kelola sumber daya Auto Scaling berdasarkan otentikasi berbasis tag - Auto Scaling

Auto Scaling memungkinkan Anda mengelola grup penskalaan berdasarkan jenis dan mengontrol akses ke grup penskalaan. Anda dapat memberikan izin pada grup penskalaan tertentu kepada Pengguna Manajemen Akses Sumber Daya (RAM) untuk kontrol akses yang lebih rinci. Anda juga dapat memberikan izin pada grup penskalaan berdasarkan tag. Topik ini menjelaskan cara mengontrol akses pengguna RAM ke grup penskalaan melalui otentikasi berbasis tag, sehingga pengguna RAM yang berbeda mendapatkan izin sesuai dengan kebutuhan bisnis, meningkatkan efisiensi manajemen sumber daya, dan mengurangi risiko kebocoran informasi.

Informasi latar belakang

Tag adalah pengenal sumber daya cloud yang memungkinkan Anda mengategorikan, mencari, dan mengelompokkan sumber daya cloud dengan karakteristik serupa dari dimensi berbeda. Untuk informasi lebih lanjut tentang tag, lihat Tag.
RAM memungkinkan Anda mengelola identitas pengguna, izin akses, dan operasi sumber daya cloud berdasarkan kebijakan. Untuk informasi lebih lanjut, lihat Apa itu RAM?

Anda dapat menggunakan tag sebagai kondisi dalam kebijakan RAM untuk melakukan kontrol akses yang lebih rinci pada sumber daya Auto Scaling.

Gambar berikut menunjukkan cara menggunakan tag untuk mengelola akses sumber daya dan izin operasi pengguna RAM, yang disebut otentikasi berbasis tag.

Operasi API yang tidak mendukung otentikasi berbasis tag

Jika Anda melampirkan kebijakan berbasis tag ke pengguna RAM, otentikasi berbasis tag tidak didukung ketika pengguna RAM memanggil operasi API berikut.

Operasi	Tidak didukung untuk otentikasi berbasis tag
DescribeRegions	Ya
Operasi yang terkait dengan tugas terjadwal: CreateScheduledTask ModifyScheduledTask DescribeScheduledTasks DeleteScheduledTask	Ya
Operasi yang terkait dengan tugas berbasis peristiwa: CreateAlarm DescribeAlarms ModifyAlarm EnableAlarm DeleteAlarm	Ya

Skenario contoh

Skenario berikut menggambarkan cara melakukan otentikasi berbasis tag.

Sebagai contoh, Anda memiliki dua grup penskalaan untuk pengembangan game, dan tag yang ditambahkan ke setiap grup penskalaan berisi kunci lingkungan dan tim. Anda ingin mengontrol akses pengguna RAM ke grup penskalaan tersebut.

Grup penskalaan	Nama	Tag
Grup Penskalaan 1	asg-001	Tag 1 adalah environment:test, dengan environment sebagai kunci tag dan test sebagai nilai tag. Tag 2 adalah team:game1, di mana team adalah kunci tag dan game1 adalah nilai tag.
Grup Penskalaan 2	asg-002	Tag 1 adalah environment:dev, dengan environment sebagai kunci tag dan dev sebagai nilai tag. Tag 2 adalah team:game2, di mana team adalah kunci tag dan game2 adalah nilai tag.

Detail skenario:

Skenario 1: Pengguna RAM tidak dapat membuat grup penskalaan yang tidak memiliki tag. Jika pengguna RAM ingin membuat Grup Penskalaan 1, tag environment:test dan team:game1 harus ditambahkan selama pembuatan. Jika tidak, Grup Penskalaan 1 gagal dibuat.
Skenario 2: Pengguna RAM hanya dapat menanyakan sumber daya di Grup Penskalaan 1 yang memiliki tag environment:test dan tag team:game1.
Skenario 3: Pengguna RAM hanya dapat mengoperasikan sumber daya di Grup Penskalaan 1 yang memiliki tag environment:test dan tag team:game1. Pengguna RAM tidak dapat mengoperasikan sumber daya di Grup Penskalaan 2 yang memiliki tag environment:dev dan tag team:game2.

Prosedur

Catatan

Sebelum melakukan langkah-langkah berikut, pastikan bahwa pengguna RAM telah dibuat. Untuk informasi tentang cara membuat pengguna RAM, lihat Buat Pengguna RAM.

Buat dua grup penskalaan.
Untuk informasi lebih lanjut, lihat Kelola Grup Penskalaan. Lihat Skenario Contoh untuk membuat grup penskalaan.
Masuk ke Konsol RAM.

Buat Kebijakan Kustom.

Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom.

Anda dapat mendefinisikan beberapa tag dalam elemen Condition dari kebijakan kustom untuk membatasi akses ke sumber daya Auto Scaling. Tabel berikut menjelaskan kondisi berbasis tag yang dapat Anda tentukan dalam elemen Condition.

Kondisi berbasis tag

Deskripsi

acs:RequestTag

Pemanggil API harus menyertakan tag tertentu dalam setiap permintaan API.

Jika permintaan API tidak menyertakan parameter terkait tag, kondisi acs:RequestTag tidak dapat digunakan. Jika tidak, otentikasi gagal.

acs:ResourceTag

Pemanggil API harus menambahkan tag tertentu ke sumber daya yang ditentukan.

Jika permintaan API tidak menyertakan ID sumber daya, kondisi acs:ResourceTag tidak dapat digunakan. Jika tidak, otentikasi gagal.

Contoh Kebijakan Kustom:

{
    "Version": "1",
    "Statement": [
         {
           "Effect": "Allow",
           "Action": "ess:Create*",
           "Resource": "*",
           "Condition": {
                   "StringEquals": {
                        "acs:RequestTag/environment": "test",
                        "acs:RequestTag/team": "game1"
                   }
              }
         },
         {
            "Effect": "Allow",
            "Action": "ess:Describle*",
            "Resource": "*",
            "Condition": {
                    "StringEquals": {
                    "acs:RequestTag/environment": "test",
                    "acs:RequestTag/team": "game1"
                    }
              }
         },
         {
            "Action": "ess:*",
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "acs:ResourceTag/environment": "test",
                    "acs:ResourceTag/Team": "game1"
                  }
              }
         },
         {
            "Effect": "Allow",
            "Action": [
                   "ess:Describe*",
                   "ess:List*",
                   "ess:DescribeRegions",
                   "ess:CreateScheduledTask",
                   "ess:ModifyScheduledTask",
                   "ess:DescribeScheduledTasks",
                   "ess:DeleteScheduledTask",
                   "ess:CreateAlarm",
                   "ess:DescribeAlarms",
                   "ess:ModifyAlarm",
                   "ess:EnableAlarm",
                   "ess:DeleteAlarm"
                ],
    "Resource": "*"
      }
   ]
}

Skenario 1: Pengguna RAM tidak dapat membuat grup penskalaan yang tidak memiliki tag
Grup Penskalaan 1 hanya dapat dibuat setelah pengguna RAM menambahkan tag environment:test dan tag team:game1 ke Grup Penskalaan 1 selama pembuatan.
Contoh kebijakan kustom:
```
{
    "Effect": "Allow",
    "Action": "ess:Create*",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "acs:RequestTag/environment": "test",
            "acs:RequestTag/team": "game1"
        }
    }
}
```
Skenario 2: Pengguna RAM hanya dapat menanyakan Grup Penskalaan 1 yang memiliki tag
Setelah tag environment:test dan tag team:game1 ditambahkan ke Grup Penskalaan 1, sumber daya di Grup Penskalaan 1 dapat ditanyakan.
Contoh kebijakan kustom:
```
{
    "Effect": "Allow",
    "Action": "ess:Describle*",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "acs:RequestTag/environment": "test",
            "acs:RequestTag/team": "game1"
        }
    }
}
```

Skenario 3: Pengguna RAM hanya dapat mengoperasikan sumber daya di Grup Penskalaan 1

Pengguna RAM dapat mengoperasikan sumber daya di Grup Penskalaan 1 yang memiliki tag environment:test dan tag team:game1. Pengguna RAM tidak dapat mengoperasikan sumber daya di Grup Penskalaan 2 yang memiliki tag environment:dev dan tag team:game2.

Contoh kebijakan kustom:

{
    "Version": "1",
    "Statement": [
        {
            "Action": "ess:*",
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "acs:ResourceTag/environment": "test",
                    "acs:ResourceTag/Team": "game1"
                }
            }
        },
        {
            "Action": "ess:*",
            "Effect": "Deny",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "acs:ResourceTag/environment": "dev",
                    "acs:ResourceTag/team": "game2"
                }
            }
        },      
        {
           "Effect": "Allow",
           "Action": [
                   "ess:DescribeRegions",
                   "ess:CreateScheduledTask",
                   "ess:ModifyScheduledTask",
                   "ess:DescribeScheduledTasks",
                   "ess:DeleteScheduledTask",
                   "ess:CreateAlarm",
                   "ess:DescribeAlarms",
                   "ess:ModifyAlarm",
                   "ess:EnableAlarm",
                   "ess:DeleteAlarm"
                ],
    "Resource": "*"
      }
   ]
}

Lampirkan kebijakan kustom sebelumnya ke pengguna RAM yang aksesnya ingin Anda kontrol.
Untuk informasi lebih lanjut, lihat Berikan Izin kepada Pengguna RAM.
Periksa apakah kebijakan kustom sudah berlaku.
- Buat Grup Penskalaan 1 sebagai pengguna RAM yang berwenang
  - Jika Anda menambahkan tag environment:test dan tag team:game1 ke Grup Penskalaan 1 saat Anda membuat grup penskalaan, Grup Penskalaan 1 dapat dibuat.
  - Jika Anda tidak menambahkan tag sebelumnya ke Grup Penskalaan 1 atau Anda menambahkan tag lain ke Grup Penskalaan 1 selama pembuatan, Grup Penskalaan 1 tidak dapat dibuat. Pesan yang menunjukkan Anda tidak memiliki izin yang diperlukan muncul, seperti yang ditunjukkan pada gambar berikut.
- Tanyakan grup penskalaan sebagai pengguna RAM yang berwenang
  - Anda dapat menanyakan Grup Penskalaan 1 yang memiliki tag environment:test dan tag team:game1 meskipun Anda tidak menentukan tag sebagai kondisi filter.
  - Jika Anda menanyakan grup penskalaan yang tidak memiliki tag environment:test dan tag team:game1, null dikembalikan.
  - Jika Anda tidak menentukan grup penskalaan yang ingin Anda tanyakan dan hanya mencari tag environment:test dan team:game1, semua grup penskalaan yang memiliki tag tersebut dikembalikan.
- Hapus grup penskalaan sebagai pengguna RAM yang berwenang
  - Grup Penskalaan 1 memiliki tag environment:test dan tag team:game1. Anda dapat menghapus Grup Penskalaan 1.
  - Grup Penskalaan 2 tidak memiliki tag environment:test dan tag team:game1 atau memiliki tag lain. Saat Anda menghapus Grup Penskalaan 2, pesan yang menunjukkan Anda tidak memiliki izin yang diperlukan muncul, seperti yang ditunjukkan pada gambar berikut.

Referensi

Untuk informasi tentang cara membuat grup penskalaan dengan memanggil operasi API, lihat CreateScalingGroup. Untuk informasi tentang cara menanyakan grup penskalaan dengan memanggil operasi API, lihat DescribeScalingGroups. Untuk informasi tentang cara menghapus grup penskalaan dengan memanggil operasi API, lihat DeleteScalingGroup.
Untuk informasi tentang cara membuat kebijakan kustom, lihat CreatePolicy.
Untuk informasi tentang cara memberikan izin kepada pengguna RAM, lihat AttachPolicyToUser.
Untuk informasi tentang cara mengelola grup penskalaan berdasarkan grup sumber daya, lihat Gunakan Grup Sumber Daya untuk Mengelola Grup Penskalaan secara Rinci.
Untuk informasi tentang cara mengelola sumber daya Auto Scaling berdasarkan otentikasi sumber daya, lihat Kelola Sumber Daya Auto Scaling Berdasarkan Otentikasi Sumber Daya.