Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Bagaimana OpsWorks CM Bekerja dengan IAM
Sebelum Anda menggunakan IAM untuk mengelola akses ke OpsWorks CM, Anda harus memahami fitur IAM apa yang tersedia untuk digunakan dengan OpsWorks CM. Untuk mendapatkan tampilan tingkat tinggi tentang bagaimana OpsWorks CM dan AWS layanan lainnya bekerja dengan IAM, lihat [AWS layanan yang bekerja dengan IAM di Panduan Pengguna *IAM*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
**Topics**
+ [OpsWorks Kebijakan Berbasis Identitas CM](#security_iam_service-with-iam-id-based-policies-opscm)
+ [OpsWorks CM dan Kebijakan Berbasis Sumber Daya](#security_iam_resource-based-policies)
+ [Otorisasi Berdasarkan Tag OpsWorks CM](#security_iam_tags)
+ [OpsWorks Peran CM IAM](#security_iam_roles)
## OpsWorks Kebijakan Berbasis Identitas CM
Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan tindakan dan sumber daya yang diizinkan atau ditolak serta kondisi di mana tindakan diizinkan atau ditolak. OpsWorks CM mendukung tindakan, sumber daya, dan kunci kondisi tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam kebijakan JSON, lihat [Referensi elemen kebijakan IAM JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dalam *Panduan Pengguna IAM*.
Di OpsWorks CM, Anda dapat melampirkan pernyataan kebijakan khusus ke pengguna, peran, atau grup.
### Tindakan
Elemen `Action` kebijakan berbasis identitas IAM menjelaskan tindakan atau tindakan tertentu yang akan diizinkan atau ditolak oleh kebijakan tersebut. Tindakan kebijakan biasanya memiliki nama yang sama dengan operasi AWS API terkait. Tindakan ini digunakan dalam kebijakan untuk memberikan izin guna melakukan operasi terkait.
Tindakan kebijakan di OpsWorks CM menggunakan awalan berikut sebelum tindakan:`opsworks-cm:`. Misalnya, untuk memberikan izin kepada seseorang untuk membuat server OpsWorks CM menggunakan operasi API, Anda menyertakan `opsworks-cm:CreateServer` tindakan tersebut dalam kebijakan mereka. Pernyataan kebijakan harus mencakup salah satu `Action` atau `NotAction` elemen. OpsWorks CM mendefinisikan serangkaian tindakannya sendiri yang menggambarkan tugas yang dapat Anda lakukan dengan layanan ini.
Untuk menetapkan beberapa tindakan dalam satu pernyataan, pisahkan dengan koma seperti berikut:
```
"Action": [
"opsworks-cm:action1",
"opsworks-cm:action2"
```
Anda dapat menentukan beberapa tindakan menggunakan wildcard (\*). Sebagai contoh, untuk menentukan semua tindakan yang dimulai dengan kata `Describe`, sertakan tindakan berikut:
```
"Action": "opsworks-cm:Describe*"
```
Saat Anda menggunakan wildcard untuk mengizinkan beberapa tindakan dalam pernyataan kebijakan, berhati-hatilah agar Anda mengizinkan tindakan tersebut hanya untuk layanan atau pengguna resmi.
Untuk melihat daftar tindakan OpsWorks CM, lihat [Tindakan, Sumber Daya, dan Kunci Kondisi untuk AWS OpsWorks](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsopsworks.html) di *Panduan Pengguna IAM*.
### Sumber daya
Elemen `Resource` menentukan objek di mana tindakan berlaku. Pernyataan harus mencakup elemen `Resource` atau `NotResource`. Anda menentukan sumber daya menggunakan ARN atau menggunakan wildcard (\*) untuk menunjukkan bahwa pernyataan berlaku untuk semua sumber daya.
Anda bisa mendapatkan Amazon Resource Number (ARN) dari server OpsWorks CM atau cadangan dengan menjalankan operasi [https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_DescribeServers.html](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_DescribeServers.html)atau [https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_DescribeBackups.html](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_DescribeBackups.html)API, dan mendasarkan kebijakan tingkat sumber daya pada sumber daya tersebut.
Sumber daya server OpsWorks CM memiliki ARN dalam format berikut:
```
arn:aws:opsworks-cm:{Region}:${Account}:server/${ServerName}/${UniqueId}
```
Sumber daya cadangan OpsWorks CM memiliki ARN dalam format berikut:
```
arn:aws:opsworks-cm:{Region}:${Account}:backup/${ServerName}-{Date-and-Time-Stamp-of-Backup}
```
Untuk informasi selengkapnya tentang format ARNs, lihat [Amazon Resource Names (ARNs) dan Ruang Nama AWS Layanan](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Misalnya, untuk menentukan server `test-chef-automate` Chef Automate dalam pernyataan Anda, gunakan ARN berikut:
```
"Resource": "arn:aws:opsworks-cm:us-west-2:123456789012:server/test-chef-automate/EXAMPLE-d1a2bEXAMPLE"
```
Untuk menentukan semua server OpsWorks CM milik akun tertentu, gunakan wildcard (\*):
```
"Resource": "arn:aws:opsworks-cm:us-west-2:123456789012:server/*"
```
Contoh berikut menentukan cadangan server OpsWorks CM sebagai sumber daya:
```
"Resource": "arn:aws:opsworks-cm:us-west-2:123456789012:backup/test-chef-automate-server-2018-05-20T19:06:12.399Z"
```
Beberapa tindakan OpsWorks CM, seperti untuk membuat sumber daya, tidak dapat dilakukan pada sumber daya tertentu. Dalam kasus tersebut, Anda harus menggunakan wildcard (\*).
```
"Resource": "*"
```
Banyak tindakan API melibatkan beberapa sumber daya. Untuk menentukan beberapa sumber daya dalam satu pernyataan, pisahkan ARNs dengan koma.
```
"Resource": [
"resource1",
"resource2"
```
Untuk melihat daftar jenis sumber daya OpsWorks CM dan jenisnya ARNs, lihat [Tindakan, Sumber Daya, dan Kunci Kondisi untuk AWS OpsWorks CM](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsopsworksconfigurationmanagement.html) di *Panduan Pengguna IAM*. Untuk mempelajari tindakan mana yang dapat Anda tentukan ARN dari setiap sumber daya, lihat [Tindakan, Sumber Daya, dan Kunci Kondisi untuk AWS OpsWorks CM di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsopsworksconfigurationmanagement.html) Pengguna *IAM*.
### Kunci kondisi
OpsWorks CM tidak memiliki kunci konteks khusus layanan yang dapat digunakan dalam `Condition` elemen pernyataan kebijakan. Untuk daftar kunci konteks global yang tersedia untuk semua layanan, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#AvailableKeys) di *Referensi Kebijakan IAM*. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.
Elemen `Condition` (atau *blok* `Condition`) akan memungkinkan Anda menentukan kondisi yang menjadi dasar suatu pernyataan berlaku. Elemen `Condition` bersifat opsional. Anda dapat membuat ekspresi bersyarat yang menggunakan [operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), seperti sama dengan atau kurang dari, untuk mencocokkan ketentuan dalam kebijakan dengan nilai dalam permintaan.
Jika Anda menentukan beberapa elemen `Condition` dalam pernyataan, atau beberapa kunci dalam satu elemen `Condition`, AWS mengevaluasinya menggunakan operasi `AND`. Jika Anda menentukan beberapa nilai untuk satu kunci kondisi, AWS mengevaluasi kondisi menggunakan `OR` operasi logis. Semua kondisi harus dipenuhi sebelum izin pernyataan diberikan.
Anda juga dapat menggunakan variabel placeholder saat menentukan kondisi. Misalnya, Anda dapat memberikan izin pengguna untuk mengakses sumber daya hanya jika ditandai dengan nama pengguna. Untuk informasi lebih lanjut, lihat [Elemen kebijakan IAM: Variabel dan tanda](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) dalam *Panduan Pengguna IAM*.
### Contoh
Untuk melihat contoh kebijakan berbasis identitas OpsWorks CM, lihat. [AWS OpsWorks Contoh Kebijakan Berbasis Identitas CM](security_iam_id-based-policy-examples.md)
## OpsWorks CM dan Kebijakan Berbasis Sumber Daya
OpsWorks CM tidak mendukung kebijakan berbasis sumber daya.
Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang menentukan tindakan apa yang dapat dilakukan oleh prinsipal tertentu pada sumber daya dan dalam kondisi apa.
## Otorisasi Berdasarkan Tag OpsWorks CM
Anda dapat melampirkan tag ke sumber daya OpsWorks CM atau meneruskan tag dalam permintaan ke OpsWorks CM. Untuk mengontrol akses berdasarkan tag, Anda memberikan informasi tag dalam [elemen kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) kebijakan menggunakan`aws:RequestTag/{{key-name}}`, atau kunci `aws:TagKeys` kondisi. Untuk informasi selengkapnya tentang menandai sumber daya OpsWorks CM, lihat [Bekerja dengan Tag pada AWS OpsWorks for Chef Automate Sumber Daya](opscm-tags.md) atau [Bekerja dengan Tag pada AWS OpsWorks for Puppet Enterprise Sumber Daya](opspup-tags.md) di panduan ini.
## OpsWorks Peran CM IAM
[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) adalah entitas dalam AWS akun Anda yang memiliki izin tertentu.
OpsWorks CM menggunakan dua peran:
+ Peran layanan yang memberikan izin layanan OpsWorks CM untuk bekerja dalam akun pengguna. AWS Jika Anda menggunakan peran layanan default yang disediakan oleh OpsWorks CM, nama peran ini adalah`aws-opsworks-cm-service-role`.
+ Peran profil instance yang memungkinkan layanan OpsWorks CM memanggil OpsWorks CM API. Peran ini memberikan akses ke Amazon S3 CloudFormation dan untuk membuat server dan bucket S3 untuk cadangan. Jika Anda menggunakan profil instans default yang disediakan oleh OpsWorks CM, nama peran profil instance ini adalah`aws-opsworks-cm-ec2-role`.
OpsWorks CM tidak menggunakan peran terkait layanan.
### Menggunakan Kredensyal Sementara dengan CM OpsWorks
OpsWorks CM mendukung penggunaan kredensil sementara, dan mewarisi kemampuan itu dari. AWS Security Token Service
Anda dapat menggunakan kredensial sementara untuk masuk dengan gabungan, menjalankan IAM role, atau menjalankan peran lintas akun. Anda memperoleh kredensil keamanan sementara dengan memanggil operasi AWS STS API seperti [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)atau. [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)
### Peran Tertaut Layanan
OpsWorks CM tidak menggunakan peran terkait layanan.
[Peran terkait AWS layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) memungkinkan layanan mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran terkait layanan muncul di akun IAM Anda dan dimiliki oleh layanan tersebut. Administrator IAM dapat melihat tetapi tidak dapat mengedit izin untuk peran terkait layanan.
### Peran Layanan
Fitur ini memungkinkan layanan untuk menerima [peran layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) atas nama Anda. Peran ini mengizinkan layanan untuk mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran layanan muncul di akun IAM Anda dan dimiliki oleh akun tersebut. Ini berarti administrator IAM dapat mengubah izin untuk peran ini. Namun, melakukan hal itu dapat merusak fungsionalitas layanan.
OpsWorks CM menggunakan dua peran:
+ Peran layanan yang memberikan izin layanan OpsWorks CM untuk bekerja dalam akun pengguna. AWS Jika Anda menggunakan peran layanan default yang disediakan oleh OpsWorks CM, nama peran ini adalah`aws-opsworks-cm-service-role`.
+ Peran profil instance yang memungkinkan layanan OpsWorks CM memanggil OpsWorks CM API. Peran ini memberikan akses ke Amazon S3 CloudFormation dan untuk membuat server dan bucket S3 untuk cadangan. Jika Anda menggunakan profil instans default yang disediakan oleh OpsWorks CM, nama peran profil instance ini adalah`aws-opsworks-cm-ec2-role`.
### Memilih Peran IAM dalam CM OpsWorks
Saat membuat server di OpsWorks CM, Anda harus memilih peran untuk mengizinkan OpsWorks CM mengakses Amazon EC2 atas nama Anda. Jika Anda telah membuat peran layanan, maka OpsWorks CM memberi Anda daftar peran untuk dipilih. OpsWorks CM dapat membuat peran untuk Anda, jika Anda tidak menentukan satu. Penting untuk memilih peran yang memungkinkan akses untuk memulai dan menghentikan EC2 instans Amazon. Untuk informasi selengkapnya, lihat [Buat Server Otomatis Koki](gettingstarted-opscm-create.md) atau [Buat Master Perusahaan Boneka](gettingstarted-opspup-create.md).