Membuat dan menggunakan izin terkelola pelanggan diAWS RAM - AWS Resource Access Manager
Membuat izin terkelola pelangganMembuat versi baru izin terkelola pelangganPilih versi yang berbeda untuk menjadi default untuk izin yang dikelola pelangganMenghapus versi izin terkelola pelangganMenghapus izin terkelola pelanggan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat dan menggunakan izin terkelola pelanggan diAWS RAM

AWS Resource Access Manager(AWS RAM) menyediakan setidaknya satu izinAWS terkelola untuk setiap jenis sumber daya yang dapat Anda bagikan. Namun, izin terkelola tersebut mungkin tidak memberikan akses hak istimewa paling sedikit untuk kasus penggunaan berbagi Anda. Ketika salah satu izinAWS terkelola yang disediakan tidak berfungsi, Anda dapat membuat izin terkelola pelanggan Anda sendiri.

Izin terkelola pelanggan adalah izin terkelola yang Anda buat dan pertahankan dengan menentukan secara tepat tindakan mana yang dapat dilakukan di bawah kondisi dengan sumber daya yang digunakan bersamaAWS RAM. Misalnya, Anda ingin membatasi akses baca untuk pool Amazon VPC IP Address Manager (IPAM), yang membantu Anda mengelola alamat IP Anda dalam skala besar. Anda dapat membuat izin terkelola pelanggan untuk pengembang Anda untuk menetapkan alamat IP, tetapi tidak melihat kisaran alamat IP yang ditetapkan akun pengembang lainnya. Anda dapat mengikuti praktik terbaik dengan hak istimewa yang paling tidak, hanya memberikan izin yang diperlukan untuk melakukan tugas pada sumber daya bersama.

Selain itu, Anda dapat memperbarui atau menghapus izin yang dikelola pelanggan sesuai kebutuhan.

Membuat izin terkelola pelanggan

Izin yang dikelola pelanggan khusus untukWilayah AWS. Pastikan Anda membuat izin terkelola pelanggan ini di Wilayah yang sesuai.

Console
Untuk membuat izin terkelola pelanggan

  1. Lakukan salah satu dari berikut:

  2. Untuk detail izin terkelola Pelanggan, masukkan nama izin terkelola pelanggan.

  3. Pilih jenis sumber daya yang berlaku izin terkelola ini.

  4. Untuk template Kebijakan, Anda menentukan operasi mana yang diizinkan untuk dilakukan pada jenis sumber daya ini.

    • Anda dapat memilih Izin terkelola impor untuk menggunakan tindakan dari izin terkelola yang ada.

    • Pilih atau batalkan pilihan informasi tingkat akses untuk memenuhi kebutuhan Anda di editor visual.

    • Menambah atau memodifikasi kondisi menggunakan editor JSON.

  5. (Opsional) Untuk melampirkan tag ke izin terkelola, untuk Tag, masukkan kunci tag dan nilai. Tambahkan tag tambahan dengan memilih Tambahkan tag baru. Ulangi langkah ini seperlunya.

  6. Setelah selesai, pilih Buat izin terkelola pelanggan.

AWS CLI
Untuk membuat izin terkelola pelanggan

  • Jalankan perintah create-permission dan tentukan nama, jenis sumber daya yang diterapkan izin terkelola pelanggan, dan teks isi template kebijakan.

    Contoh perintah berikut membuat izin dikelola untuk jenisimagebuilder:Component sumber daya. 

    $ aws ram create-permission \
    --name TestCMP \
    --resource-type imagebuilder:Component \
    --policy-template "{\"Effect\":\"Allow\",\"Action\":[\"imagebuilder:ListComponents\"]}"
{
    "permission": {
        "arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
        "version": "1",
        "defaultVersion": true,
        "isResourceTypeDefault": false,
        "name": "TestCMP",
        "resourceType": "imagebuilder:Component",
        "status": "ATTACHABLE",
        "creationTime": 1680033769.401,
        "lastUpdatedTime": 1680033769.401
    }
}

Membuat versi baru izin terkelola pelanggan

Jika kasus penggunaan izin terkelola pelanggan Anda berubah, Anda dapat membuat versi baru dari izin terkelola. Ini tidak memengaruhi pembagian sumber daya Anda yang ada, hanya saham sumber daya baru yang akan menggunakan izin terkelola pelanggan ini.

Setiap izin terkelola dapat memiliki hingga lima versi, tetapi Anda hanya dapat mengaitkan versi default.

Console
Membuat versi baru izin terkelola pelanggan

  1. Arahkan ke pustaka Izin terkelola.

  2. Filter daftar izin terkelola oleh Pelanggan yang dikelola, atau cari nama izin terkelola pelanggan yang ingin Anda ubah.

  3. Dari halaman detail izin terkelola, di bagian Versi izin terkelola, pilih Buat versi.

  4. Untuk template Kebijakan, Anda dapat menambah atau menghapus tindakan dan kondisi dengan editor visual atau editor JSON.

    Anda juga memiliki opsi untuk memilih Izin terkelola impor untuk menggunakan templat kebijakan yang ada.

  5. Setelah selesai, pilih Buat versi di bagian bawah halaman.

AWS CLI
Membuat versi baru izin terkelola pelanggan

  1. Temukan Nama Sumber Daya Amazon (ARN) dari izin terkelola pelanggan yang ingin Anda buat versi baru. Lakukan ini dengan memanggil izin daftar dengan--permission-type CUSTOMER_MANAGED parameter untuk hanya menyertakan izin yang dikelola pelanggan.

    $ aws ram-cmp list-permissions --permission-type CUSTOMER_MANAGED
{
    "permissions": [
        {
            "arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
            "version": "2",
            "defaultVersion": true,
            "isResourceTypeDefault": false,
            "name": "TestCMP",
            "permissionType": "CUSTOMER_MANAGED",
            "resourceType": "imagebuilder:Component",
            "status": "ATTACHABLE",
            "creationTime": 1680035597.346,
            "lastUpdatedTime": 1680035597.346
        }
    ]
}

  2. Setelah Anda memiliki ARN, Anda dapat menghubungi create-permission-versionoperasi dan memberikan template kebijakan yang diperbarui.

    $ aws ram create-permission-version \
    --permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP \
    --policy-template {"Effect":"Allow","Action":["imagebuilder:ListComponents"]}
{
    "permission": {
        "arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
        "version": "2",
        "defaultVersion": true,
        "isResourceTypeDefault": false,
        "name": "TestCMP",
        "status": "ATTACHABLE",
        "resourceType": "imagebuilder:Component",
        "permission": "{\"Effect\":\"Allow\",\"Action\":[\"imagebuilder:ListComponents\"]}",
        "creationTime": 1680038973.79,
        "lastUpdatedTime": 1680038973.79
    }
}

    Outputnya mencakup nomor versi versi baru.

Pilih versi yang berbeda untuk menjadi default untuk izin yang dikelola pelanggan

Anda dapat mengatur versi izin terkelola pelanggan lain sebagai versi default baru.

Console
Untuk menetapkan versi default baru untuk izin terkelola pelanggan

  1. Arahkan ke pustaka Izin terkelola.

  2. Filter daftar izin terkelola oleh Pelanggan yang dikelola, atau cari nama izin terkelola pelanggan yang ingin Anda ubah.

  3. Dari halaman Rincian izin terkelola Pelanggan, di bagian Versi izin terkelola, gunakan daftar tarik-turun untuk memilih versi yang ingin Anda tetapkan sebagai default baru.

  4. Pilih Tetapkan sebagai versi default.

  5. Ketika kotak dialog muncul, konfirmasikan bahwa Anda ingin versi ini menjadi default untuk semua pembagian sumber daya baru yang menggunakan izin terkelola pelanggan ini. Jika Anda setuju, pilih Tetapkan sebagai versi default.

AWS CLI
Untuk menetapkan versi default baru untuk izin terkelola pelanggan

  1. Temukan nomor versi yang ingin Anda tetapkan sebagai versi default dengan menelepon list-permission-versions.

    Contoh perintah berikut mengambil versi saat ini untuk izin terkelola pelanggan.

    $ aws ram list-permission-versions \
    --permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP
{
    "permissions": [
        {
            "arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
            "version": "1",
            "defaultVersion": false,
            "isResourceTypeDefault": false,
            "name": "TestCMP",
            "permissionType": "CUSTOMER_MANAGED",
            "featureSet": "STANDARD",
            "resourceType": "imagebuilder:Component",
            "status": "UNATTACHABLE",
            "creationTime": 1680033769.401,
            "lastUpdatedTime": 1680035597.345
        },
        {
            "arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
            "version": "2",
            "defaultVersion": true,
            "isResourceTypeDefault": false,
            "name": "TestCMP",
            "permissionType": "CUSTOMER_MANAGED",
            "featureSet": "STANDARD",
            "resourceType": "imagebuilder:Component",
            "status": "ATTACHABLE",
            "creationTime": 1680035597.346,
            "lastUpdatedTime": 1680035597.346
        }
    ]
}

  2. Setelah Anda memiliki nomor versi untuk ditetapkan sebagai default, Anda dapat memanggil set-default-permission-versionoperasi.

    $ aws ram-cmp set-default-permission-version \
    --permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP \
    --version 2

    Perintah ini mengembalikan tidak ada output jika berhasil. Anda dapat menjalankan list-permission-versionslagi dan memverifikasi bahwadefaultVersion bidang versi yang dipilih sekarang diatur ketrue.

Menghapus versi izin terkelola pelanggan

Anda dapat memiliki sampai dengan lima versi dari setiap izin terkelola pelanggan. Saat versi tidak lagi diperlukan, dan tidak digunakan, Anda dapat menghapusnya. Anda tidak dapat menghapus versi standar izin terkelola pelanggan. Versi yang dihapus tetap terlihat di konsol hingga dua jam dengan status dihapus sebelum dihapus sepenuhnya.

Console

Menghapus versi izin terkelola pelanggan

  1. Arahkan ke pustaka Izin terkelola.

  2. Filter daftar izin terkelola oleh Pelanggan yang dikelola, atau cari nama izin terkelola pelanggan dengan versi yang ingin Anda hapus.

  3. Pastikan versi yang ingin Anda hapus saat ini tidak default.

  4. Untuk bagian Versi halaman, pilih tab Shares sumber daya terkait untuk melihat apakah ada saham yang menggunakan versi ini.

    Jika ada saham yang terkait, Anda harus mengubah versi izin terkelola pelanggan sebelum dapat menghapus versi ini.

  5. Pilih Hapus versi di sisi kanan bagian Versi.

  6. Di kotak dialog konfirmasi, pilih Hapus untuk mengonfirmasi bahwa Anda ingin menghapus versi izin terkelola pelanggan ini.

    Pilih Batalkan jika Anda tidak ingin menghapus versi izin terkelola pelanggan ini.

AWS CLI
Untuk menghapus satu versi izin terkelola pelanggan

  1. Panggil list-permission-versionsoperasi untuk mengambil nomor versi yang tersedia.

  2. Setelah Anda memiliki nomor versi, berikan sebagai parameter untuk delete-permission-version.

    $ aws ram-cmp delete-permission-version \
    --permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP \
    --version 1

    Perintah ini mengembalikan tidak ada output jika berhasil. Anda dapat menjalankan list-permission-versionslagi dan memverifikasi bahwa versi tidak lagi termasuk dalam output.

Menghapus izin terkelola pelanggan

Jika izin yang dikelola pelanggan tidak lagi diperlukan, dan tidak digunakan, Anda dapat menghapusnya. Anda tidak dapat menghapus izin terkelola pelanggan yang terkait dengan berbagi sumber daya. Izin terkelola pelanggan yang dihapus menghilang setelah dua jam. Sampai saat itu, itu tetap terlihat di pustaka izin terkelola dengan status dihapus.

Console

Menghapus izin terkelola pelanggan

  1. Arahkan ke pustaka Izin terkelola.

  2. Filter daftar izin terkelola oleh Pelanggan yang dikelola, atau cari nama izin terkelola pelanggan yang ingin Anda hapus.

  3. Konfirmasikan ada 0 saham terkait dari daftar izin terkelola sebelum memilih izin terkelola pelanggan.

    Jika masih ada saham sumber daya yang terkait dengan izin terkelola, Anda harus menetapkan izin terkelola lain untuk semua saham sumber daya sebelum Anda dapat melanjutkan.

  4. Di sudut kanan atas halaman detail terkelola pelanggan, pilih Hapus izin terkelola pelanggan, pilih Hapus izin terkelola pelanggan,

  5. Saat kotak dialog konfirmasi muncul, pilih Hapus untuk menghapus izin terkelola.

AWS CLI
Untuk menghapus izin terkelola pelanggan

  1. Temukan ARN izin terkelola yang ingin Anda hapus dengan memanggil izin daftar dengan--permission-type CUSTOMER_MANAGED parameter untuk hanya menyertakan izin yang dikelola pelanggan.

    $ aws ram-cmp list-permissions --permission-type CUSTOMER_MANAGED
{
    "permissions": [
        {
            "arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
            "version": "2",
            "defaultVersion": true,
            "isResourceTypeDefault": false,
            "name": "TestCMP",
            "permissionType": "CUSTOMER_MANAGED",
            "resourceType": "imagebuilder:Component",
            "status": "ATTACHABLE",
            "creationTime": 1680035597.346,
            "lastUpdatedTime": 1680035597.346
        }
    ]
}

  2. Setelah Anda memiliki ARN izin terkelola untuk dihapus, berikan sebagai parameter untuk menghapus-izin.

    $ aws ram delete-permission \
    --permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP
{
    "returnValue": true,
    "permissionStatus": "DELETING"
}