Menciptakan peran dan memberlakukan kebijakan (konsol) - AWS Identity and Access Management
Contoh 1: Mengonfigurasi pengguna sebagai administrator basis data (konsol)Contoh 2: Mengonfigurasi pengguna sebagai administrator jaringan (konsol)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menciptakan peran dan memberlakukan kebijakan (konsol)

Beberapa kebijakan yang tercantum sebelumnya memberikan kemampuan untuk mengonfigurasikan AWS layanan dengan peran yang memungkinkan layanan tersebut menjalankan operasi atas nama Anda. Kebijakan fungsi pekerjaan menentukan nama peran yang tepat yang harus Anda gunakan atau setidaknya menyertakan awalan yang menentukan bagian pertama dari nama yang dapat digunakan. Untuk membuat salah satu peran ini, lakukan langkah-langkah dalam prosedur berikut.

Cara membuat peran untuk Layanan AWS (IAMkonsol)

  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi IAM konsol, pilih Peran, dan lalu pilih Buat peran.

  3. Untuk jenis entitas Tepercaya, pilih Layanan AWS.

  4. Untuk kasus Layanan atau penggunaan, pilih layanan, lalu pilih kasus penggunaan. Kasus penggunaan ditentukan oleh layanan untuk menyertakan kebijakan kepercayaan yang diperlukan layanan.

  5. Pilih Berikutnya.

  6. Untuk kebijakan Izin, opsi bergantung pada kasus penggunaan yang Anda pilih:

    • Jika layanan menentukan izin untuk peran tersebut, Anda tidak dapat memilih kebijakan izin.

    • Pilih dari serangkaian kebijakan izin yang terbatas.

    • Pilih dari semua kebijakan izin.

    • Pilih kebijakan tanpa izin, buat kebijakan setelah peran dibuat, lalu lampirkan kebijakan ke peran tersebut.

  7. (Opsional) Tetapkan batas izin. Ini adalah fitur lanjutan yang tersedia untuk peran layanan, tetapi bukan peran tertaut layanan.

    1. Buka bagian Atur batas izin, lalu pilih Gunakan batas izin untuk mengontrol izin peran maksimum.

      IAMmencakup daftar kebijakan yang AWS dikelola pelanggan di akun Anda.

    2. Pilih kebijakan yang akan digunakan untuk batas izin.

  8. Pilih Berikutnya.

  9. Untuk nama Peran, opsi bergantung pada layanan:

    • Jika layanan mendefinisikan nama peran, Anda tidak dapat mengedit nama peran.

    • Jika layanan mendefinisikan awalan untuk nama peran, Anda dapat memasukkan akhiran opsional.

    • Jika layanan tidak menentukan nama peran, Anda dapat memberi nama peran.

      penting

      Saat Anda memberi nama peran, perhatikan hal berikut:

      • Nama peran harus unik di Anda Akun AWS, dan tidak dapat dibuat unik berdasarkan kasus.

        Misalnya, jangan membuat peran bernama keduanya PRODROLE danprodrole. Ketika nama peran digunakan dalam kebijakan atau sebagai bagian dariARN, nama peran akan peka huruf besar/kecil, namun ketika nama peran muncul kepada pelanggan di konsol, seperti selama proses login, nama peran tersebut tidak peka huruf besar/kecil.

      • Anda tidak dapat mengedit nama peran setelah dibuat karena entitas lain mungkin mereferensikan peran tersebut.

  10. (Opsional) Untuk Deskripsi, masukkan deskripsi untuk peran tersebut.

  11. (Opsional) Untuk mengedit kasus penggunaan dan izin untuk peran, di Langkah 1: Pilih entitas tepercaya atau Langkah 2: Tambahkan izin, pilih Edit.

  12. (Opsional) Untuk membantu mengidentifikasi, mengatur, atau mencari peran, tambahkan tag sebagai pasangan nilai kunci. Untuk informasi selengkapnya tentang penggunaan tag diIAM, lihat Tag untuk AWS Identity and Access Management sumber daya di Panduan IAM Pengguna.

  13. Tinjau peran lalu pilih Buat peran.

Contoh 1: Mengonfigurasi pengguna sebagai administrator basis data (konsol)

Contoh ini menunjukkan langkah-langkah yang diperlukan untuk mengonfigurasikan Alice, IAM pengguna, sebagai Administrator Basis Data. Anda menggunakan informasi di baris pertama tabel di bagian tersebut dan memungkinkan pengguna mengaktifkan RDS pemantauan Amazon. Anda memberlakukan DatabaseAdministratorkebijakan ke IAM pengguna Alice sehingga mereka dapat mengelola layanan basis data Amazon. Kebijakan tersebut juga memungkinkan Alice untuk memberikan peran yang dipanggil rds-monitoring-role ke RDS layanan Amazon yang memungkinkan layanan untuk memantau RDS basis data Amazon atas nama mereka.

  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Pilih Kebijakan, ketik database di kotak pencarian, dan lalu tekan Enter.

  3. Pilih tombol radio untuk DatabaseAdministratorkebijakan, pilih Tindakan, lalu pilih Lampirkan.

  4. Dalam daftar entitas, pilih Alice dan kemudian pilih Lampirkan kebijakan. Alice kini dapat mengelola basis data AWS . Namun, agar Alice dapat memantau basis data tersebut, Anda harus mengonfigurasi peran layanan.

  5. Di panel navigasi IAM konsol, pilih Peran, dan lalu pilih Buat peran.

  6. Pilih jenis peran AWS Layanan, lalu pilih Amazon RDS.

  7. Pilih kasus penggunaan RDSPeran Amazon untuk Pemantauan yang Ditingkatkan.

  8. Amazon RDS mendefinisikan izin untuk peran Anda. Pilih Next: Review (Berikutnya: Tinjauan) untuk melanjutkan.

  9. Nama peran harus salah satu dari yang ditentukan oleh DatabaseAdministrator kebijakan yang dimiliki Alice sekarang. Salah satunya adalah rds-monitoring-role. Masukkan itu untuk nama Peran.

  10. (Opsional) Untuk Deskripsi peran, masukkan deskripsi.

  11. Setelah meninjau perinciannya, pilih Buat peran.

  12. Alice sekarang dapat mengaktifkan RDSEnhanced Monitoring di bagian Monitoring RDS konsol Amazon. Misalnya, mereka mungkin melakukannya saat membuat instans DB, membuat replika baca, atau memodifikasi instans DB. Mereka harus memasukkan nama peran yang mereka buat (rds-monitoring-role) di kotak Peran Pemantauan saat mereka menyetel Aktifkan Pemantauan yang Ditingkatkan ke Ya.

Contoh 2: Mengonfigurasi pengguna sebagai administrator jaringan (konsol)

Contoh ini menunjukkan langkah-langkah yang diperlukan untuk mengonfigurasikan Jorge, IAM pengguna, sebagai Administrator Jaringan. Proses ini menggunakan informasi di tabel di bagian tersebut untuk memungkinkan Jorge memantau lalu lintas IP yang masuk dan keluar dari dan ke akun. VPC Proses ini juga memungkinkan Jorge menangkap informasi tersebut di CloudWatch Log. Anda melampirkan NetworkAdministratorkebijakan ke IAM pengguna Jorge sehingga mereka dapat mengonfigurasi sumber daya AWS jaringan. Kebijakan tersebut juga memungkinkan Jorge untuk memberikan peran yang namanya dimulai flow-logs* ke Amazon EC2 saat Anda membuat log alur. Dalam skenario ini, tidak seperti Contoh 1, tidak ada jenis peran layanan yang ditentukan sebelumnya sehingga Anda harus melakukan beberapa langkah secara berbeda.

  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Kebijakan lalu masukkan network di kotak pencarian, lalu tekan Enter.

  3. Pilih tombol radio di sebelah NetworkAdministratorkebijakan, pilih Tindakan, lalu pilih Lampirkan.

  4. Dalam daftar pengguna, pilih kotak centang di sebelah Jorge, lalu pilih Lampirkan kebijakan. Jorge sekarang dapat mengelola sumber daya AWS jaringan. Namun, untuk mengaktifkan pemantauan lalu lintas IP di AndaVPC, Anda harus mengonfigurasikan peran layanan.

  5. Karena peran layanan yang perlu Anda buat tidak memiliki kebijakan yang dikelola sebelumnya, Anda harus membuatnya terlebih dahulu. Pada panel navigasi, pilih Kebijakan, lalu pilih Buat kebijakan.

  6. Di bagian Editor kebijakan, pilih JSONopsi dan salin teks dari dokumen JSON kebijakan berikut. Tempel teks ini ke kotak JSONteks. 

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

  7. Selesaikan peringatan keamanan, kesalahan, atau peringatan umum yang dihasilkan selama validasi kebijakan, lalu pilih Berikutnya.

    catatan

    Anda dapat berpindah antara opsi Visual dan JSONeditor kapan pun. Namun, apabila Anda melakukan perubahan atau memilih Next (Berikutnya) di Editor visual, Anda IAM dapat merestrukturisasi kebijakan Anda untuk menjadikannya optimal bagi editor visual. Untuk informasi selengkapnya, lihat Restrukturisasi kebijakan.

  8. Di halaman Tinjauan dan buat, ketik vpc-flow-logs-policy-for-service-role nama kebijakan. Pelajari Izin yang ditentukan dalam kebijakan ini untuk melihat izin yang diberikan oleh kebijakan Anda, lalu pilih Buat kebijakan untuk menyimpan pekerjaan Anda.

    Kebijakan baru muncul di daftar kebijakan terkelola dan siap dilampirkan.

  9. Di panel navigasi IAM konsol, pilih Peran, dan lalu pilih Buat peran.

  10. Pilih jenis peran AWS Layanan, lalu pilih Amazon EC2.

  11. Pilih kasus EC2 penggunaan Amazon.

  12. Pada halaman Lampirkan kebijakan izin, pilih kebijakan yang Anda buat sebelumnya, vpc-flow-logs-policy- for-service-role, lalu pilih Berikutnya: Tinjau.

  13. Nama peran harus diizinkan oleh NetworkAdministrator kebijakan yang dimiliki Jorge sekarang. Nama apa pun yang dimulai dengan flow-logs- diperbolehkan. Untuk contoh ini, masukkan flow-logs-for-jorge untuk nama Peran.

  14. (Opsional) Untuk Deskripsi peran, masukkan deskripsi.

  15. Setelah meninjau perinciannya, pilih Buat peran.

  16. Sekarang, Anda dapat mengonfigurasi kebijakan kepercayaan yang diperlukan untuk skenario ini. Pada halaman Peran, pilih flow-logs-for-jorgeperan (nama, bukan kotak centang). Pada halaman perincian peran baru Anda, pilih Hubungan kepercayaan, lalu pilihEdit hubungan kepercayaan.

  17. Ubah baris "Layanan" agar dibaca sebagai berikut, menggantikan entri untuk ec2.amazonaws.com:

            "Service": "vpc-flow-logs.amazonaws.com"

  18. Sekarang, Jorge dapat membuat log alur untuk subnet VPC atau di konsol AmazonEC2. Saat Anda membuat log alur, tentukan flow-logs-for-jorgeperan tersebut. Peran tersebut memiliki izin untuk membuat data log dan menuliskan data ke log itu.