Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Izin IAM diperlukan untuk templat peluncuran Amazon EC2
<a name="permissions-for-launch-templates"></a>

Anda dapat menggunakan izin IAM untuk mengontrol apakah pengguna dapat membuat daftar, melihat, membuat, atau menghapus templat peluncuran atau meluncurkan versi templat.

**penting**  
Anda tidak dapat menggunakan izin tingkat sumber daya untuk membatasi sumber daya yang dapat ditentukan pengguna dalam templat peluncuran saat mereka membuat templat peluncuran atau versi templat peluncuran. Oleh karena itu, pastikan bahwa hanya administrator tepercaya yang diberikan izin untuk membuat template peluncuran dan meluncurkan versi template.

Anda harus memberi siapa pun yang akan menggunakan template peluncuran izin yang diperlukan untuk membuat dan mengakses sumber daya yang ditentukan dalam template peluncuran. Contoh:
+ Untuk meluncurkan instance dari Amazon Machine Image (AMI) pribadi bersama, pengguna harus memiliki izin peluncuran untuk AMI.
+ Untuk membuat volume EBS dengan tag dari snapshot yang ada, pengguna harus memiliki akses baca ke snapshot, dan izin untuk membuat dan menandai volume.

**Topics**
+ [EC2: CreateLaunchTemplate](#permissions-for-launch-templates-create)
+ [EC2: DescribeLaunchTemplates](#permissions-for-launch-templates-view)
+ [EC2: DescribeLaunchTemplateVersions](#permissions-for-launch-template-versions-view)
+ [EC2: DeleteLaunchTemplate](#permissions-for-launch-templates-delete)
+ [Mengontrol izin versioning](#permissions-for-launch-template-versions)
+ [Kontrol akses ke tanda pada templat peluncuran](#permissions-for-launch-templates-tags)

## EC2: CreateLaunchTemplate
<a name="permissions-for-launch-templates-create"></a>

Untuk membuat template peluncuran di konsol atau dengan menggunakan APIs, kepala sekolah harus memiliki `ec2:CreateLaunchTemplate` izin dalam kebijakan IAM. Kapan pun memungkinkan, gunakan tanda untuk membantu Anda mengontrol akses ke templat peluncuran di akun Anda.

Misalnya, pernyataan kebijakan IAM berikut memberikan izin kepada pengguna utama untuk membuat templat peluncuran hanya jika templat menggunakan tanda yang ditentukan ({{`purpose`}}={{`testing`}}).

```
{
    "Sid": "IAMPolicyForCreatingTaggedLaunchTemplates",
    "Action": "ec2:CreateLaunchTemplate",
    "Effect": "Allow",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:ResourceTag/{{purpose}}": "{{testing}}"
        }
    }
}
```

Pengguna utama yang membuat templat peluncuran mungkin memerlukan beberapa izin terkait, seperti:
+ **ec2: CreateTags** — Untuk menambahkan tag ke template peluncuran selama `CreateLaunchTemplate` operasi, `CreateLaunchTemplate` penelepon harus memiliki `ec2:CreateTags` izin dalam kebijakan IAM.
+ **ec2: RunInstances** — Untuk meluncurkan instans EC2 dari template peluncuran yang mereka buat, kepala sekolah juga harus memiliki `ec2:RunInstances` izin dalam kebijakan IAM.

Untuk tindakan-tindakan yang digunakan untuk membuat sumber daya yang menerapkan tanda, para pengguna harus memiliki izin `ec2:CreateTags`. Pernyataan kebijakan IAM berikut menggunakan kunci syarat `ec2:CreateAction` agar para pengguna dapat membuat tanda hanya dalam konteks `CreateLaunchTemplate`. Pengguna tidak dapat menandai templat peluncuran yang ada atau sumber daya lainnya. Untuk informasi selengkapnya, lihat [Berikan izin untuk menandai sumber daya Amazon EC2 selama pembuatan](supported-iam-actions-tagging.md).

```
{
    "Sid": "IAMPolicyForTaggingLaunchTemplatesOnCreation",
    "Action": "ec2:CreateTags",
    "Effect": "Allow",
    "Resource": "arn:aws:ec2:{{us-east-1}}:{{111122223333}}:launch-template/*",
    "Condition": {
        "StringEquals": {
            "ec2:CreateAction": "CreateLaunchTemplate"
        }
    }
}
```

Pengguna IAM yang membuat templat peluncuran tidak secara otomatis memiliki izin untuk menggunakan templat peluncuran yang mereka buat. Seperti pengguna utama lainnya, pembuat templat peluncuran perlu mendapatkan izin melalui kebijakan IAM. Jika pengguna IAM ingin meluncurkan instans EC2 dari templat peluncuran, mereka harus memiliki izin `ec2:RunInstances`. Saat memberikan izin ini, Anda dapat menentukan bahwa pengguna hanya dapat menggunakan templat peluncuran dengan tag tertentu atau spesifik. IDs Anda juga dapat mengontrol AMI dan sumber daya lain yang dapat dirujuk dan digunakan oleh siapa pun yang menggunakan templat peluncuran saat meluncurkan instans dengan menentukan izin tingkat sumber daya untuk panggilan `RunInstances` tersebut. Untuk kebijakan-kebijakan contoh, lihat [Templat peluncuran](ExamplePolicies_EC2.md#iam-example-runinstances-launch-templates).

## EC2: DescribeLaunchTemplates
<a name="permissions-for-launch-templates-view"></a>

Untuk membuat daftar dan melihat templat peluncuran di akun, kepala sekolah harus memiliki `ec2:DescribeLaunchTemplates` izin dalam kebijakan IAM. Karena tindakan `Describe` tidak mendukung izin tingkat sumber daya, Anda harus menentukannya tanpa syarat dan nilai elemen sumber daya dalam kebijakan harus `"*"`. 

Misalnya, pernyataan kebijakan IAM berikut memberikan izin utama untuk membuat daftar dan melihat semua templat peluncuran di akun.

```
{
    "Sid": "IAMPolicyForDescribingLaunchTemplates",
    "Action": "ec2:DescribeLaunchTemplates",
    "Effect": "Allow",
    "Resource": "*"
}
```

## EC2: DescribeLaunchTemplateVersions
<a name="permissions-for-launch-template-versions-view"></a>

Kepala sekolah yang mencantumkan dan melihat templat peluncuran juga harus memiliki `ec2:DescribeLaunchTemplateVersions` izin untuk mengambil seluruh rangkaian atribut yang membentuk templat peluncuran. 

Untuk membuat daftar dan melihat versi templat peluncuran di akun, kepala sekolah harus memiliki `ec2:DescribeLaunchTemplateVersions` izin dalam kebijakan IAM. Karena tindakan `Describe` tidak mendukung izin tingkat sumber daya, Anda harus menentukannya tanpa syarat dan nilai elemen sumber daya dalam kebijakan harus `"*"`. 

Misalnya, pernyataan kebijakan IAM berikut memberikan izin utama untuk membuat daftar dan melihat semua versi template peluncuran di akun.

```
{
    "Sid": "IAMPolicyForDescribingLaunchTemplateVersions",
    "Effect": "Allow",
    "Action": "ec2:DescribeLaunchTemplateVersions",
    "Resource": "*"
}
```

## EC2: DeleteLaunchTemplate
<a name="permissions-for-launch-templates-delete"></a>

**penting**  
Berhati-hatilah saat memberikan izin kepada pengguna utama untuk menghapus sumber daya. Menghapus template peluncuran dapat menyebabkan kegagalan dalam AWS sumber daya yang bergantung pada template peluncuran.

Untuk menghapus templat peluncuran, pengguna utama harus memiliki izin `ec2:DeleteLaunchTemplate` dalam kebijakan IAM. Sebisa mungkin, gunakan kunci syarat berbasis tanda untuk membatasi izin.

Misalnya, pernyataan kebijakan IAM berikut memberikan izin utama untuk menghapus template peluncuran hanya jika template memiliki tag yang ditentukan ({{`purpose`}}={{`testing`}}).

```
{
    "Sid": "IAMPolicyForDeletingLaunchTemplates",
    "Action": "ec2:DeleteLaunchTemplate",
    "Effect": "Allow",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:ResourceTag/{{purpose}}": "{{testing}}"
        }
    }
}
```

Atau, Anda dapat menggunakan ARNs untuk mengidentifikasi template peluncuran yang berlaku untuk kebijakan IAM.

Template peluncuran memiliki ARN berikut.

```
"Resource": "arn:aws:ec2:{{us-east-1}}:{{111122223333}}:launch-template/{{lt-09477bcd97b0d310e}}"
```

Anda dapat menentukan beberapa ARNs dengan melampirkannya dalam daftar, atau Anda dapat menentukan `Resource` nilai `"*"` tanpa `Condition` elemen untuk memungkinkan prinsipal menghapus template peluncuran apa pun di akun. 

## Mengontrol izin versioning
<a name="permissions-for-launch-template-versions"></a>

Untuk administrator tepercaya, Anda dapat memberikan akses untuk membuat dan menghapus versi templat peluncuran, dan untuk mengubah versi default templat peluncuran, dengan menggunakan kebijakan IAM yang mirip dengan contoh berikut.

**penting**  
Berhati-hatilah saat memberikan izin kepada kepala sekolah untuk membuat versi template peluncuran atau memodifikasi templat peluncuran.   
Saat membuat versi templat peluncuran, Anda memengaruhi AWS sumber daya apa pun yang memungkinkan Amazon EC2 meluncurkan instans atas nama Anda dengan versi tersebut. `Latest` 
Saat Anda memodifikasi templat peluncuran, Anda dapat mengubah versi mana yang merupakan versi `Default` dan karenanya memengaruhi AWS sumber daya apa pun yang memungkinkan Amazon EC2 meluncurkan instans atas nama Anda dengan versi yang dimodifikasi ini. 
Anda juga perlu berhati-hati dalam menangani AWS sumber daya yang berinteraksi dengan `Latest` atau `Default` meluncurkan versi template, seperti Armada EC2 dan Armada Spot. Ketika versi templat peluncuran yang berbeda digunakan `Latest` atau `Default`, Amazon EC2 tidak memeriksa kembali izin untuk tindakan yang harus diselesaikan saat meluncurkan instans baru untuk memenuhi kapasitas target armada karena tidak ada interaksi pengguna dengn sumber daya AWS . Dengan memberikan izin pengguna untuk memanggil `CreateLaunchTemplateVersion` dan `ModifyLaunchTemplate` APIs, pengguna secara efektif juga diberikan `iam:PassRole` izin jika mereka mengarahkan armada ke versi template peluncuran yang berbeda yang berisi profil instance (wadah untuk peran IAM). Ini berarti bahwa pengguna berpotensi memperbarui template peluncuran untuk meneruskan peran IAM ke instans meskipun mereka tidak memiliki `iam:PassRole` izin. Anda dapat mengelola risiko ini dengan berhati-hati saat memberikan izin kepada siapa yang dapat membuat dan mengelola versi templat peluncuran. 

### EC2: CreateLaunchTemplateVersion
<a name="permissions-for-launch-template-versions-create"></a>

Untuk menghapus templat peluncuran versi baru, pengguna utama harus memiliki izin `ec2:CreateLaunchTemplateVersion` untuk templat peluncuran dalam kebijakan IAM.

Misalnya, pernyataan kebijakan IAM berikut memberikan izin kepada pengguna utama untuk membuat templat peluncuran hanya jika versi menggunakan tanda yang ditentukan ({{`environment`}}={{`production`}}). Atau, Anda dapat menentukan satu atau beberapa template peluncuran ARNs, atau Anda dapat menentukan `Resource` nilai `"*"` tanpa `Condition` elemen untuk memungkinkan prinsipal membuat versi template peluncuran apa pun di akun. 

```
{
    "Sid": "IAMPolicyForCreatingLaunchTemplateVersions",
    "Action": "ec2:CreateLaunchTemplateVersion",
    "Effect": "Allow",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:ResourceTag/{{environment}}": "{{production}}"
        }
    }
}
```

### EC2: DeleteLaunchTemplateVersion
<a name="permissions-for-launch-template-versions-delete"></a>

**penting**  
Seperti biasa, Anda harus berhati-hati saat memberikan izin kepada pengguna utama untuk menghapus sumber daya. Menghapus versi template peluncuran dapat menyebabkan kegagalan pada AWS sumber daya yang bergantung pada versi template peluncuran.

Untuk menghapus versi templat peluncuran, pengguna utama harus memiliki izin `ec2:DeleteLaunchTemplateVersion` untuk templat peluncuran dalam kebijakan IAM.

Misalnya, pernyataan kebijakan IAM berikut memberikan izin kepada pengguna utama untuk menghapus templat peluncuran hanya jika versi menggunakan tanda yang ditentukan ({{`environment`}}={{`production`}}). Atau, Anda dapat menentukan satu atau beberapa template peluncuran ARNs, atau Anda dapat menentukan `Resource` nilai `"*"` tanpa `Condition` elemen untuk memungkinkan prinsipal menghapus versi template peluncuran apa pun di akun.

```
{
    "Sid": "IAMPolicyForDeletingLaunchTemplateVersions",
    "Action": "ec2:DeleteLaunchTemplateVersion",
    "Effect": "Allow",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:ResourceTag/{{environment}}": "{{production}}"
        }
    }
}
```

### EC2: ModifyLaunchTemplate
<a name="permissions-for-launch-templates-update"></a>

Untuk mengubah versi `Default` yang dikaitkan dengan templat peluncuran, pengguna utama harus memiliki izin `ec2:ModifyLaunchTemplate` untuk templat peluncuran dalam kebijakan IAM.

Misalnya, pernyataan kebijakan IAM berikut memberikan izin kepada pengguna utama untuk memodifikasi templat peluncuran hanya jika templat menggunakan tanda yang ditentukan ({{`environment`}}={{`production`}}). Atau, Anda dapat menentukan satu atau beberapa template peluncuran ARNs, atau Anda dapat menentukan `Resource` nilai `"*"` tanpa `Condition` elemen untuk memungkinkan prinsipal memodifikasi template peluncuran apa pun di akun.

```
{
    "Sid": "IAMPolicyForModifyingLaunchTemplates",
    "Action": "ec2:ModifyLaunchTemplate",
    "Effect": "Allow",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:ResourceTag/{{environment}}": "{{production}}"
        }
    }
}
```

## Kontrol akses ke tanda pada templat peluncuran
<a name="permissions-for-launch-templates-tags"></a>

Anda dapat menggunakan kunci syarat untuk membatasi izin penandaan jika sumber daya adalah templat peluncuran. Misalnya, kebijakan IAM berikut hanya mengizinkan penghapusan tanda dengan kunci `{{temporary}}` dari templat peluncuran di akun dan Wilayah yang ditentukan.

```
{
    "Sid": "IAMPolicyForDeletingTagsOnLaunchTemplates",
    "Action": "ec2:DeleteTags",
    "Effect": "Allow",
    "Resource": "arn:aws:ec2:{{us-east-1}}:{{111122223333}}:launch-template/*",
    "Condition": {
        "ForAllValues:StringEquals": {
            "aws:TagKeys": ["{{temporary}}"]
        }
    }
}
```

Untuk informasi selengkapnya tentang kunci syarat yang dapat Anda gunakan untuk mengontrol kunci tanda dan nilai tanda yang dapat diterapkan ke sumber daya Amazon EC2, lihat [Mengendalikan akses ke tanda-tanda tertentu](supported-iam-actions-tagging.md#control-tagging).