Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Contoh kebijakan berbasis identitas untuk AWS Service Catalog
Topik
Akses konsol untuk pengguna akhir
AWSServiceCatalogEndUserReadOnlyAccessKebijakan AWSServiceCatalogEndUserFullAccessdan kebijakan memberikan akses ke tampilan konsol pengguna AWS Service Catalog
akhir. Saat pengguna yang memiliki salah satu kebijakan ini memilih AWS Service Catalog AWS Management Console, tampilan konsol pengguna akhir akan menampilkan produk yang diizinkan untuk diluncurkan.
Sebelum pengguna akhir berhasil meluncurkan produk tempat Anda memberi akses, Anda harus memberi mereka izin IAM tambahan agar mereka dapat menggunakan masing-masing AWS sumber daya yang mendasarinya dalam templat produk. AWS Service Catalog AWS CloudFormation Sebagai contoh, jika templat produk termasuk Amazon Relational Database Service (Amazon RDS), Anda harus memberikan izin Amazon RDS pada pengguna untuk meluncurkan produk.
Untuk mempelajari cara mengaktifkan pengguna akhir meluncurkan produk sambil menerapkan izin akses paling sedikit ke sumber daya, lihat. AWS Menggunakan AWS Service Catalog Kendala
Jika Anda menerapkan AWSServiceCatalogEndUserReadOnlyAccesskebijakan, pengguna Anda memiliki akses ke konsol pengguna akhir, tetapi mereka tidak akan memiliki izin yang mereka perlukan untuk meluncurkan produk dan mengelola produk yang disediakan. Anda dapat memberikan izin ini secara langsung kepada pengguna akhir yang menggunakan IAM, tetapi jika Anda ingin membatasi akses yang dimiliki pengguna akhir ke AWS sumber daya, Anda harus melampirkan kebijakan tersebut ke peran peluncuran. Anda kemudian menggunakan AWS Service Catalog untuk menerapkan peran peluncuran ke kendala peluncuran untuk produk. Untuk informasi selengkapnya tentang menerapkan peran peluncuran, batasan peran peluncuran, dan peran peluncuran sampel, lihat AWS Service Catalog Kendala Peluncuran.
catatan
Jika Anda memberikan izin IAM kepada pengguna untuk AWS Service Catalog administrator, tampilan konsol administrator akan ditampilkan sebagai gantinya. Jangan berikan izin ini kepada pengguna akhir kecuali jika Anda ingin mereka memiliki akses ke tampilan konsol administrator.
Akses produk untuk pengguna akhir
Sebelum pengguna akhir dapat menggunakan produk yang Anda beri akses, Anda harus memberi mereka izin IAM tambahan untuk memungkinkan mereka menggunakan setiap AWS sumber daya yang mendasarinya dalam templat produk. AWS CloudFormation Sebagai contoh, jika templat produk termasuk Amazon Relational Database Service (Amazon RDS), Anda harus memberikan izin Amazon RDS pada pengguna untuk meluncurkan produk.
Jika Anda menerapkan AWSServiceCatalogEndUserReadOnlyAccesskebijakan, pengguna Anda memiliki akses ke tampilan konsol pengguna akhir, tetapi mereka tidak akan memiliki izin yang mereka perlukan untuk meluncurkan produk dan mengelola produk yang disediakan. Anda dapat memberikan izin ini secara langsung kepada pengguna akhir di IAM, tetapi jika Anda ingin membatasi akses yang dimiliki pengguna akhir ke AWS sumber daya, Anda harus melampirkan kebijakan tersebut ke peran peluncuran. Anda kemudian menggunakan AWS Service Catalog untuk menerapkan peran peluncuran ke kendala peluncuran untuk produk. Untuk informasi selengkapnya tentang menerapkan peran peluncuran, batasan peran peluncuran, dan peran peluncuran sampel, lihat AWS Service Catalog Kendala Peluncuran.
Cpntoh kebijakan untuk mengelola produk yang disediakan
Anda dapat membuat kebijakan kustom untuk membantu memenuhi persyaratan keamanan organisasi Anda. Contoh berikut menjelaskan cara menyesuaikan tingkat akses untuk setiap tindakan dengan dukungan untuk tingkat pengguna, peran, dan akun. Anda dapat memberikan akses pada pengguna untuk melihat, memperbarui, mengakhiri, dan mengelola produk yang disediakan yang dibuat hanya oleh pengguna tersebut atau dibuat oleh orang lain yang juga di bawah peran mereka atau akun tempat mereka masuk. Akses ini hierarkis - memberikan akses tingkat akun juga memberikan akses tingkat peran dan akses tingkat pengguna, selagi menambahkan akses tingkat peran juga memberikan akses tingkat pengguna tetapi tidak akses tingkat akun. Anda dapat menentukan ini dalam kebijakan JSON menggunakan blok Condition sebagai accountLevel, roleLevel, atau userLevel.
Contoh-contoh ini juga berlaku untuk tingkat akses untuk operasi penulisan AWS Service Catalog API: UpdateProvisionedProduct danTerminateProvisionedProduct, dan operasi baca:DescribeRecord,ScanProvisionedProducts, danListRecordHistory. Operasi API ScanProvisionedProducts dan ListRecordHistory menggunakan AccessLevelFilterKey sebagai input, dan bahwa nilai-nilai kunci sesuai dengan tingkat blok Condition yang didiskusikan di sini (accountLevel setara dengan nilai “Akun” AccessLevelFilterKey, roleLevel dengan “Peran”, dan userLevel dengan “Pengguna”). Untuk informasi selengkapnya, lihat Panduan Pengembang Service Catalog.
Contoh
Akses admin penuh ke produk yang disediakan
Kebijakan berikut memungkinkan akses baca dan tulis penuh ke produk dan catatan yang disediakan dalam katalog pada tingkat akun.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "servicecatalog:*" ], "Resource":"*", "Condition": { "StringEquals": { "servicecatalog:accountLevel": "self" } } } ] }
Kebijakan ini secara fungsional setara dengan kebijakan berikut:
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "servicecatalog:*" ], "Resource":"*" } ] }
Tidak menentukan Condition blok dalam kebijakan apa pun untuk AWS Service Catalog diperlakukan sama dengan menentukan akses"servicecatalog:accountLevel". Perhatikan bahwa akses accountLevel termasuk akses roleLevel dan userLevel.
Akses pengguna akhir ke produk yang disediakan
Kebijakan berikut membatasi akses ke operasi baca dan tulis untuk hanya produk yang disediakan atau catatan terkait yang dibuat pengguna saat ini.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "servicecatalog:DescribeProduct", "servicecatalog:DescribeProductView", "servicecatalog:DescribeProvisioningParameters", "servicecatalog:DescribeRecord", "servicecatalog:ListLaunchPaths", "servicecatalog:ListRecordHistory", "servicecatalog:ProvisionProduct", "servicecatalog:ScanProvisionedProducts", "servicecatalog:SearchProducts", "servicecatalog:TerminateProvisionedProduct", "servicecatalog:UpdateProvisionedProduct" ], "Resource": "*", "Condition": { "StringEquals": { "servicecatalog:userLevel": "self" } } } ] }
Akses admin sebagian ke produk yang disediakan
Dua kebijakan di bawah ini, jika keduanya diterapkan pada pengguna yang sama, memungkinkan terjadinya tipe "akses admin parsial" dengan menyediakan akses hanya baca penuh dan akses tulis terbatas. Ini berarti pengguna dapat melihat produk yang disediakan atau catatan terkait dalam akun katalog tetapi tidak dapat melakukan tindakan apa pun pada produk atau catatan yang disediakan yang tidak dimiliki oleh pengguna tersebut.
Kebijakan pertama memungkinkan akses pengguna ke operasi tulis pada produk yang disediakan yang dibuat pengguna saat ini, tetapi tidak pada produk yang disediakan yang dibuat oleh orang lain. Kebijakan kedua menambahkan akses penuh ke operasi baca pada produk yang disediakan yang dibuat oleh semua (pengguna, peran, atau akun).
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "servicecatalog:DescribeProduct", "servicecatalog:DescribeProductView", "servicecatalog:DescribeProvisioningParameters", "servicecatalog:ListLaunchPaths", "servicecatalog:ProvisionProduct", "servicecatalog:SearchProducts", "servicecatalog:TerminateProvisionedProduct", "servicecatalog:UpdateProvisionedProduct" ], "Resource": "*", "Condition": { "StringEquals": { "servicecatalog:userLevel": "self" } } } ] }
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "servicecatalog:DescribeRecord", "servicecatalog:ListRecordHistory", "servicecatalog:ScanProvisionedProducts" ], "Resource": "*", "Condition": { "StringEquals": { "servicecatalog:accountLevel": "self" } } } ] }
