Melengkapi langkah-langkah prasyarat

penting

AWS Marketplaceakan menghentikan metode pengiriman Private Image Build pada April 2024. Metode pengiriman hanya tersedia untuk pelanggan yang sudah ada sampai dihentikan. Untuk informasi selengkapnya, lihat Build citra privat.

Langkah-langkah prasyarat yang dijelaskan di sini memerlukan izin level administratif yang mengonfigurasi AWS Identity and Access Management (IAM) sehingga Anda dapat memberikan kemampuan untuk membangun citra privat untuk pengguna lain. Setelah kebijakan dan IAM role dibuat, Anda dapat melampirkannya ke akun grup (atau pengguna) sehingga pengguna terkait dapat membangun citra privat.

IAM adalah layanan web yang membantu Anda mengontrol akses ke AWS sumber daya secara aman. Anda menggunakan IAM untuk mengontrol siapa yang dapat terautentikasi (masuk) dan berwenang (memiliki izin) untuk menggunakan sumber daya. Anda membuat identitas (pengguna, grup, dan peran) dan menambahkan pengguna ke grup sehingga Anda dapat mengelola grup, bukan pengguna individual. Peran IAM serupa dengan pengguna di mana IAM merupakan identitas dengan kebijakan izin yang menentukan apa yang dapat dan tidak dapat dilakukan identitas. AWS Namun, sebuah peran tidak memiliki kredensial apa pun (kata sandi atau access key) yang terkait. Namun, alih-alih secara unik terkait dengan satu orang, peran dimaksudkan untuk dapat diasumsikan oleh siapa pun yang membutuhkannya. Seorang pengguna dapat mengambil peran sementara untuk mengambil izin yang berbeda untuk tugas tertentu.

Porsi akses manajemen dari IAM membantu Anda menentukan apa yang diizinkan untuk dilakukan oleh pengguna atau entitas lain dalam sebuah akun, yang sering disebut sebagai Otorisasi. Izin diberikan melalui kebijakan. Kebijakan adalah entitas dalam AWS yang, ketika dilampirkan ke identitas atau sumber daya, menetapkan izinnya. AWS mengevaluasi kebijakan ini ketika prinsipal, seperti pengguna, membuat permintaan. Izin dalam kebijakan menentukan apakah permintaan tersebut diizinkan atau ditolak. Kebijakan disimpan AWS sebagai dokumen JSON yang dilampirkan ke prinsipal sebagai kebijakan berbasis identitas atau sumber daya sebagai kebijakan berbasis identitas. Anda memberikan izin dengan menentukan kebijakan izin dan menetapkan kebijakan ke grup.

Kebijakan berbasis identitas adalah kebijakan izin yang Anda lampirkan ke identitas, seperti pengguna, grup, atau grup. Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya seperti bucket Amazon Simple Storage Service (Amazon S3). Kebijakan berbasis identitas mengendalikan tindakan apa yang dapat dilakukan oleh identitas, pada sumber daya mana, dan dengan kondisi apa. Kebijakan berbasis identitas dapat dikategorikan ke dalam kebijakan terkelola, kebijakan AWS terkelola pelanggan, dan kebijakan yang selaras.

Kebijakan berbasis sumber daya mengontrol tindakan apa yang dapat dilakukan oleh prinsipal tertentu pada sumber daya tersebut dan dengan kondisi seperti apa. Kebijakan berbasis sumber daya merupakan kebijakan inline, dan tidak ada kebijakan berbasis sumber daya terkelola. Meskipun identitas IAM secara teknis AWS sumber daya, Anda tidak dapat melampirkan kebijakan berbasis sumber daya ke identitas IAM. Anda harus menggunakan kebijakan berbasis identitas di IAM. Kebijakan kepercayaan adalah kebijakan berbasis sumber daya yang terlampir pada peran yang menentukan prinsip yang mengasumsikan peran. Saat Anda membuat peran dalam IAM, peran harus memiliki dua hal: kebijakan kepercayaan yang menunjukkan siapa yang dapat mengambil peran dan kebijakan izin yang menunjukkan apa yang dapat mereka lakukan dengan peran tersebut. Ingat bahwa menambahkan akun ke kebijakan kepercayaan dari suatu peran hanya setengah dari membangun hubungan kepercayaan. Secara default, tidak ada pengguna di akun tepercaya yang dapat mengambil peran tersebut hingga administrator untuk akun tersebut memberikan izin kepada pengguna untuk mengambil peran tersebut.

Layanan Build AWS Marketplace Citra menggunakan dua IAM role, dan setiap peran memiliki kebijakan izin dan kebijakan kepercayaan. Jika Anda memiliki pengguna yang mengakses AWS Marketplace situs web untuk membangun citra privat, pengguna tersebut juga perlu izin IAM untuk mencantumkan dan menetapkan peran yang diperlukan untuk membuat dan melihat citra privat yang mereka bangun.

Sebagai administrator, Anda membuat dua peran yang diperlukan dan kebijakan terkait mereka. Peran pertama adalah profil instans yang melekat pada instans yang dibuat selama proses pembuatan citra. Profil instans adalah kontainer untuk IAM role yang dapat Anda gunakan untuk meneruskan informasi peran ke instans Amazon EC2 saat instans diluncurkan. Yang kedua adalah IAM role yang menyediakan akses ke AWS Systems Managerdan Amazon EC2. Untuk mengonfigurasi profil instans, lampirkan kebijakan izin yang menyediakan izin yang diperlukan. Kemudian edit kebijakan kepercayaan untuk peran untuk memberikan izin untuk Amazon EC2 dan Systems Manager untuk mengambil peran.

Membuat peran profil instans

Untuk membuat peran profil instans melalui konsol IAM

1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

2. Di panel navigasi konsol IAM, pilih Peran kemudian pilih Buat peran.

3. Untuk Pilih jenis entitas tepercaya, pilih Layanan AWS.

4. Untuk Pilih layanan yang akan menggunakan peran ini , pilih EC2, kemudian pilih Berikutnya: Izin.

5. Untuk Buat kebijakan, pilih Berikutnya: Tinjauan.

6. Untuk Nama peran, masukkan nama peran atau akhiran nama peran untuk membantu Anda mengidentifikasi tujuan peran ini, misalnyaMyInstanceRole. Nama peran harus unik di AndaAkun AWS.

7. Tinjau peran kemudian pilih Buat peran.

8. Pada halaman Peran, pilih peran yang Anda buat.

9. Untuk Izin, pilih Tambahkan kebijakan selaras.

10. Pilih tab JSON dan ganti semua teks dengan InstanceRolePermissionsPolicy teks berikut.

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Action": [
                    "ssm:DescribeAssociation",
                    "ssm:GetDocument",
                    "ssm:GetManifest",
                    "ssm:GetParameters",
                    "ssm:ListAssociations",
                    "ssm:ListInstanceAssociations",
                    "ssm:PutConfigurePackageResult",
                    "ssm:UpdateAssociationStatus",
                    "ssm:UpdateInstanceAssociationStatus",
                    "ssm:UpdateInstanceInformation"
                ],
                "Resource": "*",
                "Effect": "Allow"
            },
            {
                "Action": [
                    "ec2messages:AcknowledgeMessage",
                    "ec2messages:DeleteMessage",
                    "ec2messages:FailMessage",
                    "ec2messages:GetEndpoint",
                    "ec2messages:GetMessages",
                    "ec2messages:SendReply"
                ],
                "Resource": "*",
                "Effect": "Allow"
            },
            {
                "Action": [
                    "ec2:DescribeInstanceStatus"
                ],
                "Resource": "*",
                "Effect": "Allow"
            },
            {
                "Action": [
                    "s3:GetObject",
                    "s3:PutObject"
                ],
                "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*",
                "Effect": "Allow"
            }
        ]
    } 

    catatan

    Sebelum memulai proses ini, Anda harus membuat bucket S3, DOC-EXAMPLE-BUCKET.

11. Pilih Tinjau kebijakan.

12. Untuk Nama kebijakan, masukkan nama untuk membantu Anda mengidentifikasi tujuan kebijakan ini, misalnyaMyInstanceRolePolicy, dan pilih Buat kebijakan.

Untuk mengedit hubungan kepercayaan untuk peran

1. Pada halaman Peran, pilih peran yang Anda buat.

2. Pilih tab Hubungan kepercayaan, kemudian pilih Edit hubungan kepercayaan.

3. Pilih semua teks dalam kotak teks Dokumen Kebijakan dan ganti dengan InstanceRoleTrustPolicy teks berikut.

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": [
             "ssm.amazonaws.com",
             "ec2.amazonaws.com"
           ]
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }

4. Pilih Perbarui Kebijakan Kepercayaan.

Membuat peran AWS Systems Manager Otomasi

Untuk membuat peran AWS Systems Manager Otomasi

1. Di panel navigasi konsol IAM, pilih Peran kemudian pilih Buat peran.

2. Untuk Pilih jenis entitas tepercaya, pilih Layanan AWS.

3. Untuk Pilih layanan yang akan menggunakan peran ini , pilih EC2, kemudian pilih Berikutnya: Izin.

4. Untuk Buat kebijakan, pilih Berikutnya: Tinjauan.

5. Untuk Nama peran, masukkan nama peran atau akhiran nama peran untuk membantu Anda mengidentifikasi tujuan peran ini, misalnyaMyAutomationRole. Nama peran harus unik di AndaAkun AWS.

6. Tinjau peran kemudian pilih Buat peran.

7. Pada halaman Peran, pilih peran yang Anda buat.

8. Untuk Izin, pilih Tambahkan kebijakan selaras.

9. Pilih tab JSON dan ganti semua teks dengan AutomationRolePermissionsPolicy teks berikut.

   
       "Version": "2012-10-17",
       "Statement": [
           {
               "Action": [
                   "ssm:*"
               ],
               "Resource": [
                   "*"
               ],
               "Effect": "Allow"
           },
           {
               "Action": [
                   "ec2:CreateImage",
                   "ec2:DescribeImages",
                   "ec2:StartInstances",
                   "ec2:RunInstances",
                   "ec2:StopInstances",
                   "ec2:TerminateInstances",
                   "ec2:DescribeInstanceStatus",
                   "ec2:CreateTags",
                   "ec2:DescribeTags"
               ],
               "Resource": [
                   "*"
               ],
               "Effect": "Allow"
           },
           {
               "Action": [
                   "iam:PassRole"
               ],
               "Resource": [
                   "{{ Instance Profile }}"
               ],
               "Effect": "Allow"
           }
       ]
   }
   

   catatan

   Anda harus mengganti {{ Instance Profile }} dengan Amazon Resource Name (ARN) untuk peran kebijakan instans yang Anda buat sebelumnya. Temukan peran di konsol manajemen IAM dan pilih peran tersebut. Pada halaman ringkasan untuk peran, ARN Peran adalah item pertama yang tercantum misalnya, arn:aws:iam::123456789012:role/MyInstanceRole di halaman ringkasan untuk peran.

Untuk mengedit hubungan kepercayaan untuk peran

1. Pada halaman Peran, pilih peran yang Anda buat.

2. Pilih tab Hubungan kepercayaan, kemudian pilih Edit hubungan kepercayaan.

3. Ganti semua teks dalam kotak teks Dokumen Kebijakan dengan InstanceRoleTrustPolicy teks berikut.

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": [
             "ssm.amazonaws.com",
             "ec2.amazonaws.com"
           ]
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }

4. Pilih Perbarui Kebijakan Kepercayaan.

Anda sekarang telah membuat dua peran dan kebijakan terkait yang akan Anda gunakan selama proses pembuatan citra privat.

Menggunakan kebijakan untuk mengakses situs AWS Marketplace web

Sebagian besar organisasi tidak mengizinkan pengguna untuk masuk dengan kredensi akun root. Sebaliknya, mereka membuat pengguna dengan izin terbatas berdasarkan peran organisasi atau tugas yang hanya dapat dilakukan oleh orang-orang tertentu. AWS Marketplacemenyediakan dua kebijakan IAM dikelola utama untuk bekerja dengan AWS Marketplace alat. Gunakan dua kebijakan terkelola ini untuk menyediakan kemampuan untuk melakukan tugas yang dijelaskan:

• AWSMarketplaceFullAccess— Menyediakan kemampuan untuk berlangganan dan berhenti berlangganan perangkat lunak IAM, memungkinkan pengguna untuk mengelola instans AWS Marketplace perangkat lunak dari halaman Perangkat Lunak AWS Marketplace Anda, dan menyediakan akses administratif ke Amazon EC2.

• AWSMarketplaceRead-only— Menyediakan kemampuan untuk meninjau AWS langganan.

Anda dapat menambahkan kebijakan AWSMarketplaceFullAccess dikelola untuk pengguna, grup, atau peran untuk memberikan semua izin yang diperlukan untuk mengakses AWS Marketplace situs web dan melakukan tugas-tugas yang terkait dengan Build Citra AWS Marketplace Privat.

Untuk menyediakan akses, tambahkan izin ke pengguna, grup, atau peran Anda:

• Pengguna dan grup diAWS IAM Identity Center:

  Buat set izin. Ikuti petunjuk di Buat set izin di Panduan AWS IAM Identity Center Pengguna.

• Pengguna yang dikelola dalam IAM melalui penyedia identitas:

  Buat peran untuk federasi identitas. Ikuti petunjuk dalam Membuat peran untuk penyedia identitas pihak ketiga (federasi) di Panduan Pengguna IAM.

• Pengguna IAM:

  • Buat peran yang dapat diasumsikan pengguna Anda. Ikuti petunjuk dalam Membuat peran untuk pengguna IAM di Panduan Pengguna IAM.

  • (Tidak disarankan) Lampirkan kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk dalam Menambahkan izin ke pengguna (konsol) di Panduan Pengguna IAM.

Lain kali pengguna atau anggota grup atau peran yang Anda pilih mengakses AWS Marketplace situs web, mereka dapat melakukan tugas-tugas yang terkait dengan proses pembuatan citra privat.