Melengkapi langkah-langkah prasyarat - AWS Marketplace

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Melengkapi langkah-langkah prasyarat

Langkah-langkah prasyarat yang dijelaskan di sini memerlukan izin level administratif yang mengonfigurasi IAM sehingga Anda dapat memberikan kemampuan untuk membangun citra privat untuk pengguna lain. Setelah kebijakan dan IAM role dibuat, Anda dapat melampirkannya ke akun grup (atau pengguna) sehingga pengguna terkait dapat membuat citra privat.

IAM adalah layanan web yang membantu Anda mengontrol akses ke sumber daya AWS secara aman. Anda menggunakan IAM untuk mengontrol siapa yang dapat terautentikasi (masuk) dan berwenang (memiliki izin) untuk menggunakan sumber daya. Anda membuat identitas (pengguna, grup, dan peran) dan menambahkan pengguna ke grup sehingga Anda dapat mengelola grup, bukan pengguna individual. Sebuah IAM role sangat mirip dengan pengguna, di mana ini adalah sebuah identitas dengan kebijakan izin, yang menentukan apa yang dapat dan tidak dapat dilakukanoleh identitas di AWS. Namun, sebuah peran tidak memiliki kredensial apa pun (kata sandi atau access key) yang terkait. Namun, alih-alih secara unik terkait dengan satu orang, peran dimaksudkan untuk dapat diasumsikan oleh siapa pun yang membutuhkannya. Seorang pengguna IAM dapat mengambil peran untuk sementara mengambil izin yang berbeda untuk tugas tertentu.

Porsi akses manajemen dari IAM membantu Anda menentukan apa yang diizinkan untuk dilakukan oleh pengguna atau entitas lain dalam sebuah akun, yang sering disebut sebagai Otorisasi. Izin diberikan melalui kebijakan. Kebijakan adalah entitas dalam AWS yang, jika dilampirkan ke sebuah identitas atau sumber daya, mendefinisikan izinnya. AWS mengevaluasi kebijakan ini saat penanggung jawab, seperti pengguna, mengajukan permintaan. Izin di kebijakan menentukan apakah permintaan tersebut diizinkan atau ditolak. Kebijakan disimpan dalam AWS sebagai dokumen JSON terlampir pada penanggung jawab sebagai Kebijakan berbasis identitas atau sumber daya sebagai Kebijakan berbasis sumber daya. Anda memberikan izin dengan mendefinisikan Kebijakan izin dan menetapkan kebijakan untuk kelompok.

Kebijakan berbasis identitas adalah kebijakan izin yang Anda lampirkan ke identitas IAM, seperti pengguna, grup, atau IAM role. Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya seperti bucket Amazon Simple Storage Service (Amazon S3). Kebijakan berbasis identitas mengendalikan tindakan apa yang dapat dilakukan oleh identitas, pada sumber daya mana, dan dengan kondisi apa. Kebijakan berbasis identitas dapat meliputi kebijakan terkelola AWS, kebijakan terkelola pelanggan, dan kebijakan yang selaras.

Kebijakan berbasis sumber daya mengontrol tindakan apa yang dapat dilakukan oleh penanggung jawab tertentu pada sumber daya tersebut dan dengan kondisi seperti apa. Kebijakan berbasis sumber daya merupakan kebijakan inline, dan tidak ada kebijakan berbasis sumber daya terkelola. Meski identitas IAM secara teknis sumber daya AWS, Anda tidak dapat melampirkan kebijakan berbasis sumber daya ke identitas IAM. Anda harus menggunakan kebijakan berbasis identitas di IAM. Kebijakan kepercayaan adalah kebijakan berbasis sumber daya yang terlampir pada peran yang menentukan prinsip yang mengasumsikan peran. Saat Anda membuat peran dalam IAM, peran harus memiliki dua hal: kebijakan kepercayaan yang menunjukkan siapa yang dapat mengambil peran dan kebijakan izin yang menunjukkan apa yang dapat mereka lakukan dengan peran tersebut. Ingat bahwa menambahkan akun ke kebijakan kepercayaan dari suatu peran hanya setengah dari membangun hubungan kepercayaan. Secara default, tidak ada pengguna di akun tepercaya yang dapat mengambil peran tersebut hingga administrator untuk akun tersebut memberikan izin kepada pengguna untuk mengambil peran tersebut.

Layanan Build Citra AWS Marketplace menggunakan dua IAM role, dan setiap peran memiliki kebijakan izin dan kebijakan kepercayaan. Jika Anda memiliki pengguna IAM yang mengakses situs web AWS Marketplace untuk membangun citra privat, pengguna tersebut juga perlu izin IAM untuk mencantumkan dan menetapkan peran yang diperlukan untuk membuat dan melihat citra privat yang mereka bangun.

Sebagai administrator, Anda membuat dua peran yang diperlukan dan kebijakan terkait mereka. Peran pertama adalah profil instans yang melekat pada instans yang dibuat selama proses pembuatan citra. Profil instans adalah kontainer untuk IAM role yang dapat Anda gunakan untuk meneruskan informasi peran ke instans Amazon EC2 saat instans diluncurkan. Yang kedua adalah IAM role yang menyediakan akses ke AWS Systems Manager dan Amazon EC2. Untuk mengonfigurasi profil instans, lampirkan kebijakan izin yang menyediakan izin yang diperlukan. Kemudian edit kebijakan kepercayaan untuk peran untuk memberikan izin untuk Amazon EC2 dan AWS Systems Manager untuk mengambil peran.

Membuat peran profil instans

Untuk membuat peran profil instans melalui konsol IAM:

  1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi konsol IAM, pilih Peran kemudian pilih Buat peran.

  3. Untuk Pilih tipe entitas tepercaya, pilih Layanan AWS.

  4. UntukPilih layanan yang akan menggunakan peran ini, chooseEC2dan kemudian pilihSelanjutnya: Izin.

  5. UntukBuat kebijakan, chooseSelanjutnya: Tinjau.

  6. UntukNama peran, ketik nama peran atau akhiran nama peran untuk membantu Anda mengidentifikasi tujuan peran ini, misalnyaMyInstanceRole. Nama peran harus unik dalam akun AWS Anda.

  7. Tinjau peran kemudian pilih Buat peran.

  8. Pada halaman Peran, pilih peran yang Anda buat.

  9. Untuk Izin, pilih Tambahkan kebijakan selaras.

  10. PilihJSONtab dan ganti semua teks dengan teks berikut InstanceRolePermissionsPolicy teks.

    InstanceRolePermissionsPolicy:

    { "Version": "2012-10-17", "Statement": [ { "Action": [ "ssm:DescribeAssociation", "ssm:GetDocument", "ssm:GetManifest", "ssm:GetParameters", "ssm:ListAssociations", "ssm:ListInstanceAssociations", "ssm:PutConfigurePackageResult", "ssm:UpdateAssociationStatus", "ssm:UpdateInstanceAssociationStatus", "ssm:UpdateInstanceInformation" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "ec2messages:AcknowledgeMessage", "ec2messages:DeleteMessage", "ec2messages:FailMessage", "ec2messages:GetEndpoint", "ec2messages:GetMessages", "ec2messages:SendReply" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "ec2:DescribeInstanceStatus" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*", "Effect": "Allow" } ] }
    catatan

    Anda harus membuat bucket, DOC-EXAMPLE-BUCKET sebelum memulai proses ini.

  11. Pilih Tinjau kebijakan.

  12. UntukNama kebijakan, ketik nama untuk membantu Anda mengidentifikasi tujuan kebijakan ini, misalnyaMyInstanceRolePolicy, dan pilihBuat kebijakan.

Untuk mengedit hubungan kepercayaan untuk peran:

  1. Pada halaman Peran, pilih peran yang Anda buat.

  2. Pilih tab Hubungan kepercayaan, kemudian pilih Edit hubungan kepercayaan.

  3. Pilih semua teks diDokumen Kebijakankotak teks dan menggantinya dengan berikut InstanceRoleTrustPolicy teks.

    InstanceRoleTrustPolicy:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "ssm.amazonaws.com", "ec2.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
  4. Pilih Perbarui Kebijakan Kepercayaan.

Membuat peran AWS Systems Manager Automation

Untuk membuat peran AWS sistem otomatisasi:

  1. Di panel navigasi konsol IAM, pilih Peran kemudian pilih Buat peran.

  2. Untuk Pilih tipe entitas tepercaya, pilih Layanan AWS.

  3. UntukPilih layanan yang akan menggunakan peran ini, chooseEC2dan kemudian pilihSelanjutnya: Izin.

  4. UntukBuat kebijakan, chooseSelanjutnya: Tinjau.

  5. UntukNama peran, ketik nama peran atau akhiran nama peran untuk membantu Anda mengidentifikasi tujuan peran ini, misalnyaMyAutomationRole. Nama peran harus unik dalam akun AWS Anda.

  6. Tinjau peran kemudian pilih Buat peran.

  7. Pada halaman Peran, pilih peran yang Anda buat.

  8. Untuk Izin, pilih Tambahkan kebijakan selaras.

  9. PilihJSONtab dan ganti semua teks dengan teks berikut AutomationRolePermissionsPolicy teks.

    AutomationRolePermissionsPolicy:

    "Version": "2012-10-17", "Statement": [ { "Action": [ "ssm:*" ], "Resource": [ "*" ], "Effect": "Allow" }, { "Action": [ "ec2:CreateImage", "ec2:DescribeImages", "ec2:StartInstances", "ec2:RunInstances", "ec2:StopInstances", "ec2:TerminateInstances", "ec2:DescribeInstanceStatus", "ec2:CreateTags", "ec2:DescribeTags" ], "Resource": [ "*" ], "Effect": "Allow" }, { "Action": [ "iam:PassRole" ], "Resource": [ "{{ Instance Profile }}" ], "Effect": "Allow" } ] }
    catatan

    Anda harus mengganti {{ Instance Profile }} dengan Amazon Resource Name (ARN) untuk peran kebijakan instans yang Anda buat sebelumnya. Temukan peran di konsol manajemen IAM dan pilih peran tersebut. Di halaman ringkasan untuk peran,ARN Peranadalah item pertama yang tercantum, misalnya,arn:aws:iam: :123456789012: peran/MyInstanceRole.

Untuk mengedit hubungan kepercayaan untuk peran:

  1. Pada halaman Peran, pilih peran yang Anda buat.

  2. Pilih tab Hubungan kepercayaan, kemudian pilih Edit hubungan kepercayaan.

  3. Ganti semua teks diDokumen Kebijakankotak teks dengan yang berikut InstanceRoleTrustPolicy teks.

    AutomationRoleTrustPolicy:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "ssm.amazonaws.com", "ec2.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
  4. Pilih Perbarui Kebijakan Kepercayaan.

Anda sekarang telah membuat dua peran dan kebijakan terkait yang akan Anda gunakan selama proses pembuatan citra privat.

Menggunakan kebijakan untuk mengakses situs web AWS Marketplace

Sebagian besar organisasi tidak mengizinkan pengguna untuk masuk dengan kredensial akun root. Sebaliknya, mereka membuat pengguna IAM dengan izin terbatas berdasarkan peran organisasi atau tugas yang hanya dapat dilakukan oleh orang-orang tertentu. AWS Marketplace menyediakan dua kebijakan IAM dikelola utama untuk bekerja dengan alat AWS Marketplace. Gunakan dua kebijakan terkelola ini untuk menyediakan kemampuan untuk melakukan tugas yang dijelaskan:

  • AWSMarketplaceFullAccess- Menyediakan kemampuan untuk berlangganan dan berhenti berlangganan perangkat lunak AWS Marketplace, memungkinkan pengguna untuk mengelola instans perangkat lunak Marketplace dari halaman Marketplace 'Perangkat Lunak', dan menyediakan akses administratif ke EC2.

  • AWSMarketplaceRead-hanya— Menyediakan kemampuan untuk meninjau langganan AWS.

Anda dapat menambahkan kebijakan terkelola bernama AWSMarketplaceFullAccess kepada pengguna IAM, grup, atau peran untuk memberikan semua izin yang diperlukan untuk mengakses situs web AWS Marketplace dan melakukan tugas-tugas yang terkait dengan Build Citra Privat AWS Marketplace. Untuk menambahkan kebijakan ke pengguna, grup, atau peran:

  1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi konsol AWS IAM, pilih Kebijakan.

  3. Di sebelahKebijakan filter, ENTERAWSMarketplaceFullAccess. Kebijakan harus tercantum dalam hasil.

  4. DiHasilpanel, pilihAWSMarketplaceFullAccess.

  5. Di menu tarik turun Tindakan kebijakan, pilih Lampirkan.

  6. Pilih pengguna, grup, dan peran yang ingin Anda lampirkan kebijakan ini, kemudian pilih Lampirkan kebijakan.

Lain kali pengguna atau anggota grup atau peran yang Anda pilih mengakses situs web AWS Marketplace, mereka dapat melakukan tugas-tugas yang terkait dengan proses pembuatan citra privat.