Tutorial: Memulai dengan Akses Terverifikasi - AWS Akses Terverifikasi
PrasyaratBuat penyedia kepercayaanBuatlah sebuah instansMembuat grupBuat titik akhirKonfigurasikan DNS untuk titik akhirUji konektivitas ke aplikasiMenambahkan kebijakan aksesBersihkan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tutorial: Memulai dengan Akses Terverifikasi

Gunakan tutorial ini untuk memulai Akses Terverifikasi AWS. Anda akan mempelajari cara membuat dan mengonfigurasi sumber daya Akses Terverifikasi.

Sebagai bagian dari tutorial ini, Anda akan menambahkan aplikasi ke Verified Access. Di akhir tutorial, pengguna tertentu dapat mengakses aplikasi itu melalui internet, tanpa menggunakanVPN. Sebagai gantinya, Anda akan menggunakannya AWS IAM Identity Center sebagai penyedia kepercayaan identitas. Perhatikan bahwa tutorial ini juga tidak menggunakan penyedia kepercayaan perangkat.

Prasyarat tutorial Akses Terverifikasi

Berikut ini adalah prasyarat untuk menyelesaikan tutorial ini:

  • AWS IAM Identity Center diaktifkan di Wilayah AWS tempat Anda bekerja. Anda kemudian dapat menggunakan Pusat IAM Identitas sebagai penyedia kepercayaan dengan Akses Terverifikasi. Untuk informasi selengkapnya, lihat Mengaktifkan Pusat IAM Identitas di Panduan AWS IAM Identity Center Pengguna.

  • Grup keamanan untuk mengontrol akses ke aplikasi. Izinkan semua lalu lintas masuk dari VPC CIDR dan semua lalu lintas keluar.

  • Aplikasi yang berjalan di belakang penyeimbang beban internal dari Elastic Load Balancing. Kaitkan grup keamanan Anda dengan penyeimbang beban.

  • TLSSertifikat yang ditandatangani sendiri atau publik di AWS Certificate Manager. Gunakan RSA sertifikat dengan panjang kunci 1.024 atau 2.048.

  • Domain yang dihosting publik dan izin yang diperlukan untuk memperbarui DNS catatan untuk domain.

  • IAMKebijakan dengan izin yang diperlukan untuk membuat Akses Terverifikasi AWS instance. Untuk informasi selengkapnya, lihat Kebijakan untuk membuat instance Akses Terverifikasi.

Langkah 1: Buat penyedia kepercayaan Akses Terverifikasi

Gunakan prosedur berikut untuk mengatur AWS IAM Identity Center sebagai penyedia kepercayaan Anda.

Untuk membuat penyedia kepercayaan Pusat IAM Identitas

  1. Buka VPC konsol Amazon di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Penyedia kepercayaan Akses Terverifikasi.

  3. Pilih Buat penyedia kepercayaan Akses Terverifikasi.

  4. (Opsional) Untuk tag Nama dan Deskripsi, masukkan nama dan deskripsi untuk penyedia kepercayaan Akses Terverifikasi.

  5. Masukkan pengenal kustom untuk digunakan nanti saat bekerja dengan aturan kebijakan untuk nama referensi Kebijakan. Misalnya, Anda bisa masukidc.

  6. Untuk jenis penyedia Trust, pilih Penyedia kepercayaan pengguna.

  7. Untuk jenis penyedia kepercayaan pengguna, pilih Pusat IAM Identitas.

  8. Pilih Buat penyedia kepercayaan Akses Terverifikasi.

Langkah 2: Buat instance Akses Terverifikasi

Gunakan prosedur berikut untuk membuat instance Akses Terverifikasi.

Untuk membuat instance Akses Terverifikasi

  1. Di panel navigasi, pilih instans Akses Terverifikasi.

  2. Pilih Buat instance Akses Terverifikasi.

  3. (Opsional) Untuk Nama dan Deskripsi, masukkan nama dan deskripsi untuk instance Akses Terverifikasi.

  4. Untuk penyedia kepercayaan Akses Terverifikasi, pilih penyedia kepercayaan Anda.

  5. Pilih Buat instance Akses Terverifikasi.

Langkah 3: Buat grup Akses Terverifikasi

Gunakan prosedur berikut untuk membuat grup Akses Terverifikasi.

Untuk membuat grup Akses Terverifikasi

  1. Di panel navigasi, pilih grup Akses Terverifikasi.

  2. Pilih Buat grup Akses Terverifikasi.

  3. (Opsional) Untuk tag Nama dan Deskripsi, masukkan nama dan deskripsi untuk grup.

  4. Untuk instance Akses Terverifikasi, pilih instans Akses Terverifikasi Anda.

  5. Biarkan definisi Kebijakan tetap kosong. Anda akan menambahkan kebijakan tingkat grup di langkah selanjutnya.

  6. Pilih Buat grup Akses Terverifikasi.

Langkah 4: Buat titik akhir Akses Terverifikasi

Gunakan prosedur berikut untuk membuat titik akhir Akses Terverifikasi. Langkah ini mengasumsikan bahwa Anda memiliki aplikasi yang berjalan di belakang penyeimbang beban internal dari Elastic Load Balancing dan sertifikat domain publik di. AWS Certificate Manager

Untuk membuat titik akhir Akses Terverifikasi

  1. Di panel navigasi, pilih titik akhir Akses Terverifikasi.

  2. Pilih Buat titik akhir Akses Terverifikasi.

  3. (Opsional) Untuk tag Nama dan Deskripsi, masukkan nama dan deskripsi untuk titik akhir.

  4. Untuk grup Akses Terverifikasi, pilih grup Akses Terverifikasi Anda.

  5. Untuk detail Endpoint, lakukan hal berikut:

    1. Untuk Protokol, pilih HTTPSatau HTTP, tergantung pada konfigurasi penyeimbang beban Anda.

    2. Untuk jenis Lampiran, pilih VPC.

    3. Untuk tipe Endpoint, pilih Load balancer.

    4. Untuk Port, masukkan nomor port yang digunakan oleh pendengar penyeimbang beban Anda. Misalnya, 443 untuk HTTPS atau 80 untukHTTP.

    5. Untuk Load balancer ARN, pilih load balancer Anda.

    6. Untuk Subnet, pilih subnet yang terkait dengan penyeimbang beban Anda.

    7. Untuk grup Keamanan, pilih grup keamanan Anda. Menggunakan grup keamanan yang sama untuk penyeimbang beban dan titik akhir Anda memungkinkan lalu lintas di antara mereka. Jika Anda memilih untuk tidak menggunakan grup keamanan yang sama, pastikan untuk mereferensikan grup keamanan endpoint dari penyeimbang beban Anda sehingga menerima lalu lintas dari titik akhir.

    8. Untuk awalan domain Endpoint, masukkan pengenal kustom. Misalnya, my-ava-app. Awalan ini ditambahkan ke DNS nama yang dihasilkan Akses Terverifikasi.

  6. Untuk detail Aplikasi, lakukan hal berikut:

    1. Untuk domain Aplikasi, masukkan DNS nama untuk aplikasi Anda. Domain ini harus cocok dengan yang ada di sertifikat domain Anda.

    2. Untuk sertifikat Domain ARN, pilih Amazon Resource Name (ARN) dari sertifikat domain Anda di AWS Certificate Manager.

  7. Biarkan detail Kebijakan tetap kosong. Anda akan menambahkan kebijakan akses tingkat grup di langkah selanjutnya.

  8. Pilih Buat titik akhir Akses Terverifikasi.

Langkah 5: Konfigurasikan DNS untuk titik akhir Akses Terverifikasi

Untuk langkah ini, Anda memetakan nama domain aplikasi Anda (misalnya, www.myapp.example.com) ke nama domain titik akhir Akses Terverifikasi Anda. Untuk menyelesaikan DNS pemetaan, buat Canonical Name Record (CNAME) dengan penyedia Anda. DNS Setelah Anda membuat CNAME catatan, semua permintaan dari pengguna ke aplikasi Anda akan dikirim ke Akses Terverifikasi.

Untuk mendapatkan nama domain dari endpoint Anda

  1. Di panel navigasi, pilih titik akhir Akses Terverifikasi.

  2. Pilih titik akhir Anda.

  3. Pilih tab Detail.

  4. Salin domain dari domain Endpoint. Berikut ini adalah contoh nama domain endpoint:my-ava-app.edge-1a2b3c4d5e6f7g.vai-1a2b3c4d5e6f7g.prod.verified-access.us-west-2.amazonaws.com.

Ikuti petunjuk yang diberikan oleh DNS penyedia Anda untuk membuat CNAME catatan. Gunakan nama domain aplikasi Anda sebagai nama rekaman dan nama domain titik akhir Akses Terverifikasi sebagai nilai rekaman.

Langkah 6: Uji konektivitas ke aplikasi

Anda sekarang dapat menguji konektivitas ke aplikasi Anda. Masukkan nama domain aplikasi Anda ke browser web Anda. Perilaku default Akses Terverifikasi adalah menolak semua permintaan. Karena kami tidak menambahkan kebijakan Akses Terverifikasi ke grup atau titik akhir, semua permintaan ditolak.

Langkah 7: Tambahkan kebijakan akses tingkat grup Akses Terverifikasi

Gunakan prosedur berikut untuk mengubah grup Akses Terverifikasi dan mengonfigurasi kebijakan akses yang memungkinkan konektivitas ke aplikasi Anda. Rincian kebijakan akan tergantung pada pengguna dan grup yang dikonfigurasi di Pusat IAM Identitas. Untuk informasi, lihat Kebijakan Akses Terverifikasi.

Untuk mengubah grup Akses Terverifikasi

  1. Di panel navigasi, pilih grup Akses Terverifikasi.

  2. Pilih grup Anda.

  3. Pilih Tindakan, Ubah kebijakan grup Akses Terverifikasi.

  4. Aktifkan Aktifkan kebijakan.

  5. Masukkan kebijakan yang memungkinkan pengguna dari Pusat IAM Identitas Anda untuk mengakses aplikasi Anda. Sebagai contoh, lihat Kebijakan contoh Akses Terverifikasi.

  6. Pilih Ubah kebijakan grup Akses Terverifikasi.

  7. Setelah kebijakan grup Anda diberlakukan, ulangi pengujian dari langkah sebelumnya untuk memverifikasi bahwa permintaan diizinkan. Jika permintaan diizinkan, Anda diminta untuk masuk melalui halaman masuk Pusat IAM Identitas. Setelah Anda memberikan nama pengguna dan kata sandi, Anda dapat mengakses aplikasi Anda.

Bersihkan sumber daya Akses Terverifikasi Anda

Setelah Anda selesai dengan tutorial ini, gunakan prosedur berikut untuk menghapus sumber daya Akses Terverifikasi Anda.

Untuk menghapus sumber daya Akses Terverifikasi

  1. Di panel navigasi, pilih titik akhir Akses Terverifikasi. Pilih endpoint dan pilih Actions, Delete Verified Access endpoint.

  2. Di panel navigasi, pilih grup Akses Terverifikasi. Pilih grup dan pilih Tindakan, Hapus grup Akses Terverifikasi. Anda mungkin perlu menunggu sampai proses penghapusan titik akhir selesai.

  3. Di panel navigasi, pilih instans Akses Terverifikasi. Pilih instans Anda dan pilih Tindakan, Lepaskan penyedia kepercayaan Akses Terverifikasi. Pilih penyedia kepercayaan dan pilih Lepaskan penyedia kepercayaan Akses Terverifikasi.

  4. Di panel navigasi, pilih Penyedia kepercayaan Akses Terverifikasi. Pilih penyedia kepercayaan Anda dan pilih Actions, Delete Verified Access trust provider.

  5. Di panel navigasi, pilih instans Akses Terverifikasi. Pilih instans Anda dan pilih Actions, Delete Verified Access instance.