Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
BagaimanaAWS Serverless Application Repository Bekerja dengan IAM
Sebelum Anda menggunakan IAM untuk mengelola akses keAWS Serverless Application Repository, Anda harus memahami fitur IAM apa yang tersedia untuk digunakan denganAWS Serverless Application Repository.
Untuk mendapatkan gambaran umum tentang cara kerja IAM, lihat Memahami Cara Kerja IAM di Panduan Pengguna IAM. Untuk mendapatkan tampilan tingkat tinggi tentang caraAWS Serverless Application Repository danAWS layanan lainnya bekerja dengan IAM, lihat AWSLaynan Yang Bekerja dengan IAM dalam Panduan Pengguna IAM.
Topik
Kebijakan Berbasis Identitas AWS Serverless Application Repository
Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan tindakan dan sumber daya yang diizinkan atau ditolak, serta kondisi di mana tindakan tersebut diperbolehkan atau ditolak. AWS Serverless Application RepositoryMendukung tindakan, sumber daya, dan kunci syarat tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam kebijakan JSON, lihat Referensi Elemen Kebijakan JSON IAM dalam Panduan Pengguna IAM.
Berikut adalah contoh kebijakan izin.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateApplication", "Effect": "Allow", "Action": [ "serverlessrepo:CreateApplication" ], "Resource": "*" }, { "Sid": "CreateApplicationVersion", "Effect": "Allow", "Action": [ "serverlessrepo:CreateApplicationVersion" ], "Resource": "arn:partition:serverlessrepo:region:account-id:applications/application-name" } ] }
Kebijakan ini memiliki dua pernyataan:
-
Pernyataan pertama memberikan izin untukAWS Serverless Application Repository tindakan
serverlessrepo:CreateApplicationpada semuaAWS Serverless Application Repository sumber daya, sebagaimana ditentukan oleh karakter wildcard (*) sebagaiResourcenilai. -
Pernyataan kedua memberikan izin untukAWS Serverless Application Repository tindakan
serverlessrepo:CreateApplicationVersionpadaAWS sumber daya dengan menggunakan Amazon Resource Name (ARN) untukAWS Serverless Application Repository aplikasi. Aplikasi ditentukan olehResourcenilai.
Kebijakan tidak menyebutkanPrincipal elemen karena dalam kebijakan berbasis identitas, Anda tidak menyebutkan penanggung jawab yang mendapatkan izin. Saat Anda melampirkan kebijakan kepada pengguna, pengguna tersebut adalah prinsipal implisit. Saat Anda melampirkan kebijakan izin pada IAM role, prinsipal yang diidentifikasi dalam kebijakan kepercayaan peran tersebut mendapatkan izinnya.
Untuk tabel yang menampilkan semua operasiAWS Serverless Application Repository API danAWS sumber daya yang diterapkan, lihatAWS Serverless Application Repository Izin API: Referensi Tindakan dan Sumber Daya.
Tindakan
Administrator dapat menggunakan kebijakan JSON AWS untuk menentukan siapa yang memiliki akses ke hal apa. Yaitu, principal mana yang dapat melakukan tindakan pada sumber daya apa, dan dalam syarat apa.
Elemen Action dari kebijakan JSON menjelaskan tindakan-tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Tindakan kebijakan biasanya memiliki nama yang sama sebagai operasi API AWS terkait. Ada beberapa pengecualian, misalnya tindakan hanya dengan izin yang tidak memiliki operasi API yang cocok. Ada juga beberapa operasi yang memerlukan beberapa tindakan dalam kebijakan. Tindakan tambahan ini disebut tindakan dependen.
Sertakan tindakan dalam kebijakan untuk memberikan izin guna melakukan operasi yang terkait.
Tindakan kebijakan dalamAWS Serverless Application Repository menggunakan prefiks berikut sebelum tindakan:serverlessrepo:. Misalnya, untuk memberikan izin kepada seseorang untuk menjalankanAWS Serverless Application Repository instans dengan operasiAWS Serverless Application RepositorySearchApplications API, Anda menyertakanserverlessrepo:SearchApplications tindakan dalam kebijakan mereka. Pernyataan kebijakan harus memuat elemen Action atau NotAction. TheAWS Serverless Application Repository menentukan serangkaian tindakannya sendiri yang menjelaskan tugas yang dapat Anda lakukan dengan layanan ini.
Untuk menetapkan beberapa tindakan dalam satu pernyataan, pisahkan dengan koma seperti berikut:
"Action": [ "serverlessrepo:action1", "serverlessrepo:action2" ]
Anda dapat menentukan beberapa tindakan menggunakan wildcard (*). Misalnya, untuk menentukan semua tindakan yang dimulai dengan kata List, sertakan tindakan berikut:
"Action": "serverlessrepo:List*"
Untuk melihat daftar tindakan AWS Serverless Application Repository, lihat Tindakan Ditentukan oleh AWS Serverless Application Repository di Panduan Pengguna IAM.
Sumber daya
Administrator dapat menggunakan kebijakan JSON AWS untuk menentukan siapa yang memiliki akses ke hal apa. Yaitu, principal mana yang dapat melakukan tindakan pada sumber daya apa, dan dalam syarat apa.
Elemen kebijakan JSON Resource menentukan objek atau objek-objek yang menjadi target penerapan tindakan. Pernyataan harus mencakup elemen Resource atau NotResource. Sebagai praktik terbaik, tentukan sumber daya menggunakan Amazon Resource Name (ARN). Anda dapat melakukan ini untuk tindakan yang mendukung tipe sumber daya tertentu, yang dikenal sebagai izin tingkat sumber daya.
Untuk tindakan yang tidak mendukung izin tingkat sumber daya, misalnya operasi pencantuman, gunakan karakter wildcart (*) untuk menunjukkan bahwa pernyataan tersebut berlaku bagi semua sumber daya.
"Resource": "*"
DalamAWS Serverless Application Repository,AWS sumber daya utama adalahAWS Serverless Application Repository aplikasi. AWS Serverless Application Repositoryaplikasi memiliki Amazon Resource Names (ARN) unik yang terkait dengannya, seperti yang ditunjukkan dalam tabel berikut.
| AWSJenis Sumber Daya | Format Amazon Resource Name (ARN) Amazon |
|---|---|
| Aplikasi |
|
Untuk informasi lebih lanjut tentang format ARN, lihat Amazon Resource Name (ARN) dan Namespace Layanan AWS.
Berikut adalah contoh kebijakan yang memberikan izin untukserverlessrepo:ListApplications tindakan pada semuaAWS sumber daya. Dalam implementasi saat ini,AWS Serverless Application Repository tidak mendukung identifikasiAWS sumber daya tertentu menggunakan ARNAWS sumber daya (juga disebut sebagai izin tingkat sumber daya) untuk beberapa tindakan API. Dalam kondisi ini, Anda harus menentukan karakter wildcard (*).
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ListExistingApplications", "Effect": "Allow", "Action": [ "serverlessrepo:ListApplications" ], "Resource": "*" } ] }
Untuk tabel yang menampilkan semua TindakanAWS Serverless Application Repository API danAWS sumber daya yang diterapkan, lihatAWS Serverless Application Repository Izin API: Referensi Tindakan dan Sumber Daya.
Kunci kondisi
AWS Serverless Application RepositoryTidak menyediakan kunci syarat khusus layanan, tetapi mendukung menggunakan beberapa kunci syarat global. Untuk melihat semua kunci syarat global AWS, lihat Kunci Konteks Syarat Global AWS dalam Panduan Pengguna IAM.
Contoh
Untuk melihat contoh AWS Serverless Application Repository kebijakan berbasis identitas, lihat Contoh Kebijakan Berbasis Identitas AWS Serverless Application Repository.
AWS Serverless Application RepositoryKebijakan Aplikasi
Kebijakan aplikasi menentukan tindakan yang pokok tertentu atau PrincipalOrg dapat melakukan padaAWS Serverless Application Repository aplikasi.
Anda dapat menambahkan izin ke kebijakan yang terkait denganAWS Serverless Application Repository aplikasi. Kebijakan izin yang dilampirkan padaAWS Serverless Application Repository aplikasi disebut sebagai kebijakan aplikasi. Kebijakan aplikasi adalah ekstensi dari kebijakan berbasis sumber daya IAM. Sumber daya utama adalahAWS Serverless Application Repository aplikasi. Anda dapat menggunakan kebijakanAWS Serverless Application Repository aplikasi untuk mengelola izin penyebaran aplikasi.
AWS Serverless Application Repositorykebijakan aplikasi terutama digunakan oleh penerbit untuk memberikan izin kepada konsumen untuk menyebarkan aplikasi mereka, dan operasi terkait seperti untuk mencari dan melihat rincian aplikasi tersebut. Penerbit dapat mengatur izin aplikasi ke tiga kategori berikut:
-
Pribadi - Aplikasi yang dibuat dengan akun yang sama, dan belum dibagikan dengan akun lain. Anda memiliki izin untuk menyebarkan aplikasi yang dibuat menggunakanAWS akun Anda.
-
Dibagikan secara pribadi — Aplikasi yang telah dibagikan oleh penerbit secara eksplisit dengan sekumpulanAWS akun atauAWS Organizations tertentu. Anda memiliki izin untuk menyebarkan aplikasi yang telah dibagikan denganAWS akun atauAWS Organisasi Anda.
-
Dibagikan secara publik - Aplikasi yang telah dibagikan oleh penerbit dengan semua orang. Anda memiliki izin untuk menyebarkan aplikasi yang dibagikan secara publik.
Anda dapat memberikan izin dengan menggunakanAWS CLI,AWS SDK, atauAWS Management Console.
Contoh
Untuk melihat contoh pengelolaan kebijakanAWS Serverless Application Repository aplikasi, lihatAWS Serverless Application RepositoryContoh Kebijakan Aplikasi.
Otorisasi Berdasarkan Tag AWS Serverless Application Repository
AWS Serverless Application RepositoryTidak mendukung akses pengendalian ke sumber daya atau tindakan berdasarkan tanda.
AWS Serverless Application RepositoryIAM Role
IAM role adalah entitas dalam akun AWS Anda yang memiliki izin khusus.
Menggunakan kredenial sementara denganAWS Serverless Application Repository
Anda dapat menggunakan kredensial sementara untuk masuk dengan federasi, untuk memainkan peran IAM, atau untuk mengambil peran lintas akun. Anda memperoleh kredensi keamanan sementara dengan memanggil operasiAWS STS API seperti AssumeRoleatau GetFederationToken.
AWS Serverless Application RepositoryDukungan menggunakan kredenial sementara.
Peran Tertaut Layanan
AWS Serverless Application RepositoryTidak mendukung peran terkait layanan.
Peran Layanan
AWS Serverless Application RepositoryTidak mendukung peran layanan.
