Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Praktik Terbaik: Mengelola Izin **penting** AWS OpsWorks Stacks Layanan ini mencapai akhir masa pakai pada 26 Mei 2024 dan telah dinonaktifkan untuk pelanggan baru dan yang sudah ada. Kami sangat menyarankan pelanggan untuk memindahkan beban kerja mereka ke solusi lain sesegera mungkin. Jika Anda memiliki pertanyaan tentang migrasi, hubungi AWS Dukungan Tim di [AWS re:Post](https://repost.aws/) atau melalui [AWS Dukungan](https://aws.amazon.com/support) Premium. Anda harus memiliki beberapa bentuk kredensi AWS untuk mengakses sumber daya akun Anda. Berikut ini adalah beberapa pedoman umum untuk menyediakan akses ke karyawan Anda. + Pertama dan terpenting, kami menyarankan Anda untuk tidak menggunakan kredensi root akun Anda untuk mengakses sumber daya AWS. Sebagai gantinya, buat [Identitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) untuk karyawan Anda dan tambahkan izin yang menyediakan akses yang sesuai. Setiap karyawan kemudian dapat menggunakan kredensialnya untuk mengakses sumber daya. + Karyawan harus memiliki izin untuk mengakses hanya sumber daya yang mereka butuhkan untuk melakukan pekerjaan mereka. Misalnya, pengembang aplikasi hanya perlu mengakses tumpukan yang menjalankan aplikasi mereka. + Karyawan harus memiliki izin untuk hanya menggunakan tindakan yang mereka butuhkan untuk melakukan pekerjaan mereka. Pengembang aplikasi mungkin memerlukan izin penuh untuk tumpukan pengembangan dan izin untuk menerapkan aplikasi mereka ke tumpukan produksi yang sesuai. Mereka mungkin tidak memerlukan izin untuk memulai atau menghentikan instance pada tumpukan produksi, membuat atau menghapus lapisan, dan sebagainya. Untuk informasi umum selengkapnya tentang mengelola izin, lihat [AWS Security Credentials](https://docs.aws.amazon.com/general/latest/gr/aws-security-credentials.html). Anda dapat menggunakan OpsWorks Stacks atau IAM untuk mengelola izin pengguna. Perhatikan bahwa kedua opsi tidak saling eksklusif; kadang-kadang diinginkan untuk menggunakan keduanya. **OpsWorks Manajemen Izin Tumpukan** Setiap tumpukan memiliki halaman **Izin** yang dapat Anda gunakan untuk memberikan izin kepada pengguna untuk mengakses tumpukan dan menentukan tindakan apa yang dapat mereka lakukan. Anda menentukan izin pengguna dengan menyetel salah satu tingkat izin berikut. Setiap level mewakili kebijakan IAM yang memberikan izin untuk serangkaian tindakan standar. + **Tolak menolak** izin untuk berinteraksi dengan tumpukan dengan cara apa pun. + **Tampilkan** izin hibah melihat konfigurasi tumpukan tetapi tidak mengubah status tumpukan dengan cara apa pun. + **Deploy** menyertakan izin **Tampilkan** dan juga memberikan izin pengguna untuk menerapkan aplikasi. + **Kelola** mencakup izin **Deploy** dan juga memungkinkan pengguna untuk melakukan berbagai tindakan manajemen tumpukan, seperti membuat atau menghapus instance dan lapisan. Tingkat **Kelola** izin tidak memberikan izin untuk sejumlah kecil tindakan OpsWorks Tumpukan tingkat tinggi, termasuk membuat atau mengkloning tumpukan. Anda harus menggunakan kebijakan IAM untuk memberikan izin tersebut. Selain menyetel tingkat izin, Anda juga dapat menggunakan halaman **Izin** tumpukan untuk menentukan apakah pengguna memiliki SSH/RDP and sudo/admin hak istimewa pada instance tumpukan. Untuk informasi selengkapnya tentang manajemen izin OpsWorks Stacks, lihat. [Memberikan Izin Per-Stack](opsworks-security-users-console.md) Untuk informasi selengkapnya tentang mengelola akses SSH, lihat[Mengelola Akses SSH](security-ssh-access.md). **Manajemen Izin IAM** Dengan manajemen izin IAM, Anda menggunakan konsol IAM, API, atau CLI untuk melampirkan kebijakan berformat JSON ke pengguna yang secara eksplisit menentukan izinnya. Untuk informasi selengkapnya tentang manajemen izin IAM, lihat [Apa itu](https://docs.aws.amazon.com/IAM/latest/UserGuide/Introduction.html) IAM? . **Rekomendasi:** Mulailah dengan manajemen **Izin OpsWorks ** Tumpukan. Jika Anda perlu menyempurnakan izin pengguna, atau memberikan izin pengguna yang tidak disertakan dalam tingkat **Kelola** izin, Anda dapat menggabungkan kedua pendekatan tersebut. OpsWorks Stacks kemudian mengevaluasi kedua kebijakan untuk menentukan izin pengguna. **penting** Jika pengguna memiliki beberapa kebijakan dengan izin yang bertentangan, penolakan selalu menang. Misalnya, Anda melampirkan kebijakan IAM ke pengguna yang mengizinkan akses ke tumpukan tertentu tetapi juga menggunakan halaman Izin tumpukan untuk menetapkan tingkat **izin** **Tolak** kepada pengguna. Tingkat izin **Tolak** diutamakan, dan pengguna tidak akan dapat mengakses tumpukan. Untuk informasi selengkapnya, lihat [logika evaluasi kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html). Misalnya, Anda ingin pengguna dapat melakukan sebagian besar operasi pada tumpukan, kecuali untuk menambahkan atau menghapus lapisan. + Tentukan tingkat izin **Kelola**, yang memungkinkan pengguna melakukan sebagian besar tindakan manajemen tumpukan, termasuk membuat dan menghapus lapisan. + Lampirkan [kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingPolicies.html) berikut ke pengguna, yang menolak izin untuk menggunakan [CreateLayer](https://docs.aws.amazon.com/opsworks/latest/APIReference/API_CreateLayer.html)dan [DeleteLayer](https://docs.aws.amazon.com/opsworks/latest/APIReference/API_DeleteLayer.html)tindakan pada tumpukan tersebut. Anda mengidentifikasi tumpukan dengan *[Nama Sumber Daya Amazon (ARN)](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html#ARN)*, yang dapat ditemukan di halaman **Pengaturan** tumpukan. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "opsworks:CreateLayer", "opsworks:DeleteLayer" ], "Resource": "arn:aws:opsworks:*:*:stack/2f18b4cb-4de5-4429-a149-ff7da9f0d8ee/" } ] } ``` ------ Untuk informasi selengkapnya, termasuk kebijakan contoh, lihat [Mengelola Izin OpsWorks Tumpukan dengan Melampirkan Kebijakan IAMMelampirkan Kebijakan IAM](opsworks-security-users-policy.md). **catatan** Cara lain untuk menggunakan kebijakan IAM adalah dengan menetapkan kondisi yang membatasi akses tumpukan ke karyawan dengan alamat IP atau rentang alamat tertentu. Misalnya, untuk memastikan bahwa karyawan mengakses tumpukan hanya dari dalam firewall perusahaan Anda, tetapkan kondisi yang membatasi akses ke rentang alamat IP perusahaan Anda. Untuk informasi selengkapnya, lihat [Ketentuan](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html#Condition).