Pemberitahuan akhir dukungan: Pada 10 September 2025, AWS
akan menghentikan dukungan untuk. AWS RoboMaker Setelah 10 September 2025, Anda tidak akan lagi dapat mengakses AWS RoboMaker konsol atau AWS RoboMaker sumber daya. Untuk informasi lebih lanjut tentang transisi ke AWS Batch untuk membantu menjalankan simulasi kontainer, kunjungi posting blog ini.
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol autentikasi dan akses untuk AWS RoboMaker
AWS Identity and Access Management (IAM) adalah AWS layanan yang membantu administrator mengontrol akses ke AWS RoboMaker sumber daya dengan aman. Administrator menggunakan IAM untuk mengontrol siapa yang diautentikasi (masuk) dan diberi wewenang (memiliki izin) untuk menggunakan sumber daya. AWS RoboMaker IAMadalah fitur AWS akun Anda yang ditawarkan tanpa biaya tambahan.
penting
Untuk memulai dengan cepat, tinjau informasi pengantar di halaman ini, lalu lihatMemulai dengan IAM, danApa itu kebijakan?.
Topik
Pengantar otorisasi dan kontrol akses
AWS RoboMaker terintegrasi dengan AWS Identity and Access Management (IAM), yang menawarkan berbagai fitur:
-
Buat pengguna dan grup di Anda Akun AWS.
-
Bagikan AWS sumber daya Anda dengan mudah di antara pengguna di Anda Akun AWS.
-
Menetapkan kredensial keamanan unik untuk setiap pengguna.
-
Mengontrol setiap akses pengguna untuk layanan dan sumber daya.
-
Dapatkan tagihan tunggal untuk semua pengguna di Akun AWS Anda.
Untuk informasi selengkapnyaIAM, lihat berikut ini:
Izin diperlukan
Untuk menggunakan AWS RoboMaker atau mengelola otorisasi dan kontrol akses untuk diri sendiri atau orang lain, Anda harus memiliki izin yang benar.
Izin yang Diperlukan untuk Menggunakan Konsol AWS RoboMaker
Untuk mengakses AWS RoboMaker konsol, Anda harus memiliki set izin minimum yang memungkinkan Anda untuk membuat daftar dan melihat detail tentang AWS RoboMaker sumber daya di AWS akun Anda. Jika Anda membuat kebijakan izin berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana dimaksud untuk entitas dengan kebijakan tersebut.
Untuk akses hanya-baca ke AWS RoboMaker konsol, gunakan kebijakan. AWSRoboMakerReadOnlyAccess
Jika IAM pengguna ingin membuat pekerjaan simulasi, Anda harus memberikan iam:PassRole izin kepada pengguna tersebut. Untuk informasi selengkapnya tentang meneruskan peran, lihat Memberikan Izin Pengguna untuk Meneruskan Peran AWS ke Layanan.
Misalnya, Anda dapat melampirkan kebijakan berikut ke pengguna. Ini memberikan izin untuk membuat pekerjaan simulasi:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::123456789012:role/S3AndCloudWatchAccess" } ] }
Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau. AWS API Sebagai gantinya, Anda hanya perlu izin yang cocok dengan API operasi yang Anda coba lakukan.
Izin Diperlukan untuk Melihat Dunia AWS RoboMaker di Konsol
Anda dapat memberikan izin yang diperlukan untuk melihat AWS RoboMaker dunia di AWS RoboMaker konsol dengan melampirkan kebijakan berikut ke pengguna:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "robomaker: DescribeWorld" ], "Resource": "*", "Effect": "Allow" } ] }
Izin yang diperlukan untuk menggunakan alat AWS RoboMaker simulasi
IAMPengguna atau peran yang digunakan untuk membuat simulasi secara otomatis akan memiliki izin untuk mengakses alat simulasi. Jika itu adalah pengguna atau peran yang berbeda, itu harus memiliki hak robomaker:CreateSimulationJob istimewa.
Izin Diperlukan untuk Manajemen Otentikasi
Untuk mengelola kredensi Anda sendiri, seperti kata sandi, kunci akses, dan perangkat otentikasi multi-faktor (MFA), administrator Anda harus memberi Anda izin yang diperlukan. Untuk melihat kebijakan yang menyertakan izin ini, lihatMemungkinkan pengguna untuk mengelola sendiri kredensialnya.
Sebagai AWS administrator, Anda memerlukan akses penuh IAM sehingga Anda dapat membuat dan mengelola pengguna, grup, peran, dan kebijakanIAM. Anda harus menggunakan kebijakan AdministratorAccess
Awas
Hanya pengguna administrator yang harus memiliki akses penuh ke AWS. Siapa pun yang memiliki kebijakan ini memiliki izin untuk mengelola autentikasi dan kontrol akses sepenuhnya, selain memodifikasi setiap sumber daya di dalamnya. AWS Untuk mempelajari cara membuat pengguna ini, lihatBuat pengguna IAM Admin Anda.
Izin diperlukan untuk kontrol akses
Jika administrator Anda memberi Anda kredensi IAM pengguna, mereka melampirkan kebijakan kepada IAM pengguna Anda untuk mengontrol sumber daya apa yang dapat Anda akses. Untuk melihat kebijakan yang dilampirkan pada pengguna Anda di AWS Management Console, Anda harus memiliki izin berikut:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": [ "arn:aws:iam::*:user/${aws:username}" ] }, { "Sid": "ListUsersViewGroupsAndPolicies", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Jika Anda memerlukan izin tambahan, minta administrator memperbarui kebijakan agar Anda dapat mengakses tindakan yang Anda perlukan.
Izin diperlukan untuk pekerjaan simulasi
Saat Anda membuat pekerjaan simulasi, itu harus memiliki IAM peran dengan izin di bawah ini.
-
Ganti
amzn-s3-demo-source-bucketdengan nama bucket yang berisi robot dan bundel aplikasi simulasi. -
Ganti
amzn-s3-demo-destination-bucketuntuk menunjuk ke bucket itu AWS RoboMaker akan menulis file output. -
Ganti
account#dengan nomor akun Anda.
ECRPekerjaan publik memerlukan izin terpisah, seperti, ecr-public:GetAuthorizationTokensts:GetServiceBearerToken, dan izin lain yang diperlukan untuk implementasi akhir Anda. Untuk informasi selengkapnya, lihat Kebijakan repositori publik di ECRPanduan Pengguna Amazon.
Kebijakan harus dilampirkan pada peran dengan kebijakan kepercayaan berikut.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "Service": "robomaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account#" // Account where the simulation job resource is created }, "StringEquals": { "aws:SourceArn": "arn:aws:robomaker:region:account#:simulation-job/*" } } } }
Kunci kondisi mencegah AWS layanan digunakan sebagai wakil yang bingung selama transaksi antar layanan. Lihat SourceAccountdan SourceArnuntuk informasi tambahan tentang tombol kondisi.
Izin Diperlukan untuk menggunakan Tag dari ROS Aplikasi atau ROS Baris Perintah
Anda dapat menandai, menghapus tag, dan daftar tag dalam pekerjaan simulasi Anda dari ROS baris perintah atau dalam ROS aplikasi Anda saat sedang berjalan. Anda harus memiliki IAM peran dengan izin di bawah ini. Ganti account# dengan nomor akun Anda.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "robomaker:TagResource", "robomaker:UntagResource", "robomaker:ListTagsForResource", ], "Resource": [ "arn:aws:robomaker:*:account#:simulation-job*" ], "Effect": "Allow" } ] }
Kebijakan harus dilampirkan pada peran dengan kebijakan kepercayaan berikut:
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "Service": "robomaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account#" // Account where the simulation job resource is created }, "StringEquals": { "aws:SourceArn": "arn:aws:robomaker:region:account#:simulation-job/*" } } } }
Kunci kondisi mencegah AWS layanan digunakan sebagai wakil yang bingung selama transaksi antar layanan. Lihat SourceAccountdan SourceArnuntuk informasi tambahan tentang tombol kondisi.
Memahami cara AWS RoboMaker bekerja dengan IAM
Layanan dapat bekerja IAM dengan beberapa cara:
-
Tindakan — AWS RoboMaker mendukung penggunaan tindakan dalam kebijakan. Hal ini memungkinkan administrator untuk mengontrol apakah suatu entitas dapat menyelesaikan operasi di AWS RoboMaker. Misalnya, untuk mengizinkan entitas melihat kebijakan dengan melakukan
GetPolicyAWS API operasi, administrator harus melampirkan kebijakan yang memungkinkaniam:GetPolicytindakan tersebut. -
Izin tingkat sumber daya — AWS RoboMaker tidak mendukung izin tingkat sumber daya. Izin tingkat sumber daya memungkinkan Anda menggunakan ARNsuntuk menentukan sumber daya individual dalam kebijakan. Karena AWS RoboMaker tidak mendukung fitur ini, maka Anda harus memilih Semua sumber daya di editor visual kebijakan. Dalam dokumen JSON kebijakan, Anda harus menggunakan
*Resourceelemen. -
Otorisasi berdasarkan tag - AWS RoboMaker mendukung tag berbasis otorisasi. Fitur ini memungkinkan Anda untuk menggunakan tag sumber daya dalam kondisi kebijakan.
-
Kredensial sementara — AWS RoboMaker mendukung kredensial sementara. Fitur ini memungkinkan Anda untuk masuk dengan federasi, mengambil IAM peran, atau mengambil peran lintas akun. Anda memperoleh kredensi keamanan sementara dengan memanggil AWS STS API operasi seperti AssumeRoleatau. GetFederationToken
-
Peran terkait layanan - AWS RoboMaker mendukung peran layanan. Fitur ini memungkinkan layanan untuk mengambil peran terkait layanan atas nama Anda. Peran ini mengizinkan layanan untuk mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran terkait layanan muncul di IAM akun Anda, dan dimiliki oleh layanan. IAMAdministrator dapat melihat, tetapi tidak mengedit izin untuk peran terkait layanan.
-
Peran layanan - AWS RoboMaker mendukung peran layanan. Fitur ini memungkinkan layanan untuk menerima peran layanan atas nama Anda. Peran ini mengizinkan layanan untuk mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran layanan muncul di IAM akun Anda, dan dimiliki oleh akun. Ini berarti bahwa IAM administrator dapat mengubah izin untuk peran ini. Namun, ini mungkin merusak fungsionalitas layanan.
Memecahkan masalah otentikasi dan kontrol akses
Gunakan informasi berikut untuk membantu Anda mendiagnosis dan memperbaiki masalah umum yang mungkin Anda temui saat bekerja dengannyaIAM.
Topik
Saya tidak berwenang untuk melakukan tindakan di AWS RoboMaker
Jika Anda menerima kesalahan dalam AWS Management Console yang memberi tahu Anda bahwa Anda tidak berwenang untuk melakukan tindakan, maka Anda harus menghubungi administrator yang memberi Anda nama pengguna dan kata sandi Anda.
Contoh kesalahan berikut terjadi ketika IAM pengguna bernama my-user-name mencoba menggunakan konsol untuk melakukan CreateRobotApplication tindakan, tetapi tidak memiliki izin.
User: arn:aws:iam::123456789012:user/my-user-nameis not authorized to perform:aws-robomaker:CreateRobotApplicationon resource:my-example-robot-application
Untuk contoh ini, minta administrator memperbarui kebijakan agar Anda dapat mengakses my-example-robot-application sumber daya menggunakan aws-robomaker:CreateRobotApplication tindakan tersebut.
Saya seorang administrator dan ingin mengizinkan orang lain mengakses AWS RoboMaker
Untuk memungkinkan orang lain mengakses, AWS RoboMaker Anda harus membuat IAM entitas (pengguna atau peran) untuk orang atau aplikasi yang membutuhkan akses. Mereka akan menggunakan kredensial untuk entitas tersebut untuk mengakses AWS. Anda kemudian harus melampirkan kebijakan yang memberi mereka izin yang tepat di AWS RoboMaker.
Untuk segera memulai, lihatMemulai dengan IAM.
