MeneleponLayanan AWS dari lingkungan diAWS Cloud9

Anda dapat meneleponLayanan AWS dari lingkunganAWS Cloud9 pengembangan. Misalnya, Anda dapat melakukan tindakan berikut:

• Mengunggah dan mengunduh data di bucket Amazon Simple Storage Service (Amazon S3).

• Mengirim notifikasi siaran melalui topik Amazon Simple Notification Service (Amazon SNS).

• Membaca dan menulis data di basis data Amazon DynamoDB (DynamoDB).

Anda dapat memanggilLayanan AWS dari lingkungan Anda dalam beberapa cara. Sebagai contoh, Anda dapat menggunakan perintahAWS Command Line Interface (AWS CLI) atauAWS CloudShell untuk menjalankan perintah dari sesi terminal. Anda juga dapat meneleponLayanan AWS dari kode yang Anda jalankan di lingkungan Anda. Anda dapat melakukan ini dengan menggunakanAWS SDK untuk bahasa pemrograman sepertiJavaScriptPython,,Ruby,PHP,Go, danC++. Untuk informasi selengkapnya, lihat Sampel AWS CLI dan aws-shell, Panduan Pengguna AWS Command Line Interface, dan AWS SDK.

Setiap kaliAWS CLI,AWS CloudShell, atau kode Anda memanggilLayanan AWS, kodeAWS CLI,AWS CloudShell, atau kode Anda harus menyediakan satu set kredensyalAWS akses bersama dengan panggilan. Kredensial ini menentukan apakah pemanggil memiliki izin yang sesuai untuk melakukan panggilan. Jika kredensial tidak mencakup izin yang sesuai, panggilan gagal.

Ada beberapa cara untuk memberikan kredensial ke lingkungan Anda. Tabel berikut menjelaskan beberapa pendekatan.

Tipe lingkungan	Pendekatan
EC2	Gunakan kredensial sementara yang dikelola AWS. Kami merekomendasikan pendekatan ini untuk lingkungan EC2. Kredensial sementara yang dikelola AWS mengelola kredensial akses AWS di lingkungan EC2 atas nama Anda, sementara juga mengikuti praktik terbaik keamanan AWS. Jika Anda menggunakan lingkungan EC2, Anda dapat melewati sisa topik ini. Ini karena kredensial sementara yang dikelola AWS sudah disiapkan untuk Anda di lingkungan. Untuk informasi selengkapnya, lihat Kredensial Sementara yang Dikelola AWS.
EC2	Lampirkan profil instans IAM ke instans. Gunakan pendekatan ini jika karena alasan tertentu Anda tidak dapat menggunakan kredensial sementara yangAWS dikelola. Mirip dengan kredensial sementara yang dikelola AWS, profil instans mengelola kredensial akses AWS atas nama Anda. Namun, Anda harus membuat, mengelola, dan melampirkan profil instans ke instans Amazon EC2 sendiri. Untuk petunjuk, lihat Membuat dan Menggunakan Profil Instans untuk mengelola Kredensial Sementara.
EC2 atau SSH	Simpan kredensial akses AWS permanen Anda di dalam lingkungan. Pendekatan ini kurang aman dibandingkan menggunakan kredensial akses AWS sementara. Namun, ini satu-satunya pendekatan yang didukung untuk lingkungan SSH. Untuk petunjuk, lihat Membuat dan Menyimpan Kredensial Akses Permanen di Lingkungan.
EC2 atau SSH	Masukkan kredensial akses AWS permanen Anda langsung ke dalam kode Anda. Kami mencegah pendekatan ini karena tidak mengikuti praktik terbaik keamanan AWS. Karena kami mencegah pendekatan ini, kami tidak mencakupnya dalam topik ini.

Membuat dan menggunakan profil instans untuk mengelola kredensial sementara

catatan

Anda tidak dapat menggunakan prosedur ini untuk lingkungan pengembangan SSH AWS Cloud9. Sebagai gantinya, lanjutkan ke Membuat dan Menyimpan Kredensial Akses Permanen di Lingkungan.

Kami menyarankan agar Anda menggunakan kredensial sementara yang dikelola AWS, bukan profil instans. Ikuti petunjuk ini hanya jika karena alasan tertentu Anda tidak dapat menggunakan kredensial sementara yang dikelola AWS. Untuk informasi selengkapnya, lihat Kredensial Sementara yang Dikelola AWS.

Prosedur ini menggunakan IAM dan Amazon EC2 untuk membuat dan melampirkan profil instans IAM ke instans Amazon EC2 yang terhubung ke lingkungan Anda. Profil instans ini mengelola kredensial sementara atas nama Anda. Prosedur ini mengasumsikan Anda telah membuat lingkungan di AWS Cloud9. Untuk membuat lingkungan, lihat Membuat Lingkungan.

Anda dapat menyelesaikan tugas ini dengan konsol IAM dan Amazon EC2 atau AWS Command Line Interface (AWS CLI).

Membuat profil instans dengan konsol IAM

catatan

Jika Anda sudah memiliki IAM role yang berisi profil instans, lanjutkan ke Melampirkan Profil Instans ke Instans dengan Konsol Amazon EC2.

1. Masuk ke konsol IAM, di https://console.aws.amazon.com/iam.

   Untuk langkah ini, kami merekomendasikan Anda masuk menggunakan kredensyal tingkat administrator di AndaAkun AWS. Jika Anda tidak dapat melakukannya, hubungiAkun AWS administrator Anda.

2. Di bilah navigasi, pilih Peran.

   catatan

   Anda tidak dapat menggunakan konsol IAM untuk membuat profil instans dengan sendirinya. Anda harus membuat IAM role, yang berisi profil instans.

3. Pilih Create role (Buat peran).

4. Pada halaman Pilih jenis entitas tepercaya, dengan Layanan AWSsudah dipilih, untuk Pilih layanan yang akan menggunakan peran ini, pilih EC2.

5. Untuk Pilih kasus penggunaan Anda, pilih EC2.

6. Pilih Next: Permissions (Selanjutnya: Izin).

7. Pada halaman Melampirkan kebijakan izin, dalam daftar kebijakan, pilih kotak di samping AdministratorAccess, lalu pilih Berikutnya: Tinjauan.

   catatan

   AdministratorAccessKebijakan ini memungkinkan akses tak terbatas ke semuaAWS tindakan dan sumber daya di seluruh AndaAkun AWS. Gunakan hanya untuk tujuan eksperimen. Untuk informasi selengkapnya, lihat langkah Kebijakan IAM dalam Panduan Pengguna IAM.

8. Pada halaman Tinjauan, untuk Nama Peran, masukkan nama untuk peran tersebut (misalnya,my-demo-cloud9-instance-profile).

9. Pilih Buat Peran.

Lanjutkan ke Melampirkan Profil Instans ke Instans dengan Konsol Amazon EC2.

Membuat profil instans dengan AWS CLI

catatan

Jika Anda sudah memiliki IAM role yang berisi profil instans, lanjutkan ke Melampirkan Profil Instans ke Instans dengan AWS CLI.

Untuk topik ini, kami merekomendasikan Anda mengonfigurasiAWS CLI menggunakan kredensi tingkat administrator administrator diAkun AWS. Jika Anda tidak dapat melakukannya, hubungiAkun AWS administrator Anda.

catatan

Jika Anda menggunakan AWS kredensial sementara terkelola, Anda tidak dapat menggunakan sesi terminal di IDE AWS Cloud9 untuk menjalankan beberapa atau semua perintah di bagian ini. Untuk mengatasi AWS praktik terbaik keamanan AWS, kredensial sementara yang dikelola tidak mengizinkan beberapa perintah untuk dijalankan. Sebagai gantinya, Anda dapat menjalankan perintah tersebut dari instalasi terpisah dari AWS Command Line Interface (AWS CLI).

1. Tentukan hubungan kepercayaan di AWS untuk IAM role yang diperlukan profil instans. Untuk melakukannya, buat lalu simpan file dengan isi berikut (misalnya, my-demo-cloud9-instance-profile-role-trust.json).

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "",
         "Effect": "Allow",
         "Principal": {
           "Service": "ec2.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }

2. Dengan menggunakan terminal atau command prompt, beralihlah ke direktori tempat Anda baru saja menyimpan file ini.

3. Buat IAM role untuk profil instans. Untuk melakukannya, jalankancreate-role perintah IAM. Ketika Anda melakukannya, tentukan nama untuk IAM role baru (misalnya,my-demo-cloud9-instance-profile-role), dan nama file yang baru saja Anda simpan.

   aws iam create-role --role-name my-demo-cloud9-instance-profile-role --assume-role-policy-document file://my-demo-cloud9-instance-profile-role-trust.json

4. Lampirkan izin akses AWS ke IAM role profil instans. Untuk melakukannya, jalankanattach-role-policy perintah IAM. Tentukan nama IAM role yang ada dan Amazon Resource Name (ARN) dari kebijakanAWS terkelola yang diberi namaAdministratorAccess.

   aws iam attach-role-policy --role-name my-demo-cloud9-instance-profile-role --policy-arn arn:aws:iam::aws:policy/AdministratorAccess

   catatan

   AdministratorAccessKebijakan ini memungkinkan akses tak terbatas ke semuaAWS tindakan dan sumber daya di seluruh AndaAkun AWS. Gunakan hanya untuk tujuan eksperimen. Untuk informasi selengkapnya, lihat langkah Kebijakan IAM dalam Panduan Pengguna IAM.

5. Buat profil instans. Untuk melakukannya, jalankan perintah IAM create-instance-profile, tentukan nama untuk profil instans baru (misalnya, my-demo-cloud9-instance-profile).

   aws iam create-instance-profile --instance-profile-name my-demo-cloud9-instance-profile

6. Lampirkan IAM role ke profil instans. Untuk melakukannya, jalankan perintah IAM add-role-to-instance-profile, tentukan nama IAM role dan profil instans yang ada.

   aws iam add-role-to-instance-profile --role-name my-demo-cloud9-instance-profile-role --instance-profile-name my-demo-cloud9-instance-profile

Lanjutkan ke Membuat Profil Instans dengan AWS CLI.

Melampirkan profil instans ke instans dengan konsol Amazon EC2

1. Masuk ke konsol Amazon EC2, di https://console.aws.amazon.com/ec2.

   Untuk langkah ini, kami merekomendasikan Anda masuk menggunakan kredensial tingkat administrator di AndaAkun AWS. Jika Anda tidak dapat melakukannya, hubungiAkun AWS administrator Anda.

2. Di bilah navigasi, pastikan pemilih Wilayah menampilkan pemilihWilayah AWS yang cocok dengan lingkungan Anda. Misalnya, jika Anda membuat lingkungan Anda di Wilayah US East (Ohio), pilih US East (Ohio) di pemilih Wilayah di sini.

3. Pilih tautan Instans Berjalan atau, di panel navigasi, perluas Instans, lalu pilih Instans.

4. Dalam daftar instans, pilih instans dengan Nama yang menyertakan nama lingkungan Anda. Misalnya, jika nama lingkungan Andamy-demo-environment, pilih instance dengan Nama yang disertakan my-demo-environment.

5. Pilih Tindakan, Keamanan, Ubah peran IAM.

   catatan

   Meskipun Anda melampirkan peran ke instans, peran tersebut berisi profil instans.

6. Pada halaman Ubah IAM role, untuk IAM role, pilih nama peran yang Anda identifikasi atau yang Anda buat di prosedur sebelumnya, lalu pilih Terapkan.

7. Kembali di lingkungan, gunakanAWS CLI untuk menjalankanaws configure perintah atauAWS CloudShell untuk menjalankanconfigure perintah. Jangan tentukan nilai apa pun untuk AWSAccess Key ID atau AWSSecret Access Key (tekanEnter setelah setiap perintah ini). Untuk Nama Wilayah default, tentukan yangWilayah AWS paling dekat dengan Anda atau Wilayah tempatAWS sumber daya Anda berada. Misalnya, us-east-2 untuk Wilayah US East (Ohio). Untuk daftar Wilayah, lihat Wilayah AWSdan Endpoint di Referensi Umum Amazon Web Services. Secara opsional, tentukan nilai untuk Format keluaran default (misalnya, json).

Anda sekarang dapat mulai memanggilLayanan AWS dari lingkungan Anda. Untuk menggunakanAWS CLI, atau keduanya untuk memanggilaws-shell, atau keduanya untuk memanggilLayanan AWS, lihat SampelAWS CLI dan aws-shell. Untuk memanggilLayanan AWS dari kode Anda, lihat tutorial dan sampel kami yang lain.

Melampirkan profil instans ke sebuah instans dengan AWS CLI

catatan

Jika Anda menggunakan Kredenal sementara yang dikelola AWS, Anda tidak dapat menggunakan sesi terminal di AWS Cloud9 IDE untuk menjalankan beberapa atau semua perintah di bagian ini. Untuk mengatasi AWS praktik terbaik keamanan AWS, kredensial sementara yang dikelola tidak mengizinkan beberapa perintah untuk dijalankan. Sebagai gantinya, Anda dapat menjalankan perintah tersebut dari instalasi terpisah dari AWS Command Line Interface (AWS CLI).

1. Jalankanassociate-iam-instance-profile perintah Amazon EC2. Tentukan nama profil instans danWilayah AWS ID instans Amazon EC2 untuk lingkungan.

   aws ec2 associate-iam-instance-profile --iam-instance-profile Name=my-demo-cloud9-instance-profile --region us-east-2 --instance-id i-12a3b45678cdef9a0

   Pada perintah sebelumnya, gantius-east-2 denganWilayah AWS ID untuk instance dani-12a3b45678cdef9a0 dengan ID instance.

   Untuk mendapatkan ID instans, Anda dapat, misalnya, menjalankandescribe-instances perintah Amazon EC2, dengan menentukan nama danWilayah AWS ID lingkungan.

   aws ec2 describe-instances --region us-east-2 --filters Name=tag:Name,Values=*my-environment* --query "Reservations[*].Instances[*].InstanceId" --output text

   Dalam perintah sebelumnya, gantius-east-2 denganWilayah AWS ID untuk instans danmy-environment dengan nama lingkungan.

2. Kembali di lingkungan, gunakanAWS CLI untuk menjalankanaws configure perintah atauaws-shell untuk menjalankanconfigure perintah. Jangan tentukan nilai apa pun untuk AWSAccess Key ID atau AWSSecret Access Key. TekanEnter setelah masing-masing petunjuk ini. Untuk Nama Wilayah default, tentukan yangWilayah AWS paling dekat dengan Anda atau Wilayah tempatAWS sumber daya Anda berada. Misalnya, us-east-2 untuk Wilayah US East (Ohio). Untuk daftar Wilayah, lihat AWSWilayah dan Titik Akhir di bagian Referensi Umum Amazon Web Services. Secara opsional, tentukan nilai untuk Format keluaran default (misalnya, json).

Anda sekarang dapat mulai memanggilLayanan AWS dari lingkungan Anda. Untuk menggunakanAWS CLI, atau keduanya untuk memanggilaws-shell, atau keduanya untuk memanggilLayanan AWS, lihat SampelAWS CLI dan aws-shell. Untuk memanggilLayanan AWS dari kode Anda, lihat tutorial dan sampel kami yang lain.

Membuat dan menyimpan kredensial akses permanen di Lingkungan

catatan

Jika Anda menggunakan lingkungan pengembangan AWS Cloud9 EC2, kami sarankan Anda menggunakan kredensial sementara yang dikelola AWS, bukan kredensial akses permanen AWS. Untuk bekerja dengan kredensial sementara yang dikelola AWS, lihat AWS kredensyal sementara yang dikelola.

Di bagian ini, Anda menggunakanAWS Identity and Access Management (IAM) untuk menghasilkan satu set kredensial permanen. KodeAWS CLI,aws-shell, atau kode Anda dapat menggunakan kumpulan kredensyal ini saat meneleponLayanan AWS. Set ini mencakupAWS access key ID danAWS secret access key, yang unik untuk pengguna Anda diAkun AWS. Jika Anda sudah memiliki AWS access key ID dan AWS secret access key, catat kredensial tersebut, lalu lanjutkan ke Menyimpan Kredensial Akses Permanen di Lingkungan.

Anda dapat membuat satu set kredensial permanen dengan konsol IAM atau AWS CLI.

Memberikan akses terprogram

Pengguna membutuhkan akses terprogram jika mereka ingin berinteraksi denganAWS luarAWS Management Console. Cara untuk memberikan akses terprogram tergantung pada jenis pengguna yang mengaksesAWS.

Untuk memberikan akses terprogram, pilih salah satu opsi berikut.

Pengguna mana yang membutuhkan akses terprogram?	Ke	oleh
identitas tenaga kerja (Pengguna yang dikelola di IAM Identity Center)	Gunakan kredensyal sementara untuk menandatangani permintaan terprogram keAWS CLI,AWS SDK, atauAWS API.	Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan. UntukAWS CLI, lihat MengonfigurasiAWS CLI untuk digunakanAWS IAM Identity Center dalam PanduanAWS Command Line Interface Pengguna. UntukAWS SDK, alat, danAWS API, lihat otentikasi IAM Identity Center di Panduan ReferensiAWS SDK dan Alat.
IAM	Gunakan kredensyal sementara untuk menandatangani permintaan terprogram keAWS CLI,AWS SDK, atauAWS API.	Mengikuti petunjuk dalam Menggunakan kredensyal sementara denganAWS sumber daya di Panduan Pengguna IAM.
IAM	(Tidak disarankan) Gunakan kredensi jangka panjang untuk menandatangani permintaan terprogram keAWS CLI,AWS SDK, atauAWS API.	Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan. Untuk informasi tersebutAWS CLI, lihat Mengautentikasi menggunakan kredensi pengguna IAM di PanduanAWS Command Line Interface Pengguna. UntukAWS SDK dan alat bantu, lihat Mengautentikasi menggunakan kredensyal jangka panjang di Panduan ReferensiAWS SDK dan Alat. UntukAWS API, lihat Mengelola kunci akses untuk pengguna IAM di Panduan Pengguna IAM.

Membuat kredensial akses permanen dengan AWS CLI

catatan

Untuk bagian ini, kami merekomendasikan agar Anda mengonfigurasiAWS CLI menggunakan kredensyal tingkat administrator diAkun AWS. Jika Anda tidak dapat melakukannya, hubungiAkun AWS administrator Anda.

catatan

Jika Anda menggunakan AWS kredensial sementara terkelola, Anda tidak dapat menggunakan sesi terminal di IDE AWS Cloud9 untuk menjalankan beberapa atau semua perintah di bagian ini. Untuk mengatasi AWS praktik terbaik keamanan AWS, kredensial sementara yang dikelola tidak mengizinkan beberapa perintah untuk dijalankan. Sebagai gantinya, Anda dapat menjalankan perintah tersebut dari instalasi terpisah dari AWS Command Line Interface (AWS CLI).

Jalankan perintah IAM create-access-key untuk membuat AWS access key baru dan AWS secret access key yang sesuai untuk pengguna.

aws iam create-access-key --user-name MyUser

Dalam perintah sebelumnya, ganti MyUser dengan nama pengguna.

Di lokasi yang aman, simpan nilai AccessKeyId dan SecretAccessKey yang ditampilkan. Setelah Anda menjalankan perintah IAM create-access-key, ini adalah satu-satunya waktu di mana Anda dapat menggunakan perintah AWS CLI untuk melihat AWS secret access key pengguna. Untuk menghasilkanAWS secret access key baru bagi pengguna nanti jika diperlukan, lihat Membuat, modifikasi, dan Melihat Access Key (API, CLI,PowerShell) di Panduan Pengguna IAM.

Menyimpan kredensial akses permanen di Lingkungan

Dalam prosedur ini, Anda menggunakan AWS Cloud9 IDE untuk menyimpan kredensial akses AWS permanen di lingkungan Anda. Prosedur ini mengasumsikan Anda telah membuat lingkungan diAWS Cloud9, membuka lingkungan tersebut, dan menampilkanAWS Cloud9 IDE di peramban web Anda. Untuk informasi selengkapnya, lihat Membuat Lingkungan dan Membuka Lingkungan.

catatan

Prosedur berikut menunjukkan cara menyimpan kredensial akses permanen Anda dengan menggunakan variabel lingkungan. Jika Anda memilikiAWS CLI atauaws-shell diinstal di lingkungan Anda, Anda dapat menggunakan aws configureperintah untukAWS CLI atau configureperintah untukaws-shell untuk menyimpan kredensyal akses permanen Anda sebagai gantinya. Untuk instruksi, lihat Konfigurasi Cepat dalam Panduan Pengguna AWS Command Line Interface.

1. Dengan lingkungan Anda terbuka, di AWS Cloud9 IDE, mulai sesi terminal baru, jika belum ada yang dimulai. Untuk memulai sesi terminal baru, pada bilah menu, pilih Jendela, Terminal Baru.

2. Jalankan setiap perintah berikut, satu perintah pada satu waktu, untuk mengatur variabel lingkungan lokal yang mewakili kredensial akses permanen Anda. Dalam perintah ini, setelahAWS_ACCESS_KEY_ID:, masukkan ID kunciAWS akses Anda. Setelah ituAWS_SECRET_ACCESS_KEY, masukkanAWS secret access key. Setelah ituAWS_DEFAULT_REGION_ID, masukkanWilayah AWS pengenal yang terkait dengan yangWilayah AWS terdekat dengan Anda (atau pilihan AndaWilayah AWS). Untuk daftar pengenal yang tersedia, lihat Wilayah AWSdan Endpoint di Referensi Umum Amazon Web Services. Misalnya, untuk US East (Ohio), Anda gunakanus-east-2.

   export AWS_ACCESS_KEY_ID=
   export AWS_SECRET_ACCESS_KEY=
   export AWS_DEFAULT_REGION=

3. Perhatikan bahwa variabel lingkungan sebelumnya hanya valid untuk sesi terminal saat ini. Untuk membuat variabel lingkungan ini tersedia di seluruh sesi terminal, Anda harus menambahkannya ke file profil shell Anda sebagai variabel lingkungan pengguna, sebagai berikut.

   1. Di jendela Lingkungan IDE, pilih ikon roda gigi, lalu pilih Tampilkan Beranda di Favorit. Ulangi langkah ini dan pilih Tampilkan File Tersembunyi juga.

   2. Buka file ~/.bashrc.

   3. Masukkan atau tempel kode berikut di akhir file. Dalam perintah ini, setelahAWS_ACCESS_KEY_ID:, masukkan ID kunciAWS akses Anda. Setelah ituAWS_SECRET_ACCESS_KEY, masukkanAWS secret access key. Setelah ituAWS_DEFAULT_REGION_ID, masukkanWilayah AWS pengenal yang terkait dengan yangWilayah AWS terdekat dengan Anda (atau pilihan AndaWilayah AWS). Untuk daftar pengenal yang tersedia, lihat Wilayah AWSdan Endpoint di Referensi Umum Amazon Web Services. Misalnya, untuk Wilayah US East (Ohio), Anda gunakanus-east-2.

      export AWS_ACCESS_KEY_ID=
      export AWS_SECRET_ACCESS_KEY=
      export AWS_DEFAULT_REGION=

   4. Simpan file tersebut.

   5. Sumberkan file ~/.bashrc untuk memuat variabel lingkungan baru ini.

      . ~/.bashrc

Anda sekarang dapat mulai memanggilLayanan AWS dari lingkungan Anda. Untuk menggunakanAWS CLI atau panggilanaws-shell keLayanan AWS, lihat Sampel aws-shellAWS CLI dan aws-shell. Untuk memanggilLayanan AWS dari kode Anda, lihat tutorial dan sampel kami yang lain.