Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Memberikan Izin OpsWorks Per-Stack Pengguna Stacks
**penting**
AWS OpsWorks Stacks Layanan ini mencapai akhir masa pakai pada 26 Mei 2024 dan telah dinonaktifkan untuk pelanggan baru dan yang sudah ada. Kami sangat menyarankan pelanggan untuk memindahkan beban kerja mereka ke solusi lain sesegera mungkin. Jika Anda memiliki pertanyaan tentang migrasi, hubungi AWS Dukungan Tim di [AWS re:Post](https://repost.aws/) atau melalui [AWS Dukungan](https://aws.amazon.com/support) Premium.
Cara termudah untuk mengelola izin pengguna OpsWorks Stacks adalah dengan menggunakan halaman **Izin** tumpukan. Setiap tumpukan memiliki halamannya sendiri, yang memberikan izin untuk tumpukan itu.
Anda harus masuk sebagai pengguna administratif atau **Kelola** pengguna untuk mengubah pengaturan izin apa pun. Daftar ini hanya menampilkan pengguna yang telah diimpor ke OpsWorks Stacks. Untuk informasi tentang cara membuat dan mengimpor pengguna, lihat[Mengelola Pengguna](opsworks-security-users-manage.md).
Tingkat izin default adalah Kebijakan IAM Saja, yang hanya memberi pengguna izin yang ada dalam kebijakan IAM mereka.
+ Saat Anda mengimpor pengguna dari IAM atau dari Wilayah lain, pengguna akan ditambahkan ke daftar untuk semua tumpukan yang ada dengan tingkat izin **Khusus Kebijakan IAM**.
+ Secara default, pengguna yang baru saja Anda impor dari Wilayah lain tidak memiliki akses ke tumpukan di Wilayah tujuan. Jika Anda mengimpor pengguna dari Wilayah lain, agar mereka dapat mengelola tumpukan di Wilayah tujuan, mereka harus diberi izin ke tumpukan tersebut setelah Anda mengimpor pengguna.
+ Saat Anda membuat tumpukan baru, semua pengguna saat ini ditambahkan ke daftar dengan tingkat izin **Hanya Kebijakan IAM**.
**Topics**
+ [Mengatur Izin Pengguna](#opsworks-security-users-console-set)
+ [Melihat Izin Anda](#opsworks-security-users-console-viewing)
+ [Menggunakan Kunci Kondisi IAM untuk Memverifikasi Kredensi Sementara](#w2ab1c14c67c15c37c21)
## Mengatur Izin Pengguna
**Untuk menyetel izin pengguna**
1. Di panel navigasi, pilih **Izin**.
1. Pada halaman **Izin**, pilih **Edit**.
1. Ubah pengaturan **tingkat Izin** dan **akses Instance**:
+ Gunakan pengaturan **tingkat Izin** untuk menetapkan salah satu tingkat izin standar untuk setiap pengguna, yang menentukan apakah pengguna dapat mengakses tumpukan ini dan tindakan apa yang dapat dilakukan pengguna. Jika pengguna memiliki kebijakan IAM, OpsWorks Stacks mengevaluasi kedua set izin. Sebagai contoh lihat[Contoh kebijakan](opsworks-security-users-examples.md).
+ Pengaturan **akses Instance** **SSH/RDP** menentukan apakah pengguna memiliki akses SSH (Linux) atau RDP (Windows) ke instance tumpukan.
Jika Anda mengotorisasi akses **SSH/RDP**, Anda dapat memilih **sudo/admin secara opsional, yang memberikan hak istimewa sudo** (Linux) atau administratif (Windows) pengguna pada instance tumpukan.
![\[Mengelola pengguna dengan halaman Izin.\]](http://docs.aws.amazon.com/id_id/opsworks/latest/userguide/images/permissions-edit.png)
Anda dapat menetapkan setiap pengguna ke salah satu tingkat izin berikut. Untuk daftar tindakan yang diizinkan oleh setiap level, lihat[OpsWorks Tingkat Izin TumpukanTingkat Izin](opsworks-security-users-standard.md).
**Menyangkal**
Pengguna tidak dapat melakukan tindakan OpsWorks Stacks apa pun di tumpukan, meskipun mereka memiliki kebijakan IAM yang memberikan izin akses penuh kepada OpsWorks Stacks. Anda dapat menggunakan ini, misalnya, untuk menolak akses beberapa pengguna ke tumpukan untuk produk yang belum dirilis.
**Hanya Kebijakan IAM**
Tingkat default, yang ditetapkan untuk semua pengguna yang baru diimpor, dan untuk semua pengguna untuk tumpukan yang baru dibuat. Izin pengguna ditentukan oleh kebijakan IAM mereka. Jika pengguna tidak memiliki kebijakan IAM, atau kebijakan mereka tidak memiliki izin OpsWorks Tumpukan eksplisit, mereka tidak dapat mengakses tumpukan. Pengguna administratif biasanya diberi level ini karena kebijakan IAM mereka sudah memberikan izin akses penuh.
**Tampilkan**
Pengguna dapat melihat tumpukan, tetapi tidak melakukan operasi apa pun. Misalnya, manajer mungkin ingin memantau tumpukan akun, tetapi tidak perlu menerapkan aplikasi atau memodifikasi tumpukan dengan cara apa pun.
**Menyebarkan**
Termasuk izin **Tampilkan** dan juga memungkinkan pengguna untuk menyebarkan aplikasi. Misalnya, pengembang aplikasi mungkin perlu menerapkan pembaruan ke instance tumpukan tetapi tidak menambahkan lapisan atau instance ke tumpukan.
**Mengelola**
Termasuk izin **Deploy** dan juga memungkinkan pengguna untuk melakukan berbagai operasi manajemen tumpukan, termasuk:
+ Menambahkan atau menghapus layer dan instance.
+ Menggunakan halaman **Izin** tumpukan untuk menetapkan tingkat izin kepada pengguna.
+ Mendaftarkan atau membatalkan pendaftaran sumber daya.
Misalnya, setiap tumpukan dapat memiliki manajer yang ditunjuk yang bertanggung jawab untuk memastikan bahwa tumpukan memiliki jumlah dan jenis instance yang sesuai, menangani pembaruan paket dan sistem operasi, dan sebagainya.
Level Kelola tidak memungkinkan pengguna membuat atau mengkloning tumpukan. Izin tersebut harus diberikan oleh kebijakan IAM. Sebagai contoh, lihat [Kelola Izin](opsworks-security-users-examples.md#opsworks-security-users-examples-manage).
Jika pengguna juga memiliki kebijakan IAM, OpsWorks Stacks mengevaluasi kedua set izin. Ini memungkinkan Anda menetapkan tingkat izin kepada pengguna dan kemudian menerapkan kebijakan untuk membatasi atau menambah tindakan yang diizinkan pada level tersebut. Misalnya, Anda dapat menerapkan kebijakan yang memungkinkan pengguna **Kelola** membuat atau mengkloning tumpukan, atau menyangkal kemampuan pengguna tersebut untuk mendaftarkan atau membatalkan pendaftaran sumber daya. Untuk beberapa contoh kebijakan semacam itu, lihat[Contoh kebijakan](opsworks-security-users-examples.md).
**catatan**
Jika kebijakan pengguna mengizinkan tindakan tambahan, hasilnya akan muncul untuk mengganti setelan halaman **Izin**. Misalnya, jika pengguna memiliki kebijakan yang mengizinkan [CreateLayer](https://docs.aws.amazon.com/opsworks/latest/APIReference/API_CreateLayer.html)tindakan tetapi Anda menggunakan halaman Izin untuk menentukan **izin** **Penerapan**, pengguna tetap diizinkan untuk membuat lapisan. Pengecualian untuk aturan ini adalah opsi **Tolak**, yang menolak akses tumpukan bahkan ke pengguna dengan AWSOpsWorks\$1FullAccess kebijakan. Untuk informasi selengkapnya, lihat [Mengontrol akses ke AWS sumber daya menggunakan kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html).
## Melihat Izin Anda
Jika [manajemen mandiri](opsworks-security-users-manage-edit.md) diaktifkan, pengguna dapat melihat ringkasan tingkat izin mereka untuk setiap tumpukan dengan memilih **Pengaturan Saya**, di kanan atas. Pengguna juga dapat mengakses **Pengaturan Saya** jika kebijakan mereka memberikan izin untuk tindakan [DescribeMyUserProfile](https://docs.aws.amazon.com/opsworks/latest/APIReference/API_DescribeMyUserProfile.html)dan [UpdateMyUserProfile](https://docs.aws.amazon.com/opsworks/latest/APIReference/API_UpdateMyUserProfile.html)tindakan.
## Menggunakan Kunci Kondisi IAM untuk Memverifikasi Kredensi Sementara
OpsWorks Stacks memiliki lapisan otorisasi bawaan yang mendukung kasus otorisasi tambahan (seperti pengelolaan akses read-only atau read-write yang disederhanakan ke tumpukan untuk pengguna individu). Lapisan otorisasi ini bergantung pada penggunaan kredensi sementara. Karena itu, Anda tidak dapat menggunakan `aws:TokenIssueTime` kondisi untuk memverifikasi bahwa pengguna menggunakan kredensi jangka panjang, atau memblokir tindakan dari pengguna yang menggunakan kredensial sementara, seperti yang dijelaskan dalam referensi [elemen kebijakan IAM JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Conditions_Null) dalam dokumentasi IAM.