Praktik Terbaik: Mengelola Izin - AWS OpsWorks

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik Terbaik: Mengelola Izin

penting

AWS OpsWorks Stacks Layanan ini mencapai akhir masa pakai pada 26 Mei 2024 dan telah dinonaktifkan untuk pelanggan baru dan yang sudah ada. Kami sangat menyarankan pelanggan untuk memindahkan beban kerja mereka ke solusi lain sesegera mungkin. Jika Anda memiliki pertanyaan tentang migrasi, hubungi AWS Support Tim di AWS re:Post atau melalui AWS Dukungan Premium.

Anda harus memiliki beberapa bentuk kredensi AWS untuk mengakses sumber daya akun Anda. Berikut ini adalah beberapa pedoman umum untuk menyediakan akses ke karyawan Anda.

  • Pertama dan terpenting, kami menyarankan Anda untuk tidak menggunakan kredensi root akun Anda untuk mengakses sumber daya AWS.

    Sebagai gantinya, buat Identitas IAM untuk karyawan Anda dan tambahkan izin yang menyediakan akses yang sesuai. Setiap karyawan kemudian dapat menggunakan kredensialnya untuk mengakses sumber daya.

  • Karyawan harus memiliki izin untuk mengakses hanya sumber daya yang mereka butuhkan untuk melakukan pekerjaan mereka.

    Misalnya, pengembang aplikasi hanya perlu mengakses tumpukan yang menjalankan aplikasi mereka.

  • Karyawan harus memiliki izin untuk hanya menggunakan tindakan yang mereka butuhkan untuk melakukan pekerjaan mereka.

    Pengembang aplikasi mungkin memerlukan izin penuh untuk tumpukan pengembangan dan izin untuk menerapkan aplikasi mereka ke tumpukan produksi yang sesuai. Mereka mungkin tidak memerlukan izin untuk memulai atau menghentikan instance pada tumpukan produksi, membuat atau menghapus lapisan, dan sebagainya.

Untuk informasi umum selengkapnya tentang mengelola izin, lihat AWS Security Credentials.

Anda dapat menggunakan AWS OpsWorks Stacks atau IAM untuk mengelola izin pengguna. Perhatikan bahwa kedua opsi tidak saling eksklusif; kadang-kadang diinginkan untuk menggunakan keduanya.

AWS OpsWorks Manajemen Izin Tumpukan

Setiap tumpukan memiliki halaman Izin yang dapat Anda gunakan untuk memberikan izin kepada pengguna untuk mengakses tumpukan dan menentukan tindakan apa yang dapat mereka lakukan. Anda menentukan izin pengguna dengan menyetel salah satu tingkat izin berikut. Setiap level mewakili kebijakan IAM yang memberikan izin untuk serangkaian tindakan standar.

  • Tolak menolak izin untuk berinteraksi dengan tumpukan dengan cara apa pun.

  • Tampilkan izin hibah melihat konfigurasi tumpukan tetapi tidak mengubah status tumpukan dengan cara apa pun.

  • Deploy menyertakan izin Tampilkan dan juga memberikan izin pengguna untuk menerapkan aplikasi.

  • Kelola mencakup izin Deploy dan juga memungkinkan pengguna untuk melakukan berbagai tindakan manajemen tumpukan, seperti membuat atau menghapus instance dan lapisan.

catatan

Tingkat Kelola izin tidak memberikan izin untuk sejumlah kecil tindakan AWS OpsWorks Tumpukan tingkat tinggi, termasuk membuat atau mengkloning tumpukan. Anda harus menggunakan kebijakan IAM untuk memberikan izin tersebut.

Selain mengatur tingkat izin, Anda juga dapat menggunakan halaman Izin tumpukan untuk menentukan apakah pengguna memiliki hak istimewa SSH/RDP dan sudo/admin pada instance tumpukan. Untuk informasi selengkapnya tentang manajemen izin AWS OpsWorks Stacks, lihat. Memberikan Izin Per-Stack Untuk informasi selengkapnya tentang mengelola akses SSH, lihatMengelola Akses SSH.

Manajemen Izin IAM

Dengan manajemen izin IAM, Anda menggunakan konsol IAM, API, atau CLI untuk melampirkan kebijakan berformat JSON ke pengguna yang secara eksplisit menentukan izinnya. Untuk informasi selengkapnya tentang manajemen izin IAM, lihat Apa itu IAM? .

Rekomendasi: Mulailah dengan manajemen Izin AWS OpsWorks Tumpukan. Jika Anda perlu menyempurnakan izin pengguna, atau memberikan izin pengguna yang tidak disertakan dalam tingkat Kelola izin, Anda dapat menggabungkan kedua pendekatan tersebut. AWS OpsWorks Stacks kemudian mengevaluasi kedua kebijakan untuk menentukan izin pengguna.

penting

Jika pengguna memiliki beberapa kebijakan dengan izin yang bertentangan, penolakan selalu menang. Misalnya, Anda melampirkan kebijakan IAM ke pengguna yang mengizinkan akses ke tumpukan tertentu tetapi juga menggunakan halaman Izin tumpukan untuk menetapkan tingkat izin Tolak kepada pengguna. Tingkat izin Tolak diutamakan, dan pengguna tidak akan dapat mengakses tumpukan. Untuk informasi selengkapnya, lihat logika evaluasi kebijakan IAM.

Misalnya, Anda ingin pengguna dapat melakukan sebagian besar operasi pada tumpukan, kecuali untuk menambahkan atau menghapus lapisan.

  • Tentukan tingkat izin Kelola, yang memungkinkan pengguna melakukan sebagian besar tindakan manajemen tumpukan, termasuk membuat dan menghapus lapisan.

  • Lampirkan kebijakan yang dikelola pelanggan berikut ke pengguna, yang menolak izin untuk menggunakan CreateLayerdan DeleteLayertindakan pada tumpukan tersebut. Anda mengidentifikasi tumpukan dengan Nama Sumber Daya Amazon (ARN), yang dapat ditemukan di halaman Pengaturan tumpukan.

    
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "opsworks:CreateLayer",
        "opsworks:DeleteLayer"
      ],
      "Resource": "arn:aws:opsworks:*:*:stack/2f18b4cb-4de5-4429-a149-ff7da9f0d8ee/"
    }
  ]
}

Untuk informasi selengkapnya, termasuk kebijakan contoh, lihat Mengelola Izin AWS OpsWorks Tumpukan dengan Melampirkan Kebijakan IAM.

catatan

Cara lain untuk menggunakan kebijakan IAM adalah dengan menetapkan kondisi yang membatasi akses tumpukan ke karyawan dengan alamat IP atau rentang alamat tertentu. Misalnya, untuk memastikan bahwa karyawan mengakses tumpukan hanya dari dalam firewall perusahaan Anda, tetapkan kondisi yang membatasi akses ke rentang alamat IP perusahaan Anda. Untuk informasi selengkapnya, lihat Ketentuan.