Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Menentukan Izin untuk Aplikasi yang Berjalan pada instance EC2 **penting** AWS OpsWorks Stacks Layanan ini mencapai akhir masa pakai pada 26 Mei 2024 dan telah dinonaktifkan untuk pelanggan baru dan yang sudah ada. Kami sangat menyarankan pelanggan untuk memindahkan beban kerja mereka ke solusi lain sesegera mungkin. Jika Anda memiliki pertanyaan tentang migrasi, hubungi AWS Dukungan Tim di [AWS re:Post](https://repost.aws/) atau melalui [AWS Dukungan](https://aws.amazon.com/support) Premium. Jika aplikasi yang berjalan di EC2 instans Amazon stack Anda perlu mengakses sumber daya AWS lainnya, seperti bucket Amazon S3, aplikasi tersebut harus memiliki izin yang sesuai. Untuk memberikan izin tersebut, Anda menggunakan profil instance. Anda dapat menentukan profil instance untuk setiap instance saat [membuat tumpukan OpsWorks Stacks](workingstacks-creating.md). ![\[Opsi lanjutan di halaman Tambahkan Stack.\]](http://docs.aws.amazon.com/id_id/opsworks/latest/userguide/images/add-stack-instanceproflie.png) Anda juga dapat menentukan profil untuk instance lapisan dengan [mengedit konfigurasi lapisan](workinglayers-basics-edit.md). Profil instance menentukan peran IAM. Aplikasi yang berjalan pada instans dapat mengasumsikan peran tersebut untuk mengakses sumber daya AWS, tunduk pada izin yang diberikan oleh kebijakan peran tersebut. Untuk informasi selengkapnya tentang cara aplikasi mengasumsikan peran, lihat [Mengasumsikan Peran Menggunakan Panggilan API](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-assume-role.html). Anda dapat membuat profil instance dengan salah satu cara berikut: + Gunakan konsol IAM atau API untuk membuat profil. Untuk informasi selengkapnya, lihat [Peran (Delegasi dan Federasi)](https://docs.aws.amazon.com/IAM/latest/UserGuide/WorkingWithRoles.html). + Gunakan CloudFormation template untuk membuat profil. Untuk beberapa contoh cara menyertakan sumber daya IAM dalam template, lihat [Identity and Access Management (IAM) Template Snippets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/quickref-iam.html). Profil instans harus memiliki hubungan kepercayaan dan kebijakan terlampir yang memberikan izin untuk mengakses sumber daya AWS. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } ``` ------ Profil instans harus memiliki hubungan kepercayaan ini agar OpsWorks Stacks bertindak atas nama Anda. Jika Anda menggunakan peran layanan default, jangan mengubah hubungan kepercayaan. Jika Anda membuat peran layanan khusus, tentukan kapal hubungan kepercayaan sebagai berikut: + Jika Anda menggunakan wizard **Buat Peran** di [konsol IAM](https://console.aws.amazon.com/iam/home#roles), tentukan jenis EC2 peran **Amazon** di bawah **AWS Service Roles** di halaman kedua wizard. + Jika Anda menggunakan CloudFormation template, Anda dapat menambahkan sesuatu seperti berikut ini ke bagian **Sumber Daya** template Anda. ``` "Resources": { "OpsWorksEC2Role": { "Type": "AWS::IAM::Role", "Properties": { "AssumeRolePolicyDocument": { "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "ec2.amazonaws.com" ] }, "Action": [ "sts:AssumeRole" ] } ] }, "Path": "/" } }, "RootInstanceProfile": { "Type": "AWS::IAM::InstanceProfile", "Properties": { "Path": "/", "Roles": [ { "Ref": "OpsWorksEC2Role" } ] } } } ``` Saat membuat profil instans, Anda dapat melampirkan kebijakan yang sesuai ke peran profil pada saat itu. Setelah membuat tumpukan, Anda harus menggunakan [konsol IAM](https://console.aws.amazon.com/iam/) atau API untuk melampirkan kebijakan yang sesuai ke peran profil. Misalnya, kebijakan berikut memberikan akses penuh ke semua objek di bucket Amazon S3 bernama amzn-s3-demo-bucket. Ganti *region* dan amzn-s3-demo-bucket dengan nilai yang sesuai dengan konfigurasi Anda. Untuk contoh cara membuat dan menggunakan profil instance, lihat [Menggunakan Bucket Amazon S3](https://docs.aws.amazon.com/opsworks/latest/userguide/gettingstarted.walkthrough.photoapp.html). Jika aplikasi Anda menggunakan profil instans untuk memanggil OpsWorks Stacks API dari EC2 instans, kebijakan harus mengizinkan `iam:PassRole` tindakan selain tindakan yang sesuai untuk OpsWorks Stacks dan layanan AWS lainnya. `iam:PassRole`Izin memungkinkan OpsWorks Stacks untuk mengambil peran layanan atas nama Anda. Untuk informasi selengkapnya tentang OpsWorks Stacks API, lihat [AWS OpsWorks API Referensi](https://docs.aws.amazon.com/opsworks/latest/APIReference/Welcome.html). Berikut ini adalah contoh kebijakan IAM yang memungkinkan Anda memanggil tindakan OpsWorks Stacks apa pun dari sebuah EC2 instance, serta tindakan Amazon EC2 atau Amazon S3 apa pun. **catatan** Jika Anda tidak mengizinkan`iam:PassRole`, setiap upaya untuk memanggil tindakan OpsWorks Stacks gagal dengan kesalahan seperti berikut: ``` User: arn:aws:sts::123456789012:federated-user/Bob is not authorized to perform: iam:PassRole on resource: arn:aws:sts::123456789012:role/OpsWorksStackIamRole ``` *Untuk informasi selengkapnya tentang penggunaan peran pada EC2 instans untuk izin, lihat [Memberikan Aplikasi yang Berjalan di EC2 Instans Amazon Akses ke Sumber Daya AWS di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/role-usecase-ec2app.html) Pengguna.AWS Identity and Access Management *