Jika kebijakan sistem tidak memenuhi kebutuhan Anda, Anda dapat mengonfigurasi kebijakan kustom untuk menerapkan prinsip hak istimewa minimal. Kebijakan kustom memungkinkan kontrol terperinci atas izin dan meningkatkan keamanan akses sumber daya. Topik ini menjelaskan konsep kebijakan kustom dan otorisasi dalam Auto Scaling.
Apa itu kebijakan kustom?
Kebijakan Manajemen Akses Sumber Daya (RAM) terdiri dari kebijakan sistem dan kebijakan kustom. Anda dapat mengelola kebijakan kustom sesuai dengan kebutuhan bisnis Anda.
Setelah membuat kebijakan kustom, Anda harus melampirkannya ke pengguna RAM, grup pengguna RAM, atau peran RAM agar izin yang ditentukan dalam kebijakan diberikan kepada entitas utama.
Anda dapat menghapus kebijakan RAM yang tidak dilampirkan pada entitas utama. Namun, jika kebijakan RAM telah dilampirkan, Anda harus melepasnya terlebih dahulu sebelum menghapusnya.
Kebijakan kustom mendukung kontrol versi. Anda dapat mengelola versi kebijakan kustom menggunakan mekanisme manajemen versi yang disediakan oleh RAM.
Referensi
Skenario umum dan contoh kebijakan kustom
Contoh 1: Buat Grup Penskalaan dengan Tag
Dalam contoh ini, jika Anda diberi kebijakan kustom berikut, Anda hanya dapat membuat Grup Penskalaan 1 dengan menambahkan tag environment:test dan team:game1 selama pembuatan.
{
"Effect": "Allow",
"Action": "ess:Create*",
"Resource": "*",
"Condition": {
"StringEquals": {
"acs:RequestTag/environment": "test",
"acs:RequestTag/team": "game1"
}
}
}Contoh 2: Operasikan Grup Penskalaan dengan Tag Tertentu
Dalam contoh ini, Grup Penskalaan 1 memiliki tag environment:test dan team:game1. Grup Penskalaan 2 memiliki tag environment:dev dan team:game2. Jika Anda diberi kebijakan kustom berikut, Anda hanya dapat mengoperasikan Grup Penskalaan 1.
{
"Version": "1",
"Statement": [
{
"Action": "ess:*",
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"acs:ResourceTag/environment": "test",
"acs:ResourceTag/Team": "game1"
}
}
},
{
"Action": "ess:*",
"Effect": "Deny",
"Resource": "*",
"Condition": {
"StringEquals": {
"acs:ResourceTag/environment": "dev",
"acs:ResourceTag/team": "game2"
}
}
},
{
"Effect": "Allow",
"Action": [
"ess:DescribeRegions",
"ess:CreateScheduledTask",
"ess:ModifyScheduledTask",
"ess:DescribeScheduledTasks",
"ess:DeleteScheduledTask",
"ess:CreateAlarm",
"ess:DescribeAlarms",
"ess:ModifyAlarm",
"ess:EnableAlarm",
"ess:DeleteAlarm"
],
"Resource": "*"
}
]
}Contoh 3: Buat dan Operasikan Grup Penskalaan di Wilayah Tertentu
Dalam contoh ini, wilayah China (Hangzhou) dan China (Beijing) digunakan. Jika Anda diberi kebijakan kustom berikut, Anda dapat membuat dan mengoperasikan grup penskalaan menggunakan konsol Auto Scaling atau memanggil operasi API di wilayah China (Hangzhou). Namun, Anda tidak dapat melakukan hal yang sama di wilayah China (Beijing).
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": "ess:*",
"Resource": "acs:ess:cn-hangzhou:160998252992****:*"
},
{
"Effect": "Deny",
"Action": "ess:*",
"Resource": "acs:ess:cn-beijing:160998252992****:*"
},
{
"Effect": "Allow",
"Action": [
"ess:DescribeRegions",
"ess:CreateScheduledTask",
"ess:ModifyScheduledTask",
"ess:DescribeScheduledTasks",
"ess:DeleteScheduledTask",
"ess:CreateAlarm",
"ess:DescribeAlarms",
"ess:ModifyAlarm",
"ess:EnableAlarm",
"ess:DeleteAlarm"
],
"Resource": "*"
}
]
}Otorisasi
Sebelum membuat kebijakan kustom, Anda harus memahami persyaratan kontrol izin bisnis Anda dan mempelajari aturan otorisasi Auto Scaling. Untuk informasi lebih lanjut, lihat Otorisasi RAM.