Memberikan Izin AWS OpsWorks Per-Stack Pengguna Stacks - AWS OpsWorks
Mengatur Izin PenggunaMelihat Izin AndaMenggunakan Kunci Kondisi IAM untuk Memverifikasi Kredensi Sementara

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memberikan Izin AWS OpsWorks Per-Stack Pengguna Stacks

penting

AWS OpsWorks Stacks Layanan ini mencapai akhir masa pakai pada 26 Mei 2024 dan telah dinonaktifkan untuk pelanggan baru dan yang sudah ada. Kami sangat menyarankan pelanggan untuk memindahkan beban kerja mereka ke solusi lain sesegera mungkin. Jika Anda memiliki pertanyaan tentang migrasi, hubungi AWS Support Tim di AWS re:Post atau melalui AWS Dukungan Premium.

Cara termudah untuk mengelola izin pengguna AWS OpsWorks Stacks adalah dengan menggunakan halaman Izin tumpukan. Setiap tumpukan memiliki halamannya sendiri, yang memberikan izin untuk tumpukan itu.

Anda harus masuk sebagai pengguna administratif atau Kelola pengguna untuk mengubah pengaturan izin apa pun. Daftar ini hanya menampilkan pengguna yang telah diimpor ke AWS OpsWorks Stacks. Untuk informasi tentang cara membuat dan mengimpor pengguna, lihatMengelola Pengguna.

Tingkat izin default adalah Kebijakan IAM Saja, yang hanya memberi pengguna izin yang ada dalam kebijakan IAM mereka.

  • Saat Anda mengimpor pengguna dari IAM atau dari Wilayah lain, pengguna akan ditambahkan ke daftar untuk semua tumpukan yang ada dengan tingkat izin Khusus Kebijakan IAM.

  • Secara default, pengguna yang baru saja Anda impor dari Wilayah lain tidak memiliki akses ke tumpukan di Wilayah tujuan. Jika Anda mengimpor pengguna dari Wilayah lain, agar mereka dapat mengelola tumpukan di Wilayah tujuan, mereka harus diberi izin ke tumpukan tersebut setelah Anda mengimpor pengguna.

  • Saat Anda membuat tumpukan baru, semua pengguna saat ini ditambahkan ke daftar dengan tingkat izin Hanya Kebijakan IAM.

Mengatur Izin Pengguna

Untuk menyetel izin pengguna

  1. Di panel navigasi, pilih Izin.

  2. Pada halaman Izin, pilih Edit.

  3. Ubah pengaturan tingkat Izin dan akses Instance:

    • Gunakan pengaturan tingkat Izin untuk menetapkan salah satu tingkat izin standar untuk setiap pengguna, yang menentukan apakah pengguna dapat mengakses tumpukan ini dan tindakan apa yang dapat dilakukan pengguna. Jika pengguna memiliki kebijakan IAM, AWS OpsWorks Stacks mengevaluasi kedua set izin. Sebagai contoh lihatContoh kebijakan.

    • Pengaturan akses Instance SSH/RDP menentukan apakah pengguna memiliki akses SSH (Linux) atau RDP (Windows) ke instance tumpukan.

      Jika Anda mengotorisasi akses SSH/RDP, Anda dapat memilih sudo/admin secara opsional, yang memberikan hak istimewa sudo (Linux) atau administratif (Windows) pengguna pada instance tumpukan.

    Mengelola pengguna dengan halaman Izin.

Anda dapat menetapkan setiap pengguna ke salah satu tingkat izin berikut. Untuk daftar tindakan yang diizinkan oleh setiap level, lihatAWS OpsWorks Tingkat Izin Tumpukan.

Menyangkal

Pengguna tidak dapat melakukan tindakan AWS OpsWorks Stacks apa pun di tumpukan, meskipun mereka memiliki kebijakan IAM yang memberikan izin akses penuh kepada AWS OpsWorks Stacks. Anda dapat menggunakan ini, misalnya, untuk menolak akses beberapa pengguna ke tumpukan untuk produk yang belum dirilis.

Hanya Kebijakan IAM

Tingkat default, yang ditetapkan untuk semua pengguna yang baru diimpor, dan untuk semua pengguna untuk tumpukan yang baru dibuat. Izin pengguna ditentukan oleh kebijakan IAM mereka. Jika pengguna tidak memiliki kebijakan IAM, atau kebijakan mereka tidak memiliki izin AWS OpsWorks Tumpukan eksplisit, mereka tidak dapat mengakses tumpukan. Pengguna administratif biasanya diberi level ini karena kebijakan IAM mereka sudah memberikan izin akses penuh.

Tampilkan

Pengguna dapat melihat tumpukan, tetapi tidak melakukan operasi apa pun. Misalnya, manajer mungkin ingin memantau tumpukan akun, tetapi tidak perlu menerapkan aplikasi atau memodifikasi tumpukan dengan cara apa pun.

Menyebarkan

Termasuk izin Tampilkan dan juga memungkinkan pengguna untuk menyebarkan aplikasi. Misalnya, pengembang aplikasi mungkin perlu menerapkan pembaruan ke instance tumpukan tetapi tidak menambahkan lapisan atau instance ke tumpukan.

Mengelola

Termasuk izin Deploy dan juga memungkinkan pengguna untuk melakukan berbagai operasi manajemen tumpukan, termasuk:

  • Menambahkan atau menghapus layer dan instance.

  • Menggunakan halaman Izin tumpukan untuk menetapkan tingkat izin kepada pengguna.

  • Mendaftarkan atau membatalkan pendaftaran sumber daya.

Misalnya, setiap tumpukan dapat memiliki manajer yang ditunjuk yang bertanggung jawab untuk memastikan bahwa tumpukan memiliki jumlah dan jenis instance yang sesuai, menangani pembaruan paket dan sistem operasi, dan sebagainya.

catatan

Level Kelola tidak memungkinkan pengguna membuat atau mengkloning tumpukan. Izin tersebut harus diberikan oleh kebijakan IAM. Sebagai contoh, lihat Kelola Izin.

Jika pengguna juga memiliki kebijakan IAM, AWS OpsWorks Stacks mengevaluasi kedua set izin. Ini memungkinkan Anda menetapkan tingkat izin kepada pengguna dan kemudian menerapkan kebijakan untuk membatasi atau menambah tindakan yang diizinkan pada level tersebut. Misalnya, Anda dapat menerapkan kebijakan yang memungkinkan pengguna Kelola membuat atau mengkloning tumpukan, atau menyangkal kemampuan pengguna tersebut untuk mendaftarkan atau membatalkan pendaftaran sumber daya. Untuk beberapa contoh kebijakan tersebut, lihatContoh kebijakan.

catatan

Jika kebijakan pengguna mengizinkan tindakan tambahan, hasilnya akan muncul untuk mengganti setelan halaman Izin. Misalnya, jika pengguna memiliki kebijakan yang mengizinkan CreateLayertindakan tetapi Anda menggunakan halaman Izin untuk menentukan izin Penerapan, pengguna tetap diizinkan untuk membuat lapisan. Pengecualian untuk aturan ini adalah opsi Tolak, yang menolak akses tumpukan bahkan ke pengguna dengan AWSOpsWorks_FullAccess kebijakan. Untuk informasi selengkapnya, lihat Mengontrol akses ke AWS sumber daya menggunakan kebijakan.

Melihat Izin Anda

Jika manajemen mandiri diaktifkan, pengguna dapat melihat ringkasan tingkat izin mereka untuk setiap tumpukan dengan memilih Pengaturan Saya, di kanan atas. Pengguna juga dapat mengakses Pengaturan Saya jika kebijakan mereka memberikan izin untuk tindakan DescribeMyUserProfiledan UpdateMyUserProfiletindakan.

Menggunakan Kunci Kondisi IAM untuk Memverifikasi Kredensi Sementara

AWS OpsWorks Stacks memiliki lapisan otorisasi bawaan yang mendukung kasus otorisasi tambahan (seperti pengelolaan akses read-only atau read-write yang disederhanakan ke tumpukan untuk pengguna individu). Lapisan otorisasi ini bergantung pada penggunaan kredensi sementara. Karena itu, Anda tidak dapat menggunakan aws:TokenIssueTime kondisi untuk memverifikasi bahwa pengguna menggunakan kredensi jangka panjang, atau memblokir tindakan dari pengguna yang menggunakan kredensial sementara, seperti yang dijelaskan dalam referensi elemen kebijakan IAM JSON dalam dokumentasi IAM.