Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Keamanan dan Izin
<a name="workingsecurity"></a>

**penting**  
 AWS OpsWorks Stacks Layanan ini mencapai akhir masa pakai pada 26 Mei 2024 dan telah dinonaktifkan untuk pelanggan baru dan yang sudah ada. Kami sangat menyarankan pelanggan untuk memindahkan beban kerja mereka ke solusi lain sesegera mungkin. Jika Anda memiliki pertanyaan tentang migrasi, hubungi AWS Dukungan Tim di [AWS re:Post](https://repost.aws/) atau melalui [AWS Dukungan](https://aws.amazon.com/support) Premium.

Setiap pengguna Anda harus memiliki AWS kredensi yang sesuai untuk mengakses sumber daya akun Anda. AWS Cara yang disarankan untuk memberikan kredensil kepada pengguna adalah dengan [AWS Identity and Access Management](https://docs.aws.amazon.com/iam/)(IAM). OpsWorks Stacks terintegrasi dengan IAM untuk memungkinkan Anda mengontrol hal-hal berikut:
+ Bagaimana pengguna individu dapat berinteraksi dengan OpsWorks Stacks.

  Misalnya, Anda dapat mengizinkan beberapa pengguna untuk menyebarkan aplikasi ke tumpukan apa pun tetapi tidak memodifikasi tumpukan itu sendiri, sementara memungkinkan pengguna lain mengakses penuh tetapi hanya ke tumpukan tertentu, dan sebagainya.
+ Bagaimana OpsWorks Stacks dapat bertindak atas nama Anda untuk mengakses sumber daya tumpukan seperti EC2 instans Amazon dan bucket Amazon S3.

  OpsWorks Stacks menyediakan peran layanan yang memberikan izin untuk tugas-tugas ini. 
+ Bagaimana aplikasi yang berjalan di EC2 instans Amazon yang dikendalikan oleh OpsWorks Stacks dapat mengakses AWS sumber daya lain, seperti data yang disimpan di bucket Amazon S3.

  Anda dapat menetapkan profil instance ke instance lapisan yang memberikan izin ke aplikasi yang berjalan pada instance tersebut untuk mengakses sumber daya lain. AWS 
+ Cara mengelola kunci SSH berbasis pengguna dan menggunakan SSH atau RDP untuk terhubung ke instance.

  Untuk setiap tumpukan, pengguna administratif dapat menetapkan setiap pengguna kunci SSH pribadi, atau memberi wewenang kepada pengguna untuk menentukan kunci mereka sendiri. Anda juga dapat mengotorisasi akses SSH atau RDP dan hak istimewa sudo atau administrator pada instance tumpukan untuk setiap pengguna. 

Aspek keamanan lainnya adalah sebagai berikut:
+ Cara mengelola pembaruan sistem operasi instans Anda dengan tambalan keamanan terbaru. 

  Untuk informasi selengkapnya, lihat [Mengelola Pembaruan Keamanan](workingsecurity-updates.md).
+ Cara mengonfigurasi [grup EC2 keamanan Amazon](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html) untuk mengontrol lalu lintas jaringan ke dan dari instans Anda.

  Cara menentukan grup keamanan khusus alih-alih grup keamanan default OpsWorks Stacks. Untuk informasi selengkapnya, lihat [Menggunakan Grup Keamanan](workingsecurity-groups.md).

**Topics**
+ [Mengelola OpsWorks Izin Pengguna Stacks](opsworks-security-users.md)
+ [Mengizinkan OpsWorks Tumpukan untuk Bertindak Atas Nama Anda](opsworks-security-servicerole.md)
+ [Pencegahan deputi kebingungan lintas layanan di Stacks OpsWorks](cross-service-confused-deputy-prevention-stacks.md)
+ [Menentukan Izin untuk Aplikasi yang Berjalan pada instance EC2](opsworks-security-appsrole.md)
+ [Mengelola Akses SSH](security-ssh-access.md)
+ [Mengelola Pembaruan Keamanan Linux](workingsecurity-updates.md)
+ [Menggunakan Grup Keamanan](workingsecurity-groups.md)

# Mengelola OpsWorks Izin Pengguna Stacks
<a name="opsworks-security-users"></a>

**penting**  
 AWS OpsWorks Stacks Layanan ini mencapai akhir masa pakai pada 26 Mei 2024 dan telah dinonaktifkan untuk pelanggan baru dan yang sudah ada. Kami sangat menyarankan pelanggan untuk memindahkan beban kerja mereka ke solusi lain sesegera mungkin. Jika Anda memiliki pertanyaan tentang migrasi, hubungi AWS Dukungan Tim di [AWS re:Post](https://repost.aws/) atau melalui [AWS Dukungan](https://aws.amazon.com/support) Premium.

Sebagai praktik terbaik, batasi pengguna OpsWorks Stacks ke serangkaian tindakan tertentu atau kumpulan sumber daya tumpukan. Anda dapat mengontrol izin pengguna OpsWorks Stacks dengan dua cara: dengan menggunakan halaman **Izin OpsWorks Tumpukan, dan dengan menerapkan kebijakan IAM** yang sesuai.

*Halaman OpsWorks **Izin—atau** tindakan CLI atau API yang setara—memungkinkan Anda mengontrol izin pengguna di lingkungan multipengguna berdasarkan per-tumpukan dengan menetapkan setiap pengguna salah satu dari beberapa tingkat izin.* Setiap tingkat memberikan izin untuk serangkaian tindakan standar untuk sumber daya tumpukan tertentu. Dengan menggunakan halaman **Izin**, Anda dapat mengontrol hal-hal berikut:
+ Siapa yang dapat mengakses setiap tumpukan.
+ Tindakan mana yang diizinkan dilakukan setiap pengguna di setiap tumpukan.

  Misalnya, Anda dapat mengizinkan beberapa pengguna untuk hanya melihat tumpukan sementara yang lain dapat menyebarkan aplikasi, menambahkan instance, dan sebagainya.
+ Siapa yang bisa mengelola setiap tumpukan.

  Anda dapat mendelegasikan pengelolaan setiap tumpukan ke satu atau lebih pengguna tertentu.
+ Siapa yang memiliki akses SSH tingkat pengguna dan hak istimewa sudo (Linux) atau akses RDP dan hak administrator (Windows) pada setiap instance Amazon tumpukan. EC2 

  Anda dapat memberikan atau menghapus izin ini secara terpisah untuk setiap pengguna kapan saja.

**penting**  
Menolak SSH/RDP akses tidak serta merta mencegah pengguna masuk ke instance. Jika Anda menentukan EC2 key pair Amazon untuk sebuah instance, setiap pengguna dengan kunci pribadi yang sesuai dapat masuk atau menggunakan kunci untuk mengambil kata sandi administrator Windows. Untuk informasi selengkapnya, lihat [Mengelola Akses SSH](security-ssh-access.md).

Anda dapat menggunakan [konsol IAM](https://console.aws.amazon.com/iam), CLI, atau API untuk menambahkan kebijakan ke pengguna yang memberikan izin eksplisit untuk OpsWorks berbagai sumber daya dan tindakan Stacks.
+ Menggunakan kebijakan IAM untuk menentukan izin lebih fleksibel daripada menggunakan tingkat izin.
+ Anda dapat mengatur [Identitas IAM (pengguna, grup pengguna, dan peran)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html), yang memberikan izin untuk identitas IAM, seperti pengguna dan grup pengguna, atau menentukan [peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) yang dapat dikaitkan dengan pengguna federasi.
+ Kebijakan IAM adalah satu-satunya cara untuk memberikan izin untuk tindakan OpsWorks Tumpukan kunci tertentu.

  Misalnya, Anda harus menggunakan IAM untuk memberikan izin untuk `opsworks:CreateStack` dan`opsworks:CloneStack`, yang masing-masing digunakan untuk membuat dan mengkloning tumpukan.

Meskipun tidak secara eksplisit mungkin untuk mengimpor pengguna federasi di konsol, pengguna federasi dapat secara implisit membuat profil pengguna dengan memilih **Pengaturan Saya** di kanan atas konsol OpsWorks Stacks, dan kemudian memilih **Pengguna**, juga di kanan atas. Pada halaman **Pengguna, pengguna** federasi—yang akunnya dibuat dengan menggunakan API atau CLI, atau secara implisit melalui konsol—dapat mengelola akun mereka mirip dengan pengguna non-federasi.

Kedua pendekatan tersebut tidak saling eksklusif dan terkadang berguna untuk menggabungkannya; OpsWorks Tumpukan kemudian mengevaluasi kedua set izin. Misalnya, Anda ingin mengizinkan pengguna untuk menambah atau menghapus instance tetapi tidak menambah atau menghapus lapisan. Tak satu pun dari tingkat izin OpsWorks Stacks memberikan set izin tertentu. Namun, Anda dapat menggunakan halaman **Izin** untuk memberi pengguna tingkat izin **Kelola**, yang memungkinkan mereka melakukan sebagian besar operasi tumpukan, lalu menerapkan kebijakan IAM yang menolak izin untuk menambah atau menghapus lapisan. Untuk informasi selengkapnya, lihat [Mengontrol akses ke AWS sumber daya menggunakan kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html). 

Berikut ini adalah model khas untuk mengelola izin pengguna. Dalam setiap kasus, pembaca (Anda) diasumsikan sebagai pengguna administratif.

1. Gunakan [konsol IAM](https://console.aws.amazon.com/iam) untuk menerapkan AWSOpsWorks\$1FullAccess kebijakan ke satu atau beberapa pengguna administratif.

1. Buat pengguna untuk setiap pengguna nonadministratif dengan kebijakan yang tidak memberikan izin OpsWorks Stacks.

   Jika pengguna hanya memerlukan akses ke OpsWorks Stacks, Anda mungkin tidak perlu menerapkan kebijakan sama sekali. **Sebagai gantinya, Anda dapat mengelola izin mereka dengan halaman OpsWorks Izin Tumpukan.**

1. Gunakan halaman OpsWorks Stacks **Users** untuk mengimpor pengguna nonadministratif ke OpsWorks Stacks.

1. Untuk setiap tumpukan, gunakan halaman **Izin** tumpukan untuk menetapkan tingkat izin untuk setiap pengguna.

1. Jika diperlukan, sesuaikan tingkat izin pengguna dengan menerapkan kebijakan IAM yang dikonfigurasi dengan tepat.

Untuk rekomendasi selengkapnya tentang mengelola pengguna, lihat[Praktik Terbaik: Mengelola Izin](best-practices-permissions.md).

Untuk informasi selengkapnya tentang praktik terbaik IAM, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) di Panduan Pengguna *IAM*.

**Topics**
+ [Mengelola OpsWorks Pengguna Stacks](opsworks-security-users-manage.md)
+ [Memberikan Izin OpsWorks Per-Stack Pengguna Stacks](opsworks-security-users-console.md)
+ [Mengelola Izin OpsWorks Tumpukan dengan Melampirkan Kebijakan IAM](opsworks-security-users-policy.md)
+ [Contoh kebijakan](opsworks-security-users-examples.md)
+ [OpsWorks Tingkat Izin Tumpukan](opsworks-security-users-standard.md)

# Mengelola OpsWorks Pengguna Stacks
<a name="opsworks-security-users-manage"></a>

**penting**  
 AWS OpsWorks Stacks Layanan ini mencapai akhir masa pakai pada 26 Mei 2024 dan telah dinonaktifkan untuk pelanggan baru dan yang sudah ada. Kami sangat menyarankan pelanggan untuk memindahkan beban kerja mereka ke solusi lain sesegera mungkin. Jika Anda memiliki pertanyaan tentang migrasi, hubungi AWS Dukungan Tim di [AWS re:Post](https://repost.aws/) atau melalui [AWS Dukungan](https://aws.amazon.com/support) Premium.

Sebelum Anda dapat mengimpor pengguna ke OpsWorks Stacks dan memberi mereka izin, Anda harus terlebih dahulu membuat pengguna untuk setiap individu. Untuk membuat pengguna IAM, mulailah dengan masuk AWS sebagai pengguna yang telah diberikan izin yang ditentukan dalam kebijakan IAMFull Access. Anda kemudian menggunakan konsol IAM untuk [membuat pengguna IAM](opsworks-security-users-create-user.md) untuk semua orang yang perlu mengakses OpsWorks Stacks. Anda kemudian dapat mengimpor pengguna tersebut ke OpsWorks Stacks dan memberikan izin pengguna sebagai berikut:

**Pengguna OpsWorks Stacks Reguler**  
Pengguna reguler tidak memerlukan kebijakan terlampir. Jika mereka memilikinya, biasanya tidak menyertakan izin OpsWorks Stacks apa pun. Sebagai gantinya, gunakan halaman **Izin OpsWorks ** Tumpukan untuk menetapkan salah satu tingkat izin berikut kepada pengguna reguler berdasarkan. stack-by-stack   
+ **Tampilkan** izin memungkinkan pengguna untuk melihat tumpukan, tetapi tidak melakukan operasi apa pun.
+ **Menyebarkan** izin termasuk izin **Tampilkan** dan juga memungkinkan pengguna untuk menyebarkan dan memperbarui aplikasi.
+ **Mengelola** izin termasuk izin **Deploy** dan juga memungkinkan pengguna untuk melakukan operasi manajemen tumpukan, seperti menambahkan lapisan atau instance, menggunakan halaman Izin untuk mengatur **izin** pengguna, dan mengaktifkan hak istimewa mereka sendiri dan sudo/admin. SSH/RDP 
+ **Tolak** izin menolak akses ke tumpukan.
Jika tingkat izin ini tidak sesuai dengan yang Anda inginkan untuk pengguna tertentu, Anda dapat menyesuaikan izin pengguna dengan menerapkan kebijakan IAM. Misalnya, Anda mungkin ingin menggunakan halaman Izin OpsWorks Tumpukan untuk menetapkan tingkat **izin** **Kelola** ke pengguna, yang memberi mereka izin untuk melakukan semua operasi manajemen tumpukan, tetapi tidak untuk membuat atau mengkloning tumpukan. Anda kemudian dapat menerapkan kebijakan yang membatasi izin tersebut dengan menolak izin mereka untuk menambah atau menghapus lapisan atau menambah izin tersebut dengan mengizinkan mereka membuat atau mengkloning tumpukan. Untuk informasi selengkapnya, lihat [Mengelola Izin OpsWorks Tumpukan dengan Melampirkan Kebijakan IAMMelampirkan Kebijakan IAM](opsworks-security-users-policy.md). 

**OpsWorks Tumpukan Pengguna Administratif**  
[Pengguna administratif adalah pemilik akun atau pengguna IAM dengan izin yang ditentukan oleh kebijakan. AWSOpsWorks\$1FullAccess ](opsworks-security-users-examples.md#opsworks-security-users-examples-admin) Selain izin yang diberikan kepada **Kelola** pengguna, kebijakan ini mencakup izin untuk tindakan yang tidak dapat diberikan melalui halaman **Izin**, seperti berikut:  
+ Mengimpor pengguna ke Stacks OpsWorks 
+ Membuat dan mengkloning tumpukan
Untuk kebijakan selengkapnya, lihat[Contoh kebijakan](opsworks-security-users-examples.md). Untuk daftar izin terperinci yang hanya dapat diberikan kepada pengguna dengan menerapkan kebijakan IAM, lihat. [OpsWorks Tingkat Izin TumpukanTingkat Izin](opsworks-security-users-standard.md)

**Topics**
+ [Pengguna dan Wilayah](#UsersandRegions)
+ [Membuat Pengguna Administratif OpsWorks Stacks](opsworks-security-users-manage-admin.md)
+ [Membuat pengguna IAM untuk Stacks OpsWorks](opsworks-security-users-create-user.md)
+ [Mengimpor Pengguna ke Tumpukan OpsWorks](opsworks-security-users-manage-import.md)
+ [Mengedit OpsWorks Pengaturan Pengguna Stacks](opsworks-security-users-manage-edit.md)

## Pengguna dan Wilayah
<a name="UsersandRegions"></a>

OpsWorks Pengguna tumpukan tersedia dalam titik akhir regional tempat mereka dibuat. Anda dapat membuat pengguna di salah satu Wilayah berikut.
+ Wilayah AS Timur (Ohio)
+ Wilayah AS Timur (Virginia Utara)
+ Wilayah AS Barat (Oregon)
+ Wilayah Barat AS (California U.)
+ Wilayah Kanada (Tengah) (hanya API; tidak tersedia di Konsol Manajemen AWS
+ Wilayah Asia Pasifik (Mumbai)
+ Wilayah Asia Pasifik (Singapura)
+ Wilayah Asia Pasifik (Sydney)
+ Wilayah Asia Pacific (Tokyo)
+ Wilayah Asia Pasifik (Seoul)
+ Wilayah Eropa (Frankfurt)
+ Wilayah Eropa (Irlandia)
+ Wilayah Eropa (London)
+ Wilayah Eropa (Paris)
+ Wilayah Amerika Selatan (Sao Paulo)

Saat Anda mengimpor pengguna ke OpsWorks Stacks, Anda mengimpornya ke salah satu titik akhir regional; jika Anda ingin pengguna tersedia di lebih dari satu Wilayah, Anda harus mengimpor pengguna ke Wilayah tersebut. Anda juga dapat mengimpor pengguna OpsWorks Stacks dari satu Wilayah ke Wilayah lain; jika Anda mengimpor pengguna ke Wilayah yang sudah memiliki pengguna dengan nama yang sama, pengguna yang diimpor akan menggantikan pengguna yang sudah ada. Untuk informasi selengkapnya tentang mengimpor pengguna, lihat[Mengimpor Pengguna](opsworks-security-users-manage-import.md).

# Membuat Pengguna Administratif OpsWorks Stacks
<a name="opsworks-security-users-manage-admin"></a>

**penting**  
 AWS OpsWorks Stacks Layanan ini mencapai akhir masa pakai pada 26 Mei 2024 dan telah dinonaktifkan untuk pelanggan baru dan yang sudah ada. Kami sangat menyarankan pelanggan untuk memindahkan beban kerja mereka ke solusi lain sesegera mungkin. Jika Anda memiliki pertanyaan tentang migrasi, hubungi AWS Dukungan Tim di [AWS re:Post](https://repost.aws/) atau melalui [AWS Dukungan](https://aws.amazon.com/support) Premium.

Anda dapat membuat pengguna administratif OpsWorks Stacks dengan menambahkan `AWSOpsWorks_FullAccess` kebijakan ke pengguna, yang memberi pengguna tersebut izin OpsWorks Menumpuk Akses Penuh. Untuk informasi selengkapnya tentang membuat pengguna administratif, lihat [Membuat pengguna administratif](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-set-up.html#create-an-admin).

**catatan**  
 AWSOpsWorks\$1FullAccess Kebijakan ini memungkinkan pengguna untuk membuat dan mengelola OpsWorks tumpukan Stacks, tetapi pengguna tidak dapat membuat peran layanan IAM untuk tumpukan; mereka harus menggunakan peran yang ada. Pengguna pertama yang membuat tumpukan harus memiliki izin IAM tambahan, seperti yang dijelaskan dalam. [Izin Administratif](opsworks-security-users-examples.md#opsworks-security-users-examples-admin) Saat pengguna ini membuat tumpukan pertama, OpsWorks Stacks membuat peran layanan IAM dengan izin yang diperlukan. Setelah itu, setiap pengguna dengan `opsworks:CreateStack` izin dapat menggunakan peran itu untuk membuat tumpukan tambahan. Untuk informasi selengkapnya, lihat [Mengizinkan OpsWorks Tumpukan untuk Bertindak Atas Nama Anda](opsworks-security-servicerole.md).

Saat membuat pengguna, Anda dapat menambahkan kebijakan tambahan yang dikelola pelanggan untuk menyempurnakan izin pengguna, sesuai kebutuhan. Misalnya, Anda mungkin ingin pengguna administratif dapat membuat atau menghapus tumpukan, tetapi tidak mengimpor pengguna baru. Untuk informasi selengkapnya, lihat [Mengelola Izin OpsWorks Tumpukan dengan Melampirkan Kebijakan IAMMelampirkan Kebijakan IAM](opsworks-security-users-policy.md).

Jika Anda memiliki beberapa pengguna administratif, alih-alih menyetel izin secara terpisah untuk setiap pengguna, Anda dapat menambahkan AWSOpsWorks\$1FullAccess kebijakan ke grup IAM dan menambahkan pengguna ke grup tersebut. 

Untuk informasi tentang membuat grup, lihat [Membuat grup pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_create.html). Saat Anda membuat grup, tambahkan **AWSOpsWorks\$1FullAccess**kebijakan. Anda juga dapat menambahkan **AdministratorAccess**kebijakan, yang mencakup **AWSOpsWorks\$1FullAccess**izin.

Untuk informasi tentang menambahkan izin ke grup yang ada, lihat [Melampirkan kebijakan ke grup pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_attach-policy.html).

# Membuat pengguna IAM untuk Stacks OpsWorks
<a name="opsworks-security-users-create-user"></a>

**penting**  
 AWS OpsWorks Stacks Layanan ini mencapai akhir masa pakai pada 26 Mei 2024 dan telah dinonaktifkan untuk pelanggan baru dan yang sudah ada. Kami sangat menyarankan pelanggan untuk memindahkan beban kerja mereka ke solusi lain sesegera mungkin. Jika Anda memiliki pertanyaan tentang migrasi, hubungi AWS Dukungan Tim di [AWS re:Post](https://repost.aws/) atau melalui [AWS Dukungan](https://aws.amazon.com/support) Premium.

Sebelum Anda dapat mengimpor pengguna IAM ke OpsWorks Stacks, Anda harus membuatnya. Anda dapat melakukan ini menggunakan [konsol IAM](https://console.aws.amazon.com/iam/), baris perintah, atau API. Untuk petunjuk selengkapnya, lihat [Membuat pengguna IAM di AWS akun Anda](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html).

Perhatikan bahwa tidak seperti [pengguna administratif](opsworks-security-users-manage-admin.md), Anda tidak perlu melampirkan kebijakan untuk menentukan izin. Anda dapat mengatur izin setelah [mengimpor pengguna ke OpsWorks Stacks](opsworks-security-users-manage-import.md), seperti yang dijelaskan di. [Mengelola izin](opsworks-security-users.md) 

Untuk informasi selengkapnya tentang membuat pengguna dan grup IAM, lihat [Memulai IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started.html).

# Mengimpor Pengguna ke Tumpukan OpsWorks
<a name="opsworks-security-users-manage-import"></a>

**penting**  
 AWS OpsWorks Stacks Layanan ini mencapai akhir masa pakai pada 26 Mei 2024 dan telah dinonaktifkan untuk pelanggan baru dan yang sudah ada. Kami sangat menyarankan pelanggan untuk memindahkan beban kerja mereka ke solusi lain sesegera mungkin. Jika Anda memiliki pertanyaan tentang migrasi, hubungi AWS Dukungan Tim di [AWS re:Post](https://repost.aws/) atau melalui [AWS Dukungan](https://aws.amazon.com/support) Premium.

Pengguna administratif dapat mengimpor pengguna ke OpsWorks Stacks; mereka juga dapat mengimpor pengguna OpsWorks Stacks dari satu titik akhir regional ke titik akhir lainnya. Saat Anda mengimpor pengguna ke OpsWorks Stacks, Anda mengimpornya ke salah satu titik akhir regional OpsWorks Stacks. Jika Anda ingin pengguna tersedia di lebih dari satu Wilayah, Anda harus mengimpor pengguna ke Wilayah tersebut.

Meskipun tidak secara eksplisit mungkin untuk mengimpor pengguna federasi di konsol, pengguna federasi dapat secara implisit membuat profil pengguna dengan memilih **Pengaturan Saya** di kanan atas konsol OpsWorks Stacks, dan kemudian memilih **Pengguna**, juga di kanan atas. Pada halaman **Pengguna, pengguna** federasi—yang akunnya dibuat dengan menggunakan API atau CLI, atau secara implisit melalui konsol—dapat mengelola akun mereka mirip dengan pengguna non-federasi.

**Untuk mengimpor pengguna ke OpsWorks Stacks**

1. Masuk ke OpsWorks Stacks sebagai pengguna administratif atau sebagai pemilik akun.

1. Pilih **Pengguna** di kanan atas untuk membuka halaman **Pengguna**.  
![\[Halaman pengguna yang menampilkan pengguna us-east-1\]](http://docs.aws.amazon.com/id_id/opsworks/latest/userguide/images/permissions_users_page.png)

1. Pilih **Impor Pengguna IAM ke < *region name* >** untuk menampilkan pengguna yang tersedia, tetapi yang belum diimpor.  
![\[Impor perintah pada halaman Pengguna\]](http://docs.aws.amazon.com/id_id/opsworks/latest/userguide/images/permissions_import.png)

1. Isi kotak centang **Pilih semua**, atau pilih satu atau beberapa pengguna individu. Setelah selesai, pilih **Impor ke OpsWorks**.
**catatan**  
Setelah Anda mengimpor pengguna ke OpsWorks Stacks, jika Anda menggunakan konsol IAM atau API untuk menghapus pengguna dari akun Anda, pengguna tidak secara otomatis kehilangan akses SSH yang telah Anda berikan melalui Stacks. OpsWorks Anda juga harus menghapus pengguna dari OpsWorks Tumpukan dengan membuka halaman **Pengguna**, dan memilih **hapus** di kolom **Tindakan** pengguna.

**Untuk mengimpor pengguna OpsWorks Stacks dari satu Wilayah ke Wilayah lainnya**

OpsWorks Pengguna tumpukan tersedia dalam titik akhir regional tempat mereka dibuat. Anda dapat membuat pengguna di Wilayah yang ditampilkan di[Pengguna dan Wilayah](opsworks-security-users-manage.md#UsersandRegions).

Anda dapat mengimpor pengguna OpsWorks Tumpukan dari satu Wilayah ke Wilayah tempat daftar **Pengguna** Anda saat ini difilter. Jika Anda mengimpor pengguna ke Wilayah yang sudah memiliki pengguna dengan nama yang sama, pengguna yang diimpor akan menggantikan pengguna yang sudah ada.

1. Masuk ke OpsWorks Stacks sebagai pengguna administratif atau sebagai pemilik akun.

1. Pilih **Pengguna** di kanan atas untuk membuka halaman **Pengguna**. Jika Anda memiliki pengguna OpsWorks Stacks di lebih dari satu Wilayah, gunakan kontrol **Filter** untuk memfilter Wilayah yang ingin Anda impor pengguna.  
![\[Halaman pengguna yang menampilkan pengguna us-east-1\]](http://docs.aws.amazon.com/id_id/opsworks/latest/userguide/images/permissions_users_page.png)

1. Pilih **Impor OpsWorks Tumpukan pengguna dari Wilayah lain ke < *current region* >**.  
![\[Halaman pengguna yang menampilkan pengguna us-west-2\]](http://docs.aws.amazon.com/id_id/opsworks/latest/userguide/images/permissions_import_otherregion.png)

1. Pilih Wilayah tempat Anda ingin mengimpor pengguna OpsWorks Stacks.

1. Pilih satu atau beberapa pengguna yang akan diimpor, atau pilih semua pengguna, lalu pilih **Impor ke wilayah ini**. Tunggu OpsWorks Stacks untuk menampilkan pengguna yang diimpor dalam daftar **Pengguna**.

## Unix IDs dan Pengguna Membuat Tumpukan Luar OpsWorks
<a name="w2ab1c14c67c15c35c17c17"></a>

OpsWorks menetapkan pengguna pada OpsWorks Stacks instance Unix ID (UID) nilai antara 2000 dan 4000. Karena OpsWorks cadangan kisaran 2000-4000 UIDs, pengguna yang Anda buat di luar OpsWorks (dengan menggunakan resep buku masak, atau dengan mengimpor pengguna ke OpsWorks dari IAM, misalnya) dapat memiliki UIDs yang ditimpa oleh Stacks untuk pengguna lain. OpsWorks Hal ini dapat mengakibatkan pengguna yang telah Anda buat di luar OpsWorks Stacks tidak muncul di hasil pencarian tas data, atau dikecualikan dari operasi bawaan OpsWorks `sync_remote_users` Stacks.

Proses eksternal juga dapat membuat pengguna dengan OpsWorks Stacks UIDs yang dapat menimpa. Beberapa paket sistem operasi, misalnya, dapat membuat pengguna sebagai bagian dari proses pasca-instalasi. Ketika Anda atau proses perangkat lunak membuat pengguna pada sistem operasi berbasis Linux tanpa secara eksplisit menentukan UID — yang merupakan default — UID yang ditetapkan oleh Stacks adalah \$1 1. OpsWorks *<highest existing OpsWorks UID>*

Sebagai praktik terbaik, buat pengguna OpsWorks Stacks dan kelola aksesnya di konsol OpsWorks Stacks, AWS CLI, atau dengan menggunakan SDK. AWS Jika Anda membuat pengguna pada instance OpsWorks Stacks di luar OpsWorks, gunakan *UnixID* nilai yang lebih besar dari 4000.

# Mengedit OpsWorks Pengaturan Pengguna Stacks
<a name="opsworks-security-users-manage-edit"></a>

**penting**  
 AWS OpsWorks Stacks Layanan ini mencapai akhir masa pakai pada 26 Mei 2024 dan telah dinonaktifkan untuk pelanggan baru dan yang sudah ada. Kami sangat menyarankan pelanggan untuk memindahkan beban kerja mereka ke solusi lain sesegera mungkin. Jika Anda memiliki pertanyaan tentang migrasi, hubungi AWS Dukungan Tim di [AWS re:Post](https://repost.aws/) atau melalui [AWS Dukungan](https://aws.amazon.com/support) Premium.

Setelah Anda mengimpor pengguna, Anda dapat mengedit pengaturan mereka, sebagai berikut:

**Untuk mengedit setelan pengguna**

1. Pada halaman **Pengguna**, pilih **edit** di kolom **Tindakan** pengguna.

1. Anda dapat menentukan pengaturan berikut.  
**Manajemen Diri**  
Pilih **Ya** untuk memungkinkan pengguna menggunakan MySettings halaman untuk menentukan kunci SSH pribadinya.   
Anda juga dapat mengaktifkan pengelolaan mandiri dengan menambahkan kebijakan IAM ke identitas IAM yang memberikan izin untuk tindakan dan tindakan. [DescribeMyUserProfile[UpdateMyUserProfile](https://docs.aws.amazon.com/opsworks/latest/APIReference/API_UpdateMyUserProfile.html)](https://docs.aws.amazon.com/opsworks/latest/APIReference/API_DescribeMyUserProfile.html)   
**Kunci SSH publik**  
(Opsional) Masukkan kunci SSH publik untuk pengguna. Kunci ini akan muncul di halaman **Pengaturan Saya** pengguna. Jika Anda mengaktifkan manajemen diri, pengguna dapat mengedit **Pengaturan Saya** dan menentukan kuncinya sendiri. Untuk informasi selengkapnya, lihat [Mendaftarkan Kunci SSH Publik Pengguna](security-settingsshkey.md).  
OpsWorks Stacks menginstal kunci ini di semua instance Linux; pengguna dapat menggunakan kunci pribadi terkait untuk masuk. Untuk informasi selengkapnya, lihat [Login dengan SSH](workinginstances-ssh.md). Anda tidak dapat menggunakan kunci ini dengan tumpukan Windows.  
**Izin**  
(Opsional) Tetapkan tingkat izin pengguna untuk setiap tumpukan di satu tempat alih-alih mengaturnya secara terpisah dengan menggunakan halaman **Izin** setiap tumpukan. Untuk informasi selengkapnya tentang tingkat izin, lihat[Memberikan Izin Per-Stack](opsworks-security-users-console.md).  
![\[User details page showing name, ARN, SSH settings, and permission levels for various stacks.\]](http://docs.aws.amazon.com/id_id/opsworks/latest/userguide/images/permissions_edit_user.png)

# Memberikan Izin OpsWorks Per-Stack Pengguna Stacks
<a name="opsworks-security-users-console"></a>

**penting**  
 AWS OpsWorks Stacks Layanan ini mencapai akhir masa pakai pada 26 Mei 2024 dan telah dinonaktifkan untuk pelanggan baru dan yang sudah ada. Kami sangat menyarankan pelanggan untuk memindahkan beban kerja mereka ke solusi lain sesegera mungkin. Jika Anda memiliki pertanyaan tentang migrasi, hubungi AWS Dukungan Tim di [AWS re:Post](https://repost.aws/) atau melalui [AWS Dukungan](https://aws.amazon.com/support) Premium.

Cara termudah untuk mengelola izin pengguna OpsWorks Stacks adalah dengan menggunakan halaman **Izin** tumpukan. Setiap tumpukan memiliki halamannya sendiri, yang memberikan izin untuk tumpukan itu.

Anda harus masuk sebagai pengguna administratif atau **Kelola** pengguna untuk mengubah pengaturan izin apa pun. Daftar ini hanya menampilkan pengguna yang telah diimpor ke OpsWorks Stacks. Untuk informasi tentang cara membuat dan mengimpor pengguna, lihat[Mengelola Pengguna](opsworks-security-users-manage.md).

Tingkat izin default adalah Kebijakan IAM Saja, yang hanya memberi pengguna izin yang ada dalam kebijakan IAM mereka.
+ Saat Anda mengimpor pengguna dari IAM atau dari Wilayah lain, pengguna akan ditambahkan ke daftar untuk semua tumpukan yang ada dengan tingkat izin **Khusus Kebijakan IAM**.
+ Secara default, pengguna yang baru saja Anda impor dari Wilayah lain tidak memiliki akses ke tumpukan di Wilayah tujuan. Jika Anda mengimpor pengguna dari Wilayah lain, agar mereka dapat mengelola tumpukan di Wilayah tujuan, mereka harus diberi izin ke tumpukan tersebut setelah Anda mengimpor pengguna.
+ Saat Anda membuat tumpukan baru, semua pengguna saat ini ditambahkan ke daftar dengan tingkat izin **Hanya Kebijakan IAM**.

**Topics**
+ [Mengatur Izin Pengguna](#opsworks-security-users-console-set)
+ [Melihat Izin Anda](#opsworks-security-users-console-viewing)
+ [Menggunakan Kunci Kondisi IAM untuk Memverifikasi Kredensi Sementara](#w2ab1c14c67c15c37c21)

## Mengatur Izin Pengguna
<a name="opsworks-security-users-console-set"></a>

**Untuk menyetel izin pengguna**

1. Di panel navigasi, pilih **Izin**.

1. Pada halaman **Izin**, pilih **Edit**.

1. Ubah pengaturan **tingkat Izin** dan **akses Instance**:
   + Gunakan pengaturan **tingkat Izin** untuk menetapkan salah satu tingkat izin standar untuk setiap pengguna, yang menentukan apakah pengguna dapat mengakses tumpukan ini dan tindakan apa yang dapat dilakukan pengguna. Jika pengguna memiliki kebijakan IAM, OpsWorks Stacks mengevaluasi kedua set izin. Sebagai contoh lihat[Contoh kebijakan](opsworks-security-users-examples.md).
   + Pengaturan **akses Instance** **SSH/RDP** menentukan apakah pengguna memiliki akses SSH (Linux) atau RDP (Windows) ke instance tumpukan.

     Jika Anda mengotorisasi akses **SSH/RDP**, Anda dapat memilih **sudo/admin secara opsional, yang memberikan hak istimewa sudo** (Linux) atau administratif (Windows) pengguna pada instance tumpukan.   
![\[Mengelola pengguna dengan halaman Izin.\]](http://docs.aws.amazon.com/id_id/opsworks/latest/userguide/images/permissions-edit.png)

Anda dapat menetapkan setiap pengguna ke salah satu tingkat izin berikut. Untuk daftar tindakan yang diizinkan oleh setiap level, lihat[OpsWorks Tingkat Izin TumpukanTingkat Izin](opsworks-security-users-standard.md).

**Menyangkal**  
Pengguna tidak dapat melakukan tindakan OpsWorks Stacks apa pun di tumpukan, meskipun mereka memiliki kebijakan IAM yang memberikan izin akses penuh kepada OpsWorks Stacks. Anda dapat menggunakan ini, misalnya, untuk menolak akses beberapa pengguna ke tumpukan untuk produk yang belum dirilis.

**Hanya Kebijakan IAM**  
Tingkat default, yang ditetapkan untuk semua pengguna yang baru diimpor, dan untuk semua pengguna untuk tumpukan yang baru dibuat. Izin pengguna ditentukan oleh kebijakan IAM mereka. Jika pengguna tidak memiliki kebijakan IAM, atau kebijakan mereka tidak memiliki izin OpsWorks Tumpukan eksplisit, mereka tidak dapat mengakses tumpukan. Pengguna administratif biasanya diberi level ini karena kebijakan IAM mereka sudah memberikan izin akses penuh.

**Tampilkan**  
Pengguna dapat melihat tumpukan, tetapi tidak melakukan operasi apa pun. Misalnya, manajer mungkin ingin memantau tumpukan akun, tetapi tidak perlu menerapkan aplikasi atau memodifikasi tumpukan dengan cara apa pun.

**Menyebarkan**  
Termasuk izin **Tampilkan** dan juga memungkinkan pengguna untuk menyebarkan aplikasi. Misalnya, pengembang aplikasi mungkin perlu menerapkan pembaruan ke instance tumpukan tetapi tidak menambahkan lapisan atau instance ke tumpukan.

**Mengelola**  
Termasuk izin **Deploy** dan juga memungkinkan pengguna untuk melakukan berbagai operasi manajemen tumpukan, termasuk:  
+ Menambahkan atau menghapus layer dan instance.
+ Menggunakan halaman **Izin** tumpukan untuk menetapkan tingkat izin kepada pengguna.
+ Mendaftarkan atau membatalkan pendaftaran sumber daya.
Misalnya, setiap tumpukan dapat memiliki manajer yang ditunjuk yang bertanggung jawab untuk memastikan bahwa tumpukan memiliki jumlah dan jenis instance yang sesuai, menangani pembaruan paket dan sistem operasi, dan sebagainya.  
Level Kelola tidak memungkinkan pengguna membuat atau mengkloning tumpukan. Izin tersebut harus diberikan oleh kebijakan IAM. Sebagai contoh, lihat [Kelola Izin](opsworks-security-users-examples.md#opsworks-security-users-examples-manage).

Jika pengguna juga memiliki kebijakan IAM, OpsWorks Stacks mengevaluasi kedua set izin. Ini memungkinkan Anda menetapkan tingkat izin kepada pengguna dan kemudian menerapkan kebijakan untuk membatasi atau menambah tindakan yang diizinkan pada level tersebut. Misalnya, Anda dapat menerapkan kebijakan yang memungkinkan pengguna **Kelola** membuat atau mengkloning tumpukan, atau menyangkal kemampuan pengguna tersebut untuk mendaftarkan atau membatalkan pendaftaran sumber daya. Untuk beberapa contoh kebijakan semacam itu, lihat[Contoh kebijakan](opsworks-security-users-examples.md).

**catatan**  
Jika kebijakan pengguna mengizinkan tindakan tambahan, hasilnya akan muncul untuk mengganti setelan halaman **Izin**. Misalnya, jika pengguna memiliki kebijakan yang mengizinkan [CreateLayer](https://docs.aws.amazon.com/opsworks/latest/APIReference/API_CreateLayer.html)tindakan tetapi Anda menggunakan halaman Izin untuk menentukan **izin** **Penerapan**, pengguna tetap diizinkan untuk membuat lapisan. Pengecualian untuk aturan ini adalah opsi **Tolak**, yang menolak akses tumpukan bahkan ke pengguna dengan AWSOpsWorks\$1FullAccess kebijakan. Untuk informasi selengkapnya, lihat [Mengontrol akses ke AWS sumber daya menggunakan kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html). 

## Melihat Izin Anda
<a name="opsworks-security-users-console-viewing"></a>

Jika [manajemen mandiri](opsworks-security-users-manage-edit.md) diaktifkan, pengguna dapat melihat ringkasan tingkat izin mereka untuk setiap tumpukan dengan memilih **Pengaturan Saya**, di kanan atas. Pengguna juga dapat mengakses **Pengaturan Saya** jika kebijakan mereka memberikan izin untuk tindakan [DescribeMyUserProfile](https://docs.aws.amazon.com/opsworks/latest/APIReference/API_DescribeMyUserProfile.html)dan [UpdateMyUserProfile](https://docs.aws.amazon.com/opsworks/latest/APIReference/API_UpdateMyUserProfile.html)tindakan.

## Menggunakan Kunci Kondisi IAM untuk Memverifikasi Kredensi Sementara
<a name="w2ab1c14c67c15c37c21"></a>

OpsWorks Stacks memiliki lapisan otorisasi bawaan yang mendukung kasus otorisasi tambahan (seperti pengelolaan akses read-only atau read-write yang disederhanakan ke tumpukan untuk pengguna individu). Lapisan otorisasi ini bergantung pada penggunaan kredensi sementara. Karena itu, Anda tidak dapat menggunakan `aws:TokenIssueTime` kondisi untuk memverifikasi bahwa pengguna menggunakan kredensi jangka panjang, atau memblokir tindakan dari pengguna yang menggunakan kredensial sementara, seperti yang dijelaskan dalam referensi [elemen kebijakan IAM JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Conditions_Null) dalam dokumentasi IAM.

# Mengelola Izin OpsWorks Tumpukan dengan Melampirkan Kebijakan IAM
<a name="opsworks-security-users-policy"></a>

**penting**  
 AWS OpsWorks Stacks Layanan ini mencapai akhir masa pakai pada 26 Mei 2024 dan telah dinonaktifkan untuk pelanggan baru dan yang sudah ada. Kami sangat menyarankan pelanggan untuk memindahkan beban kerja mereka ke solusi lain sesegera mungkin. Jika Anda memiliki pertanyaan tentang migrasi, hubungi AWS Dukungan Tim di [AWS re:Post](https://repost.aws/) atau melalui [AWS Dukungan](https://aws.amazon.com/support) Premium.

Anda dapat menentukan izin OpsWorks Tumpukan pengguna dengan melampirkan kebijakan IAM. Kebijakan terlampir diperlukan untuk beberapa izin:
+ Izin pengguna administratif, seperti mengimpor pengguna.
+ Izin untuk beberapa tindakan, seperti membuat atau mengkloning tumpukan.

Untuk daftar lengkap tindakan yang memerlukan kebijakan terlampir, lihat[OpsWorks Tingkat Izin TumpukanTingkat Izin](opsworks-security-users-standard.md). 

Anda juga dapat menggunakan kebijakan untuk menyesuaikan tingkat izin yang diberikan melalui halaman **Izin**. Bagian ini memberikan ringkasan singkat tentang cara menerapkan kebijakan IAM kepada pengguna untuk menentukan izin OpsWorks Stacks. Untuk informasi selengkapnya, lihat [Manajemen akses untuk AWS sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html).

*Kebijakan IAM adalah objek JSON yang berisi satu atau lebih pernyataan.* Setiap elemen pernyataan memiliki daftar izin, yang memiliki tiga elemen dasar mereka sendiri:

**Tindakan**  
Tindakan yang dipengaruhi oleh izin. Anda menentukan tindakan OpsWorks Stacks sebagai`opsworks:action`. An `Action` dapat diatur ke tindakan tertentu seperti`opsworks:CreateStack`, yang menentukan apakah pengguna diizinkan untuk memanggil [https://docs.aws.amazon.com/opsworks/latest/APIReference/API_CreateStack.html](https://docs.aws.amazon.com/opsworks/latest/APIReference/API_CreateStack.html). Anda juga dapat menggunakan wildcard untuk menentukan grup tindakan. Misalnya, `opsworks:Create*` menentukan semua tindakan penciptaan. Untuk daftar lengkap tindakan OpsWorks Stacks, lihat Referensi [API OpsWorks Stacks](https://docs.aws.amazon.com/opsworks/latest/APIReference/Welcome.html).

**Efek**  
Apakah tindakan yang ditentukan diizinkan atau ditolak.

**Sumber Daya**  
Sumber AWS daya yang dipengaruhi oleh izin. OpsWorks Stacks memiliki satu jenis sumber daya, tumpukan. Untuk menentukan izin untuk sumber daya tumpukan tertentu, atur `Resource` ke ARN tumpukan, yang memiliki format berikut:. `arn:aws:opsworks:region:account_id:stack/stack_id/`  
Anda juga dapat menggunakan wildcard. Misalnya, menyetel `Resource` untuk `*` memberikan izin untuk setiap sumber daya. 

Misalnya, kebijakan berikut menyangkal kemampuan pengguna untuk menghentikan instance pada tumpukan yang ID-nya. `2860-2f18b4cb-4de5-4429-a149-ff7da9f0d8ee`

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Action": "opsworks:StopInstance",
      "Effect": "Deny",
      "Resource": "arn:aws:opsworks:*:*:stack/2f18b4cb-4de5-4429-a149-ff7da9f0d8ee/"
    }
  ]
}
```

------

Untuk informasi tentang menambahkan izin ke pengguna IAM, lihat. [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)

Untuk informasi selengkapnya tentang cara membuat atau mengubah kebijakan IAM, lihat [Kebijakan dan izin di](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) IAM. Untuk beberapa contoh kebijakan OpsWorks Stacks, lihat[Contoh kebijakan](opsworks-security-users-examples.md).

# Contoh kebijakan
<a name="opsworks-security-users-examples"></a>

**penting**  
 AWS OpsWorks Stacks Layanan ini mencapai akhir masa pakai pada 26 Mei 2024 dan telah dinonaktifkan untuk pelanggan baru dan yang sudah ada. Kami sangat menyarankan pelanggan untuk memindahkan beban kerja mereka ke solusi lain sesegera mungkin. Jika Anda memiliki pertanyaan tentang migrasi, hubungi AWS Dukungan Tim di [AWS re:Post](https://repost.aws/) atau melalui [AWS Dukungan](https://aws.amazon.com/support) Premium.

Bagian ini menjelaskan contoh kebijakan IAM yang dapat diterapkan pada pengguna OpsWorks Stacks. 
+ [Izin Administratif](#opsworks-security-users-examples-admin)menjelaskan kebijakan yang digunakan untuk memberikan izin kepada pengguna administratif.
+ [Kelola Izin](#opsworks-security-users-examples-manage)dan [Menyebarkan Izin](#opsworks-security-users-examples-deploy) tunjukkan contoh kebijakan yang dapat diterapkan pada pengguna untuk menambah atau membatasi tingkat izin Kelola dan Penerapan.

  OpsWorks **Tumpukan menentukan izin pengguna dengan mengevaluasi izin yang diberikan oleh kebijakan IAM serta izin yang diberikan oleh halaman Izin.** Untuk informasi selengkapnya, lihat [Mengontrol akses ke AWS sumber daya menggunakan kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html). Untuk informasi selengkapnya tentang **izin halaman Izin**, lihat. [OpsWorks Tingkat Izin TumpukanTingkat Izin](opsworks-security-users-standard.md)

## Izin Administratif
<a name="opsworks-security-users-examples-admin"></a>

Gunakan konsol IAM [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/), untuk mengakses AWSOpsWorks\$1FullAccess kebijakan, Lampirkan kebijakan ini ke pengguna untuk memberi mereka izin untuk melakukan semua tindakan OpsWorks Tumpukan. Izin IAM diperlukan, antara lain, untuk memungkinkan pengguna administratif mengimpor pengguna.

Anda harus membuat [peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) yang memungkinkan OpsWorks Stacks bertindak atas nama Anda untuk mengakses AWS sumber daya lain, seperti instans Amazon EC2 . Anda biasanya menangani tugas ini dengan meminta pengguna administratif membuat tumpukan pertama, dan membiarkan OpsWorks Stacks membuat peran untuk Anda. Anda kemudian dapat menggunakan peran itu untuk semua tumpukan berikutnya. Untuk informasi selengkapnya, lihat [Mengizinkan OpsWorks Tumpukan untuk Bertindak Atas Nama Anda](opsworks-security-servicerole.md).

Pengguna administratif yang membuat tumpukan pertama harus memiliki izin untuk beberapa tindakan IAM yang tidak disertakan dalam kebijakan. AWSOpsWorks\$1FullAccess Tambahkan izin berikut ke `Actions` bagian kebijakan. Untuk sintaks JSON yang tepat, pastikan untuk menambahkan koma di antara tindakan dan menghapus tanda koma di akhir daftar tindakan. 

```
"iam:PutRolePolicy",
"iam:AddRoleToInstanceProfile",
"iam:CreateInstanceProfile",
"iam:CreateRole"
```

## Kelola Izin
<a name="opsworks-security-users-examples-manage"></a>

Tingkat izin **Kelola** memungkinkan pengguna untuk melakukan berbagai tindakan manajemen tumpukan, termasuk menambahkan atau menghapus lapisan. Topik ini menjelaskan beberapa kebijakan yang dapat Anda gunakan untuk **Mengelola** pengguna untuk menambah atau membatasi izin standar.

Tolak **Kelola** pengguna kemampuan untuk menambah atau menghapus lapisan  
Anda dapat membatasi tingkat **Kelola** izin untuk memungkinkan pengguna melakukan semua tindakan **Kelola** kecuali menambahkan atau menghapus lapisan dengan menggunakan kebijakan IAM berikut. Ganti*region*,*account\$1id*, dan *stack\$1id* dengan nilai yang sesuai dengan konfigurasi Anda.

Izinkan pengguna **Kelola** untuk membuat atau mengkloning tumpukan  
Tingkat **Kelola** izin tidak memungkinkan pengguna untuk membuat atau mengkloning tumpukan. Anda dapat mengubah izin **Kelola** untuk memungkinkan pengguna membuat atau mengkloning tumpukan dengan menerapkan kebijakan IAM berikut. Ganti *region* dan *account\$1id* dengan nilai yang sesuai dengan konfigurasi Anda.

Tolak Kelola pengguna kemampuan untuk mendaftar atau membatalkan pendaftaran sumber daya  
Tingkat izin **Kelola** memungkinkan pengguna untuk [mendaftarkan dan membatalkan pendaftaran Amazon EBS dan sumber daya alamat IP Elastis](resources-reg.md) dengan tumpukan. Anda dapat membatasi izin **Kelola** agar pengguna dapat melakukan semua tindakan **Kelola** kecuali mendaftarkan sumber daya dengan menerapkan kebijakan berikut.    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "opsworks:RegisterVolume",
        "opsworks:RegisterElasticIp"
      ],
      "Resource": "*"
    }
  ]
}
```

Izinkan pengguna **Kelola** untuk mengimpor pengguna  
Tingkat **Kelola** izin tidak memungkinkan pengguna untuk mengimpor pengguna ke OpsWorks Stacks. Anda dapat menambah izin **Kelola** untuk memungkinkan pengguna mengimpor dan menghapus pengguna dengan menerapkan kebijakan IAM berikut. Ganti *region* dan *account\$1id* dengan nilai yang sesuai dengan konfigurasi Anda.

## Menyebarkan Izin
<a name="opsworks-security-users-examples-deploy"></a>

Tingkat izin **Deploy** tidak memungkinkan pengguna untuk membuat atau menghapus aplikasi. Anda dapat menambah izin **Deploy** untuk memungkinkan pengguna membuat dan menghapus aplikasi dengan menerapkan kebijakan IAM berikut. Ganti*region*,*account\$1id*, dan *stack\$1id* dengan nilai yang sesuai dengan konfigurasi Anda.

# OpsWorks Tingkat Izin Tumpukan
<a name="opsworks-security-users-standard"></a>

**penting**  
 AWS OpsWorks Stacks Layanan ini mencapai akhir masa pakai pada 26 Mei 2024 dan telah dinonaktifkan untuk pelanggan baru dan yang sudah ada. Kami sangat menyarankan pelanggan untuk memindahkan beban kerja mereka ke solusi lain sesegera mungkin. Jika Anda memiliki pertanyaan tentang migrasi, hubungi AWS Dukungan Tim di [AWS re:Post](https://repost.aws/) atau melalui [AWS Dukungan](https://aws.amazon.com/support) Premium.

**Bagian ini mencantumkan tindakan yang diizinkan oleh tingkat izin **Tampilkan**, **Terapkan**, dan **Kelola** di halaman Izin OpsWorks Tumpukan.** Ini juga mencakup daftar tindakan yang dapat Anda berikan izin hanya dengan menerapkan kebijakan IAM kepada pengguna.

**Tampilkan**  
Level **Show** memungkinkan `DescribeXYZ` perintah, dengan pengecualian berikut:  

```
DescribePermissions
DescribeUserProfiles
DescribeMyUserProfile
DescribeStackProvisioningParameters
```
Jika pengguna administratif telah mengaktifkan manajemen mandiri untuk pengguna, **Tampilkan** pengguna juga dapat menggunakan `DescribeMyUserProfile` dan`UpdateMyUserProfile`. Untuk informasi lebih lanjut tentang manajemen diri, lihat[Mengedit Pengaturan Pengguna](opsworks-security-users-manage-edit.md). 

**Menyebarkan**  
Tindakan berikut diizinkan oleh level **Deploy**, selain tindakan yang diizinkan oleh level **Tampilkan**.  

```
CreateDeployment
UpdateApp
```

**Mengelola**  
Tindakan berikut diizinkan oleh tingkat **Kelola**, selain tindakan yang diizinkan oleh tingkat **Deploy** dan **Tampilkan**.  

```
AssignInstance
AssignVolume
AssociateElasticIp
AttachElasticLoadBalancer
CreateApp
CreateInstance
CreateLayer
DeleteApp
DeleteInstance
DeleteLayer
DeleteStack
DeregisterElasticIp
DeregisterInstance
DeregisterRdsDbInstance
DeregisterVolume
DescribePermissions
DetachElasticLoadBalancer
DisassociateElasticIp
GrantAccess
GetHostnameSuggestion
RebootInstance
RegisterElasticIp
RegisterInstance
RegisterRdsDbInstance
RegisterVolume
SetLoadBasedAutoScaling
SetPermission
SetTimeBasedAutoScaling
StartInstance
StartStack
StopInstance
StopStack
UnassignVolume
UpdateElasticIp
UpdateInstance
UpdateLayer
UpdateRdsDbInstance
UpdateStack
UpdateVolume
```

**Izin yang Memerlukan Kebijakan IAM**  
Anda harus memberikan izin untuk tindakan berikut dengan menerapkan kebijakan IAM yang sesuai kepada pengguna. Sebagai contoh, lihat [Contoh kebijakan](opsworks-security-users-examples.md).  

```
CloneStack
CreateStack
CreateUserProfile
DeleteUserProfile
DescribeUserProfiles
UpdateUserProfile
```

# Mengizinkan OpsWorks Tumpukan untuk Bertindak Atas Nama Anda
<a name="opsworks-security-servicerole"></a>

**penting**  
 AWS OpsWorks Stacks Layanan ini mencapai akhir masa pakai pada 26 Mei 2024 dan telah dinonaktifkan untuk pelanggan baru dan yang sudah ada. Kami sangat menyarankan pelanggan untuk memindahkan beban kerja mereka ke solusi lain sesegera mungkin. Jika Anda memiliki pertanyaan tentang migrasi, hubungi AWS Dukungan Tim di [AWS re:Post](https://repost.aws/) atau melalui [AWS Dukungan](https://aws.amazon.com/support) Premium.

OpsWorks Stacks perlu berinteraksi dengan berbagai layanan AWS atas nama Anda. Misalnya, OpsWorks Stacks berinteraksi dengan Amazon EC2 untuk membuat instance dan dengan Amazon CloudWatch untuk mendapatkan statistik pemantauan. Saat Anda membuat tumpukan, Anda menentukan peran IAM, biasanya disebut peran layanan, yang memberikan OpsWorks Stacks izin yang sesuai.

![\[Daftar peran IAM di halaman Tambahkan tumpukan.\]](http://docs.aws.amazon.com/id_id/opsworks/latest/userguide/images/add-stack-iamrole.png)


Saat menentukan peran layanan tumpukan baru, Anda dapat melakukan salah satu hal berikut:
+ Tentukan peran layanan standar yang Anda buat sebelumnya.

  Anda biasanya dapat membuat peran layanan standar saat membuat tumpukan pertama, dan kemudian menggunakan peran itu untuk semua tumpukan berikutnya.
+ Tentukan peran layanan kustom yang Anda buat menggunakan konsol IAM atau API.

  Pendekatan ini berguna jika Anda ingin memberikan OpsWorks Stacks izin yang lebih terbatas daripada peran layanan standar.

**catatan**  
Untuk membuat tumpukan pertama Anda, Anda harus memiliki izin yang ditentukan dalam template **AdministratorAccess**kebijakan IAM. Izin ini memungkinkan OpsWorks Stacks untuk membuat peran layanan IAM baru dan memungkinkan Anda untuk mengimpor pengguna, [seperti](opsworks-security-users-manage-import.md) yang dijelaskan sebelumnya. Untuk semua tumpukan berikutnya, pengguna dapat memilih peran layanan yang dibuat untuk tumpukan pertama; mereka tidak memerlukan izin administratif penuh untuk membuat tumpukan.

Peran layanan standar memberikan izin berikut:
+ Lakukan semua EC2 tindakan Amazon (`ec2:*`).
+ Dapatkan CloudWatch statistik (`cloudwatch:GetMetricStatistics`). 
+ Gunakan Elastic Load Balancing untuk mendistribusikan lalu lintas ke server ()`elasticloadbalancing:*`.
+ Gunakan instance Amazon RDS sebagai server database (`rds:*`).
+ Gunakan peran IAM (`iam:PassRole`) untuk menyediakan komunikasi yang aman antara OpsWorks Stacks dan instans Amazon EC2 Anda.

Jika Anda membuat peran layanan kustom, Anda harus memastikan bahwa itu memberikan semua izin yang dibutuhkan OpsWorks Stacks untuk mengelola tumpukan Anda. Contoh JSON berikut adalah pernyataan kebijakan untuk peran layanan standar; peran layanan kustom harus menyertakan setidaknya izin berikut dalam pernyataan kebijakannya.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "ec2:*",
                "iam:PassRole",
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:DescribeAlarms",
                "ecs:*",
                "elasticloadbalancing:*",
                "rds:*"
            ],
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "ec2.amazonaws.com"
                }
            }
        }
    ]
}
```

------

Peran layanan juga memiliki hubungan kepercayaan. Peran layanan yang dibuat oleh OpsWorks Stacks memiliki hubungan kepercayaan berikut.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "StsAssumeRole",
      "Effect": "Allow",
      "Principal": {
        "Service": "opsworks.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

Peran layanan harus memiliki hubungan kepercayaan ini agar OpsWorks Stacks bertindak atas nama Anda. Jika Anda menggunakan peran layanan default, jangan mengubah hubungan kepercayaan. Jika Anda membuat peran layanan kustom, tentukan hubungan kepercayaan dengan melakukan salah satu hal berikut:
+ Jika Anda menggunakan wizard **Buat peran** di [konsol IAM](https://console.aws.amazon.com/iam/home#roles), di **Pilih kasus penggunaan, pilih** **Opsworks**. Peran ini memiliki hubungan kepercayaan yang sesuai, tetapi tidak ada kebijakan yang dilampirkan secara implisit. Untuk memberikan izin OpsWorks Stacks untuk bertindak atas nama Anda, buat kebijakan yang dikelola pelanggan yang berisi hal-hal berikut, dan lampirkan ke peran baru.

------
#### [ JSON ]

****  

  ```
  {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
      {
        "Effect": "Allow",
        "Action": [
          "cloudwatch:DescribeAlarms",
          "cloudwatch:GetMetricStatistics",
          "ec2:*",
          "ecs:*",
          "elasticloadbalancing:*",
          "iam:GetRolePolicy",
          "iam:ListInstanceProfiles",
          "iam:ListRoles",
          "iam:ListUsers",
          "rds:*"
        ],
        "Resource": [
          "*"
        ]
      },
      {
        "Effect": "Allow",
        "Action": [
          "iam:PassRole"
        ],
        "Resource": "*",
        "Condition": {
          "StringEquals": {
            "iam:PassedToService": "ec2.amazonaws.com"
          }
        }
      }
    ]
  }
  ```

------
+ Jika Anda menggunakan CloudFormation template, Anda dapat menambahkan sesuatu seperti berikut ini ke bagian **Sumber Daya** template Anda.

  ```
  "Resources": {
    "OpsWorksServiceRole": {
        "Type": "AWS::IAM::Role",
        "Properties": {
          "AssumeRolePolicyDocument": {
              "Statement": [ {
                "Effect": "Allow",
                "Principal": {
                    "Service": [ "opsworks.amazonaws.com" ]
                },
                "Action": [ "sts:AssumeRole" ]
              } ]
          },
          "Path": "/",
          "Policies": [ {
              "PolicyName": "opsworks-service",
              "PolicyDocument": {
                ...
              } ]
          }
        },
     }
  }
  ```

# Pencegahan deputi kebingungan lintas layanan di Stacks OpsWorks
<a name="cross-service-confused-deputy-prevention-stacks"></a>

**penting**  
 AWS OpsWorks Stacks Layanan ini mencapai akhir masa pakai pada 26 Mei 2024 dan telah dinonaktifkan untuk pelanggan baru dan yang sudah ada. Kami sangat menyarankan pelanggan untuk memindahkan beban kerja mereka ke solusi lain sesegera mungkin. Jika Anda memiliki pertanyaan tentang migrasi, hubungi AWS Dukungan Tim di [AWS re:Post](https://repost.aws/) atau melalui [AWS Dukungan](https://aws.amazon.com/support) Premium.

Masalah "confused deputy" adalah masalah keamanan di mana entitas yang tidak memiliki izin untuk melakukan tindakan dapat memengaruhi entitas yang memiliki hak akses lebih tinggi untuk melakukan tindakan. Pada tahun AWS, peniruan lintas layanan dapat mengakibatkan masalah wakil yang membingungkan. Peniruan identitas lintas layanan dapat terjadi ketika satu layanan (*layanan yang dipanggil*) memanggil layanan lain (*layanan yang dipanggil*). Layanan pemanggilan dapat dimanipulasi menggunakan izinnya untuk bertindak pada sumber daya pelanggan lain dengan cara yang seharusnya tidak dilakukannya kecuali bila memiliki izin untuk mengakses. Untuk mencegah hal ini, AWS menyediakan alat yang membantu Anda melindungi data untuk semua layanan dengan principal layanan yang telah diberi akses ke sumber daya di akun Anda.

Sebaiknya gunakan kunci konteks kondisi [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)dan dalam kebijakan akses tumpukan untuk membatasi izin yang diberikan AWS OpsWorks Stacks kepada layanan lain ke tumpukan. Jika nilai `aws:SourceArn` tidak berisi ID akun, seperti ARN bucket Amazon S3, Anda harus menggunakan kedua kunci konteks kondisi global tersebut untuk membatasi izin. Jika Anda menggunakan kunci konteks kondisi global dan nilai `aws:SourceArn` berisi ID akun, nilai `aws:SourceAccount` dan akun dalam nilai `aws:SourceArn` harus menggunakan ID akun yang sama saat digunakan dalam pernyataan kebijakan yang sama. Gunakan `aws:SourceArn` jika Anda ingin hanya satu tumpukan yang dikaitkan dengan akses lintas layanan. Gunakan `aws:SourceAccount` jika Anda ingin mengizinkan tumpukan apa pun di akun itu dikaitkan dengan penggunaan lintas layanan.

Nilai `aws:SourceArn` harus ARN dari tumpukan. OpsWorks 

Cara paling efektif untuk melindungi dari masalah wakil yang membingungkan adalah dengan menggunakan kunci konteks kondisi `aws:SourceArn` global dengan ARN penuh dari OpsWorks tumpukan Stacks. Jika Anda tidak mengetahui ARN lengkap, atau jika Anda menentukan beberapa tumpukan ARNs, gunakan kunci kondisi konteks `aws:SourceArn` global dengan wildcard (`*`) untuk bagian ARN yang tidak diketahui. Misalnya, `arn:aws:servicename:*:123456789012:*`.

Bagian berikut menunjukkan bagaimana Anda dapat menggunakan kunci konteks kondisi `aws:SourceAccount` global `aws:SourceArn` dan di OpsWorks Tumpukan untuk mencegah masalah wakil yang membingungkan.

## Mencegah eksploitasi wakil yang membingungkan di Stacks OpsWorks
<a name="confused-deputy-opsworks-stacks-procedure"></a>

Bagian ini menjelaskan bagaimana Anda dapat membantu mencegah eksploitasi deputi yang membingungkan di OpsWorks Tumpukan, dan menyertakan contoh kebijakan izin yang dapat Anda lampirkan ke peran IAM yang Anda gunakan untuk mengakses Tumpukan. OpsWorks Sebagai praktik terbaik keamanan, kami sarankan untuk menambahkan kunci `aws:SourceArn` dan `aws:SourceAccount` kondisi ke hubungan kepercayaan yang dimiliki peran IAM Anda dengan layanan lain. Hubungan kepercayaan memungkinkan OpsWorks Stacks untuk mengambil peran untuk melakukan tindakan di layanan lain yang diperlukan untuk membuat atau mengelola OpsWorks tumpukan Stacks Anda.

**Untuk mengedit hubungan kepercayaan untuk menambahkan `aws:SourceArn` dan `aws:SourceAccount` mengkondisikan kunci**

1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi sebelah kiri, pilih **Peran**.

1. Di kotak **Pencarian**, cari peran yang Anda gunakan untuk akses ke OpsWorks Tumpukan. Peran yang AWS dikelola adalah`aws-opsworks-service-role`.

1. Pada halaman **Ringkasan** untuk peran tersebut, pilih tab **Trust relationship**.

1. Pada tab **Hubungan kepercayaan**, pilih **Edit kebijakan kepercayaan**.

1. Pada halaman **Edit kebijakan kepercayaan**, tambahkan setidaknya satu dari `aws:SourceArn` atau kunci `aws:SourceAccount` kondisi ke kebijakan. Gunakan `aws:SourceArn` untuk membatasi hubungan kepercayaan antara layanan lintas (seperti Amazon EC2) dan OpsWorks Tumpukan ke tumpukan OpsWorks Stacks tertentu, yang lebih ketat. Tambahkan `aws:SourceAccount` untuk membatasi hubungan kepercayaan antara layanan lintas dan OpsWorks Tumpukan ke tumpukan di akun tertentu, yang tidak terlalu membatasi. Berikut adalah contohnya. Perhatikan bahwa jika Anda menggunakan kedua tombol kondisi, akun IDs harus sama.

1. Setelah selesai menambahkan tombol kondisi, pilih **Perbarui kebijakan**.

Berikut ini adalah contoh tambahan peran yang membatasi akses ke tumpukan dengan menggunakan `aws:SourceArn` dan`aws:SourceAccount`.

**Topics**
+ [Contoh: Mengakses tumpukan di wilayah tertentu](#confused-deputy-opsworks-stacks-example1)
+ [Contoh: Menambahkan lebih dari satu tumpukan ARN ke `aws:SourceArn`](#confused-deputy-opsworks-stacks-example2)

### Contoh: Mengakses tumpukan di wilayah tertentu
<a name="confused-deputy-opsworks-stacks-example1"></a>

Pernyataan hubungan kepercayaan peran berikut mengakses OpsWorks tumpukan Stacks di Wilayah Timur AS (Ohio) (). `us-east-2` Perhatikan bahwa wilayah ditentukan dalam nilai ARN`aws:SourceArn`, tetapi nilai ID tumpukan adalah wildcard (\$1).

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "opsworks.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        },
        "ArnEquals": {
          "aws:SourceArn": "arn:aws:opsworks:us-east-2:123456789012:stack/*"
        }
      }
    }
  ]
}
```

------

### Contoh: Menambahkan lebih dari satu tumpukan ARN ke `aws:SourceArn`
<a name="confused-deputy-opsworks-stacks-example2"></a>

Contoh berikut membatasi akses ke array dua OpsWorks tumpukan Stacks di ID akun 123456789012.

# Menentukan Izin untuk Aplikasi yang Berjalan pada instance EC2
<a name="opsworks-security-appsrole"></a>

**penting**  
 AWS OpsWorks Stacks Layanan ini mencapai akhir masa pakai pada 26 Mei 2024 dan telah dinonaktifkan untuk pelanggan baru dan yang sudah ada. Kami sangat menyarankan pelanggan untuk memindahkan beban kerja mereka ke solusi lain sesegera mungkin. Jika Anda memiliki pertanyaan tentang migrasi, hubungi AWS Dukungan Tim di [AWS re:Post](https://repost.aws/) atau melalui [AWS Dukungan](https://aws.amazon.com/support) Premium.

Jika aplikasi yang berjalan di EC2 instans Amazon stack Anda perlu mengakses sumber daya AWS lainnya, seperti bucket Amazon S3, aplikasi tersebut harus memiliki izin yang sesuai. Untuk memberikan izin tersebut, Anda menggunakan profil instance. Anda dapat menentukan profil instance untuk setiap instance saat [membuat tumpukan OpsWorks Stacks](workingstacks-creating.md). 

![\[Opsi lanjutan di halaman Tambahkan Stack.\]](http://docs.aws.amazon.com/id_id/opsworks/latest/userguide/images/add-stack-instanceproflie.png)


Anda juga dapat menentukan profil untuk instance lapisan dengan [mengedit konfigurasi lapisan](workinglayers-basics-edit.md).

Profil instance menentukan peran IAM. Aplikasi yang berjalan pada instans dapat mengasumsikan peran tersebut untuk mengakses sumber daya AWS, tunduk pada izin yang diberikan oleh kebijakan peran tersebut. Untuk informasi selengkapnya tentang cara aplikasi mengasumsikan peran, lihat [Mengasumsikan Peran Menggunakan Panggilan API](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-assume-role.html).

Anda dapat membuat profil instance dengan salah satu cara berikut:
+ Gunakan konsol IAM atau API untuk membuat profil.

  Untuk informasi selengkapnya, lihat [Peran (Delegasi dan Federasi)](https://docs.aws.amazon.com/IAM/latest/UserGuide/WorkingWithRoles.html).
+ Gunakan CloudFormation template untuk membuat profil.

  Untuk beberapa contoh cara menyertakan sumber daya IAM dalam template, lihat [Identity and Access Management (IAM) Template Snippets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/quickref-iam.html).

Profil instans harus memiliki hubungan kepercayaan dan kebijakan terlampir yang memberikan izin untuk mengakses sumber daya AWS.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

Profil instans harus memiliki hubungan kepercayaan ini agar OpsWorks Stacks bertindak atas nama Anda. Jika Anda menggunakan peran layanan default, jangan mengubah hubungan kepercayaan. Jika Anda membuat peran layanan khusus, tentukan kapal hubungan kepercayaan sebagai berikut: 
+ Jika Anda menggunakan wizard **Buat Peran** di [konsol IAM](https://console.aws.amazon.com/iam/home#roles), tentukan jenis EC2 peran **Amazon** di bawah **AWS Service Roles** di halaman kedua wizard. 
+ Jika Anda menggunakan CloudFormation template, Anda dapat menambahkan sesuatu seperti berikut ini ke bagian **Sumber Daya** template Anda.

  ```
  "Resources": {
        "OpsWorksEC2Role": {
           "Type": "AWS::IAM::Role",
           "Properties": {
              "AssumeRolePolicyDocument": {
                 "Statement": [ {
                    "Effect": "Allow",
                    "Principal": {
                       "Service": [ "ec2.amazonaws.com" ]
                    },
                    "Action": [ "sts:AssumeRole" ]
                 } ]
              },
              "Path": "/"
           }
        },
        "RootInstanceProfile": {
           "Type": "AWS::IAM::InstanceProfile",
           "Properties": {
              "Path": "/",
              "Roles": [ {
                 "Ref": "OpsWorksEC2Role"
              }
           ]
        }
     }
  }
  ```

Saat membuat profil instans, Anda dapat melampirkan kebijakan yang sesuai ke peran profil pada saat itu. Setelah membuat tumpukan, Anda harus menggunakan [konsol IAM](https://console.aws.amazon.com/iam/) atau API untuk melampirkan kebijakan yang sesuai ke peran profil. Misalnya, kebijakan berikut memberikan akses penuh ke semua objek di bucket Amazon S3 bernama amzn-s3-demo-bucket. Ganti *region* dan amzn-s3-demo-bucket dengan nilai yang sesuai dengan konfigurasi Anda.

Untuk contoh cara membuat dan menggunakan profil instance, lihat [Menggunakan Bucket Amazon S3](https://docs.aws.amazon.com/opsworks/latest/userguide/gettingstarted.walkthrough.photoapp.html).

Jika aplikasi Anda menggunakan profil instans untuk memanggil OpsWorks Stacks API dari EC2 instans, kebijakan harus mengizinkan `iam:PassRole` tindakan selain tindakan yang sesuai untuk OpsWorks Stacks dan layanan AWS lainnya. `iam:PassRole`Izin memungkinkan OpsWorks Stacks untuk mengambil peran layanan atas nama Anda. Untuk informasi selengkapnya tentang OpsWorks Stacks API, lihat [AWS OpsWorks API Referensi](https://docs.aws.amazon.com/opsworks/latest/APIReference/Welcome.html).

Berikut ini adalah contoh kebijakan IAM yang memungkinkan Anda memanggil tindakan OpsWorks Stacks apa pun dari sebuah EC2 instance, serta tindakan Amazon EC2 atau Amazon S3 apa pun.

**catatan**  
Jika Anda tidak mengizinkan`iam:PassRole`, setiap upaya untuk memanggil tindakan OpsWorks Stacks gagal dengan kesalahan seperti berikut:  

```
User: arn:aws:sts::123456789012:federated-user/Bob is not authorized
to perform: iam:PassRole on resource:
arn:aws:sts::123456789012:role/OpsWorksStackIamRole
```

*Untuk informasi selengkapnya tentang penggunaan peran pada EC2 instans untuk izin, lihat [Memberikan Aplikasi yang Berjalan di EC2 Instans Amazon Akses ke Sumber Daya AWS di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/role-usecase-ec2app.html) Pengguna.AWS Identity and Access Management *

# Mengelola Akses SSH
<a name="security-ssh-access"></a>

**penting**  
 AWS OpsWorks Stacks Layanan ini mencapai akhir masa pakai pada 26 Mei 2024 dan telah dinonaktifkan untuk pelanggan baru dan yang sudah ada. Kami sangat menyarankan pelanggan untuk memindahkan beban kerja mereka ke solusi lain sesegera mungkin. Jika Anda memiliki pertanyaan tentang migrasi, hubungi AWS Dukungan Tim di [AWS re:Post](https://repost.aws/) atau melalui [AWS Dukungan](https://aws.amazon.com/support) Premium.

OpsWorks Stacks mendukung kunci SSH untuk tumpukan Linux dan Windows.
+ Untuk instance Linux, Anda dapat menggunakan SSH untuk masuk ke sebuah instance, misalnya, untuk menjalankan perintah [CLI agen](agent.md).

  Untuk informasi selengkapnya, lihat [Login dengan SSH](workinginstances-ssh.md).
+ Untuk instance Windows, Anda dapat menggunakan kunci SSH untuk mendapatkan kata sandi Administrator instans, yang kemudian dapat Anda gunakan untuk masuk dengan RDP.

  Untuk informasi selengkapnya, lihat [Masuk dengan RDP](workinginstances-rdp.md).



Otentikasi didasarkan pada key pair SSH, yang terdiri dari public key dan private key:
+ Anda menginstal kunci publik pada instance.

  Lokasi tergantung pada sistem operasi tertentu, tetapi OpsWorks Stacks menangani detail untuk Anda.
+ Anda menyimpan kunci pribadi secara lokal dan menyediakannya ke klien SSH, seperti`ssh.exe`, untuk mengakses instance.

  Klien SSH menggunakan kunci pribadi untuk terhubung ke instance.

Untuk menyediakan akses SSH ke pengguna stack, Anda memerlukan cara untuk membuat pasangan kunci SSH, menginstal kunci publik pada instance tumpukan, dan mengelola kunci pribadi dengan aman.

Amazon EC2 menyediakan cara sederhana untuk menginstal kunci SSH publik pada sebuah instance. Anda dapat menggunakan EC2 konsol Amazon atau API untuk membuat satu atau beberapa pasangan kunci untuk setiap wilayah AWS yang ingin Anda gunakan. Amazon EC2 menyimpan kunci publik di AWS dan Anda menyimpan kunci pribadi secara lokal. Saat meluncurkan instance, Anda menentukan salah satu pasangan kunci wilayah tersebut dan Amazon EC2 secara otomatis menginstalnya pada instance. Anda kemudian menggunakan kunci pribadi yang sesuai untuk masuk ke instance. Untuk informasi selengkapnya, lihat [Pasangan EC2 Kunci Amazon](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html).

Dengan OpsWorks Stacks, Anda dapat menentukan salah satu pasangan EC2 kunci Amazon di wilayah tersebut saat membuat tumpukan, dan secara opsional menggantinya dengan key pair yang berbeda saat membuat setiap instance. Ketika OpsWorks Stacks meluncurkan EC2 instans Amazon yang sesuai, Stacks menentukan key pair dan Amazon EC2 menginstal kunci publik pada instance. Anda kemudian dapat menggunakan kunci pribadi untuk masuk atau mengambil kata sandi Administrator, seperti yang Anda lakukan dengan EC2 instance Amazon standar. Untuk informasi selengkapnya, lihat [Memasang EC2 Kunci Amazon](security-settingec2key.md).

Menggunakan EC2 key pair Amazon nyaman, tetapi memiliki dua keterbatasan signifikan:
+ Amazon EC2 key pair terkait dengan wilayah AWS tertentu.

  Jika Anda bekerja di beberapa wilayah, Anda harus mengelola beberapa pasangan kunci.
+ Anda hanya dapat menginstal satu Amazon EC2 key pair pada sebuah instance.

  Jika Anda ingin mengizinkan beberapa pengguna untuk masuk, mereka semua harus memiliki salinan kunci pribadi, yang bukan merupakan praktik keamanan yang disarankan.

Untuk tumpukan Linux, OpsWorks Stacks menyediakan cara yang lebih sederhana dan lebih fleksibel untuk mengelola pasangan kunci SSH.
+ Setiap pengguna mendaftarkan personal key pair.

  Mereka menyimpan kunci pribadi secara lokal dan mendaftarkan kunci publik dengan OpsWorks Stacks, seperti yang dijelaskan dalam. [Mendaftarkan Kunci SSH Publik Pengguna](security-settingsshkey.md) 
+ Saat Anda menetapkan izin pengguna untuk tumpukan, Anda menentukan pengguna mana yang harus memiliki akses SSH ke instance tumpukan.

  OpsWorks Stacks secara otomatis membuat pengguna sistem pada instance stack untuk setiap pengguna yang berwenang dan menginstal kunci publik mereka. Pengguna kemudian dapat menggunakan kunci pribadi yang sesuai untuk masuk, seperti yang dijelaskan dalam[Login dengan SSH](workinginstances-ssh.md).

Menggunakan kunci SSH pribadi memiliki keuntungan sebagai berikut.
+ Tidak perlu mengonfigurasi kunci secara manual pada instance; OpsWorks Stacks secara otomatis menginstal kunci publik yang sesuai pada setiap instance.
+ OpsWorks Stacks hanya menginstal kunci publik pribadi pengguna resmi.

  Pengguna yang tidak sah tidak dapat menggunakan kunci pribadi pribadi mereka untuk mendapatkan akses ke instans. Dengan pasangan EC2 kunci Amazon, setiap pengguna dengan kunci pribadi yang sesuai dapat masuk, dengan atau tanpa akses SSH resmi. 
+ Jika pengguna tidak lagi membutuhkan akses SSH, Anda dapat menggunakan [halaman Izin untuk mencabut **izin**](opsworks-security-users-manage-edit.md) SSH/RDP pengguna. 

  OpsWorks Tumpukan segera menghapus kunci publik dari instance tumpukan.
+ Anda dapat menggunakan kunci yang sama untuk wilayah AWS mana pun.

  Pengguna harus mengelola hanya satu kunci pribadi.
+ Tidak perlu berbagi kunci pribadi.

  Setiap pengguna memiliki kunci pribadinya sendiri.
+ Sangat mudah untuk memutar tombol.

  Anda atau pengguna memperbarui kunci publik di **Pengaturan Saya** dan OpsWorks Tumpukan secara otomatis memperbarui instance.

# Memasang EC2 Kunci Amazon
<a name="security-settingec2key"></a>

**penting**  
 AWS OpsWorks Stacks Layanan ini mencapai akhir masa pakai pada 26 Mei 2024 dan telah dinonaktifkan untuk pelanggan baru dan yang sudah ada. Kami sangat menyarankan pelanggan untuk memindahkan beban kerja mereka ke solusi lain sesegera mungkin. Jika Anda memiliki pertanyaan tentang migrasi, hubungi AWS Dukungan Tim di [AWS re:Post](https://repost.aws/) atau melalui [AWS Dukungan](https://aws.amazon.com/support) Premium.

Saat membuat tumpukan, Anda dapat menentukan kunci EC2 SSH Amazon yang diinstal secara default pada setiap instance di tumpukan.

![\[Daftar kunci SSH default pada halaman Tambahkan tumpukan\]](http://docs.aws.amazon.com/id_id/opsworks/latest/userguide/images/ec2_keys.png)


Daftar **kunci SSH default** menunjukkan Amazon EC2keys akun AWS Anda. Anda dapat melakukan salah satu dari yang berikut: 
+ Pilih kunci yang sesuai dari daftar.
+ Pilih **Jangan gunakan kunci SSH default** untuk menentukan tidak ada kunci.

Jika Anda memilih **Jangan gunakan kunci SSH default**, atau Anda ingin mengganti kunci default tumpukan, Anda dapat menentukan kunci saat membuat instance.

![\[Menentukan kunci SSH\]](http://docs.aws.amazon.com/id_id/opsworks/latest/userguide/images/instance_keys.png)


Ketika Anda memulai instance OpsWorks Stacks menginstal kunci publik dalam file. `authorized_keys`

# Mendaftarkan Kunci SSH Publik Pengguna
<a name="security-settingsshkey"></a>

**penting**  
 AWS OpsWorks Stacks Layanan ini mencapai akhir masa pakai pada 26 Mei 2024 dan telah dinonaktifkan untuk pelanggan baru dan yang sudah ada. Kami sangat menyarankan pelanggan untuk memindahkan beban kerja mereka ke solusi lain sesegera mungkin. Jika Anda memiliki pertanyaan tentang migrasi, hubungi AWS Dukungan Tim di [AWS re:Post](https://repost.aws/) atau melalui [AWS Dukungan](https://aws.amazon.com/support) Premium.

Ada dua cara untuk mendaftarkan kunci SSH publik pengguna:
+ Pengguna administratif dapat menetapkan kunci SSH publik untuk satu atau lebih pengguna dan memberi mereka kunci pribadi yang sesuai.
+ Pengguna administratif dapat mengaktifkan manajemen mandiri untuk satu atau lebih pengguna.

  Pengguna tersebut kemudian dapat menentukan kunci SSH publik mereka sendiri.

Untuk informasi selengkapnya bagaimana pengguna administratif dapat mengaktifkan manajemen mandiri atau menetapkan kunci publik kepada pengguna, lihat[Mengedit Pengaturan Pengguna](opsworks-security-users-manage-edit.md).

Menghubungkan ke instance berbasis Linux dengan menggunakan SSH di terminal PuTTY memerlukan langkah tambahan. Untuk informasi selengkapnya, lihat [Menghubungkan ke Instans Linux Anda dari Windows Menggunakan PuTTY](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/putty.html) dan [Pemecahan Masalah Menyambung ke Instans Anda di dokumentasi AWS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/TroubleshootingInstancesConnecting.html).

Berikut ini menjelaskan bagaimana pengguna dengan manajemen mandiri diaktifkan dapat menentukan kunci publik mereka.

**Untuk menentukan kunci publik SSH**

1. Buat key pair SSH.

   Pendekatan paling sederhana adalah menghasilkan key pair secara lokal. Untuk informasi selengkapnya, lihat [Cara Menghasilkan Kunci Anda Sendiri dan Mengimpornya ke Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/generating-a-keypair.html#how-to-generate-your-own-key-and-import-it-to-aws). 
**catatan**  
Jika Anda menggunakan Pu TTYgen untuk menghasilkan key pair Anda, salin kunci publik dari kunci Publik **untuk ditempelkan ke kotak file OpenSSH** authorized\$1keys. Mengklik **Simpan Kunci Publik** menyimpan kunci publik dalam format yang tidak didukung oleh MindTerm.

1. Masuk ke konsol OpsWorks Stacks sebagai pengguna IAM dengan pengelolaan mandiri diaktifkan. 
**penting**  
**Jika Anda masuk sebagai pemilik akun, atau sebagai pengguna IAM yang tidak mengaktifkan pengelolaan mandiri, OpsWorks Stacks tidak menampilkan Pengaturan Saya.** Jika Anda adalah pengguna administratif atau pemilik akun, Anda dapat menentukan kunci SSH dengan membuka halaman **Pengguna** dan [mengedit pengaturan pengguna](opsworks-security-users-manage-edit.md).

1. Pilih **Pengaturan Saya**, yang menampilkan pengaturan untuk pengguna yang masuk.  
![\[Tautan Pengaturan saya di OpsWorks dasbor.\]](http://docs.aws.amazon.com/id_id/opsworks/latest/userguide/images/permissions-mysettings-link.png)

1. Pada halaman **Pengaturan Saya**, klik **Edit**.  
![\[Tombol Edit di halaman Pengaturan Saya.\]](http://docs.aws.amazon.com/id_id/opsworks/latest/userguide/images/mysettings-editbutton.png)

1.  **Di **kotak Kunci SSH Publik**, masukkan kunci publik SSH Anda, lalu klik Simpan.**   
![\[Kotak Kunci SSH Publik di halaman Pengaturan Saya.\]](http://docs.aws.amazon.com/id_id/opsworks/latest/userguide/images/mysettings-setsshkey.png)

**penting**  
Untuk menggunakan klien MindTerm SSH bawaan untuk terhubung ke EC2 instans Amazon, pengguna harus masuk sebagai pengguna IAM dan memiliki kunci SSH publik yang terdaftar di Stacks. OpsWorks Lihat informasi yang lebih lengkap di [Menggunakan Built-in MindTerm SSH Client](workinginstances-ssh-mindterm.md).

# Mengelola Pembaruan Keamanan Linux
<a name="workingsecurity-updates"></a>

**penting**  
 AWS OpsWorks Stacks Layanan ini mencapai akhir masa pakai pada 26 Mei 2024 dan telah dinonaktifkan untuk pelanggan baru dan yang sudah ada. Kami sangat menyarankan pelanggan untuk memindahkan beban kerja mereka ke solusi lain sesegera mungkin. Jika Anda memiliki pertanyaan tentang migrasi, hubungi AWS Dukungan Tim di [AWS re:Post](https://repost.aws/) atau melalui [AWS Dukungan](https://aws.amazon.com/support) Premium.

## Pembaruan Keamanan
<a name="bestpractice-secupdates"></a>

Penyedia sistem operasi Linux menyediakan pembaruan rutin, yang sebagian besar adalah patch keamanan sistem operasi tetapi juga dapat menyertakan pembaruan untuk paket yang diinstal. Anda harus memastikan bahwa sistem operasi instans Anda terkini dengan patch keamanan terbaru. 

Secara default, OpsWorks Stacks secara otomatis menginstal pembaruan terbaru selama penyiapan, setelah instance selesai booting. OpsWorks Stacks tidak secara otomatis menginstal pembaruan setelah instance online, untuk menghindari gangguan seperti memulai ulang server aplikasi. Sebagai gantinya, Anda mengelola pembaruan untuk instans online Anda sendiri, sehingga Anda dapat meminimalkan gangguan apa pun.

Kami menyarankan Anda menggunakan salah satu dari berikut ini untuk memperbarui instans online Anda.
+ Buat dan mulai instance baru untuk menggantikan instans online Anda saat ini. Kemudian hapus instance saat ini.

  Instans baru akan memiliki set patch keamanan terbaru yang diinstal selama pengaturan.
+ Pada instance berbasis Linux di Chef 11.10 atau tumpukan yang lebih lama, jalankan [perintah tumpukan Update Dependencies](workingstacks-commands.md), yang menginstal kumpulan patch keamanan saat ini dan pembaruan lainnya pada instance yang ditentukan.

Untuk kedua pendekatan ini, OpsWorks Stacks melakukan pembaruan dengan menjalankan `yum update` Amazon Linux dan Red Hat Enterprise Linux (RHEL) atau `apt-get update` untuk Ubuntu. Setiap distribusi menangani pembaruan agak berbeda, jadi Anda harus memeriksa informasi di tautan terkait untuk memahami dengan tepat bagaimana pembaruan akan memengaruhi instance Anda: 
+ **Amazon Linux** — Pembaruan Amazon Linux menginstal patch keamanan dan mungkin juga menginstal pembaruan fitur, termasuk pembaruan paket.

  Untuk informasi lebih lanjut, lihat [Amazon Linux AMI FAQs](https://aws.amazon.com/amazon-linux-ami/faqs/#lock).
+ **Ubuntu** — Pembaruan Ubuntu sebagian besar terbatas untuk menginstal patch keamanan, tetapi mungkin juga menginstal pembaruan paket untuk sejumlah perbaikan kritis yang terbatas.

  Untuk informasi selengkapnya, lihat [LTS - Ubuntu Wiki](https://wiki.ubuntu.com/LTS).
+ **CentOS** — Pembaruan CentOS umumnya mempertahankan kompatibilitas biner dengan versi sebelumnya.
+ **RHEL** — Pembaruan RHEL umumnya mempertahankan kompatibilitas biner dengan versi sebelumnya.

  Untuk informasi selengkapnya, lihat [Red Hat Enterprise Linux Life Cycle](https://access.redhat.com/support/policy/updates/errata/).

Jika Anda ingin lebih mengontrol pembaruan, seperti menentukan versi paket tertentu, Anda dapat menonaktifkan pembaruan otomatis dengan menggunakan,,, atau [UpdateLayer](https://docs.aws.amazon.com/opsworks/latest/APIReference/API_UpdateLayer.html)tindakan—atau [UpdateInstance](https://docs.aws.amazon.com/opsworks/latest/APIReference/API_UpdateInstance.html)metode [CreateLayer](https://docs.aws.amazon.com/opsworks/latest/APIReference/API_CreateLayer.html)AWS [SDK atau perintah AWS](https://aws.amazon.com/tools/) [CLI—untuk menyetel](https://aws.amazon.com/documentation/cli/) parameternya. [CreateInstance](https://docs.aws.amazon.com/opsworks/latest/APIReference/API_CreateInstance.html)`InstallUpdatesOnBoot``false` Contoh berikut menunjukkan cara menggunakan AWS CLI untuk menonaktifkan `InstallUpdatesOnBoot` sebagai pengaturan default untuk lapisan yang ada.

```
aws opsworks update-layer --layer-id layer ID --no-install-updates-on-boot
```

Anda kemudian harus mengelola pembaruan sendiri. Misalnya, Anda dapat menggunakan salah satu strategi ini:
+ Terapkan resep khusus yang [menjalankan perintah shell yang sesuai](cookbooks-101-basics-commands.md#cookbooks-101-basics-commands-script) untuk menginstal pembaruan pilihan Anda.

  Karena pembaruan sistem tidak memetakan secara alami ke [acara siklus hidup](workingcookbook-events.md), sertakan resep di buku masak khusus Anda tetapi [jalankan](workingcookbook-manual.md) secara manual. Untuk pembaruan paket, Anda juga dapat menggunakan sumber daya [yum\$1package (](https://docs.chef.io/chef/resources.html#yum-package)Amazon Linux) atau [apt\$1package](https://docs.chef.io/chef/resources.html#apt-package) (Ubuntu) alih-alih perintah shell. 
+ [Masuk ke setiap instance dengan SSH](workinginstances-ssh.md) dan jalankan perintah yang sesuai secara manual.

# Menggunakan Grup Keamanan
<a name="workingsecurity-groups"></a>

**penting**  
 AWS OpsWorks Stacks Layanan ini mencapai akhir masa pakai pada 26 Mei 2024 dan telah dinonaktifkan untuk pelanggan baru dan yang sudah ada. Kami sangat menyarankan pelanggan untuk memindahkan beban kerja mereka ke solusi lain sesegera mungkin. Jika Anda memiliki pertanyaan tentang migrasi, hubungi AWS Dukungan Tim di [AWS re:Post](https://repost.aws/) atau melalui [AWS Dukungan](https://aws.amazon.com/support) Premium.

## Grup Keamanan
<a name="bestpractice-secgroups"></a>

**penting**  
 AWS OpsWorks Stacks Layanan ini mencapai akhir masa pakai pada 26 Mei 2024 dan telah dinonaktifkan untuk pelanggan baru dan yang sudah ada. Kami sangat menyarankan pelanggan untuk memindahkan beban kerja mereka ke solusi lain sesegera mungkin. Jika Anda memiliki pertanyaan tentang migrasi, hubungi AWS Dukungan Tim di [AWS re:Post](https://repost.aws/) atau melalui [AWS Dukungan](https://aws.amazon.com/support) Premium.

Setiap EC2 instans Amazon memiliki satu atau lebih grup keamanan terkait yang mengatur lalu lintas jaringan instans, seperti firewall. Grup keamanan memiliki satu atau lebih *aturan*, yang masing-masing menentukan kategori tertentu dari lalu lintas yang diizinkan. Aturan menentukan hal berikut:
+ Jenis lalu lintas yang diizinkan, seperti SSH atau HTTP
+ Protokol lalu lintas, seperti TCP atau UDP
+ Rentang alamat IP tempat lalu lintas dapat berasal
+ Jangkauan port yang diizinkan lalu lintas

Kelompok keamanan memiliki dua jenis aturan:
+ Aturan masuk mengatur lalu lintas jaringan masuk.

  Misalnya, instance server aplikasi biasanya memiliki aturan inbound yang memungkinkan lalu lintas HTTP masuk dari alamat IP apa pun ke port 80, dan aturan masuk lain yang memungkinkan lalu lintas SSH masuk ke port 22 dari kumpulan alamat IP yang ditentukan.
+ Aturan keluar mengatur lalu lintas jaringan keluar.

  Praktik umum adalah menggunakan pengaturan default, yang memungkinkan lalu lintas keluar.

Untuk informasi selengkapnya tentang grup keamanan, lihat [Grup EC2 Keamanan Amazon](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html).

Pertama kali Anda membuat tumpukan di suatu wilayah, OpsWorks Stacks membuat grup keamanan bawaan untuk setiap lapisan dengan seperangkat aturan yang sesuai. Semua grup memiliki aturan keluar default, yang memungkinkan semua lalu lintas keluar. Secara umum, aturan masuk memungkinkan hal berikut:
+ Lalu lintas TCP, UDP, dan ICMP masuk dari lapisan Stacks yang sesuai OpsWorks 
+ Lalu lintas TCP masuk pada port 22 (login SSH)
**Awas**  
 Konfigurasi grup keamanan default membuka SSH (port 22) ke lokasi jaringan apa pun (0.0.0.0/0.) Hal ini memungkinkan semua alamat IP untuk mengakses instans Anda dengan menggunakan SSH. Untuk lingkungan produksi, Anda harus menggunakan konfigurasi yang hanya memungkinkan akses SSH dari alamat IP tertentu atau rentang alamat. Perbarui grup keamanan default segera setelah dibuat, atau gunakan grup keamanan khusus sebagai gantinya. 
+ Untuk lapisan server web, semua lalu lintas TCP masuk, dan UDP ke port 80 (HTTP) dan 443 (HTTPS)

**catatan**  
Grup `AWS-OpsWorks-RDP-Server` keamanan bawaan ditugaskan ke semua instance Windows untuk memungkinkan akses RDP. Namun, secara default, itu tidak memiliki aturan apa pun. Jika Anda menjalankan tumpukan Windows dan ingin menggunakan RDP untuk mengakses instance, Anda harus menambahkan aturan masuk yang memungkinkan akses RDP. Untuk informasi selengkapnya, lihat [Masuk dengan RDP](workinginstances-rdp.md).

Untuk melihat detail untuk setiap grup, buka [ EC2konsol Amazon](https://console.aws.amazon.com/ec2/), pilih **Grup Keamanan** di panel navigasi, dan pilih grup keamanan lapisan yang sesuai. Misalnya, **AWS- OpsWorks -Default-Server** adalah grup keamanan bawaan default untuk semua tumpukan, dan **AWS- OpsWorks - WebApp** adalah grup keamanan bawaan default untuk tumpukan sampel Chef 12.

**catatan**  
Jika Anda secara tidak sengaja menghapus grup keamanan OpsWorks Stacks, cara yang lebih disukai untuk membuatnya adalah dengan meminta OpsWorks Stacks melakukan tugas untuk Anda. Cukup buat tumpukan baru di wilayah AWS yang sama—dan VPC, jika OpsWorks ada—dan Stacks akan secara otomatis membuat ulang semua grup keamanan bawaan, termasuk yang Anda hapus. Anda kemudian dapat menghapus tumpukan jika Anda tidak memiliki penggunaan lebih lanjut untuk itu; grup keamanan akan tetap ada. Jika Anda ingin membuat ulang grup keamanan secara manual, itu harus berupa duplikat persis dari aslinya, termasuk kapitalisasi nama grup.  
Selain itu, OpsWorks Stacks akan mencoba membuat ulang semua grup keamanan bawaan jika salah satu hal berikut terjadi:  
Anda membuat perubahan apa pun pada halaman pengaturan tumpukan di konsol OpsWorks Stacks.
Anda memulai salah satu contoh tumpukan.
Anda membuat tumpukan baru.

Anda dapat menggunakan salah satu dari pendekatan berikut untuk menentukan kelompok keamanan. Anda menggunakan pengaturan **Gunakan grup OpsWorks keamanan** untuk menentukan preferensi Anda saat membuat tumpukan. 
+ **Ya** (pengaturan default) - OpsWorks Tumpukan secara otomatis mengaitkan grup keamanan bawaan yang sesuai dengan setiap lapisan.

  Anda dapat menyempurnakan grup keamanan bawaan lapisan dengan menambahkan grup keamanan khusus dengan pengaturan pilihan Anda. Namun, ketika Amazon EC2 mengevaluasi beberapa grup keamanan, Amazon menggunakan aturan yang paling tidak membatasi, sehingga Anda tidak dapat menggunakan pendekatan ini untuk menentukan aturan yang lebih ketat daripada grup bawaan.
+ **Tidak** - OpsWorks Tumpukan tidak mengaitkan grup keamanan bawaan dengan lapisan.

  Anda harus membuat grup keamanan yang sesuai dan mengaitkan setidaknya satu dengan setiap lapisan yang Anda buat. Gunakan pendekatan ini untuk menentukan aturan yang lebih ketat daripada grup bawaan. Perhatikan bahwa Anda masih dapat secara manual mengaitkan grup keamanan bawaan dengan lapisan jika Anda mau; grup keamanan khusus hanya diperlukan untuk lapisan yang memerlukan pengaturan khusus.

**penting**  
Jika Anda menggunakan grup keamanan bawaan, Anda tidak dapat membuat aturan yang lebih ketat dengan memodifikasi pengaturan grup secara manual. Setiap kali Anda membuat tumpukan, OpsWorks Stacks menimpa konfigurasi grup keamanan bawaan, sehingga setiap perubahan yang Anda buat akan hilang saat berikutnya Anda membuat tumpukan. Jika lapisan memerlukan pengaturan grup keamanan yang lebih ketat daripada grup keamanan bawaan, atur **Gunakan grup OpsWorks keamanan** ke **Tidak**, buat grup keamanan khusus dengan pengaturan pilihan Anda, dan tetapkan ke lapisan pada pembuatan.