Menggunakan Kebijakan Berbasis-Identitas (Kebijakan IAM) untuk AWS Cloud Map - AWS Cloud Map
Izin yang Diperlukan untuk Menggunakan AWS Cloud Map Konsol

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan Kebijakan Berbasis-Identitas (Kebijakan IAM) untuk AWS Cloud Map

Topik ini memberikan contoh kebijakan berbasis identitas yang menunjukkan bagaimana administrator akun dapat melampirkan kebijakan izin ke identitas IAM (yaitu, pengguna, grup, dan peran) dan dengan demikian memberikan izin untuk melakukan tindakan pada AWS Cloud Map sumber daya.

penting

Kami menyarankan Anda untuk terlebih dahulu meninjau topik pendahuluan yang menjelaskan konsep dasar dan opsi untuk mengelola akses ke AWS Cloud Map sumber daya. Untuk informasi lebih lanjut, lihat Ikhtisar Pengelolaan Izin Akses untuk AWS Cloud Map Sumber Daya.

Contoh berikut menunjukkan kebijakan izin yang memberikan izin pengguna untuk daftar, membatalkan daftar, dan daftar instans layanan. Sid, atau ID pernyataan, adalah opsional:

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid" : "AllowInstancePermissions",
         "Effect": "Allow",
         "Action": [
            "servicediscovery:RegisterInstance",
            "servicediscovery:DeregisterInstance",
            "servicediscovery:DiscoverInstances",
            "servicediscovery:Get*",
            "servicediscovery:List*",
            "route53:GetHostedZone",
            "route53:ListHostedZonesByName",
            "route53:ChangeResourceRecordSets",
            "route53:CreateHealthCheck",
            "route53:GetHealthCheck",
            "route53:DeleteHealthCheck",
            "route53:UpdateHealthCheck",
            "ec2:DescribeInstances"
         ],
         "Resource": "*"
      }
   ]
}

Kebijakan memberikan izin untuk tindakan yang diperlukan untuk daftar dan mengelola instans layanan. Izin Route 53 diperlukan jika Anda menggunakan namespace DNS publik atau privat karena AWS Cloud Map menciptakan, memperbarui, dan menghapus catatan Route 53 dan pemeriksaan kondisi ketika Anda daftar dan membatalkan daftar instans. Karakter wildcard (*) di Resource memberikan mengakses ke semua AWS Cloud Mapinstans, dan catatan Route 53 da n pemeriksaan kondisi yang dimiliki oleh AWS akun saat ini.

Untuk daftar tindakan dan ARN yang Anda tetapkan untuk memberikan atau menolak izin penggunaan setiap tindakan, lihat AWS Cloud Map Izin API, Tindakan, Sumber Daya, dan Referensi Syarat.

Izin yang Diperlukan untuk Menggunakan AWS Cloud Map Konsol

Untuk memberikan akses penuh ke AWS Cloud Map konsol, Anda memberikan izin dalam kebijakan izin berikut: 

{
   "Version": "2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "servicediscovery:*",
            "route53:GetHostedZone",
            "route53:ListHostedZonesByName",
            "route53:CreateHostedZone",
            "route53:DeleteHostedZone",
            "route53:ChangeResourceRecordSets",
            "route53:CreateHealthCheck",
            "route53:GetHealthCheck",
            "route53:DeleteHealthCheck",
            "route53:UpdateHealthCheck",
            "ec2:DescribeInstances",
            "ec2:DescribeVpcs",
            "ec2:DescribeRegions"
         ],
         "Resource":"*"
      }
   ]
}

Inilah mengapa izin diperlukan:

servicediscovery:*

Memungkinkan Anda melakukan semua AWS Cloud Map tindakan.

route53:CreateHostedZone, route53:GetHostedZone, route53:ListHostedZonesByName, route53:DeleteHostedZone

Mari AWS Cloud Map mengelola zona yang di-hosting saat Anda membuat dan menghapus namespace DNS publik dan pribadi.

route53:CreateHealthCheck, route53:GetHealthCheck, route53:DeleteHealthCheck, route53:UpdateHealthCheck

Mari AWS Cloud Map mengelola pemeriksaan kondisi ketika Anda menyertakan Amazon Route 53 pemeriksaan kondisi ketika Anda membuat layanan.

ec2:DescribeVpcs dan ec2:DescribeRegions

Biarkan AWS Cloud Map mengelola zona yang di-hosting privat.