Menggunakan kebijakan berbasis identitas (kebijakan IAM) untuk AWS Cloud Map - AWS Cloud Map
Izin yang diperlukan untuk menggunakan konsol AWS Cloud MapIzin diperlukan untuk membuat layanan AWS Cloud Map

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan kebijakan berbasis identitas (kebijakan IAM) untuk AWS Cloud Map

Topik ini memberikan contoh kebijakan berbasis identitas yang menunjukkan bagaimana administrator akun dapat melampirkan kebijakan izin ke identitas IAM (pengguna, grup, dan peran) dan dengan demikian memberikan izin untuk melakukan tindakan pada sumber daya. AWS Cloud Map

penting

Kami menyarankan Anda terlebih dahulu meninjau topik pengantar yang menjelaskan konsep dasar dan opsi untuk mengelola akses ke AWS Cloud Map sumber daya Anda. Untuk informasi selengkapnya, lihat Mengelola izin akses ke sumber daya Anda AWS Cloud Map.

Contoh berikut menunjukkan kebijakan izin yang memberikan izin pengguna untuk daftar, membatalkan daftar, dan daftar instans layanan. Sid, atau ID pernyataan, adalah opsional:

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid" : "AllowInstancePermissions",
         "Effect": "Allow",
         "Action": [
            "servicediscovery:RegisterInstance",
            "servicediscovery:DeregisterInstance",
            "servicediscovery:DiscoverInstances",
            "servicediscovery:Get*",
            "servicediscovery:List*",
            "route53:GetHostedZone",
            "route53:ListHostedZonesByName",
            "route53:ChangeResourceRecordSets",
            "route53:CreateHealthCheck",
            "route53:GetHealthCheck",
            "route53:DeleteHealthCheck",
            "route53:UpdateHealthCheck",
            "ec2:DescribeInstances"
         ],
         "Resource": "*"
      }
   ]
}

Kebijakan memberikan izin untuk tindakan yang diperlukan untuk daftar dan mengelola instans layanan. Izin Route 53 diperlukan jika Anda menggunakan ruang nama DNS publik atau pribadi karena AWS Cloud Map membuat, memperbarui, dan menghapus catatan Route 53 dan pemeriksaan kesehatan saat Anda mendaftar dan membatalkan pendaftaran instance. Karakter wildcard (*) dalam Resource memberikan akses ke semua AWS Cloud Map instance, dan catatan Route 53 serta pemeriksaan kesehatan yang dimiliki oleh akun saat ini. AWS

Untuk daftar tindakan dan ARN yang Anda tetapkan untuk memberikan atau menolak izin penggunaan setiap tindakan, lihat AWS Cloud Map Referensi izin API.

Izin yang diperlukan untuk menggunakan konsol AWS Cloud Map

Untuk memberikan akses penuh ke AWS Cloud Map konsol, Anda memberikan izin dalam kebijakan izin berikut: 

{
   "Version": "2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "servicediscovery:*",
            "route53:GetHostedZone",
            "route53:ListHostedZonesByName",
            "route53:CreateHostedZone",
            "route53:DeleteHostedZone",
            "route53:ChangeResourceRecordSets",
            "route53:CreateHealthCheck",
            "route53:GetHealthCheck",
            "route53:DeleteHealthCheck",
            "route53:UpdateHealthCheck",
            "ec2:DescribeInstances",
            "ec2:DescribeVpcs",
            "ec2:DescribeRegions"
         ],
         "Resource":"*"
      }
   ]
}

Inilah mengapa izin diperlukan:

servicediscovery:*

Memungkinkan Anda melakukan semua AWS Cloud Map tindakan.

route53:CreateHostedZone, route53:GetHostedZone, route53:ListHostedZonesByName, route53:DeleteHostedZone

Memungkinkan AWS Cloud Map mengelola zona yang dihosting saat Anda membuat dan menghapus ruang nama DNS publik dan pribadi.

route53:CreateHealthCheck, route53:GetHealthCheck, route53:DeleteHealthCheck, route53:UpdateHealthCheck

Memungkinkan AWS Cloud Map mengelola pemeriksaan kesehatan saat Anda menyertakan pemeriksaan kesehatan Amazon Route 53 saat Anda membuat layanan.

ec2:DescribeVpcs dan ec2:DescribeRegions

Biarkan AWS Cloud Map mengelola zona host pribadi.

Izin diperlukan untuk membuat layanan AWS Cloud Map

Saat menambahkan kebijakan izin untuk mengizinkan identitas IAM membuat AWS Cloud Map layanan, Anda harus menentukan Nama Sumber Daya Amazon (ARN) dari AWS Cloud Map namespace dan layanan di bidang sumber daya. ARN mencakup Region, ID akun, dan ID namespace. Karena Anda belum tahu ID layanan layanan apa, sebaiknya gunakan wildcard. Berikut ini adalah contoh cuplikan kebijakan.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "servicediscovery:CreateService"
         ],
         "Resource":[
            "arn:aws:servicediscovery:region:111122223333:namespace/ns-p32123EXAMPLE",
            "arn:aws:servicediscovery:region:111122223333:service/*"
         ]
      }
   ]
}