Mengelola AWS OpsWorks Izin Pengguna Stacks - AWS OpsWorks

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengelola AWS OpsWorks Izin Pengguna Stacks

penting

AWS OpsWorks Stacks Layanan ini mencapai akhir masa pakai pada 26 Mei 2024 dan telah dinonaktifkan untuk pelanggan baru dan yang sudah ada. Kami sangat menyarankan pelanggan untuk memindahkan beban kerja mereka ke solusi lain sesegera mungkin. Jika Anda memiliki pertanyaan tentang migrasi, hubungi AWS Support Tim di AWS re:Post atau melalui AWS Dukungan Premium.

Sebagai praktik terbaik, batasi pengguna AWS OpsWorks Stacks ke serangkaian tindakan tertentu atau kumpulan sumber daya tumpukan. Anda dapat mengontrol izin pengguna AWS OpsWorks Stacks dengan dua cara: dengan menggunakan halaman Izin AWS OpsWorks Tumpukan, dan dengan menerapkan kebijakan IAM yang sesuai.

Halaman OpsWorks Izin—atau tindakan CLI atau API yang setara—memungkinkan Anda mengontrol izin pengguna di lingkungan multipengguna berdasarkan per-tumpukan dengan menetapkan setiap pengguna salah satu dari beberapa tingkat izin. Setiap tingkat memberikan izin untuk serangkaian tindakan standar untuk sumber daya tumpukan tertentu. Dengan menggunakan halaman Izin, Anda dapat mengontrol hal-hal berikut:

  • Siapa yang dapat mengakses setiap tumpukan.

  • Tindakan mana yang diizinkan dilakukan setiap pengguna di setiap tumpukan.

    Misalnya, Anda dapat mengizinkan beberapa pengguna untuk hanya melihat tumpukan sementara yang lain dapat menyebarkan aplikasi, menambahkan instance, dan sebagainya.

  • Siapa yang bisa mengelola setiap tumpukan.

    Anda dapat mendelegasikan pengelolaan setiap tumpukan ke satu atau lebih pengguna tertentu.

  • Siapa yang memiliki akses SSH tingkat pengguna dan hak istimewa sudo (Linux) atau akses RDP dan hak administrator (Windows) pada setiap instans Amazon EC2 tumpukan.

    Anda dapat memberikan atau menghapus izin ini secara terpisah untuk setiap pengguna kapan saja.

penting

Menolak akses SSH/RDP tidak serta merta mencegah pengguna masuk ke instance. Jika Anda menentukan key pair Amazon EC2 untuk sebuah instance, setiap pengguna dengan kunci pribadi yang sesuai dapat masuk atau menggunakan kunci tersebut untuk mengambil kata sandi administrator Windows. Untuk informasi selengkapnya, lihat Mengelola Akses SSH.

Anda dapat menggunakan konsol IAM, CLI, atau API untuk menambahkan kebijakan ke pengguna yang memberikan izin eksplisit untuk AWS OpsWorks berbagai sumber daya dan tindakan Stacks.

  • Menggunakan kebijakan IAM untuk menentukan izin lebih fleksibel daripada menggunakan tingkat izin.

  • Anda dapat mengatur Identitas IAM (pengguna, grup pengguna, dan peran), yang memberikan izin untuk identitas IAM, seperti pengguna dan grup pengguna, atau menentukan peran yang dapat dikaitkan dengan pengguna federasi.

  • Kebijakan IAM adalah satu-satunya cara untuk memberikan izin untuk tindakan AWS OpsWorks Tumpukan kunci tertentu.

    Misalnya, Anda harus menggunakan IAM untuk memberikan izin untuk opsworks:CreateStack danopsworks:CloneStack, yang masing-masing digunakan untuk membuat dan mengkloning tumpukan.

Meskipun tidak secara eksplisit mungkin untuk mengimpor pengguna federasi di konsol, pengguna federasi dapat secara implisit membuat profil pengguna dengan memilih Pengaturan Saya di kanan atas konsol AWS OpsWorks Stacks, dan kemudian memilih Pengguna, juga di kanan atas. Pada halaman Pengguna, pengguna federasi—yang akunnya dibuat dengan menggunakan API atau CLI, atau secara implisit melalui konsol—dapat mengelola akun mereka mirip dengan pengguna non-federasi.

Kedua pendekatan tersebut tidak saling eksklusif dan terkadang berguna untuk menggabungkannya; AWS OpsWorks Tumpukan kemudian mengevaluasi kedua set izin. Misalnya, Anda ingin mengizinkan pengguna untuk menambah atau menghapus instance tetapi tidak menambah atau menghapus lapisan. Tak satu pun dari tingkat izin AWS OpsWorks Stacks memberikan set izin tertentu. Namun, Anda dapat menggunakan halaman Izin untuk memberi pengguna tingkat izin Kelola, yang memungkinkan mereka melakukan sebagian besar operasi tumpukan, lalu menerapkan kebijakan IAM yang menolak izin untuk menambah atau menghapus lapisan. Untuk informasi selengkapnya, lihat Mengontrol akses ke AWS sumber daya menggunakan kebijakan.

Berikut ini adalah model khas untuk mengelola izin pengguna. Dalam setiap kasus, pembaca (Anda) diasumsikan sebagai pengguna administratif.

  1. Gunakan konsol IAM untuk menerapkan AWSOpsWorks_FullAccess kebijakan ke satu atau beberapa pengguna administratif.

  2. Buat pengguna untuk setiap pengguna nonadministratif dengan kebijakan yang tidak memberikan izin AWS OpsWorks Stacks.

    Jika pengguna hanya memerlukan akses ke AWS OpsWorks Stacks, Anda mungkin tidak perlu menerapkan kebijakan sama sekali. Sebagai gantinya, Anda dapat mengelola izin mereka dengan halaman AWS OpsWorks Izin Tumpukan.

  3. Gunakan halaman AWS OpsWorks Stacks Users untuk mengimpor pengguna nonadministratif ke AWS OpsWorks Stacks.

  4. Untuk setiap tumpukan, gunakan halaman Izin tumpukan untuk menetapkan tingkat izin untuk setiap pengguna.

  5. Jika diperlukan, sesuaikan tingkat izin pengguna dengan menerapkan kebijakan IAM yang dikonfigurasi dengan tepat.

Untuk rekomendasi selengkapnya tentang mengelola pengguna, lihatPraktik Terbaik: Mengelola Izin.

Untuk informasi selengkapnya tentang praktik terbaik IAM, lihat Praktik terbaik keamanan di IAM di Panduan Pengguna IAM.

Topik