Membuat dan menggunakan profil instans untuk mengelola kredensial sementara Membuat dan menyimpan kredensial akses permanen di Lingkungan

Menelepon Layanan AWS dari lingkungan di AWS Cloud9

Anda dapat menelepon Layanan AWS dari lingkungan AWS Cloud9 pengembangan. Misalnya, Anda dapat melakukan tindakan berikut:

Mengunggah dan mengunduh data di bucket Amazon Simple Storage Service (Amazon S3).
Kirim pemberitahuan siaran melalui topik Amazon Simple Notification Service (AmazonSNS).
Membaca dan menulis data di basis data Amazon DynamoDB (DynamoDB).

Anda dapat menelepon Layanan AWS dari lingkungan Anda dengan beberapa cara. Misalnya, Anda dapat menggunakan perintah AWS Command Line Interface (AWS CLI) atau AWS CloudShell to run dari sesi terminal. Anda juga dapat menelepon Layanan AWS dari kode yang Anda jalankan di lingkungan Anda. Anda dapat melakukan ini dengan menggunakan AWS SDKs untuk bahasa pemrograman seperti JavaScript, Python, Ruby, PHP, Go, dan C++. Untuk informasi selengkapnya, lihat Sampel AWS CLI dan aws-shell, Panduan AWS Command Line Interface Pengguna, dan. AWS SDKs

Setiap kali AWS CLI, kode AWS CloudShell, atau kode Anda memanggil Layanan AWS, AWS CLI AWS CloudShell, atau kode Anda harus menyediakan satu set kredensi AWS akses bersama dengan panggilan. Kredensial ini menentukan apakah pemanggil memiliki izin yang sesuai untuk melakukan panggilan. Jika kredensial tidak mencakup izin yang sesuai, panggilan gagal.

Ada beberapa cara untuk memberikan kredensial ke lingkungan Anda. Tabel berikut menjelaskan beberapa pendekatan.


Tipe lingkungan	Pendekatan
EC2	Gunakan kredensyal sementara AWS terkelola. Kami merekomendasikan pendekatan ini untuk suatu EC2 lingkungan. AWS kredensyal sementara terkelola mengelola kredensyal AWS akses di EC2 lingkungan atas nama Anda, sementara juga mengikuti AWS praktik terbaik keamanan. Jika Anda menggunakan EC2 lingkungan, Anda dapat melewati sisa topik ini. Ini karena kredensyal sementara yang AWS dikelola sudah disiapkan untuk Anda di lingkungan. Untuk informasi selengkapnya, lihat Kredensial Sementara terkelola AWS.
EC2	Lampirkan profil IAM instance ke instance. Gunakan pendekatan ini hanya jika karena alasan tertentu Anda tidak dapat menggunakan kredensyal sementara yang AWS dikelola. Mirip dengan kredensyal sementara AWS terkelola, profil instans mengelola kredensyal AWS akses atas nama Anda. Namun, Anda harus membuat, mengelola, dan melampirkan profil instance ke EC2 instans Amazon sendiri. Untuk petunjuk, lihat Membuat dan Menggunakan Profil Instans untuk mengelola Kredensial Sementara.
EC2atau SSH	Simpan kredensyal AWS akses permanen Anda di lingkungan. Pendekatan ini kurang aman dibandingkan menggunakan kredensyal AWS akses sementara. Namun, ini satu-satunya pendekatan yang didukung untuk SSH lingkungan. Untuk petunjuk, lihat Membuat dan Menyimpan Kredensial Akses Permanen di Lingkungan.
EC2atau SSH	Masukkan kredensyal AWS akses permanen Anda langsung ke kode Anda. Kami tidak menyarankan pendekatan ini karena tidak mengikuti praktik terbaik AWS keamanan. Karena kami mencegah pendekatan ini, kami tidak mencakupnya dalam topik ini.

Membuat dan menggunakan profil instans untuk mengelola kredensial sementara

catatan

Anda tidak dapat menggunakan prosedur ini untuk lingkungan AWS Cloud9 SSH pengembangan. Sebagai gantinya, lanjutkan ke Membuat dan Menyimpan Kredensial Akses Permanen di Lingkungan.

Sebaiknya gunakan kredensyal sementara AWS terkelola, bukan profil instans. Ikuti petunjuk ini hanya jika karena alasan tertentu Anda tidak dapat menggunakan kredensyal sementara yang AWS dikelola. Untuk informasi selengkapnya, lihat Kredensial Sementara terkelola AWS.

Prosedur ini menggunakan IAM dan Amazon EC2 untuk membuat dan melampirkan profil IAM instance ke EC2 instans Amazon yang terhubung ke lingkungan Anda. Profil instans ini mengelola kredensial sementara atas nama Anda. Prosedur ini mengasumsikan Anda telah membuat lingkungan di AWS Cloud9. Untuk membuat lingkungan, lihat Membuat Lingkungan.

Anda dapat menyelesaikan tugas-tugas ini dengan EC2konsol IAM dan Amazon atau Antarmuka Baris AWS Perintah (AWS CLI).

Buat profil instance dengan IAM konsol

catatan

Jika Anda sudah memiliki IAM peran yang berisi profil instans, lanjutkan ke Lampirkan Profil Instance ke Instance dengan EC2 Konsol Amazon.

Masuk ke IAM konsol, di https://console.aws.amazon.com/iam.

Untuk langkah ini, kami sarankan Anda masuk menggunakan kredensyal tingkat administrator di Anda. Akun AWS Jika Anda tidak dapat melakukan ini, tanyakan kepada Akun AWS administrator Anda.
Di bilah navigasi, pilih Roles (Peran).

catatan
Anda tidak dapat menggunakan IAM konsol untuk membuat profil instance dengan sendirinya. Anda harus membuat IAM peran, yang berisi profil instance.
Pilih Buat peran.
Pada halaman Pilih jenis entitas tepercaya, dengan Layanan AWSsudah dipilih, untuk Pilih layanan yang akan menggunakan peran ini, pilih EC2.
Untuk Pilih kasus penggunaan Anda, pilih EC2.
Pilih Berikutnya: Izin.
Pada halaman Lampirkan kebijakan izin, dalam daftar kebijakan, pilih kotak di samping AdministratorAccess, lalu pilih Berikutnya: Tinjau.

catatan
AdministratorAccessKebijakan ini memungkinkan akses tidak terbatas ke semua AWS tindakan dan sumber daya di seluruh Anda Akun AWS. Gunakan hanya untuk tujuan eksperimen. Untuk informasi selengkapnya, lihat IAMKebijakan di Panduan IAM Pengguna.
Pada halaman Tinjauan, untuk Nama Peran, masukkan nama untuk peran (misalnya,my-demo-cloud9-instance-profile).
Pilih Buat Peran.

Lewati ke depan untuk Melampirkan Profil Instance ke Instance dengan EC2 Konsol Amazon.

Membuat profil instans dengan AWS CLI

catatan

Jika Anda sudah memiliki IAM peran yang berisi profil instance, lewati ke Lampirkan Profil Instance ke Instance dengan AWS CLI.

Untuk topik ini, kami sarankan Anda mengonfigurasi AWS CLI menggunakan kredensyal tingkat administrator di Anda. Akun AWS Jika Anda tidak dapat melakukan ini, tanyakan kepada Akun AWS administrator Anda.

catatan

Jika Anda menggunakan kredensyal sementara AWS terkelola, Anda tidak dapat menggunakan sesi terminal AWS Cloud9 IDE untuk menjalankan beberapa atau semua perintah di bagian ini. Untuk mengatasi praktik terbaik AWS keamanan, kredensyal sementara AWS terkelola tidak mengizinkan beberapa perintah dijalankan. Sebagai gantinya, Anda dapat menjalankan perintah tersebut dari instalasi terpisah dari AWS Command Line Interface (AWS CLI).

Tentukan hubungan kepercayaan AWS untuk IAM peran yang diperlukan profil instance. Untuk melakukannya, buat lalu simpan file dengan isi berikut (misalnya, my-demo-cloud9-instance-profile-role-trust.json).


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Dengan menggunakan terminal atau command prompt, beralihlah ke direktori tempat Anda baru saja menyimpan file ini.
Buat IAM peran untuk profil instance. Untuk melakukan ini, jalankan IAM create-role perintah. Ketika Anda melakukannya, tentukan nama untuk IAM peran baru (misalnya,my-demo-cloud9-instance-profile-role), dan nama file yang baru saja Anda simpan.
```
aws iam create-role --role-name my-demo-cloud9-instance-profile-role --assume-role-policy-document file://my-demo-cloud9-instance-profile-role-trust.json
```
Lampirkan izin AWS akses ke IAM peran profil instance. Untuk melakukan ini, jalankan IAM attach-role-policy perintah. Tentukan nama IAM peran yang ada dan Amazon Resource Name (ARN) dari kebijakan AWS terkelola yang diberi namaAdministratorAccess.
```
aws iam attach-role-policy --role-name my-demo-cloud9-instance-profile-role --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
```
catatan
AdministratorAccessKebijakan ini memungkinkan akses tidak terbatas ke semua AWS tindakan dan sumber daya di seluruh Anda Akun AWS. Gunakan hanya untuk tujuan eksperimen. Untuk informasi selengkapnya, lihat IAMKebijakan di Panduan IAM Pengguna.
Buat profil instans. Untuk melakukan ini, jalankan IAM create-instance-profile perintah, tentukan nama untuk profil instance baru (misalnya,my-demo-cloud9-instance-profile).
```
aws iam create-instance-profile --instance-profile-name my-demo-cloud9-instance-profile
```
Lampirkan IAM peran ke profil instance. Untuk melakukan ini, jalankan IAMadd-role-to-instance-profile, tentukan nama IAM peran dan profil instance yang ada.
```
aws iam add-role-to-instance-profile --role-name my-demo-cloud9-instance-profile-role --instance-profile-name my-demo-cloud9-instance-profile
```

Lanjutkan ke Membuat Profil Instans dengan AWS CLI.

Lampirkan profil instance ke instance dengan EC2 konsol Amazon

Masuk ke EC2 konsol Amazon, di https://console.aws.amazon.com/ec2.

Untuk langkah ini, kami sarankan Anda masuk menggunakan kredensyal tingkat administrator di Anda. Akun AWS Jika Anda tidak dapat melakukan ini, tanyakan kepada Akun AWS administrator Anda.
Di bilah navigasi, pastikan pemilih Wilayah menampilkan pemilih Wilayah AWS yang cocok dengan lingkungan Anda. Misalnya, jika Anda menciptakan lingkungan di Wilayah AS Timur (Ohio), pilih US East (Ohio) di pemilih Wilayah di sini.
Pilih tautan Instans Berjalan atau, di panel navigasi, perluas Instans, lalu pilih Instans.
Dalam daftar instans, pilih instans dengan Nama yang menyertakan nama lingkungan Anda. Misalnya, jika nama lingkungan Andamy-demo-environment, pilih instance dengan Nama yang disertakan my-demo-environment.
Pilih Tindakan, Keamanan, Ubah IAM peran.

catatan
Meskipun Anda melampirkan peran ke instans, peran tersebut berisi profil instans.
Pada halaman Ubah IAM peran, untuk IAMperan, pilih nama peran yang Anda identifikasi atau yang Anda buat di prosedur sebelumnya, lalu pilih Terapkan.
Kembali di lingkungan, gunakan AWS CLI untuk menjalankan aws configure perintah atau AWS CloudShell untuk menjalankan configure perintah. Jangan tentukan nilai apa pun untuk ID Kunci AWS Akses atau Kunci Akses AWS Rahasia (tekan Enter setelah setiap permintaan ini). Untuk nama Wilayah Default, tentukan yang Wilayah AWS terdekat dengan Anda atau Wilayah tempat AWS sumber daya Anda berada. Misalnya, us-east-2 untuk Wilayah US East (Ohio). Untuk daftar Wilayah, lihat Wilayah AWS dan Titik Akhir di. Referensi Umum Amazon Web Services Secara opsional, tentukan nilai untuk Format keluaran default (misalnya, json).

Anda sekarang dapat mulai menelepon Layanan AWS dari lingkungan Anda. Untuk menggunakan AWS CLI, aws-shell, atau keduanya untuk menelepon Layanan AWS, lihat Sampel AWS CLI dan aws-shell. Untuk menelepon Layanan AWS dari kode Anda, lihat tutorial dan contoh kami yang lain.

Lampirkan profil instance ke instance dengan AWS CLI

catatan

Jalankan EC2 associate-iam-instance-profile perintah Amazon. Tentukan nama profil instance dan ID serta Wilayah AWS ID EC2 instans Amazon untuk lingkungan.
```
aws ec2 associate-iam-instance-profile --iam-instance-profile Name=my-demo-cloud9-instance-profile --region us-east-2 --instance-id i-12a3b45678cdef9a0
```
Pada perintah sebelumnya, ganti us-east-2 dengan Wilayah AWS ID untuk instance dan i-12a3b45678cdef9a0 dengan ID instance.

Untuk mendapatkan ID instance, Anda dapat, misalnya, menjalankan EC2 describe-instances perintah Amazon, menentukan nama dan Wilayah AWS ID lingkungan.
```
aws ec2 describe-instances --region us-east-2 --filters Name=tag:Name,Values=*my-environment* --query "Reservations[*].Instances[*].InstanceId" --output text
```
Pada perintah sebelumnya, ganti us-east-2 dengan Wilayah AWS ID untuk instance dan my-environment dengan nama lingkungan.
Kembali ke lingkungan, gunakan AWS CLI untuk menjalankan aws configure perintah atau aws-shell untuk menjalankan configure perintah. Jangan tentukan nilai apa pun untuk ID Kunci AWS Akses atau Kunci Akses AWS Rahasia. Tekan Enter setelah masing-masing petunjuk ini. Untuk nama Wilayah Default, tentukan yang Wilayah AWS terdekat dengan Anda atau Wilayah tempat AWS sumber daya Anda berada. Misalnya, us-east-2 untuk Wilayah US East (Ohio). Untuk daftar Wilayah, lihat AWS Wilayah dan Titik Akhir di. Referensi Umum Amazon Web Services Secara opsional, tentukan nilai untuk Format keluaran default (misalnya, json).

Membuat dan menyimpan kredensial akses permanen di Lingkungan

catatan

Jika Anda menggunakan lingkungan AWS Cloud9 EC2 pengembangan, sebaiknya gunakan kredensyal sementara AWS terkelola, bukan kredensyal akses AWS permanen. Untuk bekerja dengan kredensyal sementara yang AWS dikelola, lihat. AWS kredensi sementara yang dikelola

Di bagian ini, Anda menggunakan AWS Identity and Access Management (IAM) untuk menghasilkan satu set kredensyal permanen. The AWS CLI, aws-shell, atau kode Anda dapat menggunakan kumpulan kredensyal ini saat menelepon. Layanan AWS Set ini mencakup ID kunci AWS akses dan kunci akses AWS rahasia, yang unik untuk pengguna Anda di Anda Akun AWS. Jika Anda sudah memiliki ID kunci AWS akses dan kunci akses AWS rahasia, perhatikan kredensialnya, lalu lewati ke Simpan Kredensyal Akses Permanen di Lingkungan.

Anda dapat membuat satu set kredensyal permanen dengan IAMkonsol atau file. AWS CLI

Memberikan akses programatis

Pengguna membutuhkan akses terprogram jika mereka ingin berinteraksi dengan AWS luar. AWS Management Console Cara untuk memberikan akses terprogram tergantung pada jenis pengguna yang mengakses AWS.

Untuk memberi pengguna akses programatis, pilih salah satu opsi berikut.


Pengguna mana yang membutuhkan akses programatis?	Untuk	Oleh
Identitas tenaga kerja (Pengguna dikelola di Pusat IAM Identitas)	Gunakan kredensyal sementara untuk menandatangani permintaan terprogram ke AWS CLI,, AWS SDKs atau. AWS APIs	Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan. Untuk AWS CLI, lihat Mengkonfigurasi yang akan AWS CLI digunakan AWS IAM Identity Center dalam Panduan AWS Command Line Interface Pengguna. Untuk AWS SDKs, alat, dan AWS APIs, lihat otentikasi Pusat IAM Identitas di Panduan Referensi Alat AWS SDKs dan Alat.
IAM	Gunakan kredensyal sementara untuk menandatangani permintaan terprogram ke AWS CLI,, AWS SDKs atau. AWS APIs	Mengikuti petunjuk dalam Menggunakan kredensyal sementara dengan AWS sumber daya di IAMPanduan Pengguna.
IAM	(Tidak direkomendasikan) Gunakan kredensyal jangka panjang untuk menandatangani permintaan terprogram ke AWS CLI,, AWS SDKs atau. AWS APIs	Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan. Untuk mengetahui AWS CLI, lihat Mengautentikasi menggunakan kredensyal IAM pengguna di Panduan Pengguna.AWS Command Line Interface Untuk AWS SDKs dan alat, lihat Mengautentikasi menggunakan kredensyal jangka panjang di Panduan Referensi Alat AWS SDKs dan Alat. Untuk AWS APIs, lihat Mengelola kunci akses untuk IAM pengguna di Panduan IAM Pengguna.

Buat kredensyal akses permanen dengan AWS CLI

catatan

Untuk bagian ini, kami sarankan Anda mengonfigurasi AWS CLI menggunakan kredensyal tingkat administrator di bagian Anda. Akun AWS Jika Anda tidak dapat melakukan ini, tanyakan kepada Akun AWS administrator Anda.

catatan

Jalankan IAM create-access-key perintah untuk membuat kunci AWS akses baru dan kunci akses AWS rahasia yang sesuai untuk pengguna.


aws iam create-access-key --user-name MyUser

Dalam perintah sebelumnya, ganti MyUser dengan nama pengguna.

Di lokasi yang aman, simpan nilai AccessKeyId dan SecretAccessKey yang ditampilkan. Setelah Anda menjalankan IAM create-access-key perintah, ini adalah satu-satunya waktu Anda dapat menggunakan AWS CLI untuk melihat kunci akses AWS rahasia pengguna. Untuk membuat kunci akses AWS rahasia baru bagi pengguna nanti jika diperlukan, lihat Membuat, Memodifikasi, dan Melihat Kunci Akses (API,CLI, PowerShell) di Panduan IAM Pengguna.

Menyimpan kredensial akses permanen di Lingkungan

Dalam prosedur ini, Anda menggunakan AWS Cloud9 IDE untuk menyimpan kredensyal AWS akses permanen Anda di lingkungan Anda. Prosedur ini mengasumsikan Anda sudah membuat lingkungan di AWS Cloud9, membuka lingkungan, dan menampilkan AWS Cloud9 IDE di browser web Anda. Untuk informasi selengkapnya, lihat Membuat Lingkungan dan Membuka Lingkungan.

catatan

Prosedur berikut menunjukkan cara menyimpan kredensial akses permanen Anda dengan menggunakan variabel lingkungan. Jika Anda memiliki AWS CLI atau aws-shell diinstal di lingkungan Anda, Anda dapat menggunakan aws configureperintah untuk AWS CLI atau configureperintah untuk aws-shell untuk menyimpan kredensyal akses permanen Anda sebagai gantinya. Untuk instruksi, lihat Konfigurasi Cepat dalam Panduan Pengguna AWS Command Line Interface .

Dengan lingkungan Anda terbuka, di AWS Cloud9 IDE, mulai sesi terminal baru, jika belum dimulai. Untuk memulai sesi terminal baru, pada bilah menu, pilih Jendela, Terminal Baru.
Jalankan setiap perintah berikut, satu perintah pada satu waktu, untuk mengatur variabel lingkungan lokal yang mewakili kredensial akses permanen Anda. Dalam perintah ini, setelah ituAWS_ACCESS_KEY_ID:, masukkan ID kunci AWS akses Anda. Setelah ituAWS_SECRET_ACCESS_KEY, masukkan kunci akses AWS rahasia Anda. Setelah ituAWS_DEFAULT_REGION_ID, masukkan Wilayah AWS pengidentifikasi yang terkait dengan yang Wilayah AWS terdekat dengan Anda (atau pilihan Anda Wilayah AWS). Untuk daftar pengidentifikasi yang tersedia, lihat Wilayah AWS dan Titik Akhir di. Referensi Umum Amazon Web Services Misalnya, untuk AS Timur (Ohio), Anda menggunakanus-east-2.
```
export AWS_ACCESS_KEY_ID=
export AWS_SECRET_ACCESS_KEY=
export AWS_DEFAULT_REGION=
```
Perhatikan bahwa variabel lingkungan sebelumnya hanya valid untuk sesi terminal saat ini. Untuk membuat variabel lingkungan ini tersedia di seluruh sesi terminal, Anda harus menambahkannya ke file profil shell Anda sebagai variabel lingkungan pengguna, sebagai berikut.
1. Di jendela LingkunganIDE, pilih ikon roda gigi, lalu pilih Tampilkan Beranda di Favorit. Ulangi langkah ini dan memilih Tampilkan File Tersembunyi juga.
2. Buka file ~/.bashrc.
3. Masukkan atau tempel kode berikut di akhir file. Dalam perintah ini, setelah ituAWS_ACCESS_KEY_ID:, masukkan ID kunci AWS akses Anda. Setelah ituAWS_SECRET_ACCESS_KEY, masukkan kunci akses AWS rahasia Anda. Setelah ituAWS_DEFAULT_REGION_ID, masukkan Wilayah AWS pengidentifikasi yang terkait dengan yang Wilayah AWS terdekat dengan Anda (atau pilihan Anda Wilayah AWS). Untuk daftar pengidentifikasi yang tersedia, lihat Wilayah AWS dan Titik Akhir di. Referensi Umum Amazon Web Services Misalnya, untuk Wilayah AS Timur (Ohio), Anda menggunakanus-east-2.
```
export AWS_ACCESS_KEY_ID=
export AWS_SECRET_ACCESS_KEY=
export AWS_DEFAULT_REGION=
```
4. Simpan file tersebut.
5. Sumberkan file ~/.bashrc untuk memuat variabel lingkungan baru ini.
```
. ~/.bashrc
```

Anda sekarang dapat mulai menelepon Layanan AWS dari lingkungan Anda. Untuk menggunakan AWS CLI atau aws-shell untuk menelepon Layanan AWS, lihat Sampel AWS CLI dan aws-shell. Untuk menelepon Layanan AWS dari kode Anda, lihat tutorial dan contoh kami yang lain.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Membuka lingkungan

Mengubah Pengaturan Lingkungan