Ini adalah Panduan Pengembang AWS CDK v2. CDK v1 yang lebih lama memasuki pemeliharaan pada 1 Juni 2022 dan mengakhiri dukungan pada 1 Juni 2023.
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Membuat dan menerapkan batas izin untuk CDK AWS
Batas izin adalah fitur lanjutan AWS Identity and Access Management (IAM) and Access Management (IAM) yang dapat Anda gunakan untuk mengatur izin maksimum yang dapat dimiliki entitas IAM, seperti pengguna atau peran. Anda dapat menggunakan batas izin untuk membatasi tindakan yang dapat dilakukan entitas IAM saat menggunakan AWS Cloud Development Kit (AWS CDK).
Untuk mempelajari lebih lanjut tentang batas izin, lihat Batas izin untuk entitas IAM di Panduan Pengguna IAM.
Kapan menggunakan batas izin dengan CDK AWS
Pertimbangkan untuk menerapkan batasan izin saat Anda perlu membatasi pengembang di organisasi Anda untuk melakukan tindakan tertentu dengan CDK AWS . Misalnya, jika ada sumber daya tertentu di AWS lingkungan Anda yang tidak ingin diubah oleh pengembang, Anda dapat membuat dan menerapkan batas izin.
Cara menerapkan batas izin dengan CDK AWS
Buat batas izin
Pertama, Anda membuat batas izin, menggunakan kebijakan AWS terkelola atau kebijakan yang dikelola pelanggan untuk menetapkan batas entitas IAM (pengguna atau peran). Kebijakan ini membatasi izin maksimum untuk pengguna atau peran. Untuk petunjuk cara membuat batas izin, lihat Batas izin untuk entitas IAM di Panduan Pengguna IAM.
Batas izin menetapkan izin maksimum yang dapat dimiliki entitas IAM, tetapi tidak memberikan izin sendiri. Anda harus menggunakan batasan izin dengan kebijakan IAM untuk secara efektif membatasi dan memberikan izin yang tepat untuk organisasi Anda. Anda juga harus mencegah entitas IAM agar tidak dapat melarikan diri dari batas-batas yang Anda tetapkan. Sebagai contoh, lihat Mendelegasikan tanggung jawab kepada orang lain menggunakan batas izin di Panduan Pengguna IAM.
Terapkan batas izin selama bootstrap
Setelah membuat batas izin, Anda dapat menegakkannya untuk AWS CDK dengan menerapkannya selama bootstrap.
Gunakan --custom-permissions-boundaryopsi dan tentukan nama batas izin untuk diterapkan. Berikut ini adalah contoh yang menerapkan batas izin bernama: cdk-permissions-boundary
$ cdk bootstrap --custom-permissions-boundary <cdk-permissions-boundary>
Secara default, CDK menggunakan peran CloudFormationExecutionRole IAM, yang didefinisikan dalam template bootstrap, untuk menerima izin untuk melakukan penerapan. Dengan menerapkan batas izin khusus selama bootstrap, batas izin dilampirkan ke peran ini. Batas izin kemudian akan menetapkan izin maksimum yang dapat dilakukan oleh pengembang di organisasi Anda saat menggunakan CDK. AWS Untuk mempelajari lebih lanjut tentang peran ini, lihat peran IAM yang dibuat selama bootstrap.
Ketika Anda menerapkan batas izin dengan cara ini, mereka diterapkan ke lingkungan tertentu yang Anda bootstrap. Untuk menggunakan batas izin yang sama di beberapa lingkungan, Anda harus menerapkan batas izin untuk setiap lingkungan selama bootstrap. Anda juga dapat menerapkan batas izin yang berbeda untuk lingkungan yang berbeda.
Pelajari selengkapnya
Untuk informasi selengkapnya tentang batas izin, lihat Kapan dan tempat menggunakan batas izin IAM di Blog
