Contoh kebijakan berdasarkan kebijakan terkelola - AWS Elastic Beanstalk
Contoh 1: Kelompok admin — Semua Elastic Beanstalk dan API layanan terkaitContoh 2: Kelompok developer — Semua kecuali operasi yang sangat istimewaContoh 3: Penguji — Lihat saja

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Contoh kebijakan berdasarkan kebijakan terkelola

Bagian ini menunjukkan cara mengontrol akses pengguna ke AWS Elastic Beanstalk dan termasuk contoh kebijakan yang menyediakan akses yang diperlukan untuk skenario umum. Kebijakan ini berasal dari kebijakan dikelola Elastic Beanstalk. Untuk informasi tentang melampirkan kebijakan terkelola ke pengguna dan grup, lihat Mengelola kebijakan pengguna Elastic Beanstalk.

Dalam skenario ini, Example Corp. adalah perusahaan perangkat lunak dengan tiga tim yang bertanggung jawab untuk situs web perusahaan: administrator yang mengelola infrastruktur, developer yang membangun perangkat lunak untuk situs web, dan tim QA yang menguji situs web. Untuk membantu mengelola izin ke sumber daya Elastic Beanstalk mereka, Contoh Corp. menciptakan tiga kelompok yang menjadi anggota masing-masing tim: Admin, Pengembang, dan Penguji. Contoh Corp. ingin grup Admin memiliki akses penuh ke semua aplikasi, lingkungan, dan sumber daya yang mendasarinya sehingga mereka dapat membuat, memecahkan masalah, dan menghapus semua aset Elastic Beanstalk. Developer memerlukan izin untuk melihat semua aset Elastic Beanstalk dan untuk membuat dan men-deploy versi aplikasi. Developer seharusnya tidak dapat membuat aplikasi baru atau lingkungan atau mengakhiri lingkungan yang sedang berjalan. Penguji perlu melihat semua sumber daya Elastic Beanstalk untuk memantau dan menguji aplikasi. Penguji seharusnya tidak dapat membuat perubahan pada sumber daya Elastic Beanstalk.

Contoh kebijakan berikut memberikan izin yang diperlukan untuk setiap grup.

Contoh 1: Kelompok admin — Semua Elastic Beanstalk dan API layanan terkait

Kebijakan berikut memberi pengguna izin untuk semua tindakan yang diperlukan untuk menggunakan Elastic Beanstalk. Kebijakan ini juga memungkinkan Elastic Beanstalk untuk menyediakan dan mengelola sumber daya atas nama Anda dalam layanan berikut. Elastic Beanstalk bergantung pada layanan tambahan ini untuk menyediakan sumber daya yang mendasari saat menciptakan lingkungan.

  • Amazon Elastic Compute Cloud

  • Elastic Load Balancing

  • Auto Scaling

  • Amazon CloudWatch

  • Amazon Simple Storage Service

  • Amazon Simple Notification Service

  • Amazon Relational Database Service

  • AWS CloudFormation

Perhatikan bahwa kebijakan ini adalah contoh. Ini memberikan satu set luas izin untuk layanan AWS yang digunakan Elastic Beanstalk untuk mengelola aplikasi dan lingkungan. Misalnya, ec2:* mengizinkan seorang pengguna AWS Identity and Access Management (IAM) untuk melakukan tindakan apa pun pada setiap sumber daya Amazon EC2 di akun AWS. Izin ini tidak terbatas pada sumber daya yang Anda gunakan dengan Elastic Beanstalk. Sebagai praktik terbaik, Anda harus memberi izin kepada individu saja yang mereka butuhkan untuk menjalankan tugasnya.

{
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Effect" : "Allow",
      "Action" : [
        "elasticbeanstalk:*",
        "ec2:*",
        "elasticloadbalancing:*",
        "autoscaling:*",
        "cloudwatch:*",
        "s3:*",
        "sns:*",
        "rds:*",
        "cloudformation:*"
      ],
      "Resource" : "*"
    }
  ]
}

Contoh 2: Kelompok developer — Semua kecuali operasi yang sangat istimewa

Kebijakan berikut menolak izin untuk membuat aplikasi dan lingkungan, dan memungkinkan semua tindakan Elastic Beanstalk lainnya.

Perhatikan bahwa kebijakan ini adalah contoh. Ini memberikan satu set yang luas izin untuk produk AWS yang digunakan Elastic Beanstalk untuk mengelola aplikasi dan lingkungan. Misalnya, ec2:* memungkinkan pengguna IAM untuk melakukan tindakan apa pun pada setiap sumber daya Amazon EC2 di akun AWS. Izin ini tidak terbatas pada sumber daya yang Anda gunakan dengan Elastic Beanstalk. Sebagai praktik terbaik, Anda harus memberi izin kepada individu saja yang mereka butuhkan untuk menjalankan tugasnya.

{
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Action" : [
        "elasticbeanstalk:CreateApplication",
        "elasticbeanstalk:CreateEnvironment",
        "elasticbeanstalk:DeleteApplication",
        "elasticbeanstalk:RebuildEnvironment",
        "elasticbeanstalk:SwapEnvironmentCNAMEs",
        "elasticbeanstalk:TerminateEnvironment"],
      "Effect" : "Deny",
      "Resource" : "*"
    },
    {
      "Action" : [
        "elasticbeanstalk:*",
        "ec2:*",
        "elasticloadbalancing:*",
        "autoscaling:*",
        "cloudwatch:*",
        "s3:*",
        "sns:*",
        "rds:*",
        "cloudformation:*"],
      "Effect" : "Allow",
      "Resource" : "*"
    }
  ]
}

Contoh 3: Penguji — Lihat saja

Kebijakan berikut memungkinkan akses baca-saja ke seluruh aplikasi, versi aplikasi, peristiwa, dan lingkungan. Ini tidak memungkinkan melakukan tindakan apa pun.

{
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Effect" : "Allow",
      "Action" : [
        "elasticbeanstalk:Check*",
        "elasticbeanstalk:Describe*",
        "elasticbeanstalk:List*",
        "elasticbeanstalk:RequestEnvironmentInfo",
        "elasticbeanstalk:RetrieveEnvironmentInfo",
        "ec2:Describe*",
        "elasticloadbalancing:Describe*",
        "autoscaling:Describe*",
        "cloudwatch:Describe*",
        "cloudwatch:List*",
        "cloudwatch:Get*",
        "s3:Get*",
        "s3:List*",
        "sns:Get*",
        "sns:List*",
        "rds:Describe*",
        "cloudformation:Describe*",
        "cloudformation:Get*",
        "cloudformation:List*",
        "cloudformation:Validate*",
        "cloudformation:Estimate*"
      ],
      "Resource" : "*"
    }
  ]
}