Kategori
ACF AWS Cloud

Lab 1 – Introduction to AWS IAM

AWS Identity and Access Management (IAM) adalah layanan web yang memungkinkan pelanggan Amazon Web Services (AWS) mengelola pengguna dan izin pengguna di AWS. Dengan IAM, Anda dapat secara terpusat mengelola pengguna, kredensial keamanan seperti kunci akses, dan izin yang mengontrol sumber daya AWS mana yang dapat diakses oleh pengguna.

  • Menjelajahi Pengguna dan Grup IAMyang telah dibuat sebelumnya
  • Memeriksa kebijakan IAM sebagaimana diterapkan ke grup yang telah dibuat sebelumnya
  • Mengikuti skenario dunia nyata, menambahkan pengguna ke grup dengan kemampuan tertentu diaktifkan
  • Menemukan dan menggunakan URL masuk IAM
  • Bereksperimen dengan efek kebijakan pada akses layanan

AWS Identity and Access Management

AWS Identity and Access Management (IAM) dapat digunakan untuk:

  • Mengelola Pengguna IAM dan akses mereka: Anda dapat membuat pengguna dan menetapkan kredensial keamanan individu (kunci akses, kata sandi, dan perangkat autentikasi multifaktor) untuk mereka. Anda dapat mengelola izin untuk mengontrol operasi yang dapat dijalankan Pengguna.
  • Mengelola Peran IAM dan izin mereka: Peran IAM mirip dengan Pengguna, dalam hal ini AWS Identity dengan kebijakan izin yang menentukan apa yang dapat dan tidak dapat dilakukan oleh identifikasi di AWS. Namun, sebagai ganti dikaitkan dengan unik dengan satu orang, Peran ditujukan untuk dapat diambil oleh siapa pun yang membutuhkannya.
  • Mengelola pengguna gabungan dan izin mereka: Anda dapat mengaktifkan federasi identitas untuk mengizinkan pengguna yang ada dalam perusahaan Anda mengakses AWS Management Console, memanggil API AWS, dan mengakses sumber daya, tanpa perlu membuat Pengguna IAM untuk setiap identitas.

Tugas 1: Jelajahi Pengguna dan Grup.

Dalam tugas ini, Anda akan menjelajahi Pengguna dan Grup yang telah dibuat untuk Anda di IAM.

  1. Di AWS Management Console, pada menu Services (Layanan), klik IAM.
  1. Di panel navigasi di sebelah kiri, klik Users (Pengguna).Pengguna IAM berikut telah dibuat untuk Anda:
    • pengguna-1
    • pengguna-2
    • pengguna-3
  1. Klik pengguna-1.Ini akan membawa Anda ke halaman ringkasan untuk pengguna-1. Tab Permissions (Izin) akan ditampilkan.
  1. Perhatikan bahwa pengguna-1 tidak memiliki izin apa pun.
  2. Klik tab Group (Grup) .pengguna-1 juga bukan anggota dari kelompok mana pun.

  1. Klik tab Security credentials (Kredensial keamanan).

pengguna-1 diberikan Console password (kata sandi Console)

  1. Di panel navigasi di sebelah kiri, klik Groups (Grup).

Grup berikut telah dibuat untuk Anda:

  • EC2-Admin
  • EC2-Dukungan
  • S3-Dukungan
  1. Klik grup EC2-Support (EC2-Dukungan).

Ini akan membawa Anda ke halaman ringkasan untuk grup EC2-Support (EC2-Dukungan).

  1. Klik tab Permissions (Izin).

Grup ini memiliki Kebijakan yang Dikelola terkait dengan itu, yang disebut AmazonEC2ReadOnlyAccess. Kebijakan yang Dikelola adalah kebijakan yang dibangun sebelumnya (yang dibangun oleh AWS atau oleh administrator) yang dapat dipasangkan ke IAM Pengguna dan Grup. Saat kebijakan tersebut diperbarui, perubahan kebijakan akan segera berlaku terhadap semua Pengguna dan Grup yang dipasangkan pada kebijakan.

  1. Di bawah Actions (Tindakan), klik tautan Show Policy (Tampilkan Kebijakan).

Sebuah kebijakan mendefinisikan tindakan apa yang diperbolehkan atau ditolak untuk sumber daya AWS tertentu. Kebijakan ini memberikan izin untuk Mencantumkan dan Menguraikan informasi mengenai EC2, Elastic Load Balancing, CloudWatch, dan Auto Scaling. Kemampuan untuk melihat sumber daya, tetapi tidak memodifikasinya, sangat ideal untuk menetapkan peran Dukungan.

Struktur dasar pernyataan dalam Kebijakan IAM adalah:

  • Efek mengatakan apakah akan Izinkan atau Tolak izin.
  • Tindakan menentukan panggilan API yang dapat dilakukan terhadap Layanan AWS (misalnya, cloudwatch:ListMetrics).
  • Sumber daya mendefinisikan ruang lingkup entitas yang dicakup oleh aturan kebijakan (misalnya, bucket Amazon S3 tertentu atau instans Amazon EC2, atau * yang berarti sumber daya apa pun).
  1. Tutup jendela Show Policy (Tampilkan Kebijakan).
  2. Di panel navigasi di sebelah kiri, klik Groups (Grup).
  3. Klik kelompok S3-Support (S3-Dukungan).

Grup S3-Dukungan memiliki kebijakan AmazonS3ReadOnlyAccess yang terpasang.

Jika di add permissions akan gagal karena menggunakan user dummy
  1. Di bawah menu Actions (Tindakan), klik tautan Show Policy (Tampilkan Kebijakan).

Kebijakan ini memiliki izin Mendapatkan dan Mencantumkan sumber daya di Amazon S3.

  1. Tutup jendela Show Policy (Tampilkan Kebijakan).
  2. Di panel navigasi di sebelah kiri, klik Groups (Grup).
  3. Klik grup EC2-Admin.

Grup ini sedikit berbeda dari dua lainnya. Sebagai ganti Kebijakan yang Dikelola, grup ini memiliki Kebijakan Inline, yang merupakan kebijakan yang ditetapkan ke satu Pengguna atau Grup saja. Kebijakan Inline biasanya digunakan untuk menerapkan izin untuk situasi yang hanya akan terjadi sekali.

  1. Di bawah Actions (Tindakan), klik Show Policy (Tampilkan Kebijakan) untuk melihat kebijakan.

Kebijakan ini memberikan izin untuk melihat (Menguraikan) informasi tentang Amazon EC2 serta kemampuan untuk memulai dan menghentikan instans.

  1. Di bagian bawah layar, klik Cancel (Batal) untuk menutup kebijakan.

Skenario Bisnis

Untuk sisa lab ini, Anda akan bekerja sama dengan Pengguna dan Grup ini untuk mengaktifkan izin yang mendukung skenario bisnis berikut:

Perusahaan Anda sedang mengembangkan penggunaan Amazon Web Services-nya, serta menggunakan banyak instans Amazon EC2 dan penyimpanan Amazon S3 dalam jumlah besar. Anda ingin memberikan akses ke staf baru, tergantung fungsi pekerjaan mereka:

Tugas 2: Tambahkan Pengguna ke Grup.

Anda baru-baru ini merekrut user-1 (pengguna-1) menjadi peran dengan mereka akan memberikan dukungan untuk Amazon S3. Anda akan menambahkan mereka ke grup S3-Support (S3-Dukungan) sehingga mereka mewarisi izin yang diperlukan melalui kebijakan Amazons3ReadOnlyAccess yang terpasang.

Anda dapat mengabaikan kesalahan “tidak diotorisasi” yang muncul selama tugas ini. Hal ini disebabkan oleh akun lab Anda yang memiliki izin terbatas dan tidak akan memengaruhi kemampuan Anda untuk menyelesaikan lab.

Menambahkan pengguna-1 ke Grup S3-Dukungan

  1. Di panel navigasi kiri, klik Groups (Grup).
  2. Klik kelompok S3-Support (S3-Dukungan).
  3. Klik tab Users (Pengguna).
  4. Di tab Users (Pengguna), klik Add Users to Group (Tambahkan Pengguna ke Grup).
  5. Di jendela Add Users to Group (Tambahkan Pengguna ke Grup), konfigurasikan hal berikut:
  • Pilih pengguna-1.
  • Di bagian bawah layar, klik Add Users (Tambahkan Pengguna).

Pada tab Users (Pengguna), Anda akan melihat bahwa pengguna-1 telah ditambahkan ke grup.

Menambahkan pengguna-2 ke Grup EC2-Dukungan

Anda merekrut user-2 (pengguna-2) ke peran dengan mereka akan memberikan dukungan untuk Amazon EC2.

  1. Menggunakan langkah-langkah yang sama dengan yang di atas, tambahkan user-2 (pengguna-2) ke grup EC2-Support (EC2-Dukungan).

pengguna-2 seharusnya kini menjadi bagian dari grup EC2-Support (EC2-Dukungan).

Tambahkan pengguna-3 ke Grup EC2-Admin

Anda merekrut user-3 (pengguna-3) sebagai administrator Amazon EC2 Anda, yang mengelola instans EC2 Anda.

  1. Menggunakan langkah-langkah yang sama dengan yang di atas, tambahkan user-3 (pengguna-3) ke grup EC2-Admin.

pengguna-3 seharusnya kini menjadi bagian dari grup EC2-Admin.

  1. Di panel navigasi di sebelah kiri, klik Groups (Grup).

Setiap Grup seharusnya memiliki 1 di kolom Users (Pengguna) untuk jumlah Pengguna di setiap Grup.

Jika Anda tidak memiliki 1 di samping masing-masing grup, lihat lagi instruksi di atas untuk memastikan bahwa setiap pengguna ditetapkan ke Grup, seperti yang ditunjukkan dalam tabel di bagian Skenario Bisnis.

Tugas 3: Masukkan dan Uji pengguna

Dalam tugas ini, Anda akan menguji izin dari setiap Pengguna IAM.

  1. Di panel navigasi di sebelah kiri, klik Dashboard (Dasbor).

Sebuah tautan masuk pengguna IAMyang ditampilkan akan terlihat seperti: https://123456789012.signin.aws.amazon.com/console

Tautan ini dapat digunakan untuk masuk ke Akun AWS yang saat ini Anda gunakan.

  1. Salin tautan masuk pengguna IAM ke editor teks.
  2. Buka jendela pribadi.

Mozilla Firefox

  • Klik bilah menu di bagian kanan atas layar
  • Pilih New Private Window (Jendela Pribadi Baru)

Google Chrome

  • Klik titik tiga di kanan atas layar
  • Klik New incognito window (Jendela penyamaran baru)

Microsoft Edge

  • Klik titik tiga di kanan atas layar
  • Klik New InPrivate Window (Jendela InPrivate Baru)

Microsoft Internet Explorer

  • Klik opsi menu Alat
  • Klik InPrivate Browsing (Penjelajahan InPrivate)
  1. Tempelkan tautan masuk pengguna IAM ke jendela pribadi Anda dan tekan Enter.

Sekarang Anda akan masuk sebagai user-1 (pengguna-1), yang telah direkrut sebagai staf dukungan penyimpanan Amazon S3 Anda.

  1. Masuk dengan:
  • IAM user name (Nama pengguna IAM): user-1 (pengguna-1)
  • Password (Kata sandi): lab-password1
  1. Di menu Services (Layanan), klik S3.
  2. Klik nama salah satu bucket Anda dan jelajahi kontennya.

Karena pengguna Anda adalah bagian dari Grup S3-Support (S3-Dukungan) di IAM, mereka memiliki izin untuk melihat daftar bucket Amazon S3 dan kontennya.

Sekarang, uji apakah mereka memiliki akses ke Amazon EC2.

  1. Di menu Services (Layanan), klik EC2.
  2. Di panel navigasi kiri, klik Instances (Instans).

Anda tidak dapat melihat instans apa pun! Sebaliknya, ini menampilkan You do not have any instances in this region (Anda tidak memiliki instans apa pun di wilayah ini). Hal ini karena pengguna Anda belum ditetapkan izin untuk menggunakan Amazon EC2.

Sekarang Anda akan masuk sebagai user-2 (pengguna-2), yang telah direkrut sebagai staf dukungan Amazon EC2 Anda.

  1. Keluarkan user-1 (pengguna-1) dari AWS Console Management dengan mengonfigurasi hal berikut:
  • Di bagian atas layar, klik user-1 (pengguna-1)
  • Klik Sign Out (Keluar)
  1. Tempelkan tautan masuk pengguna IAM ke jendela pribadi Anda dan tekan Enter.

Tautan ini seharusnya ada di editor teks Anda.

  1. Masuk dengan:
  • IAM user name (Nama pengguna IAM): user-2 (pengguna-2)
  • Password (Kata sandi): lab-password2
  1. Di menu Services (Layanan), klik EC2.
  2. Di panel navigasi di sebelah kiri, klik Instances (Instans).

Anda sekarang dapat melihat instans Amazon EC2 karena Anda memiliki izin Hanya Baca. Namun, Anda tidak akan dapat membuat perubahan ke sumber daya Amazon EC2.

Untuk akses ke S3 gagal

  1. Masuk dengan:
  • IAM user name (Nama pengguna IAM): user-3 (pengguna-3)
  • Password (Kata sandi): lab-password
  1. Di menu Services (Layanan), klik EC2.
  2. Di panel navigasi di sebelah kiri, klik Instances (Instans).

Sebagai Administrator EC2, Anda sekarang seharusnya memiliki izin untuk menghentikan instans Amazon EC2.

Instans EC2 Anda seharusnya dipilih . Jika tidak, pilih .

Jika Anda tidak dapat melihat instans Amazon EC2, Region Anda mungkin salah. Di kanan atas layar, tarik ke bawah menu Region dan pilih region yang Anda perhatikan di bagian atas lab (misalnya, Oregon).

  1. Dalam menu Actions (Tindakan), klik Instance State (Status Instans) > Stop (Hentikan).
  2. Di jendela Stop Instances (Hentikan Instans), klik Yes, Stop (Ya, Hentikan).

Instans akan memasuki keadaan berhenti dan akan mati.