Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Bagaimana OpsWorks CM Bekerja dengan IAM
Sebelum Anda menggunakan IAM untuk mengelola akses ke OpsWorks CM, Anda harus memahami fitur IAM apa yang tersedia untuk digunakan dengan OpsWorks CM. Untuk mendapatkan tampilan tingkat tinggi tentang bagaimana OpsWorks CM dan AWS layanan lainnya bekerja dengan IAM, lihat AWS layanan yang bekerja dengan IAM di Panduan Pengguna IAM.
Topik
OpsWorks Kebijakan Berbasis Identitas CM
Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan tindakan dan sumber daya yang diizinkan atau ditolak serta kondisi di mana tindakan diizinkan atau ditolak. OpsWorks CM mendukung tindakan, sumber daya, dan kunci kondisi tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam kebijakan JSON, lihat Referensi elemen kebijakan IAM JSON dalam Panduan Pengguna IAM.
Di OpsWorks CM, Anda dapat melampirkan pernyataan kebijakan khusus ke pengguna, peran, atau grup.
Tindakan
Elemen Action kebijakan berbasis identitas IAM menjelaskan tindakan atau tindakan tertentu yang akan diizinkan atau ditolak oleh kebijakan tersebut. Tindakan kebijakan biasanya memiliki nama yang sama dengan operasi AWS API terkait. Tindakan ini digunakan dalam kebijakan untuk memberikan izin guna melakukan operasi terkait.
Tindakan kebijakan di OpsWorks CM menggunakan awalan berikut sebelum tindakan:opsworks-cm:. Misalnya, untuk memberikan izin kepada seseorang untuk membuat server OpsWorks CM menggunakan operasi API, Anda menyertakan opsworks-cm:CreateServer tindakan tersebut dalam kebijakan mereka. Pernyataan kebijakan harus mencakup salah satu Action atau NotAction elemen. OpsWorks
CM mendefinisikan serangkaian tindakannya sendiri yang menggambarkan tugas yang dapat Anda lakukan dengan layanan ini.
Untuk menetapkan beberapa tindakan dalam satu pernyataan, pisahkan dengan koma seperti berikut:
"Action": [ "opsworks-cm:action1", "opsworks-cm:action2"
Anda dapat menentukan beberapa tindakan menggunakan wildcard (*). Sebagai contoh, untuk menentukan semua tindakan yang dimulai dengan kata Describe, sertakan tindakan berikut:
"Action": "opsworks-cm:Describe*"
Saat Anda menggunakan wildcard untuk mengizinkan beberapa tindakan dalam pernyataan kebijakan, berhati-hatilah agar Anda mengizinkan tindakan tersebut hanya untuk layanan atau pengguna resmi.
Untuk melihat daftar tindakan OpsWorks CM, lihat Tindakan, Sumber Daya, dan Kunci Kondisi untuk AWS OpsWorks di Panduan Pengguna IAM.
Sumber daya
Elemen Resource menentukan objek di mana tindakan berlaku. Pernyataan harus mencakup elemen Resource atau NotResource. Anda menentukan sumber daya menggunakan ARN atau menggunakan wildcard (*) untuk menunjukkan bahwa pernyataan berlaku untuk semua sumber daya.
Anda bisa mendapatkan Amazon Resource Number (ARN) dari server OpsWorks CM atau cadangan dengan menjalankan operasi DescribeServersatau DescribeBackupsAPI, dan mendasarkan kebijakan tingkat sumber daya pada sumber daya tersebut.
Sumber daya server OpsWorks CM memiliki ARN dalam format berikut:
arn:aws:opsworks-cm:{Region}:${Account}:server/${ServerName}/${UniqueId}
Sumber daya cadangan OpsWorks CM memiliki ARN dalam format berikut:
arn:aws:opsworks-cm:{Region}:${Account}:backup/${ServerName}-{Date-and-Time-Stamp-of-Backup}
Untuk informasi selengkapnya tentang format ARNs, lihat Amazon Resource Names (ARNs) dan Ruang Nama AWS Layanan.
Misalnya, untuk menentukan server test-chef-automate Chef Automate dalam pernyataan Anda, gunakan ARN berikut:
"Resource": "arn:aws:opsworks-cm:us-west-2:123456789012:server/test-chef-automate/EXAMPLE-d1a2bEXAMPLE"
Untuk menentukan semua server OpsWorks CM milik akun tertentu, gunakan wildcard (*):
"Resource": "arn:aws:opsworks-cm:us-west-2:123456789012:server/*"
Contoh berikut menentukan cadangan server OpsWorks CM sebagai sumber daya:
"Resource": "arn:aws:opsworks-cm:us-west-2:123456789012:backup/test-chef-automate-server-2018-05-20T19:06:12.399Z"
Beberapa tindakan OpsWorks CM, seperti untuk membuat sumber daya, tidak dapat dilakukan pada sumber daya tertentu. Dalam kasus tersebut, Anda harus menggunakan wildcard (*).
"Resource": "*"
Banyak tindakan API melibatkan beberapa sumber daya. Untuk menentukan beberapa sumber daya dalam satu pernyataan, pisahkan ARNs dengan koma.
"Resource": [ "resource1", "resource2"
Untuk melihat daftar jenis sumber daya OpsWorks CM dan jenisnya ARNs, lihat Tindakan, Sumber Daya, dan Kunci Kondisi untuk AWS OpsWorks CM di Panduan Pengguna IAM. Untuk mempelajari tindakan mana yang dapat Anda tentukan ARN dari setiap sumber daya, lihat Tindakan, Sumber Daya, dan Kunci Kondisi untuk AWS OpsWorks CM di Panduan Pengguna IAM.
Kunci kondisi
OpsWorks CM tidak memiliki kunci konteks khusus layanan yang dapat digunakan dalam Condition elemen pernyataan kebijakan. Untuk daftar kunci konteks global yang tersedia untuk semua layanan, lihat kunci konteks kondisi AWS global di Referensi Kebijakan IAM. Untuk melihat semua kunci kondisi AWS global, lihat kunci konteks kondisi AWS global di Panduan Pengguna IAM.
Elemen Condition (atau blok Condition) akan memungkinkan Anda menentukan kondisi yang menjadi dasar suatu pernyataan berlaku. Elemen Condition bersifat opsional. Anda dapat membuat ekspresi bersyarat yang menggunakan operator kondisi, seperti sama dengan atau kurang dari, untuk mencocokkan ketentuan dalam kebijakan dengan nilai dalam permintaan.
Jika Anda menentukan beberapa elemen Condition dalam pernyataan, atau beberapa kunci dalam satu elemen Condition, AWS mengevaluasinya menggunakan operasi AND. Jika Anda menentukan beberapa nilai untuk satu kunci kondisi, AWS mengevaluasi kondisi menggunakan OR operasi logis. Semua kondisi harus dipenuhi sebelum izin pernyataan diberikan.
Anda juga dapat menggunakan variabel placeholder saat menentukan kondisi. Misalnya, Anda dapat memberikan izin pengguna untuk mengakses sumber daya hanya jika ditandai dengan nama pengguna. Untuk informasi lebih lanjut, lihat Elemen kebijakan IAM: Variabel dan tanda dalam Panduan Pengguna IAM.
Contoh
Untuk melihat contoh kebijakan berbasis identitas OpsWorks CM, lihat. AWS OpsWorks Contoh Kebijakan Berbasis Identitas CM
OpsWorks CM dan Kebijakan Berbasis Sumber Daya
OpsWorks CM tidak mendukung kebijakan berbasis sumber daya.
Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang menentukan tindakan apa yang dapat dilakukan oleh prinsipal tertentu pada sumber daya dan dalam kondisi apa.
Otorisasi Berdasarkan Tag OpsWorks CM
Anda dapat melampirkan tag ke sumber daya OpsWorks CM atau meneruskan tag dalam permintaan ke OpsWorks CM. Untuk mengontrol akses berdasarkan tag, Anda memberikan informasi tag dalam elemen kondisi kebijakan menggunakanaws:RequestTag/, atau kunci key-nameaws:TagKeys kondisi. Untuk informasi selengkapnya tentang menandai sumber daya OpsWorks CM, lihat Bekerja dengan Tag pada AWS OpsWorks for Chef Automate Sumber Daya atau Bekerja dengan Tag pada AWS OpsWorks for Puppet Enterprise Sumber Daya di panduan ini.
OpsWorks Peran CM IAM
Peran IAM adalah entitas dalam AWS akun Anda yang memiliki izin tertentu.
OpsWorks CM menggunakan dua peran:
-
Peran layanan yang memberikan izin layanan OpsWorks CM untuk bekerja dalam akun pengguna. AWS Jika Anda menggunakan peran layanan default yang disediakan oleh OpsWorks CM, nama peran ini adalah
aws-opsworks-cm-service-role. -
Peran profil instance yang memungkinkan layanan OpsWorks CM memanggil OpsWorks CM API. Peran ini memberikan akses ke Amazon S3 AWS CloudFormation dan untuk membuat server dan bucket S3 untuk cadangan. Jika Anda menggunakan profil instans default yang disediakan oleh OpsWorks CM, nama peran profil instance ini adalah
aws-opsworks-cm-ec2-role.
OpsWorks CM tidak menggunakan peran terkait layanan.
Menggunakan Kredensyal Sementara dengan CM OpsWorks
OpsWorks CM mendukung penggunaan kredensil sementara, dan mewarisi kemampuan itu dari. AWS Security Token Service
Anda dapat menggunakan kredensial sementara untuk masuk dengan gabungan, menjalankan IAM role, atau menjalankan peran lintas akun. Anda memperoleh kredensil keamanan sementara dengan memanggil operasi AWS STS API seperti AssumeRoleatau. GetFederationToken
Peran Tertaut Layanan
OpsWorks CM tidak menggunakan peran terkait layanan.
Peran terkait AWS layanan memungkinkan layanan mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran terkait layanan muncul di akun IAM Anda dan dimiliki oleh layanan tersebut. Administrator IAM dapat melihat tetapi tidak dapat mengedit izin untuk peran terkait layanan.
Peran Layanan
Fitur ini memungkinkan layanan untuk menerima peran layanan atas nama Anda. Peran ini mengizinkan layanan untuk mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran layanan muncul di akun IAM Anda dan dimiliki oleh akun tersebut. Ini berarti administrator IAM dapat mengubah izin untuk peran ini. Namun, melakukan hal itu dapat merusak fungsionalitas layanan.
OpsWorks CM menggunakan dua peran:
-
Peran layanan yang memberikan izin layanan OpsWorks CM untuk bekerja dalam akun pengguna. AWS Jika Anda menggunakan peran layanan default yang disediakan oleh OpsWorks CM, nama peran ini adalah
aws-opsworks-cm-service-role. -
Peran profil instance yang memungkinkan layanan OpsWorks CM memanggil OpsWorks CM API. Peran ini memberikan akses ke Amazon S3 AWS CloudFormation dan untuk membuat server dan bucket S3 untuk cadangan. Jika Anda menggunakan profil instans default yang disediakan oleh OpsWorks CM, nama peran profil instance ini adalah
aws-opsworks-cm-ec2-role.
Memilih Peran IAM dalam CM OpsWorks
Saat membuat server di OpsWorks CM, Anda harus memilih peran untuk mengizinkan OpsWorks CM mengakses Amazon EC2 atas nama Anda. Jika Anda telah membuat peran layanan, maka OpsWorks CM memberi Anda daftar peran untuk dipilih. OpsWorks CM dapat membuat peran untuk Anda, jika Anda tidak menentukan satu. Penting untuk memilih peran yang memungkinkan akses untuk memulai dan menghentikan EC2 instans Amazon. Untuk informasi selengkapnya, lihat Buat Server Otomatis Koki atau Buat Master Perusahaan Boneka.
