ini mendefinisikan AppStream 2.0 sebagai entitas tepercaya.Jika Anda menerapkan IAM peran tersebut ke pembuat gambar, pembuat gambar harus menjalankan versi agen AppStream 2.0 yang dirilis pada atau setelah 3 September 2019. Jika Anda menerapkan IAM peran ke armada, armada harus menggunakan gambar yang menggunakan versi agen yang dirilis pada atau setelah tanggal yang sama. Untuk informasi selengkapnya, lihat AppStream 2.0 Catatan Rilis Agen.
Untuk mengaktifkan prinsip layanan AppStream 2.0 untuk mengambil IAM peran yang ada
Untuk melakukan langkah-langkah berikut, Anda harus masuk ke akun sebagai IAM pengguna yang memiliki izin yang diperlukan untuk membuat daftar dan memperbarui IAM peran. Jika Anda tidak memiliki izin yang diperlukan, minta administrator akun Amazon Web Services Anda untuk melakukan langkah-langkah ini di akun Anda atau memberi Anda izin yang diperlukan.
Buka IAM konsol di https://console.aws.amazon.com/iam/
. -
Di panel navigasi, pilih Peran.
-
Dalam daftar peran di akun Anda, pilih nama peran yang ingin Anda ubah.
Pilih tab Hubungan kepercayaan, dan kemudian pilihUbah hubungan kepercayaan.
Di bawah Dokumen Kebijakan, verifikasi bahwa kebijakan hubungan kepercayaan mencakup
sts:AssumeRoletindakan untuk kepalaappstream.amazonaws.com.rproxy.goskope.comlayanan:{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "appstream.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }Setelah selesai mengubah kebijakan kepercayaan, pilih Perbarui Kebijakan Kepercayaan untuk menyimpan perubahan Anda.
-
IAMPeran yang Anda pilih akan ditampilkan di konsol AppStream 2.0. Peran ini memberikan izin ke aplikasi dan skrip untuk melakukan API tindakan dan tugas manajemen pada instance streaming.
Cara Membuat IAM Peran untuk Digunakan Dengan Instans Streaming AppStream 2.0
Topik ini menjelaskan cara membuat IAM peran baru sehingga Anda dapat menggunakannya dengan pembuat gambar dan instance streaming armada.
Buka IAM konsol di https://console.aws.amazon.com/iam/
. Di panel navigasi, pilih Peran, lalu pilih Buat peran.
Untuk Pilih tipe entitas tepercaya, pilih Layanan AWS .
Dari daftar AWS layanan, pilih AppStream 2.0.
Di bawah Pilih kasus penggunaan Anda, AppStream 2.0 - Memungkinkan instance AppStream 2.0 untuk memanggil AWS layanan atas nama Anda sudah dipilih. Pilih Berikutnya: Izin.
Jika memungkinkan, pilih kebijakan yang akan digunakan untuk kebijakan izin atau pilih Buat kebijakan untuk membuka tab browser baru dan membuat kebijakan baru dari awal. Untuk informasi selengkapnya, lihat langkah 4 dalam prosedur Membuat IAM Kebijakan (Konsol) di Panduan IAM Pengguna.
Setelah Anda membuat kebijakan, tutup tab tersebut dan kembali ke tab asli Anda. Pilih kotak centang di samping kebijakan izin yang ingin dimiliki AppStream 2.0.
(Opsional) Tetapkan batas izin. Ini adalah fitur lanjutan yang tersedia untuk peran layanan, tetapi bukan peran tertaut layanan. Untuk informasi selengkapnya, lihat Batas Izin untuk IAM Entitas di Panduan IAM Pengguna.
Pilih Berikutnya: Tag Anda dapat secara opsional melampirkan tag sebagai pasangan nilai kunci. Untuk informasi selengkapnya, lihat Menandai IAM Pengguna dan Peran di Panduan IAM Pengguna.
Pilih Berikutnya: Tinjau.
Untuk nama Peran, ketikkan nama peran yang unik dalam akun Amazon Web Services Anda. Karena AWS sumber daya lain mungkin mereferensikan peran, Anda tidak dapat mengedit nama peran setelah dibuat.
Untuk deskripsi Peran, simpan deskripsi peran default atau ketik yang baru.
Tinjau peran lalu pilih Buat peran.
Cara Menggunakan IAM Peran Dengan Instans Streaming AppStream 2.0
Setelah membuat IAM peran, Anda dapat menerapkannya ke pembuat gambar atau instance streaming armada saat meluncurkan pembuat gambar atau membuat armada. Anda juga dapat menerapkan IAM peran ke armada yang ada. Untuk informasi tentang cara menerapkan IAM peran saat meluncurkan pembuat gambar, lihatLuncurkan Image Builder untuk Menginstal dan Mengkonfigurasi Aplikasi Streaming. Untuk informasi tentang cara menerapkan IAM peran saat membuat armada, lihatBuat Armada.
Saat Anda menerapkan IAM peran ke pembuat gambar atau instance streaming armada, AppStream 2.0 mengambil kredensi sementara dan membuat profil kredensi appstream_machine_role pada instance. Kredensyal sementara berlaku selama 1 jam, dan kredensyal baru diambil setiap jam. Kredensyal sebelumnya tidak kedaluwarsa, sehingga Anda dapat menggunakannya selama valid. Anda dapat menggunakan profil kredensi untuk memanggil AWS layanan secara terprogram dengan menggunakan Antarmuka Baris AWS Perintah (AWS CLI), AWS Alat untuk PowerShell, atau AWS SDK dengan bahasa pilihan Anda.
Saat Anda melakukan API panggilan, tentukan appstream_machine_role sebagai profil kredensyal. Jika tidak, operasi gagal karena izin yang tidak mencukupi.
AppStream 2.0 mengasumsikan peran yang ditentukan saat instance streaming disediakan. Karena AppStream 2.0 menggunakan elastic network interface yang melekat pada AWS API panggilan AndaVPC, aplikasi atau skrip Anda harus menunggu elastis network interface tersedia sebelum melakukan AWS API panggilan. Jika API panggilan dilakukan sebelum elastis network interface tersedia, panggilan gagal.
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan profil kredenal appstream_machine_role untuk mendeskripsikan instance streaming (EC2instance) dan untuk membuat klien Boto. Boto adalah Amazon Web Services (AWS) SDK untuk Python.
Jelaskan Instans Streaming (EC2instance) dengan Menggunakan AWS CLI
aws ec2 describe-instances --region us-east-1 --profile appstream_machine_role
Jelaskan Instans Streaming (EC2instance) dengan Menggunakan AWS Alat untuk PowerShell
Anda harus menggunakan AWS Alat untuk PowerShell versi 3.3.563.1 atau yang lebih baru, dengan Amazon Web Services for. SDK NETversi 3.3.103.22 atau yang lebih baru. Anda dapat mengunduh penginstal AWS Alat untuk Windows, yang mencakup AWS Alat untuk PowerShell dan Amazon Web Services SDK untuk. NET, dari AWS Alat untuk PowerShell
Get-EC2Instance -Region us-east-1 -ProfileName appstream_machine_role
Membuat Klien Boto dengan Menggunakan AWS SDK untuk Python
session = boto3.Session(profile_name='appstream_machine_role')
