Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Manajemen akses untuk AWS sumber daya
<a name="access"></a>

AWS Identity and Access Management (IAM) adalah layanan web yang membantu Anda mengontrol akses ke AWS sumber daya dengan aman. Ketika [kepala sekolah](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#principal) membuat permintaan AWS, kode AWS penegakan memeriksa apakah prinsipal diautentikasi (masuk) dan diotorisasi (memiliki izin). Anda mengelola akses AWS dengan membuat kebijakan dan melampirkannya ke identitas atau sumber daya IAM. AWS Kebijakan adalah dokumen JSON AWS yang, ketika dilampirkan ke identitas atau sumber daya, menentukan izinnya. Untuk informasi selengkapnya tentang jenis dan penggunaan kebijakan, lihat [Kebijakan dan izin di AWS Identity and Access Management](access_policies.md).

Untuk perincian tentang proses autentikasi dan otorisasi lainnya, lihat [Cara kerja IAM](intro-structure.md).

![\[AccessManagement_Diagram\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/access-diagram_800.png)


Selama otorisasi, kode AWS penegakan menggunakan nilai dari [konteks permintaan](intro-structure.md#intro-structure-request) untuk memeriksa kebijakan yang cocok dan menentukan apakah akan mengizinkan atau menolak permintaan. 

AWS memeriksa setiap kebijakan yang berlaku untuk konteks permintaan. Jika satu kebijakan menolak permintaan tersebut, AWS tolak seluruh permintaan dan berhenti mengevaluasi kebijakan. Ini disebut sebagai *penolakan secara tegas*. Karena permintaan *ditolak secara default*, IAM mengizinkan permintaan Anda hanya jika setiap bagian dari permintaan Anda diizinkan oleh kebijakan yang berlaku. [logika evaluasi](reference_policies_evaluation-logic.md) untuk permintaan dalam satu akun mengikuti aturan berikut:
+ Secara default, semua permintaan ditolak secara implisit. (Atau, secara default, Pengguna root akun AWS memiliki akses penuh.) 
+ Izin eksplisit dalam kebijakan berbasis identitas atau berbasis sumber daya akan membatalkan pengaturan default ini.
+ Jika ada batas izin, AWS Organizations SCP, atau kebijakan sesi, itu mungkin akan mengganti izin dengan penolakan implisit.
+ Penolakan secara tegas dalam kebijakan apa pun akan mengesampingkan izin apa pun.

Setelah permintaan Anda diautentikasi dan diotorisasi, AWS setujui permintaan tersebut. Jika Anda perlu mengajukan permintaan di akun yang berbeda, kebijakan di akun lain harus memungkinkan Anda mengakses sumber daya. Selain itu, entitas IAM yang Anda gunakan untuk mengajukan permintaan harus memiliki kebijakan berbasis identitas yang memungkinkan permintaan tersebut.

## Sumber daya manajemen akses
<a name="access_resources"></a>

Untuk informasi selengkapnya tentang izin dan tentang pembuatan kebijakan, lihat sumber daya berikut:

Entri berikut di Blog AWS Keamanan mencakup cara-cara umum untuk menulis kebijakan untuk akses ke bucket dan objek Amazon S3.
+ [Menulis Kebijakan IAM: Cara Memberikan Akses ke Bucket Amazon S3](https://aws.amazon.com/blogs/security/writing-iam-policies-how-to-grant-access-to-an-amazon-s3-bucket/)
+ [Menulis kebijakan IAM: Berikan Akses ke Folder Khusus Pengguna di Bucket Amazon S3](https://aws.amazon.com/blogs/security/writing-iam-policies-grant-access-to-user-specific-folders-in-an-amazon-s3-bucket/)
+ [Kebijakan IAM dan Kebijakan bucket ACLs\$1 Astaga\$1 (Mengontrol Akses ke Sumber Daya S3)](https://aws.amazon.com/blogs/security/iam-policies-and-bucket-policies-and-acls-oh-my-controlling-access-to-s3-resources/)
+ [Primer tentang Izin Tingkat Sumber Daya RDS](https://aws.amazon.com/blogs/security/a-primer-on-rds-resource-level-permissions)
+ [Mengungkap Izin Tingkat Sumber Daya EC2 ](https://aws.amazon.com/blogs/security/demystifying-ec2-resource-level-permissions/)

# Kebijakan dan izin di AWS Identity and Access Management
<a name="access_policies"></a>

Kelola akses AWS dengan membuat kebijakan dan melampirkannya ke identitas IAM (pengguna, grup pengguna, atau peran) atau sumber daya. AWS Kebijakan adalah objek AWS yang, ketika dikaitkan dengan identitas atau sumber daya, menentukan izinnya. AWS mengevaluasi kebijakan ini ketika kepala sekolah IAM (pengguna atau peran) membuat permintaan. Izin dalam kebijakan menentukan apakah permintaan diizinkan atau ditolak. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. AWS mendukung tujuh jenis kebijakan: kebijakan berbasis identitas, kebijakan berbasis sumber daya, batas izin, kebijakan kontrol AWS Organizations layanan (), kebijakan kontrol AWS Organizations sumber daya (SCPs), daftar kontrol akses (RCPs), dan kebijakan sesi. ACLs

Kebijakan IAM mendefinisikan izin untuk suatu tindakan terlepas dari metode yang Anda gunakan untuk melakukan operasinya. Misalnya, jika kebijakan mengizinkan [GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)tindakan, maka pengguna dengan kebijakan tersebut bisa mendapatkan informasi pengguna dari Konsol Manajemen AWS, API AWS CLI, atau AWS API. Saat Anda membuat pengguna IAM, Anda dapat memilih untuk mengizinkan akses konsol atau program. Jika akses konsol diizinkan, pengguna IAM dapat masuk ke konsol menggunakan kredenal masuk mereka. Jika akses terprogram diizinkan, pengguna dapat menggunakan kunci akses untuk bekerja dengan CLI atau API.

## Jenis kebijakan
<a name="access_policy-types"></a>

Jenis kebijakan berikut, yang tercantum dalam urutan dari yang paling sering digunakan hingga yang lebih jarang digunakan, tersedia untuk digunakan di AWS. Untuk perincian selengkapnya, lihat bagian di bawah ini untuk setiap jenis kebijakan.
+ **[Kebijakan berbasis identitas - Lampirkan kebijakan](#policies_id-based)** [terkelola](#managedpolicy) dan [sebaris](#inline) ke identitas IAM (pengguna, grup tempat pengguna berada, atau peran). Kebijakan berbasis identitas memberikan izin kepada sebuah identitas.
+ **[Kebijakan berbasis sumber daya](#policies_resource-based)** – Lampirkan kebijakan yang sesuai ke sumber daya. Contoh kebijakan berbasis sumber daya yang paling umum adalah kebijakan bucket Amazon S3 dan kebijakan kepercayaan peran IAM. Kebijakan berbasis sumber daya memberikan izin kepada prinsipal yang ditentukan dalam kebijakan. Prinsipal dapat berada di akun yang sama dengan sumber daya atau di akun lain.
+ **[Batas izin](#policies_bound)** – Gunakan kebijakan terkelola sebagai batas izin untuk entitas IAM (pengguna atau peran). Kebijakan tersebut menentukan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas, tetapi tidak memberikan izin. Batas izin tidak menentukan izin maksimum yang dapat diberikan oleh kebijakan berbasis sumber daya kepada entitas.
+ **[AWS Organizations SCPs](#policies_scp)**Gunakan kebijakan kontrol AWS Organizations layanan (SCP) untuk menentukan izin maksimum bagi pengguna IAM dan peran IAM dalam akun di organisasi atau unit organisasi (OU) Anda. SCPs membatasi izin yang diberikan oleh kebijakan berbasis identitas atau kebijakan berbasis sumber daya kepada pengguna IAM atau peran IAM dalam akun. SCPs jangan berikan izin.
+ **[AWS Organizations RCPs](#policies_rcp)**Gunakan kebijakan kontrol AWS Organizations sumber daya (RCP) untuk menentukan izin maksimum untuk sumber daya dalam akun di organisasi atau unit organisasi (OU) Anda. RCPs membatasi izin yang dapat diberikan oleh kebijakan berbasis identitas dan sumber daya ke sumber daya di akun dalam organisasi Anda. RCPs jangan berikan izin.
+ **[Daftar kontrol akses (ACLs)](#policies_acl)** — Gunakan ACLs untuk mengontrol prinsipal mana di akun lain yang dapat mengakses sumber daya yang dilampirkan ACL. ACLs mirip dengan kebijakan berbasis sumber daya, meskipun mereka adalah satu-satunya jenis kebijakan yang tidak menggunakan struktur dokumen kebijakan JSON. ACLs adalah kebijakan izin lintas akun yang memberikan izin kepada prinsipal yang ditentukan. ACLs tidak dapat memberikan izin kepada entitas dalam akun yang sama.
+ **[Kebijakan sesi](#policies_session)** — Lulus kebijakan sesi lanjutan saat Anda menggunakan AWS CLI atau AWS API untuk mengambil peran atau pengguna gabungan. Kebijakan sesi membatasi izin yang diberikan oleh peran atau kebijakan berbasis identitas pengguna ke sesi. Kebijakan sesi membatasi izin untuk sesi yang dibuat, tetapi tidak memberikan izin. Untuk informasi lebih lanjut, lihat [Kebijakan Sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)

### Kebijakan berbasis identitas
<a name="policies_id-based"></a>

Kebijakan berbasis identitas adalah dokumen kebijakan JSON yang mengontrol tindakan apa yang dapat dilakukan oleh identitas (pengguna, grup, dan peran), di sumber daya yang mana, dan di bawah ketentuan-ketentuan apa. Kebijakan berbasis identitas dapat dikategorikan lebih lanjut:
+ **Kebijakan terkelola — Kebijakan** berbasis identitas mandiri yang dapat Anda lampirkan ke beberapa pengguna, grup, dan peran di Anda. Akun AWS Ada dua jenis kebijakan terkelola:
  + **AWS kebijakan terkelola** — Kebijakan terkelola yang dibuat dan dikelola oleh AWS.
  + **Kebijakan terkelola pelanggan — Kebijakan** terkelola yang Anda buat dan kelola di Anda Akun AWS. Kebijakan yang dikelola pelanggan memberikan kontrol yang lebih tepat atas kebijakan Anda daripada kebijakan yang AWS dikelola.
+ **Kebijakan inline** – Kebijakan yang Anda tambahkan secara langsung ke satu pengguna, grup, atau peran. Kebijakan inline mempertahankan one-to-one hubungan yang ketat antara kebijakan dan identitas. Mereka dihapus ketika Anda menghapus identitas.

Untuk mempelajari cara memilih antara kebijakan terkelola dan kebijakan inline, lihat [Pilih antara kebijakan terkelola dan kebijakan inline](access_policies-choosing-managed-or-inline.md).

### Kebijakan berbasis sumber daya
<a name="policies_resource-based"></a>

Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya seperti bucket Amazon S3. Kebijakan ini memberikan izin prinsipal yang ditentukan untuk melakukan tindakan tertentu pada sumber daya tersebut dan menetapkan di bawah ketentuan yang berlaku. Kebijakan berbasis sumber daya merupakan kebijakan inline. Tidak ada kebijakan berbasis sumber daya terkelola. 

Untuk mengaktifkan akses akun silang, Anda dapat menentukan seluruh akun atau entitas IAM di akun lain sebagai penanggung jawab kebijakan berbasis sumber daya. Menambahkan principal akun silang ke kebijakan berbasis sumber daya hanya setengah dari membangun hubungan kepercayaan. Ketika prinsipal dan sumber daya terpisah Akun AWS, Anda juga harus menggunakan kebijakan berbasis identitas untuk memberikan akses utama ke sumber daya. Namun, jika kebijakan berbasis sumber daya memberikan akses ke principal dalam akun yang sama, tidak diperlukan kebijakan berbasis identitas tambahan. Untuk petunjuk langkah demi langkah untuk memberikan akses lintaslayanan, lihat [Tutorial IAM: Delegasikan akses di seluruh AWS akun menggunakan peran IAM](tutorial_cross-account-with-roles.md).

Layanan IAM hanya mendukung satu jenis kebijakan berbasis sumber daya yang disebut peran *kebijakan kepercayaan*, yang terlampir pada peran IAM. Peran IAM adalah identitas dan sumber daya yang mendukung kebijakan berbasis sumber daya. Oleh karena itu, Anda harus melampirkan baik kebijakan kepercayaan dan kebijakan berbasis identitas pada peran IAM. Kebijakan kepercayaan menentukan entitas prisipal mana (akun, pengguna, peran, dan pengguna gabungan) yang dapat memegang peran tersebut. Untuk mempelajari bagaimana peran IAM berbeda dengan kebijakan berbasis sumber daya lainnya, lihat [Akses sumber daya lintas akun di IAM](access_policies-cross-account-resource-access.md).

Untuk melihat mana layanan lainnya yang mendukung kebijakan berbasis sumber daya, lihat [AWS layanan yang bekerja dengan IAM](reference_aws-services-that-work-with-iam.md). Untuk mempelajari lebih lanjut tentang kebijakan berbasis sumber daya, lihat [Kebijakan berbasis identitas dan kebijakan berbasis sumber daya](access_policies_identity-vs-resource.md). Untuk mempelajari apakah prinsipal dalam akun di luar zona kepercayaan (organization atau akun terpercaya) memiliki akses untuk mengambil peran Anda, lihat [Apa yang dimaksud dengan Penganalisis Akses IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html).

### Batas izin IAM
<a name="policies_bound"></a>

Batas izin adalah fitur lanjutan di mana Anda mengatur izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas ke entitas IAM. Saat Anda menetapkan batas izin untuk suatu entitas, entitas hanya dapat melakukan tindakan yang diizinkan oleh kedua kebijakan berbasis identitas dan batas izinnya. Jika Anda menentukan sesi peran atau pengguna dalam elemen utama kebijakan berbasis sumber daya, izin eksplisit dalam batas izin tidak diperlukan. Namun, jika Anda menentukan peran ARN dalam elemen utama kebijakan berbasis sumber daya, izin eksplisit dalam batas izin diperlukan. Dalam kedua kasus tersebut, penolakan eksplisit dalam batas izin efektif. Penolakan eksplisit dalam salah satu kebijakan ini akan menggantikan pemberian izin. Untuk informasi lebih lanjut tentang batas izin, lihat [Batas izin untuk entitas IAM](access_policies_boundaries.md).

### AWS Organizations kebijakan kontrol layanan (SCPs)
<a name="policies_scp"></a>

Jika Anda mengaktifkan semua fitur dalam suatu organisasi, maka Anda dapat menerapkan kebijakan kontrol layanan (SCPs) ke salah satu atau semua akun Anda. SCPs adalah kebijakan JSON yang menentukan izin maksimum untuk pengguna IAM dan peran IAM dalam akun organisasi atau unit organisasi (OU). SCP membatasi izin untuk prinsipal di akun anggota, termasuk masing-masing. Pengguna root akun AWS Penolakan eksplisit dalam salah satu kebijakan ini mengesampingkan izin dalam kebijakan lain.

Untuk informasi selengkapnya tentang AWS Organizations dan SCPs, lihat [Kebijakan kontrol layanan (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) di *Panduan AWS Organizations Pengguna*.

### AWS Organizations kebijakan kontrol sumber daya (RCPs)
<a name="policies_rcp"></a>

Jika Anda mengaktifkan semua fitur dalam organisasi, Anda dapat menggunakan kebijakan kontrol sumber daya (RCPs) untuk menerapkan kontrol akses secara terpusat pada sumber daya di beberapa Akun AWS sumber daya. RCPs adalah kebijakan JSON yang dapat Anda gunakan untuk menetapkan izin maksimum yang tersedia untuk sumber daya di akun Anda tanpa memperbarui kebijakan IAM yang dilampirkan ke setiap sumber daya yang Anda miliki. RCP membatasi izin untuk sumber daya di akun anggota dan dapat memengaruhi izin efektif untuk identitas, termasuk Pengguna root akun AWS, terlepas dari apakah itu milik organisasi Anda. Penolakan eksplisit dalam RCP yang berlaku mengesampingkan izin dalam kebijakan lain yang mungkin dilampirkan pada identitas atau sumber daya individu.

Untuk informasi selengkapnya tentang AWS Organizations dan RCPs menyertakan daftar dukungan Layanan AWS tersebut RCPs, lihat [Kebijakan kontrol sumber daya (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) di *Panduan AWS Organizations Pengguna*.

### Daftar kontrol akses (ACLs)
<a name="policies_acl"></a>

Access control lists (ACLs) adalah kebijakan layanan yang memungkinkan Anda mengontrol prinsipal mana di akun lain yang dapat mengakses sumber daya. ACLs tidak dapat digunakan untuk mengontrol akses untuk prinsipal dalam akun yang sama. ACLs mirip dengan kebijakan berbasis sumber daya, meskipun mereka adalah satu-satunya jenis kebijakan yang tidak menggunakan format dokumen kebijakan JSON. Amazon S3, AWS WAF, dan Amazon VPC adalah contoh layanan yang mendukung. ACLs Untuk mempelajari selengkapnya ACLs, lihat [ikhtisar Access Control List (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) di *Panduan Pengembang Layanan Penyimpanan Sederhana Amazon*.

### Kebijakan sesi
<a name="policies_session"></a>

Kebijakan sesi adalah kebijakan lanjutan yang Anda lewati sebagai parameter saat Anda membuat sesi sementara untuk peran atau prinsipal pengguna AWS STS gabungan secara terprogram. Izin untuk sesi adalah titik temu kebijakan berbasis identitas untuk entitas IAM (pengguna atau peran) yang digunakan untuk membuat sesi dan kebijakan sesi. Izin juga dapat berasal dari kebijakan berbasis sumber daya. Penolakan secara eksplisit dalam salah satu kebijakan ini membatalkan izin.

Anda dapat membuat sesi peran dan memberikan kebijakan sesi secara terprogram menggunakan operasi API `AssumeRole`, `AssumeRoleWithSAML`, atau `AssumeRoleWithWebIdentity`. Anda dapat meneruskan suatu dokumen kebijakan sesi inline JSON tunggal dengan menggunakan parameter `Policy`. Anda dapat menggunakan parameter `PolicyArns` untuk menentukan hingga 10 kebijakan sesi terkelola. Untuk informasi selengkapnya tentang cara membuat sesi peran, lihat [Izin untuk kredensial keamanan sementara](id_credentials_temp_control-access.md).

Saat membuat sesi utama pengguna AWS STS federasi, Anda menggunakan kunci akses pengguna IAM untuk memanggil operasi API secara terprogram. `GetFederationToken` Anda juga harus memberikan kebijakan sesi. Izin sesi yang dihasilkan adalah persimpangan kebijakan berbasis identitas dan kebijakan sesi. Untuk informasi selengkapnya tentang cara membuat sesi pengguna gabungan, lihat [Meminta kredensi melalui pialang identitas khusus](id_credentials_temp_request.md#api_getfederationtoken).

Kebijakan berbasis sumber daya dapat menentukan ARN pengguna atau peran sebagai prinsipal. Dalam hal ini, izin dari kebijakan berbasis sumber daya ditambahkan ke peran atau kebijakan berbasis identitas pengguna sebelum sesi dibuat. Kebijakan sesi membatasi total izin yang diberikan oleh kebijakan berbasis sumber daya dan kebijakan berbasis identitas. Izin sesi yang dihasilkan adalah persimpangan kebijakan sesi dan kebijakan berbasis sumber daya ditambah persimpangan kebijakan sesi dan kebijakan berbasis identitas.

![\[Evaluasi kebijakan sesi dengan kebijakan berbasis sumber daya yang menentukan entitas ARN\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/EffectivePermissions-session-rbp-id.png)


Kebijakan berbasis sumber daya dapat menentukan ARN sesi sebagai prinsipal. Dalam hal ini, izin dari kebijakan berbasis sumber daya ditambahkan setelah sesi dibuat. Izin kebijakan berbasis sumber daya tidak terbatas oleh kebijakan sesi. Izin sesi yang dihasilkan mempunyai semua izin dari kebijakan berbasis sumber daya *ditambah* titik pertemuan antara kebijakan berbasis identitas dan kebijakan sesi.

![\[Evaluasi kebijakan sesi dengan kebijakan berbasis sumber daya yang menentukan sesi ARN\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/EffectivePermissions-session-rbpsession-id.png)


Batas izin dapat mengatur izin maksimum untuk pengguna atau peran yang digunakan untuk membuat sebuah sesi. Dalam kasus ini, Izin sesi yang dihasilkan adalah titik pertemuan antara kebijakan kebijakan sesi, batas izin, dan kebijakan berbasis identitas. Namun, batas izin tidak membatasi izin yang diberikan oleh kebijakan berbasis sumber daya yang menentukan ARN dari sesi yang dihasilkan.

![\[Evaluasi kebijakan sesi dengan batas izin\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/EffectivePermissions-session-boundary-id.png)


## Kebijakan dan pengguna root
<a name="access_policies-root"></a>

 Pengguna root akun AWS Ini dipengaruhi oleh beberapa jenis kebijakan tetapi tidak yang lain. Anda tidak dapat melampirkan kebijakan berbasis identitas ke pengguna root, dan Anda tidak dapat menetapkan batas izin bagi pengguna root. Namun, Anda dapat menentukan pengguna root sebagai prinsipal dalam kebijakan berbasis sumber daya atau ACL. Pengguna root masih menjadi anggota akun. Jika akun itu adalah anggota organisasi di AWS Organizations, pengguna root dipengaruhi oleh SCPs dan RCPs untuk akun tersebut.

## Gambaran dari kebijakan JSON
<a name="access_policies-json"></a>

Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Kebijakan berbasis identitas dan kebijakan yang digunakan untuk mengatur batas izin adalah dokumen kebijakan JSON yang Anda lampirkan pada pengguna atau peran. Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. SCPsdan RCPs merupakan dokumen kebijakan JSON dengan sintaks terbatas yang Anda lampirkan ke AWS Organizations'root organisasi, unit organisasi (OU), atau akun. ACLs juga melekat pada sumber daya, tetapi Anda harus menggunakan sintaks yang berbeda. Kebijakan sesi adalah kebijakan JSON yang berikan saat Anda mengambil sebuah peran atau sesi pengguna gabungan.

Tidak perlu bagi Anda untuk memahami sintaks JSON. Anda dapat menggunakan editor visual Konsol Manajemen AWS untuk membuat dan mengedit kebijakan yang dikelola pelanggan tanpa pernah menggunakan JSON. Namun, jika Anda menggunakan kebijakan inline untuk grup atau kebijakan yang kompleks, Anda masih harus membuat dan mengubah kebijakan tersebut di editor JSON menggunakan konsol. Untuk informasi lebih lanjut tentang cara menggunakan editor visual, lihat [Tentukan izin IAM khusus dengan kebijakan terkelola pelanggan](access_policies_create.md) dan [Edit kebijakan IAM](access_policies_manage-edit.md).

 Saat Anda membuat atau mengedit kebijakan JSON, IAM dapat melakukan validasi kebijakan untuk membantu Anda membuat kebijakan yang efektif. IAM mengidentifikasi kesalahan sintaks JSON, sementara IAM Access Analyzer menyediakan pemeriksaan kebijakan tambahan dengan rekomendasi untuk membantu Anda menyempurnakan kebijakan Anda lebih lanjut. Untuk mempelajari selengkapnya tentang validasi kebijakan, lihat [Validasi kebijakan IAM](access_policies_policy-validator.md). Untuk mempelajari selengkapnya tentang pemeriksaan kebijakan IAM Access Analyzer dan rekomendasi yang dapat ditindaklanjuti, lihat validasi kebijakan [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) Access Analyzer. 

### Struktur dokumen kebijakan JSON
<a name="policies-introduction"></a>

Sebagaimana digambarkan dalam gambar berikut, dokumen kebijakan JSON mencakup elemen-elemen ini:
+ Informasi opsional untuk seluruh kebijakan di bagian atas dokumen
+ Satu atau lebih pernyataan individu**

Setiap pernyataan mencakup informasi tentang satu izin. Jika kebijakan mencakup beberapa pernyataan, AWS terapkan logis `OR` di seluruh pernyataan saat mengevaluasinya. Jika beberapa kebijakan berlaku untuk permintaan, AWS terapkan logika `OR` di semua kebijakan tersebut saat mengevaluasinya. 

![\[Struktur dokumen kebijakan JSON\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/AccessPolicyLanguage_General_Policy_Structure.diagram.png)


Informasi dalam pernyataan terkandung di dalam rangkaian elemen.
+ **Version** – Tentukan versi bahasa kebijakan yang ingin Anda gunakan. Kami menyarankan Anda menggunakan `2012-10-17 ` versi terbaru. Untuk informasi selengkapnya, lihat [Elemen kebijakan IAM JSON: Version](reference_policies_elements_version.md)
+ **Statement** – Gunakan elemen kebijakan utama ini sebagai wadah untuk elemen berikut. Anda dapat menyertakan lebih dari satu pernyataan dalam kebijakan.
+ **Sid** (Opsional) – Sertakan ID pernyataan opsional untuk membedakan antara pernyataan Anda.
+ **Effect** – Gunakan `Allow` atau `Deny` untuk menunjukkan apakah kebijakan mengizinkan atau menolak akses.
+ **Principal**(Diperlukan dalam beberapa keadaan) — Jika Anda membuat kebijakan berbasis sumber daya, Anda harus menunjukkan akun, pengguna, peran, atau prinsipal pengguna AWS STS gabungan yang ingin Anda izinkan atau tolak aksesnya. Jika Anda membuat kebijakan izin IAM untuk melampirkan ke pengguna atau peran, Anda tidak dapat menyertakan elemen ini. Prinsipal tersirat sebagai pengguna atau peran tersebut.
+ **Action** – Sertakan daftar tindakan yang diperbolehkan atau ditolak oleh kebijakan.
+ **Resource**(Diperlukan dalam beberapa keadaan) — Jika Anda membuat kebijakan izin IAM, Anda harus menentukan daftar sumber daya yang diterapkan tindakan tersebut. Jika Anda membuat kebijakan berbasis sumber daya, itu tergantung pada sumber daya yang Anda gunakan, apakah elemen ini diperlukan atau tidak.
+ **Condition** (Opsional) – Tentukan keadaan di mana kebijakan memberikan izin.

Untuk mempelajari tentang ini dan elemen kebijakan yang lebih maju lainnya, lihat [Referensi elemen kebijakan IAM JSON](reference_policies_elements.md). 

### Beberapa pernyataan dan beberapa kebijakan
<a name="policies-syntax-multiples"></a>

Jika Anda ingin menetapkan lebih dari satu izin untuk suatu entitas (pengguna atau peran), Anda dapat menggunakan beberapa pernyataan dalam satu kebijakan. Anda juga dapat melampirkan beberapa kebijakan. Jika Anda mencoba untuk menentukan beberapa izin dalam satu pernyataan, kebijakan Anda mungkin tidak memberikan akses yang Anda harapkan. Kami menyarankan Anda memecah kebijakan berdasarkan jenis sumber daya. 

Karena [ukuran kebijakan yang terbatas](reference_iam-quotas.md), mungkin perlu menggunakan beberapa kebijakan untuk izin yang lebih kompleks. Ini juga merupakan ide bagus untuk membuat pengelompokan fungsional izin dalam kebijakan pengelolaan pelanggan yang terpisah. Misalnya, Buat satu kebijakan untuk manajemen pengguna IAM, satu untuk manajemen mandiri, dan kebijakan lain untuk manajemen bucket S3. Terlepas dari kombinasi beberapa pernyataan dan beberapa kebijakan, AWS [evaluasi kebijakan Anda dengan](reference_policies_evaluation-logic.md) cara yang sama.

Misalnya, kebijakan berikut memiliki tiga pernyataan, yang masing-masing mendefinisikan satu set izin secara terpisah dalam satu akun. Pernyataan tersebut menjelaskan hal berikut:
+ Pernyataan pertama, dengan sebuah `Sid` (ID Pernyataan) dari `FirstStatement`, memungkinkan pengguna dengan kebijakan terlampir untuk mengubah kata sandi milik mereka. Elemen `Resource` dalam pernyataan ini adalah “`*`“ (yang berarti “semua sumber daya”). Namun dalam pelaksanaannya, Operasi API `ChangePassword` (atau setara Perintah CLI `change-password`) hanya memengaruhi kata sandi untuk pengguna yang membuat permintaan. 
+ Pernyataan kedua memungkinkan pengguna mencantumkan semua ember Amazon S3 di dalamnya. Akun AWS Elemen `Resource` dalam pernyataan ini adalah `"*"` (yang berarti “semua sumber daya”). Tetapi karena kebijakan tidak memberikan akses ke sumber daya di akun lain, pengguna hanya dapat mencantumkan bucket di akun mereka sendiri Akun AWS. 
+ Pernyataan ketiga memungkinkan pengguna membuat daftar dan mengambil objek apa saja yang ada di dalam bucket bernama `amzn-s3-demo-bucket-confidential-data`, tetapi hanya saat pengguna diautentikasi dengan Autentikasi Multi-Faktor (MFA). Elemen `Condition` dalam kebijakan tersebut memberlakukan autentikasi MFA.

  Saat pernyataan kebijakan memuat elemen `Condition`, pernyataan hanya berlaku saat elemen `Condition` dievaluasi menjadi benar. Dalam kasus ini, `Condition` mengevaluasi menjadi benar saat pengguna diautentikasi MFA. Jika pengguna tidak diautentikasi MFA, `Condition` dievaluasi menjadi salah. Dalam hal ini, pernyataan ketiga dalam kebijakan ini tidak berlaku dan pengguna tidak memiliki akses ke bucket `amzn-s3-demo-bucket-confidential-data`.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "FirstStatement",
      "Effect": "Allow",
      "Action": ["iam:ChangePassword"],
      "Resource": "*"
    },
    {
      "Sid": "SecondStatement",
      "Effect": "Allow",
      "Action": "s3:ListAllMyBuckets",
      "Resource": "*"
    },
    {
      "Sid": "ThirdStatement",
      "Effect": "Allow",
      "Action": [
        "s3:List*",
        "s3:Get*"
      ],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket-confidential-data",
        "arn:aws:s3:::amzn-s3-demo-bucket-confidential-data/*"
      ],
      "Condition": {"Bool": {"aws:MultiFactorAuthPresent": "true"}}
    }
  ]
}
```

------

### Contoh sintaks kebijakan JSON
<a name="policies-syntax-examples"></a>

Kebijakan berbasis identitas berikut mengizinkan prinsipal tersirat untuk mencantumkan satu bucket Amazon S3 dengan nama `amzn-s3-demo-bucket`: 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": "s3:ListBucket",
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
  }
}
```

------

Kebijakan berbasis sumber daya berikut dapat dilampirkan ke bucket Amazon S3 Kebijakan ini memungkinkan anggota tertentu Akun AWS untuk melakukan tindakan Amazon S3 apa pun dalam bucket yang diberi nama. `amzn-s3-demo-bucket` Hal ini mengizinkan tindakan apa pun yang dapat dilakukan pada bucket atau objek di dalamnya. (Karena kebijakan tersebut hanya memberikan kepercayaan ke akun, pengguna individu dalam akun tersebut harus tetap diberikan izin untuk tindakan Amazon S3 yang ditentukan.) 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:root"
                ]
            },
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}
```

------

Untuk melihat contoh kebijakan untuk skenario umum, lihat [Contoh kebijakan berbasis identitas IAM](access_policies_examples.md).

## Berikan hak akses paling rendah
<a name="grant-least-priv"></a>

Saat Anda membuat kebijakan IAM, ikuti saran keamanan standar untuk memberikan *hak istimewa paling rendah*, atau hanya memberikan izin yang diperlukan untuk melakukan tugas. Tentukan apa yang perlu dilakukan pengguna dan peran dan kemudian buat kebijakan yang memungkinkan mereka *hanya* melakukan tugas-tugas tersebut. 

Mulai dengan satu set izin minimum dan berikan izin tambahan sesuai kebutuhan. Melakukan hal tersebut lebih aman daripada memulai dengan izin yang terlalu fleksibel, lalu mencoba memperketatnya nanti.

Sebagai alternatif dari hak istimewa terkecil, Anda dapat menggunakan [kebijakan atau kebijakan AWS terkelola](access_policies_managed-vs-inline.md#aws-managed-policies) dengan `*` izin wildcard untuk memulai kebijakan. Pertimbangkan risiko keamanan memberikan izin kepada kepala sekolah Anda lebih banyak daripada yang mereka butuhkan untuk melakukan pekerjaan mereka. Pantau prinsipal tersebut untuk mempelajari izin mana yang mereka gunakan. Kemudian tulis kebijakan hak istimewa paling sedikit.

IAM menyediakan beberapa opsi untuk membantu Anda memperbaiki izin yang Anda berikan.
+ **Memahami pengelompokan tingkat akses** — Anda dapat menggunakan pengelompokan tingkat akses untuk memahami tingkat akses yang diberikan kebijakan. [Tindakan kebijakan](reference_policies_elements_action.md) diklasifikasikan sebagai `List`, `Read`, `Write`, `Permissions management`, atau `Tagging`. Misalnya, Anda dapat memilih tindakan dari tingkat akses `List` dan `Read` untuk memberikan akses hanya-baca kepada pengguna Anda. Untuk mempelajari cara menggunakan ringkasan kebijakan untuk memahami izin tingkat akses, lihat [Tingkat akses dalam ringkasan kebijakan](access_policies_understand-policy-summary-access-level-summaries.md).
+ **Validasi kebijakan Anda** — Anda dapat melakukan validasi kebijakan menggunakan IAM Access Analyzer saat membuat dan mengedit kebijakan JSON. Sebaiknya Anda meninjau dan memvalidasi semua kebijakan yang ada. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan untuk memvalidasi kebijakan Anda. Ini menghasilkan peringatan keamanan ketika pernyataan dalam kebijakan Anda memungkinkan akses yang kita anggap terlalu permisif. Anda dapat menggunakan rekomendasi yang dapat ditindaklanjuti yang disediakan melalui peringatan keamanan saat Anda berupaya memberikan hak istimewa paling rendah. Untuk mempelajari selengkapnya tentang pemeriksaan kebijakan yang disediakan oleh IAM Access Analyzer, lihat validasi kebijakan [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html).
+ **Buat kebijakan berdasarkan aktivitas akses** — Untuk membantu Anda memperbaiki izin yang Anda berikan, Anda dapat membuat kebijakan IAM yang didasarkan pada aktivitas akses untuk entitas IAM (pengguna atau peran). IAM Access Analyzer meninjau AWS CloudTrail log Anda dan menghasilkan templat kebijakan yang berisi izin yang telah digunakan oleh entitas dalam jangka waktu yang ditentukan. Anda dapat menggunakan templat untuk membuat kebijakan terkelola dengan izin berbutir halus, lalu melampirkannya ke entitas IAM. Dengan begitu, Anda hanya memberikan izin yang dibutuhkan pengguna atau peran untuk berinteraksi dengan AWS sumber daya untuk kasus penggunaan spesifik Anda. Untuk mempelajari selengkapnya, lihat Pembuatan [kebijakan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html).
+ **Gunakan informasi yang diakses terakhir** - Fitur lain yang dapat membantu dengan hak istimewa paling sedikit adalah *informasi yang diakses terakhir*. Lihat informasi ini di tab **Penasihat Akses** pada halaman detail konsol IAM untuk pengguna, grup, peran, atau kebijakan IAM. Informasi yang diakses terakhir juga mencakup informasi tentang tindakan yang terakhir diakses untuk beberapa layanan, seperti Amazon EC2, IAM, Lambda, dan Amazon S3. Jika Anda masuk menggunakan kredensil akun AWS Organizations manajemen, Anda dapat melihat informasi layanan yang terakhir diakses di **AWS Organizations**bagian konsol IAM. Anda juga dapat menggunakan AWS API AWS CLI atau untuk mengambil laporan untuk informasi yang terakhir diakses untuk entitas atau kebijakan di IAM atau. AWS Organizations Anda dapat menggunakan informasi ini untuk mengidentifikasi izin yang tidak perlu sehingga Anda dapat memperbaiki IAM atau AWS Organizations kebijakan Anda untuk lebih mematuhi prinsip hak istimewa yang paling rendah. Untuk informasi selengkapnya, lihat [Memperbaiki izin dalam AWS menggunakan informasi yang terakhir diakses](access_policies_last-accessed.md).
+ **Tinjau peristiwa akun di AWS CloudTrail** — Untuk mengurangi izin lebih lanjut, Anda dapat melihat peristiwa akun Anda di **Riwayat AWS CloudTrail acara**. CloudTrail log peristiwa mencakup informasi peristiwa terperinci yang dapat Anda gunakan untuk mengurangi izin kebijakan. Log hanya mencakup tindakan dan sumber daya yang diperlukan oleh entitas IAM Anda. Untuk informasi selengkapnya, lihat [Melihat CloudTrail Acara di CloudTrail Konsol](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html) di *Panduan AWS CloudTrail Pengguna*.



Untuk informasi selengkapnya, lihat topik kebijakan berikut untuk layanan individual, yang memberikan contoh cara menulis kebijakan untuk sumber daya khusus layanan.
+ [https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/access-control-resource-based.html](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/access-control-resource-based.html)
+ [Kebijakan bucket untuk Amazon S3 di Panduan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html) Pengguna *Layanan Penyimpanan Sederhana Amazon*
+ [Ikhtisar Access Control List (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*

# Kebijakan terkelola dan kebijakan inline
<a name="access_policies_managed-vs-inline"></a>

Saat menetapkan izin untuk identitas di IAM, Anda harus memutuskan apakah akan menggunakan kebijakan AWS terkelola, kebijakan yang dikelola pelanggan, atau kebijakan sebaris. Topik berikut memberikan informasi lebih lanjut tentang masing-masing jenis kebijakan berbasis identitas dan kapan menggunakannya.

Tabel berikut menguraikan kebijakan ini:


| Jenis Kebijakan | Deskripsi | Siapa yang mengelola kebijakan? | Ubah izin? | Jumlah prinsipal yang diterapkan pada kebijakan? | 
| --- | --- | --- | --- | --- | 
| [AWS kebijakan terkelola](#aws-managed-policies) | Kebijakan mandiri dibuat dan dikelola oleh AWS. | AWS | Tidak | Banyak | 
| [Kebijakan yang dikelola pelanggan](#customer-managed-policies) | Kebijakan yang Anda buat untuk kasus penggunaan tertentu, dan Anda dapat mengubah atau memperbaruinya sesering yang Anda suka. | Anda | Ya | Banyak | 
| [Kebijakan inline](#inline-policies) | Kebijakan dibuat untuk identitas IAM tunggal (pengguna, grup, atau peran) yang menjaga one-to-one hubungan ketat antara kebijakan dan identitas. | Anda | Ya | Satu | 

**Topics**
+ [

## AWS kebijakan terkelola
](#aws-managed-policies)
+ [

## Kebijakan yang dikelola pelanggan
](#customer-managed-policies)
+ [

## Kebijakan inline
](#inline-policies)
+ [

# Pilih antara kebijakan terkelola dan kebijakan inline
](access_policies-choosing-managed-or-inline.md)
+ [

# Mengonversi kebijakan inline menjadi kebijakan terkelola
](access_policies-convert-inline-to-managed.md)
+ [

# Kebijakan terkelola usang AWS
](access_policies_managed-deprecated.md)

## AWS kebijakan terkelola
<a name="aws-managed-policies"></a>

*Kebijakan terkelola AWS * adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. *Kebijakan mandiri berarti bahwa kebijakan* tersebut memiliki Nama Sumber Daya Amazon (ARN) sendiri yang menyertakan nama kebijakan. Misalnya, `arn:aws:iam::aws:policy/IAMReadOnlyAccess` adalah kebijakan yang AWS dikelola. Untuk informasi lebih lanjut tentang ARNs, lihat[IAM ARNs](reference_identifiers.md#identifiers-arns). Untuk mengetahui daftar kebijakan AWS terkelola Layanan AWS, lihat [kebijakan AWS terkelola](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/policy-list.html).

AWS Kebijakan terkelola memudahkan Anda untuk menetapkan izin yang sesuai kepada pengguna, grup IAM, dan peran. Ini lebih cepat daripada menulis kebijakan sendiri, dan menyertakan izin untuk banyak kasus penggunaan umum.

Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. AWS terkadang memperbarui izin yang ditentukan dalam kebijakan AWS terkelola. AWS Kapan melakukannya, pembaruan memengaruhi semua entitas utama (pengguna IAM, grup IAM, dan peran IAM) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat AWS layanan baru diluncurkan atau panggilan API baru tersedia untuk layanan yang ada. Misalnya, kebijakan AWS terkelola yang disebut **ReadOnlyAccess**menyediakan akses hanya-baca ke semua Layanan AWS dan sumber daya. Saat AWS meluncurkan layanan baru, AWS memperbarui **ReadOnlyAccess**kebijakan untuk menambahkan izin hanya-baca untuk layanan baru. Izin yang diperbarui diterapkan pada semua entitas prinsipal yang kebijakannya dilampirkan.

*Kebijakan AWS terkelola akses penuh*: Ini menentukan izin untuk administrator layanan dengan memberikan akses penuh ke layanan. Contohnya termasuk:
+ [AmazonDynamoDBFullAkses](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDynamoDBFullAccess.html)
+ [IAMFullAkses](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/IAMFullAccess.html)

*Kebijakan yang AWS dikelola pengguna daya*: Ini menyediakan akses penuh ke Layanan AWS dan sumber daya, tetapi tidak memungkinkan mengelola pengguna dan grup IAM. Contohnya termasuk:
+ [AWSCodeCommitPowerUser](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodeCommitPowerUser.html) 
+ [AWSKeyManagementServicePowerUser](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSKeyManagementServicePowerUser.html)

*Kebijakan AWS terkelola akses sebagian: Kebijakan* ini memberikan tingkat akses tertentu Layanan AWS tanpa mengizinkan [izin tingkat akses manajemen izin](access_policies_understand-policy-summary-access-level-summaries.md#access_policies_access-level). Contohnya termasuk:
+ [AmazonMobileAnalyticsWriteOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonMobileAnalyticsWriteOnlyAccess.html)
+ [Amazon EC2 ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ReadOnlyAccess.html) 

*Kebijakan yang AWS dikelola fungsi Job*: Kebijakan ini selaras dengan fungsi pekerjaan yang umum digunakan di industri TI dan memfasilitasi pemberian izin untuk fungsi pekerjaan ini. Salah satu keuntungan utama menggunakan kebijakan fungsi pekerjaan adalah bahwa mereka dipertahankan dan diperbarui oleh AWS layanan baru dan operasi API diperkenalkan. Misalnya, fungsi [AdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AdministratorAccess.html)pekerjaan menyediakan akses penuh dan delegasi izin ke setiap layanan dan sumber daya di. AWS Kami menyarankan Anda menggunakan kebijakan ini hanya untuk administrator akun. Untuk pengguna listrik yang memerlukan akses penuh ke setiap layanan kecuali akses terbatas ke IAM dan AWS Organizations, gunakan fungsi [PowerUserAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/PowerUserAccess.html)pekerjaan. Untuk daftar dan deskripsi kebijakan fungsi pekerjaan, lihat [AWS kebijakan terkelola untuk fungsi pekerjaan](access_policies_job-functions.md).

Diagram berikut menggambarkan kebijakan yang AWS dikelola. Diagram menunjukkan tiga kebijakan AWS terkelola: **AdministratorAccess**PowerUserAccess****,, dan **AWS CloudTrail\$1 ReadOnlyAccess**. Perhatikan bahwa kebijakan AWS terkelola tunggal dapat dilampirkan ke entitas utama yang berbeda Akun AWS, dan ke entitas utama yang berbeda dalam satu Akun AWS.

![\[Diagram kebijakan AWS terkelola\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/policies-aws-managed-policies.diagram.png)


## Kebijakan yang dikelola pelanggan
<a name="customer-managed-policies"></a>

Anda dapat membuat kebijakan mandiri sendiri Akun AWS yang dapat dilampirkan ke entitas utama (pengguna IAM, grup IAM, dan peran IAM). Anda membuat *kebijakan yang dikelola pelanggan* ini untuk kasus penggunaan spesifik Anda, dan Anda dapat mengubah dan memperbaruinya sesering yang Anda suka. Seperti kebijakan AWS terkelola, saat Anda melampirkan kebijakan ke entitas utama, Anda memberi entitas izin yang ditentukan dalam kebijakan. Saat Anda memperbarui izin dalam kebijakan, perubahan akan diterapkan ke semua entitas utama yang dilampirkan kebijakan tersebut.

Cara terbaik untuk membuat kebijakan yang dikelola pelanggan adalah memulai dengan menyalin kebijakan terkelola AWS yang sudah ada. Dengan demikian Anda tahu bahwa kebijakan tersebut benar sejak awal dan yang perlu Anda lakukan hanyalah menyesuaikan itu dengan lingkungan Anda.

Diagram berikut menggambarkan kebijakan yang dikelola pelanggan. Setiap kebijakan adalah entitas di IAM dengan [Amazon Resource Name (ARN)](reference_identifiers.md#identifiers-arns) miliknya sendiri yang termasuk nama kebijakan. Perhatikan bahwa kebijakan yang sama dapat dilampirkan ke beberapa entitas utama — misalnya, kebijakan **DynamoDB-Books-App** yang sama dilampirkan ke dua peran IAM yang berbeda.

Untuk informasi selengkapnya, lihat [Tentukan izin IAM khusus dengan kebijakan terkelola pelanggan](access_policies_create.md)

![\[Diagram kebijakan yang dikelola pelanggan\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/policies-customer-managed-policies.diagram.png)


## Kebijakan inline
<a name="inline-policies"></a>

Kebijakan inline adalah kebijakan yang dibuat untuk identitas IAM tunggal (pengguna, grup pengguna, atau peran). Kebijakan inline mempertahankan one-to-one hubungan yang ketat antara kebijakan dan identitas. Mereka dihapus ketika Anda menghapus identitas. Anda dapat membuat kebijakan dan menyematkannya dalam identitas, baik saat Anda membuat identitas atau nanti. Jika kebijakan dapat berlaku untuk lebih dari satu entitas, lebih baik menggunakan kebijakan terkelola.

Diagram berikut menggambarkan kebijakan inline. Setiap kebijakan merupakan bagian yang melekat pada pengguna, grup, atau peran. Perhatikan bahwa dua peran menyertakan kebijakan yang sama (kebijakan **DynamoDB-Books-App**), tetapi mereka tidak membagikan kebijakan tunggal. Setiap peran memiliki salinan kebijakan sendiri.

![\[Diagram kebijakan inline\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/policies-inline-policies.diagram.png)


# Pilih antara kebijakan terkelola dan kebijakan inline
<a name="access_policies-choosing-managed-or-inline"></a>

Pertimbangkan kasus penggunaan Anda saat memutuskan antara kebijakan terkelola dan sebaris. Dalam sebagian besar kasus, kami menyarankan agar Anda menggunakan kebijakan terkelola daripada kebijakan inline.

**catatan**  
Anda dapat menggunakan kebijakan terkelola dan sebaris bersama-sama untuk menentukan izin umum dan unik untuk entitas utama.

Kebijakan terkelola menyediakan fitur berikut:

**Dapat digunakan kembali**  
Satu kebijakan terkelola dapat dilampirkan pada beberapa entitas prinsipal (pengguna, grup, dan peran). Anda dapat membuat pustaka kebijakan yang menentukan izin berguna untuk Anda Akun AWS, lalu melampirkan kebijakan ini ke entitas utama sesuai kebutuhan.

**Manajemen perubahan pusat**  
Ketika Anda mengubah kebijakan terkelola, perubahan diterapkan pada semua entitas prinsipal yang terkait dengan kebijakan tersebut. Misalnya, jika ingin menambahkan izin untuk AWS API baru, Anda dapat memperbarui kebijakan yang dikelola pelanggan atau mengaitkan kebijakan AWS terkelola untuk menambahkan izin. Jika Anda menggunakan kebijakan AWS terkelola, AWS perbarui kebijakan tersebut. Ketika kebijakan terkelola diperbarui, perubahan diterapkan ke semua entitas utama yang dilampirkan pada kebijakan terkelola. Sebaliknya, untuk mengubah kebijakan inline, Anda harus mengedit secara individual setiap identitas yang berisi kebijakan inline. Misalnya, jika grup dan peran keduanya berisi kebijakan inline yang sama, Anda harus mengedit kedua entitas utama secara individual untuk mengubah kebijakan tersebut. 

**Versioning dan peluncuran kembali**  
Ketika Anda mengubah kebijakan yang dikelola pelanggan, perubahan kebijakan tidak mengesampingkan kebijakan yang ada. Sebagai gantinya, IAM membuat versi baru dari kebijakan terkelola. IAM menyimpan hingga lima versi kebijakan terkelola pelanggan Anda. Anda dapat menggunakan versi kebijakan untuk mengembalikan kebijakan ke versi sebelumnya sesuai kebutuhan.   
Versi kebijakan berbeda dari elemen kebijakan `Version`. Elemen kebijakan `Version` digunakan dalam kebijakan dan menentukan versi bahasa kebijakan. Untuk mempelajari lebih lanjut tentang versi kebijakan, lihat [Peningkatan versi IAM](access_policies_managed-versioning.md). Untuk mempelajari lebih lanjut tentang elemen kebijakan `Version`, lihat [Elemen kebijakan IAM JSON: Version](reference_policies_elements_version.md).

**Menyerahkan manajemen perizinan**  
Anda dapat mengizinkan pengguna Akun AWS untuk melampirkan dan melepaskan kebijakan sambil mempertahankan kendali atas izin yang ditentukan dalam kebijakan tersebut. Untuk melakukan ini, tetapkan beberapa pengguna sebagai administrator lengkap—yaitu administrator yang dapat membuat, memperbarui, dan menghapus kebijakan. Kemudian Anda dapat menunjuk pengguna lain sebagai administrator terbatas. Administrator terbatas tersebut dapat melampirkan kebijakan ke entitas utama lainnya, tetapi hanya kebijakan yang Anda izinkan untuk dilampirkan.  
Untuk informasi lebih lanjut tentang menyerahkan manajemen perizinan, lihat [Mengendalikan akses ke kebijakan](access_controlling.md#access_controlling-policies). 

**Batas karakter kebijakan yang lebih besar**  
Batas ukuran karakter maksimum untuk kebijakan terkelola lebih besar dari batas karakter untuk kebijakan sebaris grup. Jika Anda mencapai batas ukuran karakter kebijakan sebaris, Anda dapat membuat grup IAM lainnya dan melampirkan kebijakan terkelola ke grup.  
Untuk informasi lebih lanjut tentang kuota dan batas, lihat[IAM dan AWS STS kuota](reference_iam-quotas.md). 

**Pembaruan otomatis untuk kebijakan AWS terkelola**  
AWS mempertahankan kebijakan AWS terkelola dan memperbaruinya bila perlu, misalnya, untuk menambahkan izin untuk AWS layanan baru, tanpa Anda harus membuat perubahan. Pembaruan secara otomatis diterapkan ke entitas utama tempat Anda melampirkan kebijakan AWS terkelola. 

## Memulai kebijakan terkelola
<a name="access_policies-get-started-managed-policy"></a>

Sebaiknya gunakan kebijakan yang [memberikan hak istimewa paling sedikit](access_policies.md#grant-least-priv), atau hanya memberikan izin yang diperlukan untuk melakukan tugas. Cara paling aman untuk memberikan hak istimewa paling sedikit adalah dengan menulis kebijakan yang dikelola pelanggan hanya dengan izin yang diperlukan oleh tim Anda. Anda harus membuat proses untuk memungkinkan tim Anda meminta lebih banyak izin bila diperlukan. Dibutuhkan waktu dan keahlian untuk [membuat kebijakan yang dikelola pelanggan IAM](access_policies_create-console.md) yang hanya memberi tim Anda izin yang mereka butuhkan.

Untuk mulai menambahkan izin ke identitas IAM Anda (pengguna, grup pengguna, dan peran), Anda dapat menggunakannya. [AWS kebijakan terkelola](access_policies_managed-vs-inline.md#aws-managed-policies) AWS kebijakan terkelola tidak memberikan izin hak istimewa paling sedikit. Anda harus mempertimbangkan risiko keamanan memberikan izin kepada kepala sekolah Anda lebih banyak daripada yang mereka butuhkan untuk melakukan pekerjaan mereka.

Anda dapat melampirkan kebijakan AWS terkelola, termasuk fungsi pekerjaan, ke identitas IAM apa pun. Untuk informasi selengkapnya, lihat [Menambahkan dan menghapus izin identitas IAM](access_policies_manage-attach-detach.md).

Untuk beralih ke izin hak istimewa terkecil, Anda dapat menjalankan AWS Identity and Access Management dan Access Analyzer untuk memantau prinsipal dengan kebijakan terkelola. AWS Setelah mengetahui izin yang mereka gunakan, Anda dapat menulis atau membuat kebijakan yang dikelola pelanggan hanya dengan izin yang diperlukan untuk tim Anda. Ini kurang aman, tetapi memberikan lebih banyak fleksibilitas saat Anda mempelajari bagaimana tim Anda menggunakan AWS. Untuk informasi selengkapnya, lihat [Pembuatan kebijakan IAM Access Analyzer](access-analyzer-policy-generation.md).

AWS kebijakan terkelola dirancang untuk memberikan izin untuk banyak kasus penggunaan umum. Untuk informasi selengkapnya tentang kebijakan AWS terkelola yang dirancang untuk fungsi pekerjaan tertentu, lihat[AWS kebijakan terkelola untuk fungsi pekerjaan](access_policies_job-functions.md).

Untuk daftar kebijakan AWS terkelola, lihat [Panduan Referensi Kebijakan AWS Terkelola](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).

## Menggunakan kebijakan inline
<a name="policies-using-inline-policies"></a>

Kebijakan inline berguna jika Anda ingin mempertahankan one-to-one hubungan yang ketat antara kebijakan dan identitas yang diterapkan. Misalnya, jika Anda ingin memastikan bahwa izin dalam kebijakan tidak secara tidak sengaja ditetapkan ke identitas selain identitas yang dimaksudkan. Ketika Anda menggunakan kebijakan inline, izin dalam kebijakan tersebut tidak dapat secara tidak sengaja dilampirkan pada identitas yang salah. Selain itu, ketika Anda menggunakan Konsol Manajemen AWS untuk menghapus identitas itu, kebijakan yang disematkan dalam identitas juga dihapus karena mereka adalah bagian dari entitas utama.

# Mengonversi kebijakan inline menjadi kebijakan terkelola
<a name="access_policies-convert-inline-to-managed"></a>

Jika Anda memiliki kebijakan inline di akun Anda, Anda dapat mengonversinya ke kebijakan terkelola. Untuk melakukannya, salin kebijakan tersebut ke kebijakan baru yang dikelola. Selanjutnya, lampirkan kebijakan baru ke identitas yang memiliki kebijakan inline. Kemudian hapus kebijakan inline. 

## Mengonversi kebijakan inline menjadi kebijakan terkelola
<a name="access_policies-convert-inline-to-managed-procedure"></a>

**Untuk mengonversi kebijakan inline ke kebijakan terkelola**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Grup pengguna**, **Pengguna**, atau**Peran**.

1. Dari daftar, pilih nama grup pengguna, pengguna, atau peran yang memiliki kebijakan yang ingin Anda hapus.

1. Pilih tab **Izin**.

1. Untuk grup IAM, pilih nama kebijakan sebaris yang ingin Anda hapus. Untuk pengguna dan peran, pilih **Tampilkan *n* lebih banyak**, jika perlu, lalu perluas kebijakan sebaris yang ingin Anda hapus.

1. Pilih **Salin** untuk menyalin dokumen kebijakan JSON untuk kebijakan tersebut.

1. Di panel navigasi, pilih **Kebijakan**.

1. Pilih **Buat kebijakan** dan kemudian pilih opsi **JSON**.

1. Ganti teks yang ada dengan teks kebijakan JSON Anda, lalu pilih **Berikutnya**.

1. Masukkan nama dan deskripsi opsional untuk kebijakan Anda dan pilih **Buat kebijakan**.

1. Di panel navigasi, pilih **Grup pengguna**, **Pengguna**, atau **Peran**, lalu pilih kembali nama grup pengguna, pengguna, atau peran yang memiliki kebijakan yang ingin Anda hapus.

1. Pilih tab **Izin** dan kemudian pilih **Tambahkan izin**.

1. **Untuk grup IAM, pilih kotak centang di samping nama kebijakan baru Anda, pilih **Tambahkan izin**, lalu pilih Lampirkan kebijakan.** Untuk pengguna atau peran, pilih **Tambahkan izin**. Di halaman berikutnya, pilih **Lampirkan kebijakan yang ada secara langsung**, pilih kotak centang di sebelah nama kebijakan baru Anda, pilih **Berikutnya**, lalu pilih **Tambahkan izin**.

   Anda kembali ke halaman **Ringkasan** untuk grup pengguna, pengguna, atau peran Anda.

1. **Pilih kotak centang di samping kebijakan sebaris yang ingin Anda hapus dan pilih Hapus.**

# Kebijakan terkelola usang AWS
<a name="access_policies_managed-deprecated"></a>

Untuk menyederhanakan penetapan izin, AWS berikan kebijakan [terkelola —kebijakan](access_policies_managed-vs-inline.md) yang telah ditentukan sebelumnya yang siap dilampirkan ke pengguna, grup, dan peran IAM Anda.

Terkadang AWS perlu menambahkan izin baru ke kebijakan yang ada, seperti ketika layanan baru diperkenalkan. Menambahkan izin baru ke kebijakan yang sudah ada tidak akan mengganggu atau menghilangkan fitur atau kemampuan.

Namun, AWS mungkin memilih untuk membuat kebijakan *baru* ketika perubahan yang diperlukan dapat berdampak pada pelanggan jika diterapkan pada kebijakan yang ada. Misalnya, menghapus izin dari kebijakan yang sudah ada dapat merusak izin dari suatu entitas atau aplikasi IAM yang bergantung di atasnya, yang berpotensi mengganggu operasi yang bersifat kritis.

Oleh karena itu, ketika perubahan seperti itu diperlukan, AWS buat kebijakan yang sama sekali baru dengan perubahan yang diperlukan dan membuatnya tersedia untuk pelanggan. Kebijakan lama selanjutnya ditandai *usang*. Untuk informasi selengkapnya, lihat [Kebijakan AWS terkelola yang tidak digunakan](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/about-managed-policy-reference.html#deprecated-managed-policies) lagi di Panduan Referensi *Kebijakan AWS Terkelola*.

# Tetapkan pagar pembatas izin dengan menggunakan perimeter data
<a name="access_policies_data-perimeters"></a>

Pagar perimeter data dimaksudkan untuk berfungsi sebagai batas yang selalu aktif untuk membantu melindungi data Anda di seluruh rangkaian akun dan sumber daya yang luas. AWS Perimeter data mengikuti praktik terbaik keamanan IAM untuk [membuat pagar pembatas izin](best-practices.md#bp-permissions-guardrails) di beberapa akun. Pagar pembatas izin di seluruh organisasi ini tidak menggantikan kontrol akses berbutir halus yang ada. Sebaliknya, mereka bekerja sebagai **kontrol akses kasar** yang membantu meningkatkan strategi keamanan Anda dengan memastikan pengguna, peran, dan sumber daya mematuhi serangkaian standar keamanan yang ditetapkan. 

Perimeter data adalah set pagar pembatas izin di AWS lingkungan Anda yang membantu memastikan bahwa hanya identitas tepercaya Anda yang mengakses sumber daya tepercaya dari jaringan yang diharapkan. 
+ Identitas tepercaya: Prinsipal (peran atau pengguna IAM) di AWS akun dan AWS layanan Anda yang bertindak atas nama Anda.
+ Sumber daya tepercaya: Sumber daya yang dimiliki oleh AWS akun Anda atau oleh AWS layanan yang bertindak atas nama Anda.
+ Jaringan yang diharapkan: Pusat data lokal Anda dan awan pribadi virtual (VPCs), atau jaringan AWS layanan yang bertindak atas nama Anda.

**catatan**  
Dalam beberapa kasus, Anda mungkin perlu memperluas perimeter data Anda untuk juga menyertakan akses oleh mitra bisnis tepercaya Anda. Anda harus mempertimbangkan semua pola akses data yang dimaksudkan ketika Anda membuat definisi identitas tepercaya, sumber daya tepercaya, dan jaringan yang diharapkan khusus untuk perusahaan Anda dan penggunaan Layanan AWS Anda.

Kontrol perimeter data harus diperlakukan sebagai kontrol keamanan lainnya dalam program keamanan informasi dan manajemen risiko. Ini berarti Anda harus melakukan analisis ancaman untuk mengidentifikasi potensi risiko dalam lingkungan cloud Anda, dan kemudian, berdasarkan kriteria penerimaan risiko Anda sendiri, pilih dan terapkan kontrol perimeter data yang sesuai. Untuk lebih menginformasikan pendekatan berbasis risiko berulang untuk implementasi perimeter data, Anda perlu memahami risiko keamanan dan vektor ancaman apa yang ditangani oleh kontrol perimeter data serta prioritas keamanan Anda.

## Kontrol perimeter data
<a name="access_policies_data-perimeters-controls"></a>

[Kontrol berbutir kasar perimeter data membantu Anda mencapai enam tujuan keamanan yang berbeda di tiga perimeter data melalui penerapan kombinasi yang berbeda dari dan kunci kondisi. [Jenis kebijakan](access_policies.md#access_policy-types)](reference_policies_condition-keys.md)

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/access_policies_data-perimeters.html)

Anda dapat menganggap perimeter data sebagai membuat batas yang kuat di sekitar data Anda untuk mencegah pola akses yang tidak diinginkan. Meskipun perimeter data dapat mencegah akses luas yang tidak diinginkan, Anda masih perlu membuat keputusan kontrol akses yang halus. [Membuat perimeter data tidak mengurangi kebutuhan untuk terus menyempurnakan izin dengan menggunakan alat seperti [IAM Access Analyzer](what-is-access-analyzer.md) sebagai bagian dari perjalanan Anda menuju hak istimewa yang paling sedikit.](best-practices.md#grant-least-privilege)

Untuk menerapkan kontrol perimeter data pada sumber daya yang saat ini tidak didukung oleh RCPs, Anda dapat menggunakan kebijakan berbasis sumber daya yang dilampirkan ke sumber daya secara langsung. Untuk daftar layanan yang mendukung RCPs dan kebijakan berbasis sumber daya, lihat [Kebijakan kontrol sumber daya](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) () dan. RCPs [AWS layanan yang bekerja dengan IAM](reference_aws-services-that-work-with-iam.md)

Untuk menerapkan kontrol perimeter jaringan, kami sarankan Anda menggunakan`aws:VpceOrgID`,`aws:VpceOrgPaths`, dan `aws:VpceAccount` hanya jika semua layanan yang ingin Anda batasi akses saat ini didukung. Menggunakan kunci kondisi ini dengan layanan yang tidak didukung dapat menyebabkan hasil otorisasi yang tidak diinginkan. Untuk daftar layanan yang mendukung kunci, lihat[AWS kunci konteks kondisi global](reference_policies_condition-keys.md). Jika Anda perlu menegakkan kontrol pada berbagai layanan yang lebih luas, pertimbangkan untuk menggunakan `aws:SourceVpc` dan `aws:SourceVpce` sebagai gantinya.

## Perimeter identitas
<a name="access_policies_data-perimeters-identity"></a>

Perimeter identitas adalah serangkaian kontrol akses pencegahan kasar yang membantu memastikan hanya identitas tepercaya yang dapat mengakses sumber daya Anda dan hanya identitas tepercaya yang diizinkan dari jaringan Anda. Identitas tepercaya biasanya mencakup kepala sekolah (peran atau pengguna) di AWS akun dan AWS layanan Anda yang bertindak atas nama Anda. Semua identitas lainnya dianggap tidak dipercaya dan dicegah oleh perimeter identitas kecuali pengecualian eksplisit diberikan.

Kunci kondisi global berikut membantu menegakkan kontrol perimeter identitas berdasarkan definisi identitas tepercaya Anda. Gunakan kunci ini dalam kebijakan kontrol sumber daya untuk membatasi akses ke sumber daya, atau dalam kebijakan [titik akhir VPC](https://docs.aws.amazon.com//vpc/latest/privatelink/vpc-endpoints-access.html) untuk membatasi akses ke jaringan Anda.

### Identitas yang dimiliki oleh Anda
<a name="data-perimeters-identity-owned-by-you"></a>

Anda dapat menggunakan kunci kondisi berikut untuk menentukan prinsip-prinsip IAM yang Anda buat dan kelola di. Akun AWS
+ [aws:PrincipalOrgID](reference_policies_condition-keys.md#condition-keys-principalorgid)— Anda dapat menggunakan kunci kondisi ini untuk memastikan bahwa kepala sekolah IAM yang membuat permintaan milik organisasi yang ditentukan di. AWS Organizations
+ [aws:PrincipalOrgPaths](reference_policies_condition-keys.md#condition-keys-principalorgpaths)— Anda dapat menggunakan kunci kondisi ini untuk memastikan bahwa pengguna IAM, peran IAM, prinsipal pengguna AWS STS federasi, prinsipal federasi SALL, kepala federasi OIDC, atau Pengguna root akun AWS membuat permintaan milik unit organisasi tertentu (OU) di. AWS Organizations
+ [aws:PrincipalAccount](reference_policies_condition-keys.md#condition-keys-principalaccount)— Anda dapat menggunakan kunci kondisi ini untuk memastikan sumber daya hanya dapat diakses oleh akun utama yang Anda tentukan dalam kebijakan.

### Identitas AWS layanan yang bertindak atas nama Anda
<a name="data-perimeters-identity-owned-by-service"></a>

Anda dapat menggunakan kunci kondisi berikut untuk memungkinkan AWS layanan menggunakan identitas mereka sendiri untuk mengakses sumber daya Anda ketika mereka bertindak atas nama Anda.
+ [aws:PrincipalIsAWSService](reference_policies_condition-keys.md#condition-keys-principalisawsservice)dan [aws:SourceOrgID](reference_policies_condition-keys.md#condition-keys-sourceorgid) (atau [aws:SourceOrgPaths](reference_policies_condition-keys.md#condition-keys-sourceorgpaths) dan[aws:SourceAccount](reference_policies_condition-keys.md#condition-keys-sourceaccount)) — Anda dapat menggunakan kunci kondisi ini untuk memastikan bahwa ketika [Layanan AWS kepala sekolah](reference_policies_elements_principal.md#principal-services) mengakses sumber daya Anda, mereka melakukannya hanya atas nama sumber daya di organisasi tertentu, unit organisasi, atau akun di. AWS Organizations

Untuk informasi selengkapnya, lihat [Membuat perimeter data di AWS: Izinkan hanya identitas tepercaya untuk mengakses data perusahaan](https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws-allow-only-trusted-identities-to-access-company-data/).

## Perimeter sumber daya
<a name="access_policies_data-perimeters-resource"></a>

Perimeter sumber daya adalah serangkaian kontrol akses pencegahan kasar yang membantu memastikan identitas Anda hanya dapat mengakses sumber daya tepercaya dan hanya sumber daya tepercaya yang dapat diakses dari jaringan Anda. Sumber daya tepercaya biasanya mencakup sumber daya yang dimiliki oleh AWS akun Anda atau oleh AWS layanan yang bertindak atas nama Anda.

Kunci kondisi global berikut membantu menegakkan kontrol perimeter sumber daya berdasarkan definisi sumber daya tepercaya Anda. Gunakan kunci ini dalam [Kebijakan kontrol Layanan (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) untuk membatasi sumber daya mana yang dapat diakses oleh identitas Anda, atau dalam [kebijakan titik akhir VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) untuk membatasi sumber daya mana yang dapat diakses dari jaringan Anda.

### Sumber daya yang dimiliki oleh Anda
<a name="data-perimeters-resource-owned-by-you"></a>

Anda dapat menggunakan kunci kondisi berikut untuk menentukan AWS sumber daya yang Anda buat dan kelola di Akun AWS.
+ [aws:ResourceOrgID](reference_policies_condition-keys.md#condition-keys-resourceorgid)— Anda dapat menggunakan kunci kondisi ini untuk memastikan sumber daya yang sedang diakses milik organisasi tertentu di AWS Organizations.
+ [aws:ResourceOrgPaths](reference_policies_condition-keys.md#condition-keys-resourceorgpaths)— Anda dapat menggunakan kunci kondisi ini untuk memastikan sumber daya yang sedang diakses milik unit organisasi tertentu (OU) di AWS Organizations.
+ [aws:ResourceAccount](reference_policies_condition-keys.md#condition-keys-resourceaccount)— Anda dapat menggunakan kunci kondisi ini untuk memastikan sumber daya yang sedang diakses milik yang ditentukan Akun AWS.

### Sumber daya AWS layanan yang bertindak atas nama Anda
<a name="data-perimeters-resource-owned-by-service"></a>

Dalam beberapa kasus, Anda mungkin perlu mengizinkan akses ke sumber daya yang AWS dimiliki, sumber daya yang bukan milik organisasi Anda dan yang diakses oleh kepala sekolah Anda atau oleh AWS layanan yang bertindak atas nama Anda. Untuk informasi selengkapnya tentang skenario ini, lihat [Membuat perimeter data di AWS: Izinkan hanya sumber daya tepercaya dari organisasi saya](https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws-allow-only-trusted-resources-from-my-organization/).

## Perimeter jaringan
<a name="access_policies_data-perimeters-network"></a>

Perimeter jaringan adalah seperangkat kontrol akses pencegahan kasar yang membantu memastikan identitas Anda dapat mengakses sumber daya hanya dari jaringan yang diharapkan dan sumber daya Anda hanya dapat diakses dari jaringan yang diharapkan. Jaringan yang diharapkan biasanya mencakup pusat data lokal dan virtual private cloud (VPCs) dan jaringan AWS layanan yang bertindak atas nama Anda. 

Kunci kondisi global berikut membantu menegakkan kontrol perimeter jaringan berdasarkan definisi Anda tentang jaringan yang diharapkan. Gunakan kunci ini dalam [kebijakan kontrol layanan (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) untuk membatasi jaringan yang dapat dikomunikasikan oleh identitas Anda, atau dalam [kebijakan kontrol sumber daya (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) untuk membatasi akses sumber daya ke jaringan yang diharapkan.

### Jaringan yang dimiliki oleh Anda
<a name="data-perimeters-network-owned-by-you"></a>

Anda dapat menggunakan kunci kondisi berikut untuk menentukan jaringan yang diharapkan digunakan karyawan dan aplikasi Anda untuk mengakses sumber daya Anda, seperti rentang CIDR IP perusahaan Anda dan Anda VPCs.
+ [aws:SourceIp](reference_policies_condition-keys.md#condition-keys-sourceip)— Anda dapat menggunakan kunci kondisi ini untuk memastikan alamat IP pemohon berada dalam rentang IP tertentu.
+ [aws:SourceVpc](reference_policies_condition-keys.md#condition-keys-sourcevpc)— Anda dapat menggunakan kunci kondisi ini untuk memastikan titik akhir VPC yang dilalui permintaan milik VPC yang ditentukan.
+ [aws:SourceVpce](reference_policies_condition-keys.md#condition-keys-sourcevpce)— Anda dapat menggunakan kunci kondisi ini untuk memastikan permintaan berjalan melalui titik akhir VPC yang ditentukan.
+ [aws:VpceAccount](reference_policies_condition-keys.md#condition-keys-vpceaccount)— Anda dapat menggunakan kunci kondisi ini untuk memastikan permintaan datang melalui titik akhir VPC yang dimiliki oleh akun yang ditentukan. AWS 
+ [aws:VpceOrgPaths](reference_policies_condition-keys.md#condition-keys-vpceorgpaths)— Anda dapat menggunakan kunci kondisi ini untuk memastikan bahwa kepala sekolah IAM yang membuat permintaan milik unit organisasi tertentu (OU) di. AWS Organizations
+ [aws:VpceOrgID](reference_policies_condition-keys.md#condition-keys-vpceorgid)— Anda dapat menggunakan kunci kondisi ini untuk memastikan permintaan datang melalui titik akhir VPC yang dimiliki oleh akun di organisasi tertentu di. AWS Organizations

`aws:VpceAccount`,`aws:VpceOrgPaths`, dan `aws:VpceOrgID` sangat berguna untuk menerapkan kontrol perimeter jaringan yang menskalakan secara otomatis dengan penggunaan titik akhir VPC Anda, tanpa memerlukan pembaruan kebijakan saat Anda membuat titik akhir baru. Lihat daftar [AWS kunci konteks kondisi global](reference_policies_condition-keys.md) Layanan AWS yang mendukung kunci-kunci ini.

### Jaringan AWS layanan yang bertindak atas nama Anda
<a name="data-perimeters-network-owned-by-service"></a>

Anda dapat menggunakan kunci kondisi berikut untuk memungkinkan AWS layanan mengakses sumber daya Anda dari jaringan mereka ketika mereka bertindak atas nama Anda.
+ [aws:ViaAWSService](reference_policies_condition-keys.md#condition-keys-viaawsservice)— Anda dapat menggunakan kunci kondisi ini untuk memastikan bahwa Layanan AWS dapat membuat permintaan atas nama kepala sekolah Anda menggunakan [Teruskan sesi akses](access_forward_access_sessions.md) (FAS).
+ [aws:PrincipalIsAWSService](reference_policies_condition-keys.md#condition-keys-principalisawsservice)— Anda dapat menggunakan kunci kondisi ini untuk memastikan bahwa Layanan AWS dapat mengakses sumber daya Anda menggunakan[AWS prinsip layanan](reference_policies_elements_principal.md#principal-services).

 Ada skenario tambahan di mana Anda perlu mengizinkan akses ke Layanan AWS sumber daya Anda dari luar jaringan Anda. Untuk informasi selengkapnya, lihat [Membuat perimeter data pada AWS: Izinkan akses ke data perusahaan hanya dari jaringan yang diharapkan](https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws-allow-access-to-company-data-only-from-expected-networks/).

## Sumber daya untuk mempelajari lebih lanjut tentang perimeter data
<a name="access_policies_data-perimeters-resources"></a>

Sumber daya berikut dapat membantu Anda mempelajari lebih lanjut tentang perimeter data. AWS
+ [Perimeter data](https://aws.amazon.com/identity/data-perimeters-on-aws/) aktif AWS— Pelajari tentang perimeter data dan manfaat serta kasus penggunaannya.
+  [Seri Posting Blog: Membangun Perimeter Data pada AWS](https://aws.amazon.com/identity/data-perimeters-blog-post-series/) — Posting blog ini mencakup panduan preskriptif tentang menetapkan perimeter data Anda dalam skala besar, termasuk pertimbangan keamanan dan implementasi utama.
+  [Contoh kebijakan perimeter data](https://github.com/aws-samples/data-perimeter-policy-examples/tree/ce06665ca8b2f07debee7bed5153c3be0f31c73c) — GitHub Repositori ini berisi contoh kebijakan yang mencakup beberapa pola umum untuk membantu Anda menerapkan perimeter data. AWS
+ [Pembantu perimeter data](https://github.com/aws-samples/data-perimeter-helper/tree/main?tab=readme-ov-file) — Alat ini membantu Anda merancang dan mengantisipasi dampak kontrol perimeter data Anda dengan menganalisis aktivitas akses di log Anda [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html).

# Batas izin untuk entitas IAM
<a name="access_policies_boundaries"></a>

AWS mendukung *batas izin* untuk entitas IAM (pengguna atau peran). Batas izin adalah fitur lanjutan untuk menggunakan kebijakan terkelola untuk menyetel izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas ke entitas IAM. Batas izin entitas mengizinkannya untuk melakukan hanya tindakan yang diizinkan oleh kebijakan berbasis identitas dan batas izinnya.

Untuk informasi lebih lanjut tentang jenis kebijakan, lihat [Jenis kebijakan](access_policies.md#access_policy-types).

**penting**  
Jangan gunakan pernyataan kebijakan berbasis sumber daya yang menyertakan elemen `NotPrincipal` kebijakan dengan `Deny` efek untuk pengguna IAM atau peran yang memiliki kebijakan batas izin yang dilampirkan. `NotPrincipal`Elemen dengan `Deny` efek akan selalu menolak prinsip IAM yang memiliki kebijakan batas izin yang dilampirkan, terlepas dari nilai yang ditentukan dalam elemen. `NotPrincipal` Hal ini menyebabkan beberapa pengguna IAM atau peran yang seharusnya memiliki akses ke sumber daya kehilangan akses. Sebaiknya ubah pernyataan kebijakan berbasis sumber daya Anda untuk menggunakan operator kondisi [`ArnNotEquals`](reference_policies_elements_condition_operators.md#Conditions_ARN)dengan kunci [`aws:PrincipalArn`](reference_policies_condition-keys.md#condition-keys-principalarn)konteks untuk membatasi akses, bukan elemen. `NotPrincipal` Untuk informasi tentang `NotPrincipal` elemen, lihat[AWS Elemen kebijakan JSON: NotPrincipal](reference_policies_elements_notprincipal.md).

Anda dapat menggunakan kebijakan AWS terkelola atau kebijakan yang dikelola pelanggan untuk menetapkan batas entitas IAM (pengguna atau peran). Kebijakan tersebut membatasi izin maksimum bagi pengguna atau peran.

Misalnya, asumsikan bahwa nama pengguna IAM `Shirley` harus diizinkan untuk mengelola hanya Amazon S3, Amazon, dan CloudWatch Amazon EC2. Untuk menegakkan aturan ini, Anda dapat menggunakan kebijakan berikut untuk mengatur batas izin untuk pengguna `Shirley`:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:*",
                "cloudwatch:*",
                "ec2:*"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Saat Anda menggunakan kebijakan untuk mengatur batas izin bagi pengguna, itu membatasi izin pengguna tetapi tidak memberikan izin sendiri. Dalam contoh ini, kebijakan menetapkan izin maksimum `Shirley` sebagai semua operasi di Amazon S3 CloudWatch, dan Amazon EC2. Shirley tidak pernah dapat menjalankan operasi di layanan lain, termasuk IAM, bahkan jika dia memiliki kebijakan izin yang mengizinkannya. Misalnya, Anda dapat menambahkan kebijakan berikut ke pengguna `Shirley`:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": "iam:CreateUser",
    "Resource": "*"
  }
}
```

------

Kebijakan ini memungkinkan pembuatan pengguna di IAM. Jika Anda melampirkan kebijakan izin ini ke pengguna `Shirley` dan Shirley mencoba membuat sebuah pengguna, operasi gagal. Itu gagal karena batas izin tidak mengizinkan operasi `iam:CreateUser`. Mengingat kedua kebijakan ini, Shirley tidak memiliki izin untuk melakukan operasi apa pun di AWS. Anda harus menambahkan kebijakan izin yang berbeda untuk mengizinkan tindakan di layanan lain, seperti Amazon S3. Atau, Anda dapat memperbarui batas izin untuk memungkinkannya membuat pengguna di IAM.

## Mengevaluasi izin efektif dengan batasan
<a name="access_policies_boundaries-eval-logic"></a>

Batas izin untuk entitas IAM (pengguna atau peran) menetapkan izin maksimum yang dapat dimiliki oleh entitas. Ini dapat mengubah izin efektif bagi pengguna atau peran tersebut. Izin efektif untuk sebuah entitas adalah izin yang diberikan oleh semua kebijakan yang memengaruhi pengguna atau peran. Dalam akun, izin untuk entitas dapat dipengaruhi oleh kebijakan berbasis identitas, kebijakan berbasis sumber daya, batas izin, atau kebijakan sesi. AWS Organizations SCPs Untuk informasi selengkapnya tentang berbagai jenis kebijakan, lihat [Kebijakan dan izin di AWS Identity and Access Management](access_policies.md).

Jika salah satu dari jenis kebijakan ini secara jelas menolak akses untuk suatu operasi, maka permintaan tersebut ditolak. Izin yang diberikan ke suatu entitas oleh beberapa jenis izin jauh lebih rumit. Untuk detail selengkapnya tentang cara AWS mengevaluasi kebijakan, lihat[Logika evaluasi kebijakan](reference_policies_evaluation-logic.md).

**Kebijakan berbasis identitas dengan batasan** – Kebijakan berbasis identitas bersifat inline atau kebijakan terkelola yang dilampirkan pada pengguna, grup pengguna, atau peran. Kebijakan berbasis identitas memberikan izin kepada sebuah entitas, dan batasan izin membatasi izin tersebut. Izin yang efektif adalah titik temu dari kedua jenis kebijakan. Penolakan secara tegas dalam salah satu kebijakan ini membatalkan izin.

![\[Evaluasi kebijakan berbasis identitas dan batas izin.\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/permissions_boundary.png)


**Kebijakan berbasis sumber daya** – Kebijakan berbasis sumber daya mengontrol bagaimana prinsipal tertentu dapat mengakses sumber daya tempat kebijakan tersebut dilampirkan.

*Kebijakan berbasis sumber daya untuk pengguna IAM*  
Dalam akun yang sama, kebijakan berbasis sumber daya yang memberikan izin kepada ARN pengguna IAM (yang bukan sesi utama pengguna AWS STS federasi) tidak dibatasi oleh penolakan implisit dalam kebijakan berbasis identitas atau batas izin.  

![\[Evaluasi kebijakan berbasis sumber daya, batasan izin, dan kebijakan berbasis identitas\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/EffectivePermissions-rbp-boundary-id.png)


*Kebijakan berbasis sumber daya untuk peran IAM*  
**Peran IAM** — Kebijakan berbasis sumber daya yang memberikan izin ke ARN peran IAM dibatasi oleh penolakan implisit dalam batas izin atau kebijakan sesi.  
**Sesi peran IAM** — Dalam akun yang sama, kebijakan berbasis sumber daya yang memberikan izin ke sesi peran IAM ARN memberikan izin langsung ke sesi peran yang diasumsikan. Izin yang diberikan langsung ke sesi tidak dibatasi oleh penolakan implisit dalam kebijakan berbasis identitas, batas izin, atau kebijakan sesi. Ketika Anda mengambil peran dan membuat permintaan, kepala sekolah yang membuat permintaan adalah sesi peran IAM ARN dan bukan ARN dari peran itu sendiri.

*Kebijakan berbasis sumber daya untuk AWS STS sesi utama pengguna federasi*  
**AWS STS sesi utama pengguna federasi — Sesi** utama pengguna AWS STS federasi adalah sesi yang dibuat dengan menelepon. [`GetFederationToken`](id_credentials_temp_request.md#api_getfederationtoken) Ketika pengguna federasi membuat permintaan, kepala sekolah yang membuat permintaan adalah pengguna federasi ARN dan bukan ARN dari pengguna IAM yang berfederasi. Dalam akun yang sama, kebijakan berbasis sumber daya yang memberikan izin kepada pengguna federasi ARN memberikan izin langsung ke sesi. Izin yang diberikan langsung ke sesi tidak dibatasi oleh penolakan implisit dalam kebijakan berbasis identitas, batas izin, atau kebijakan sesi.  
Namun, jika kebijakan berbasis sumber daya memberikan izin kepada ARN pengguna IAM yang berfederasi, maka permintaan yang dibuat oleh prinsipal pengguna federasi selama sesi dibatasi oleh AWS STS penolakan implisit dalam batas izin atau kebijakan sesi.

**AWS Organizations SCPs**— SCPs diterapkan untuk keseluruhan Akun AWS. Mereka membatasi izin untuk setiap permintaan yang dibuat oleh prinsipal di dalam akun. Sebuah entitas IAM (pengguna atau peran) dapat membuat permintaan yang terdampak oleh SCP, batas izin, dan kebijakan berbasis identitas. Dalam hal ini, permintaan hanya diizinkan jika ketiga jenis kebijakan mengizinkannya. Izin yang efektif adalah titik temu dari ketiga jenis kebijakan. Penolakan secara eksplisit dalam salah satu kebijakan ini membatalkan izin.

![\[Evaluasi dari sebuah SCP, batasan izin, dan kebijakan berbasis identitas\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/EffectivePermissions-scp-boundary-id.png)


Anda dapat mempelajari [apakah akun Anda adalah anggota sebuah organisasi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_details.html#orgs_view_account) di AWS Organizations. Anggota organisasi dapat dipengaruhi oleh SCP. Untuk melihat data ini menggunakan AWS CLI perintah atau operasi AWS API, Anda harus memiliki izin untuk `organizations:DescribeOrganization` tindakan untuk AWS Organizations entitas Anda. Anda harus memiliki izin tambahan untuk melakukan operasi di AWS Organizations konsol. Untuk mengetahui apakah SCP menolak akses ke permintaan tertentu, atau untuk mengubah izin efektif Anda, hubungi administrator Anda. AWS Organizations 

**Kebijakan sesi** – Kebijakan sesi adalah kebijakan lanjutan yang Anda berikan sebagai parameter saat Anda secara terprogram membuat sesi sementara untuk peran atau pengguna gabungan. Izin untuk sesi berasal dari entitas IAM (pengguna atau peran) yang digunakan untuk membuat sesi dan dari kebijakan sesi. Izin kebijakan berbasis identitas milik entitas akan dibatasi oleh kebijakan sesi dan batasan izin. Izin yang efektif untuk set jenis kebijakan ini adalah titik temu dari ketiga jenis kebijakan. Penolakan secara eksplisit dalam salah satu kebijakan ini membatalkan izin. Untuk informasi selengkapnya tentang kebijakan sesi, lihat [Kebijakan Sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)

![\[Evaluasi kebijakan sesi, batasan izin, dan kebijakan berbasis identitas\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/EffectivePermissions-session-boundary-id.png)


## Mendelegasikan tanggung jawab kepada orang lain menggunakan batas izin
<a name="access_policies_boundaries-delegate"></a>

Anda dapat menggunakan batasan izin untuk memberikan tugas manajemen perizinan, seperti pembuatan pengguna, ke pengguna IAM di akun Anda. Hal ini mengizinkan orang lain melakukan tugas atas nama Anda dalam batas izin tertentu.

Misalnya, asumsikan bahwa María adalah administrator Akun AWS X-Company. Dia ingin memberikanan tugas pembuatan pengguna ke Zhang. Namun, ia harus memastikan bahwa Zhang membuat pengguna yang mematuhi aturan perusahaan berikut:
+ Pengguna tidak dapat menggunakan IAM untuk membuat atau mengelola pengguna, grup, peran, atau kebijakan.
+ Pengguna tidak diberi akses ke `logs` bucket Amazon S3 dan tidak dapat mengakses instans Amazon EC2 `i-1234567890abcdef0`.
+ Pengguna tidak dapat menghapus kebijakan batas milik mereka.

Untuk menegakkan aturan ini, María menyelesaikan tugas berikut, yang perinciannya tercantum di bawah ini:

1. María membuat kebijakan terkelola `XCompanyBoundaries` untuk digunakan sebagai batas izin bagi semua pengguna baru dalam akun.

1. María membuat kebijakan terkelola `DelegatedUserBoundary` dan menetapkannya sebagai batas izin untuk Zhang. Maria mencatat ARN pengguna admin -nya dan menggunakannya dalam kebijakan untuk mencegah Zhang mengaksesnya.

1. María membuat kebijakan terkelola `DelegatedUserPermissions` dan melampirkannya sebagai kebijakan izin untuk Zhang.

1. María memberi tahu Zhang tentang tanggung jawab dan batasan barunya.

**Tugas 1:** María harus terlebih dahulu membuat kebijakan terkelola untuk menentukan batas bagi pengguna baru. María akan mengizinkan Zhang untuk memberikan kebijakan izin yang dibutuhkan pengguna, tetapi dia ingin pengguna tersebut dibatasi. Untuk melakukan ini, ia membuat kebijakan terkelola pelanggan berikut ini dengan nama `XCompanyBoundaries`. Kebijakan ini melakukan hal-hal berikut:
+ Mengizinkan pengguna akses penuh ke beberapa layanan
+ Mengizinkan penggelolaan mandiri terbatas di konsol IAM. Ini berarti mereka dapat mengubah kata sandi mereka setelah masuk ke konsol. Mereka tidak dapat mengatur kata sandi awal mereka. Untuk mengijinkan ini, tambahkan tindakan `"*LoginProfile"` ke pernyataan `AllowManageOwnPasswordAndAccessKeys`.
+ Menolak akses pengguna ke catatan bucket Amazon S3 atau instans Amazon EC2 `i-1234567890abcdef0`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ServiceBoundaries",
            "Effect": "Allow",
            "Action": [
                "s3:*",
                "cloudwatch:*",
                "ec2:*",
                "dynamodb:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowIAMConsoleForCredentials",
            "Effect": "Allow",
            "Action": [
                "iam:ListUsers",
                "iam:GetAccountPasswordPolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowManageOwnPasswordAndAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:*AccessKey*",
                "iam:ChangePassword",
                "iam:GetUser",
                "iam:*ServiceSpecificCredential*",
                "iam:*SigningCertificate*"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "DenyS3Logs",
            "Effect": "Deny",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::logs",
                "arn:aws:s3:::logs/*"
            ]
        },
        {
            "Sid": "DenyEC2Production",
            "Effect": "Deny",
            "Action": "ec2:*",
            "Resource": "arn:aws:ec2:*:*:instance/i-1234567890abcdef0"
        }
    ]
}
```

------

Setiap pernyataan memiliki tujuan yang berbeda:

1. `ServiceBoundaries`Pernyataan kebijakan ini memungkinkan akses penuh ke AWS layanan yang ditentukan. Artinya jika tindakan pengguna baru dalam layanan ini hanya dibatasi oleh kebijakan izin yang terlampir pada pengguna.

1. Pernyataan `AllowIAMConsoleForCredentials` ini mengizinkan akses untuk mendaftar semua pengguna IAM. Akses ini diperlukan untuk menavigasi halaman **Pengguna** di Konsol Manajemen AWS. Ini juga mengijinkan untuk melihat persyaratan kata sandi untuk akun, yang diperlukan saat mengubah kata sandi Anda sendiri.

1. `AllowManageOwnPasswordAndAccessKeys`Pernyataan ini memungkinkan pengguna untuk mengelola hanya kata sandi konsol mereka sendiri dan kunci akses terprogram. Ini penting jika Zhang atau administrator lain memberikan kebijakan izin kepada pengguna baru dengan akses IAM penuh. Dalam kasus ini, pengguna tersebut kemudian dapat mengubah izin miliknya sendiri atau milik pengguna lain. Pernyataan ini mencegah hal tersebut terjadi.

1. Pernyataan `DenyS3Logs` secara jelas menolak akses ke bucket `logs`.

1. Pernyataan `DenyEC2Production` secara jelas menolak akses ke instans `i-1234567890abcdef0`.

**Tugas 2:** María ingin mengizinkan Zhang untuk membuat semua pengguna Perusahaan X, tetapi hanya dengan batas izin `XCompanyBoundaries`. Dia menciptakan kebijakan terkelola pelanggan berikut bernama `DelegatedUserBoundary`. Kebijakan ini menentukan izin maksimum yang dapat dimiliki Zhang.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateOrChangeOnlyWithBoundary",
            "Effect": "Allow",
            "Action": [
                "iam:AttachUserPolicy",
                "iam:CreateUser",
                "iam:DeleteUserPolicy",
                "iam:DetachUserPolicy",
                "iam:PutUserPermissionsBoundary",
                "iam:PutUserPolicy"
            ],
            "Resource": "*",
            "Condition": {
               "StringEquals": {
                 "iam:PermissionsBoundary": "arn:aws:iam::123456789012:policy/XCompanyBoundaries"
                }
            }
        },
        {
            "Sid": "CloudWatchAndOtherIAMTasks",
            "Effect": "Allow",
            "Action": [
              "cloudwatch:*",
              "iam:CreateAccessKey",
              "iam:CreateGroup",
              "iam:CreateLoginProfile",
              "iam:CreatePolicy",
              "iam:DeleteGroup",
              "iam:DeletePolicy",
              "iam:DeletePolicyVersion",
              "iam:DeleteUser",
              "iam:GetAccountPasswordPolicy",
              "iam:GetGroup",
              "iam:GetLoginProfile",
              "iam:GetPolicy",
              "iam:GetPolicyVersion",
              "iam:GetRolePolicy",
              "iam:GetUser",
              "iam:GetUserPolicy",
              "iam:ListAccessKeys",
              "iam:ListAttachedRolePolicies",
              "iam:ListAttachedUserPolicies",
              "iam:ListEntitiesForPolicy",
              "iam:ListGroups",
              "iam:ListGroupsForUser",
              "iam:ListMFADevices",
              "iam:ListPolicies",
              "iam:ListPolicyVersions",
              "iam:ListRolePolicies",
              "iam:ListSSHPublicKeys",
              "iam:ListServiceSpecificCredentials",
              "iam:ListSigningCertificates",
              "iam:ListUserPolicies",
              "iam:ListUsers",
              "iam:SetDefaultPolicyVersion",
              "iam:SimulateCustomPolicy",
              "iam:SimulatePrincipalPolicy",
              "iam:UpdateGroup",
              "iam:UpdateLoginProfile",
              "iam:UpdateUser"
            ],
            "NotResource": "arn:aws:iam::123456789012:user/Maria"
        },
        {
            "Sid": "NoBoundaryPolicyEdit",
            "Effect": "Deny",
            "Action": [
                "iam:CreatePolicyVersion",
                "iam:DeletePolicy",
                "iam:DeletePolicyVersion",
                "iam:SetDefaultPolicyVersion"
            ],
            "Resource": [
                "arn:aws:iam::123456789012:policy/XCompanyBoundaries",
                "arn:aws:iam::123456789012:policy/DelegatedUserBoundary"
            ]
        },
        {
            "Sid": "NoBoundaryUserDelete",
            "Effect": "Deny",
            "Action": "iam:DeleteUserPermissionsBoundary",
            "Resource": "*"
        }
    ]
}
```

------

Setiap pernyataan memiliki tujuan yang berbeda:

1. Pernyataan `CreateOrChangeOnlyWithBoundary` mengizinkan Zhang untuk membuat pengguna IAM tetapi hanya jika dia menggunakan kebijakan `XCompanyBoundaries` untuk menetapkan batas izin. Pernyataan ini juga mengizinkannya untuk menetapkan batas izin bagi pengguna yang ada tetapi hanya menggunakan kebijakan yang sama. Terakhir, pernyataan ini memungkinkan Zhang untuk mengelola kebijakan izin bagi pengguna dengan set batas izin ini.

1. Pernyataan `CloudWatchAndOtherIAMTasks` mengizinkan Zhang untuk menyelesaikan tugas pengguna, grup, dan kebijakan lainnya. Dia memiliki izin untuk mengatur ulang kata sandi dan membuat kunci akses untuk setiap pengguna IAM yang tidak tercantum dalam elemen `NotResource` kebijakan. Ini memungkinkannya untuk membantu pengguna dengan masalah masuk.

1. Pernyataan `NoBoundaryPolicyEdit` menolak akses Zhang untuk memperbarui kebijakan `XCompanyBoundaries`. Dia tidak diperbolehkan mengubah kebijakan apa pun yang digunakan untuk menetapkan batas izin bagi dirinya sendiri atau pengguna lain.

1. Pernyataan `NoBoundaryUserDelete` menolak akses Zhang untuk menghapus batas izin bagi dirinya sendiri atau pengguna lain.

Kemudian María menetapkan kebijakan `DelegatedUserBoundary` [sebagai batas izin](id_users_change-permissions.md#users_change_permissions-set-boundary-console) untuk pengguna `Zhang`. 

**Tugas 3:** Karena batas izin membatasi izin maksimum, tetapi tidak memberikan akses sendiri, Maria harus membuat kebijakan izin untuk Zhang. Dia menciptakan kebijakan berikut bernama `DelegatedUserPermissions`. Kebijakan ini menetapkan operasi yang dapat dilakukan Zhang, dalam batas izin yang ditentukan.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "IAM",
            "Effect": "Allow",
            "Action": "iam:*",
            "Resource": "*"
        },
        {
            "Sid": "CloudWatchLimited",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:GetDashboard",
                "cloudwatch:GetMetricData",
                "cloudwatch:ListDashboards",
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:ListMetrics"
            ],
            "Resource": "*"
        },
        {
            "Sid": "S3BucketContents",
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::ZhangBucket"
        }
    ]
}
```

------

Setiap pernyataan memiliki tujuan yang berbeda:

1. Pernyataan `IAM` kebijakan ini mengizinkan akses penuh Zhang ke IAM. Namun, karena batas izinnya hanya mengizinkan beberapa operasi IAM, izin efektif IAM-nya dibatasi hanya oleh batas izinnya.

1. `CloudWatchLimited`Pernyataan itu memungkinkan Zhang untuk melakukan lima tindakan. CloudWatch Batas izinnya memungkinkan semua tindakan masuk CloudWatch, sehingga CloudWatch izin efektifnya hanya dibatasi oleh kebijakan izinnya.

1. Pernyataan `S3BucketContents` mengizinkan Zhang membuat daftar Amazon S3 bucket `ZhangBucket`. Namun, batas izinnya tidak mengizinkan tindakan Amazon S3 apapun, sehingga dia tidak dapat melakukan operasi S3 apapun, terlepas dari kebijakan perizinannya.
**catatan**  
Kebijakan Zhang mengizinkannya untuk membuat pengguna yang kemudian dapat mengakses sumber daya Amazon S3 yang tidak dapat diaksesnya. Dengan menyerahkan tindakan administratif ini, Maria secara efektif memercayai Zhang dengan akses ke Amazon S3 

Kemudian María menetapkan kebijakan `DelegatedUserPermissions` sebagai kebijakan izin untuk pengguna `Zhang`. 

**Tugas 4:** Dia memberikan Zhang instruksi untuk membuat pengguna baru. Dia mengatakan padanya bahwa dia dapat membuat pengguna baru dengan izin apapun yang mereka butuhkan, tetapi ia harus menetapkan untuknya kebijakan `XCompanyBoundaries` sebagai batas izin.

Zhang menyelesaikan tugas berikut:

1. Zhang menciptakan pengguna dengan. Konsol Manajemen AWS Dia mengetik nama pengguna `Nikhil` dan mengaktifkan akses konsol untuk pengguna. Dia menghapus kotak centang di samping **Perlu pengaturan ulang kata sandi**, karena kebijakan di atas mengizinkan pengguna untuk mengubah kata sandi mereka hanya setelah mereka masuk ke konsol IAM.

1. Pada halaman **Setel izin**, Zhang memilih kebijakan ReadOnlyAccess izin **IAMFullAccess** dan **AmazonS3** yang memungkinkan Nikhil melakukan pekerjaannya. 

1. Zhang melewatkan bagian **Atur batasan izin**, melupakan instruksi María.

1. Zhang meninjau detail pengguna dan memilih **Buat pengguna**.

   Operasi gagal dan akses ditolak. Batas izin Zhang `DelegatedUserBoundary` mengharuskan setiap pengguna yang dia buat memiliki kebijakan `XCompanyBoundaries` yang digunakan sebagai batas izin.

1. Zhang kembali ke halaman sebelumnya. Di bagian **Atur batasan izin**, ia memilih kebijakan `XCompanyBoundaries`. 

1. Zhang meninjau detail pengguna dan memilih **Buat pengguna**.

   Pengguna dibuat. 

Ketika Nikhil masuk, dia memiliki akses ke IAM dan Amazon S3, kecuali operasi yang ditolak oleh batas izin. Misalnya, ia dapat mengubah kata sandinya sendiri di IAM tetapi tidak dapat membuat pengguna lain atau mengubah kebijakannya. Nikhil memiliki akses hanya baca ke Amazon S3

Jika seseorang menambahkan kebijakan berbasis sumber daya ke bucket `logs` yang mengizinkan Nikhil memasukkan sebuah objek ke dalam bucket, dia tetap tidak dapat mengakses bucket. Alasannya adalah bahwa tindakan apa pun di bucket `logs` secara jelas ditolak oleh batas izinnya. Penolakan secara jelas dalam jenis kebijakan apa pun menyebabkan permintaan ditolak. Namun, jika kebijakan berbasis sumber daya yang terlampir pada rahasia Secrets Manager memungkinkan Nikhil untuk melakukan tindakan `secretsmanager:GetSecretValue`, lalu Nikhil dapat mengambil dan mendekripsi rahasia. Alasannya adalah bahwa operasi Secrets Manager tidak secara jelas ditolak oleh batas izinnya, dan penolakan implisit dalam batas izin tidak membatasi kebijakan berbasis sumber daya.

# Kebijakan berbasis identitas dan kebijakan berbasis sumber daya
<a name="access_policies_identity-vs-resource"></a>

Kebijakan adalah objek AWS yang, ketika dikaitkan dengan identitas atau sumber daya, menentukan izinnya. Saat Anda membuat kebijakan izin untuk membatasi akses ke sumber daya, Anda dapat memilih *kebijakan berbasis identitas* atau *kebijakan berbasis sumber daya*.

**Kebijakan berbasis identitas** terlampir pada pengguna, grup, atau peran IAM. Kebijakan ini memungkinkan Anda menentukan apa yang dapat dilakukan oleh identitas (izinnya). Misalnya, Anda dapat melampirkan kebijakan ke pengguna IAM bernama John, yang menyatakan bahwa dia diizinkan untuk melakukan tindakan `RunInstances` Amazon EC2. Kebijakan selanjutnya dapat menyatakan bahwa John diizinkan untuk mendapatkan item dari tabel Amazon DynamoDB bernama. `MyCompany` Anda juga dapat mengizinkan John untuk mengelola kredensi keamanan IAM-nya sendiri. Kebijakan berbasis identitas dapat [terkelola atau inline](access_policies_managed-vs-inline.md).

**Kebijakan berbasis sumber daya** dilampirkan pada sumber daya. Misalnya, Anda dapat melampirkan kebijakan berbasis sumber daya ke bucket Amazon S3, antrian Amazon SQS, titik akhir VPC, kunci enkripsi, serta tabel dan aliran Amazon DynamoDB. AWS Key Management Service Untuk daftar layanan yang mendukung kebijakan berbasis sumber daya, lihat [AWS layanan yang bekerja dengan IAM](reference_aws-services-that-work-with-iam.md).

Dengan kebijakan berbasis sumber daya, Anda dapat menentukan siapa yang memiliki akses ke sumber daya tersebut dan tindakan apa yang dapat mereka lakukan di situ. Untuk mempelajari apakah prinsipal dalam akun di luar zona kepercayaan (organisasi atau akun terpercaya) memiliki akses untuk mengambil peran Anda, lihat [Apa yang dimaksud dengan Penganalisis Akses IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html). Kebijakan berbasis sumber daya hanya bersifat inline, tidak terkelola.

**catatan**  
Kebijakan *Berbasis sumber daya* berbeda dari izin *tingkat sumber daya*. Anda dapat melampirkan kebijakan berbasis sumber daya secara langsung ke sumber daya, sebagaimana dijelaskan dalam topik ini. Izin tingkat sumber daya mengacu pada kemampuan untuk menggunakan [ARNs](reference_identifiers.md#identifiers-arns) untuk menentukan sumber daya individu dalam kebijakan. Kebijakan berbasis sumber daya hanya didukung oleh beberapa layanan. AWS Untuk daftar yang layanannya didukung kebijakan berbasis sumber daya dan izin tingkat sumber daya, lihat [AWS layanan yang bekerja dengan IAM](reference_aws-services-that-work-with-iam.md).

Untuk mempelajari cara berinteraksi antara kebijakan berbasis identitas dan kebijakan berbasis sumber daya dalam akun yang sama, lihat [Evaluasi kebijakan untuk permintaan dalam satu akun](reference_policies_evaluation-logic_policy-eval-basics.md).

Untuk mempelajari cara interaksi kebijakan di seluruh akun, lihat [Logika evaluasi kebijakan lintas akun](reference_policies_evaluation-logic-cross-account.md).

Untuk lebih memahami konsep ini, lihat gambar berikut. Administrator dari akun `123456789012` terlampir *kebijakan berbasis identitas* kepada pengguna `John`, `Carlos`, dan `Mary`. Beberapa tindakan dalam kebijakan ini dapat dilakukan pada sumber daya tertentu. Misalnya, pengguna `John` dapat melakukan beberapa tindakan di `Resource X`. Ini adalah *izin tingkat sumber daya* dalam kebijakan berbasis identitas. Administrator juga menambahkan *kebijakan berbasis sumber daya* ke `Resource X`, `Resource Y`, dan `Resource Z`. Kebijakan berbasis sumber daya memungkinkan Anda menentukan siapa yang dapat mengakses sumber daya tersebut. Misalnya, kebijakan berbasis sumber daya di `Resource X` mengizinkan akses pengguna `John` dan `Mary` daftar dan baca ke sumber daya.

![\[Kebijakan berbasis identitas vs berbasis sumber daya\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/Types_of_Permissions.diagram.png)


Contoh akun `123456789012` mengizinkan pengguna berikut untuk melakukan tindakan yang tercantum:
+ **John** — John dapat melakukan daftar dan membaca tindakan`Resource X`. Dia diberikan izin ini oleh kebijakan berbasis identitas pada penggunanya dan kebijakan berbasis sumber daya pada `Resource X`.
+ **Carlos** — Carlos dapat melakukan daftar, membaca, dan menulis tindakan`Resource Y`, tetapi ditolak aksesnya. `Resource Z` Kebijakan berbasis identitas pada Carlos memungkinkan dia untuk melakukan tindakan daftar dan baca `Resource Y`. Kebijakan berbasis sumber daya `Resource Y` juga memungkinkan dia menulis izin. Namun, meskipun kebijakan berbasis identitas miliknya mengizinkannya mengakses `Resource Z`, kebijakan berbasis sumber daya `Resource Z` menolak akses tersebut. `Deny` secara jelas menimpa `Allow` dan aksesnya ke `Resource Z` ditolak. Untuk informasi selengkapnya, lihat [Logika evaluasi kebijakan](reference_policies_evaluation-logic.md). 
+ **Mary** — Mary dapat melakukan operasi daftar, membaca, dan menulis pada`Resource X`,`Resource Y`, dan`Resource Z`. Kebijakan berbasis identitas miliknya mengizinkan tindakan yang lebih banyak terhadap lebih banyak sumber daya daripada kebijakan berbasis sumber daya, tetapi tidak ada yang menolak akses.
+ **Zhang** — Zhang memiliki akses penuh ke. `Resource Z` Zhang tidak memiliki kebijakan berbasis identitas, tetapi kebijakan berbasis sumber daya `Resource Z` mengizinkannya mengakses sumber daya sepenuhnya. Zhang juga dapat melakukan tindakan daftar dan baca pada `Resource Y`.

Kebijakan berbasis identitas dan kebijakan berbasis sumber daya keduanya adalah kebijakan izin dan dievaluasi bersama. Untuk permintaan yang hanya berlaku kebijakan izin, AWS pertama-tama periksa semua kebijakan untuk file. `Deny` Jika ada, maka permintaan ditolak. Kemudian AWS memeriksa setiap `Allow`. Jika setidaknya satu pernyataan mengizinkan tindakan dalam permintaan tersebut, permintaan tersebut diizinkan. Tidak peduli apakah `Allow` berada dalam kebijakan berbasis identitas atau kebijakan berbasis sumber daya.

**penting**  
Logika ini hanya berlaku ketika permintaan dibuat dalam satu Akun AWS. Untuk permintaan yang dibuat dari satu akun ke akun lain, pemohon di `Account A` harus memiliki kebijakan berbasis identitas yang mengizinkan mereka mengajukan permintaan kepada sumber daya di `Account B`. Juga, kebijakan berbasis sumber daya di `Account B` harus mengizinkan pemohon di `Account A` untuk mengakses sumber daya. Harus ada kebijakan di kedua akun yang mengizinkan operasi, jika tidak permintaan tersebut gagal. Untuk informasi selengkapnya tentang menggunakan kebijakan berbasis sumber daya bagi akses akun silang, lihat [Akses sumber daya lintas akun di IAM](access_policies-cross-account-resource-access.md).

Pengguna yang memiliki izin spesifik mungkin meminta sumber daya yang juga memiliki kebijakan izin yang terlampir. Dalam hal ini, AWS mengevaluasi kedua set izin saat menentukan apakah akan memberikan akses ke sumber daya. Untuk informasi tentang bagaimana kebijakan dievaluasi, lihat [Logika evaluasi kebijakan](reference_policies_evaluation-logic.md). 

**catatan**  
Amazon S3 mendukung kebijakan berbasis identitas dan kebijakan berbasis sumber daya (disebut sebagai *kebijakan bucket*). Sebagai tambahan, Amazon S3 mendukung mekanisme izin yang dikenal sebagai *Access Control List (ACL)* yang terpisah dari kebijakan dan izin IAM. Anda dapat menggunakan kebijakan IAM dalam kombinasi dengan Amazon ACLs S3. Untuk informasi selengkapnya, lihat [Kontrol Akses](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingAuthAccess.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*. 

# Kontrol akses ke AWS sumber daya menggunakan kebijakan
<a name="access_controlling"></a>

Anda dapat menggunakan kebijakan untuk mengontrol akses ke sumber daya dalam IAM atau semua sumber daya. AWS

Untuk menggunakan [kebijakan](access_policies.md) untuk mengontrol akses AWS, Anda harus memahami cara AWS memberikan akses. AWS terdiri dari koleksi sumber *daya*. Pengguna IAM adalah sebuah sumber daya. Bucket Amazon S3 adalah sebuah sumber daya. Saat Anda menggunakan AWS API, file AWS CLI, atau Konsol Manajemen AWS untuk melakukan operasi (seperti membuat pengguna), Anda mengirim *permintaan* untuk operasi itu. Permintaan Anda menentukan tindakan, sumber daya, sebuah *entitas prinsipal* (pengguna atau peran), sebuah *akun prinsipal*, dan informasi permintaan yang diperlukan. Semua informasi ini memberikan *konteks*.

AWS kemudian memeriksa bahwa Anda (kepala sekolah) diautentikasi (masuk) dan diberi wewenang (memiliki izin) untuk melakukan tindakan yang ditentukan pada sumber daya yang ditentukan. Selama otorisasi, AWS periksa semua kebijakan yang berlaku untuk konteks permintaan Anda. Sebagian besar kebijakan disimpan AWS sebagai [dokumen JSON](access_policies.md#access_policies-json) dan menentukan izin untuk entitas utama. Untuk informasi selengkapnya tentang tipe dan penggunaan kebijakan, lihat [Kebijakan dan izin di AWS Identity and Access Management](access_policies.md).

AWS mengotorisasi permintaan hanya jika setiap bagian dari permintaan Anda diizinkan oleh kebijakan. Untuk melihat diagram proses ini, lihat [Cara kerja IAM](intro-structure.md). Untuk detail tentang cara AWS menentukan apakah permintaan diizinkan, lihat[Logika evaluasi kebijakan](reference_policies_evaluation-logic.md). 

Saat Anda membuat kebijakan IAM, Anda dapat mengontrol akses ke hal berikut:
+ **[Prinsipal](#access_controlling-principals)** – Kontrol apa yang boleh dilakukan oleh orang yang membuat permintaan ([prinsipal](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#principal)). 
+ **[Identitas IAM](#access_controlling-identities)** — Kontrol identitas IAM mana (grup IAM, pengguna, dan peran) yang dapat diakses dan bagaimana caranya.
+ **[Kebijakan IAM](#access_controlling-policies)** – Kontrol siapa yang dapat membuat, mengubah, dan menghapus kebijakan yang dikelola pelanggan, dan siapa yang dapat melampirkan dan memisahkan semua kebijakan yang dikelola.
+ **[AWS Sumber Daya](#access_controlling-resources)** — Kontrol siapa yang memiliki akses ke sumber daya menggunakan kebijakan berbasis identitas atau kebijakan berbasis sumber daya.
+ **[AWS Akun](#access_controlling-principal-accounts)** — Kontrol apakah permintaan hanya diperbolehkan untuk anggota akun tertentu.

Kebijakan memungkinkan Anda menentukan siapa yang memiliki akses ke AWS sumber daya, dan tindakan apa yang dapat mereka lakukan pada sumber daya tersebut. Setiap pengguna IAM dimulai dengan tanpa izin. Dengan kata lain, secara default, pengguna tidak dapat melakukan apa pun, bahkan tidak dapat melihat kunci akses milik mereka. Untuk memberikan izin kepada pengguna untuk melakukan sesuatu, Anda dapat menambahkan izin kepada pengguna (yaitu, melampirkan kebijakan ke pengguna). Atau, Anda dapat menambahkan pengguna ke grup pengguna yang memiliki izin yang dimaksud.

Misalnya, Anda dapat memberikan izin pengguna untuk mencantumkan access key-nya sendiri. Anda juga dapat memperluas izin tersebut dan mengizinkan setiap pengguna membuat, memperbarui, serta menghapus kunci milik mereka. 

Saat Anda memberikan izin kepada grup pengguna, semua pengguna dalam grup pengguna tersebut mendapatkan izin tersebut. Misalnya, Anda dapat memberikan izin kepada grup pengguna Administrator untuk melakukan tindakan IAM pada salah satu sumber daya. Akun AWS Contoh lain: Anda dapat memberikan izin grup pengguna Manajer untuk menjelaskan instans Amazon EC2 dari. Akun AWS

Untuk informasi tentang cara mendelegasikan izin dasar kepada pengguna, grup IAM, dan peran Anda, lihat. [Izin diperlukan untuk mengakses sumber daya IAM](access_permissions-required.md) Untuk contoh tambahan dari kebijakan yang menggambarkan izin dasar, lihat [Contoh kebijakan untuk mengelola sumber daya IAM](id_credentials_delegate-permissions_examples.md).

## Mengontrol akses untuk prinsipal
<a name="access_controlling-principals"></a>

Anda dapat menggunakan kebijakan untuk mengontrol apa yang boleh dilakukan oleh orang yang membuat permintaan (prinsipal). Untuk melakukannya, Anda harus melampirkan kebijakan berbasis identitas pada identitas prang tersebut (pengguna, grup pengguna, atau peran). Anda juga dapat menggunakan [batas izin](access_policies_boundaries.md) untuk mengatur izin maksimum yang dapat dimiliki sebuah entitas (pengguna atau peran).

Misalnya, asumsikan bahwa Anda ingin pengguna Zhang Wei memiliki akses penuh ke, Amazon DynamoDB CloudWatch, Amazon EC2, dan Amazon S3. Anda dapat membuat dua kebijakan berbeda agar kemudian Anda dapat memisahkannya jika Anda memerlukan satu set izin untuk pengguna yang berbeda. Atau Anda dapat menggabungkan kedua izin tersebut dalam satu kebijakan, kemudian melampirkan kebijakan tersebut ke pengguna IAM yang bernama Zhang Wei. Anda juga dapat melampirkan kebijakan ke grup pengguna di mana Zhang berada, atau peran yang dapat diambil oleh Zhang. Hasilnya, saat Zhang melihat konten di bucket S3, permintaannya diizinkan. Jika dia mencoba membuat pengguna IAM baru, permintaannya ditolak karena tidak memiliki izin. 

Anda dapat menggunakan batas izin pada Zhang untuk memastikan bahwa dia tidak pernah diberi akses ke bucket S3 `amzn-s3-demo-bucket1`. Untuk melakukannya, tentukan *maksimum* izin yang Anda inginkan Zhang untuk memilikinya. Dalam kasus ini, Anda mengontrol apa yang dia lakukan dengan menggunakan kebijakan izinnya. Di sini, Anda hanya peduli bahwa dia tidak mengakses bucket rahasia. Jadi, Anda menggunakan kebijakan berikut untuk menentukan batas Zhang untuk mengizinkan semua AWS tindakan untuk Amazon S3 dan beberapa layanan lainnya tetapi menolak akses ke bucket S3. `amzn-s3-demo-bucket1` Karena batas izin tidak mengizinkan tindakan IAM apa pun, hal itu mencegah Zhang menghapus batas miliknya (atau siapa pun).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "PermissionsBoundarySomeServices",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:*",
                "dynamodb:*",
                "ec2:*",
                "s3:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PermissionsBoundaryNoConfidentialBucket",
            "Effect": "Deny",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket1",
                "arn:aws:s3:::amzn-s3-demo-bucket1/*"
            ]
        }
    ]
}
```

------

Saat Anda menetapkan kebijakan seperti ini sebagai batas izin bagi pengguna, ingatlah bahwa itu tidak memberikan izin apa pun. Itu menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Untuk informasi lebih lanjut tentang batas izin, lihat [Batas izin untuk entitas IAM](access_policies_boundaries.md).

Untuk informasi terperinci tentang prosedur yang disebutkan sebelumnya, lihat sumber daya ini:
+ Untuk mempelajari lebih lanjut tentang membuat kebijakan IAM yang dapat Anda lampirkan ke prinsipal, lihat [Tentukan izin IAM khusus dengan kebijakan terkelola pelanggan](access_policies_create.md).
+ Untuk mempelajari cara melampirkan kebijakan IAM pada prinsipal, lihat [Menambahkan dan menghapus izin identitas IAM](access_policies_manage-attach-detach.md).
+ Untuk melihat contoh kebijakan untuk memberikan akses penuh ke EC2, lihat [Amazon EC2: Memungkinkan akses EC2 penuh dalam Wilayah tertentu, secara terprogram dan di konsol](reference_policies_examples_ec2_region.md).
+ Untuk memungkinkan akses hanya-baca ke bucket S3, gunakan dua pernyataan pertama dari contoh kebijakan berikut: [Amazon S3: Memungkinkan akses baca dan tulis ke objek di Bucket S3, secara terprogram dan di konsol](reference_policies_examples_s3_rw-bucket-console.md).
+ Untuk melihat contoh kebijakan yang memungkinkan pengguna menyetel kredensialnya, seperti kata sandi konsol, kunci akses terprogram, dan perangkat MFA mereka, lihat. [AWS: Memungkinkan pengguna IAM yang diautentikasi MFA untuk mengelola kredensialnya sendiri di halaman kredensi Keamanan](reference_policies_examples_aws_my-sec-creds-self-manage.md)

## Mengontrol akses ke identitas
<a name="access_controlling-identities"></a>

Anda dapat menggunakan kebijakan IAM untuk mengontrol apa yang dapat dilakukan pengguna terhadap identitas dengan membuat kebijakan yang Anda lampirkan ke semua pengguna melalui grup pengguna. Untuk melakukan ini, buat kebijakan yang membatasi apa yang dapat dilakukan pada sebuah identitas, atau siapa yang dapat mengaksesnya.

Misalnya, Anda dapat membuat grup pengguna bernama **AllUsers**, lalu melampirkan grup pengguna tersebut ke semua pengguna. Saat membuat grup pengguna, Anda dapat memberikan akses kepada semua pengguna untuk mengatur kredensialnya seperti yang dijelaskan di bagian sebelumnya. Anda kemudian dapat membuat kebijakan yang menolak akses untuk mengubah grup pengguna kecuali jika nama pengguna disertakan dalam ketentuan dari kebijakan tersebut. Namun bagian dari kebijakan tersebut hanya akan menolak akses ke siapa pun kecuali pengguna yang tercantum. Anda juga harus menyertakan izin yang mengizinkan semua tindakan manajemen grup pengguna untuk semua orang di dalam grup pengguna. Terakhir, Anda melampirkan kebijakan ini ke grup pengguna sehingga itu diterapkan ke semua pengguna. Hasilnya, saat pengguna yang tidak disebutkan dalam kebijakan mencoba melakukan perubahan pada grup pengguna, permintaannya ditolak. 

**Untuk membuat kebijakan ini dengan editor visual**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Pada panel navigasi di sebelah kiri, pilih **Kebijakan**. 

   Jika ini pertama kalinya Anda memilih **Kebijakan**, akan muncul halaman **Selamat Datang di Kebijakan Terkelola**. Pilih **Memulai**.

1. Pilih **Buat kebijakan**.

1. Pada bagian **Editor kebijakan**, pilih opsi **Visual**.

1. Di **Pilih layanan** pilih **IAM**.

1. Di **Tindakan yang diizinkan**, **group** ketik kotak pencarian. Editor visual menunjukkan semua tindakan IAM yang mengandung kata`group`. Pilih semua kotak centang.

1. Pilih **Sumber Daya** untuk menentukan sumber daya bagi kebijakan Anda. Berdasarkan tindakan yang Anda pilih, Anda akan melihat jenis sumber daya **grup** dan **pengguna**.
   + **grup** - Pilih **Tambah ARNs**. Untuk **Sumber Daya di**, pilih opsi **Akun apa pun**. Pilih kotak centang **Nama grup apa pun dengan jalur** lalu ketik nama **AllUsers** grup pengguna. Kemudian pilih **Tambahkan ARNs**.
   + **pengguna** — Pilih kotak centang di sebelah **Apa saja di akun ini**.

   Salah satu tindakan yang Anda pilih, `ListGroups`, tidak mendukung penggunaan sumber daya tertentu. Anda tidak harus memilih **Semua sumber daya** untuk tindakan itu. Saat menyimpan kebijakan atau melihat kebijakan di editor **JSON**, Anda dapat melihat bahwa IAM secara otomatis membuat blok izin baru yang memberikan izin tindakan ini pada semua sumber daya.

1. Untuk menambahkan blok izin lain, pilih **Tambahkan izin lainnya**.

1. Pilih **Pilih layanan** dan kemudian pilih **IAM**.

1. Pilih **Tindakan yang diizinkan** dan kemudian pilih **Beralih untuk menolak izin**. Saat Anda melakukannya, seluruh blok digunakan untuk menolak izin.

1. Jenis **group** di kotak pencarian. Editor visual menunjukkan kepada Anda semua tindakan IAM yang berisi kata`group`. Pilih kotak centang di sebelah tindakan berikut:
   + **CreateGroup**
   + **DeleteGroup**
   + **RemoveUserFromGroup**
   + **AttachGroupPolicy**
   + **DeleteGroupPolicy**
   + **DetachGroupPolicy**
   + **PutGroupPolicy**
   + **UpdateGroup**

1. Pilih **Sumber Daya** untuk menentukan sumber daya bagi kebijakan Anda. Berdasarkan tindakan yang Anda pilih, Anda akan melihat jenis sumber daya **grup**. Pilih **Tambahkan ARNs**. Untuk **Sumber Daya di**, pilih opsi **Akun apa pun**. Untuk **Setiap nama grup dengan jalur**, ketik nama grup pengguna**AllUsers**. Kemudian pilih **Tambahkan ARNs**.

1. Pilih **kondisi Permintaan - *opsional*** dan kemudian pilih **Tambahkan kondisi lain**. Lengkapi formulir dengan nilai berikut:
   + **Kunci kondisi** - Pilih **aws:username**
   + **Pengukur** – Pilih **Default**
   + **Operator** – Pilih **StringNotEquals**
   + **Nilai** — Ketik **srodriguez** dan kemudian pilih **Tambah** untuk menambahkan nilai lain. Ketik **mjackson** dan kemudian pilih **Tambah** untuk menambahkan nilai lain. Ketik **adesai** dan kemudian pilih **Tambahkan kondisi**.

   Ketentuan ini memastikan bahwa akses akan ditolak untuk tindakan manajemen grup pengguna tertentu saat pengguna membuat panggilan tidak dimasukkan dalam daftar. Karena ini secara jelas menolak izin, ini menggantikan blok sebelumnya yang mengizinkan pengguna tersebut untuk memanggil tindakan. Pengguna dalam daftar tidak ditolak aksesnya, dan mereka diberikan izin pada blok izin pertama, sehingga mereka dapat sepenuhnya mengelola grup pengguna tersebut.

1. Setelah selesai, pilih **Selanjutnya**.
**catatan**  
Anda dapat beralih antara opsi editor **Visual** dan **JSON** kapan saja. Namun, jika Anda membuat perubahan atau memilih **Berikutnya** di opsi Editor **Visual**, IAM mungkin merestrukturisasi kebijakan Anda untuk mengoptimalkannya untuk editor visual. Untuk informasi selengkapnya, lihat [Restrukturisasi kebijakan](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Pada halaman **Tinjau dan buat**, untuk **Nama Kebijakan**, ketik**LimitAllUserGroupManagement**. Untuk bagian **Description** (Deskripsi), ketik **Allows all users read-only access to a specific user group, and allows only specific users access to make changes to the user group**. Tinjau **Izin yang ditentukan dalam kebijakan ini** untuk memastikan bahwa Anda telah memberikan izin yang dimaksud. Kemudian pilih **Buat kebijakan** untuk menyimpan kebijakan baru Anda.

1. Lampirkan kebijakan tersebut ke grup pengguna Anda. Untuk informasi selengkapnya, lihat [Menambahkan dan menghapus izin identitas IAM](access_policies_manage-attach-detach.md).

Jika tidak, Anda dapat membuat kebijakan yang sama menggunakan contoh dokumen kebijakan JSON ini. Untuk melihat kebijakan JSON ini, lihat [IAM: Memungkinkan pengguna IAM tertentu untuk mengelola grup secara terprogram dan di konsol](reference_policies_examples_iam_users-manage-group.md). Untuk instruksi terperinci dalam membuat kebijakan menggunakan dokumen JSON, lihat [Membuat kebijakan menggunakan editor JSON](access_policies_create-console.md#access_policies_create-json-editor).

## Mengendalikan akses ke kebijakan
<a name="access_controlling-policies"></a>

Anda dapat mengontrol cara pengguna menerapkan kebijakan AWS terkelola. Untuk melakukannya, lampirkan kebijakan ini ke semua pengguna Anda. Idealnya, Anda dapat melakukan ini menggunakan sebuah grup pengguna.

Misalnya, Anda dapat membuat kebijakan yang memungkinkan pengguna hanya melampirkan kebijakan [IAMUserChangePassword](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/IAMUserChangePassword)dan [PowerUserAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/PowerUserAccess) AWS terkelola ke pengguna, grup pengguna, atau peran IAM baru.

Untuk kebijakan yang dikelola pelanggan, Anda dapat mengontrol siapa yang dapat membuat, memperbarui, dan menghapus kebijakan ini. Anda dapat mengontrol siapa yang dapat melampirkan dan melepaskan kebijakan ke dan dari entitas utama (grup IAM, pengguna, dan peran). Anda juga dapat mengontrol kebijakan mana yang dapat diberikan atau dilepas pengguna, dan ke dan dari entitas mana.

Misalnya, Anda dapat memberikan izin kepada administrator akun untuk membuat, memperbarui, dan menghapus kebijakan. Kemudian Anda memberikan izin kepada pemimpin tim atau administrator terbatas lainnya untuk memberikan dan melepaskan kebijakan ini ke dan dari entitas prinsipal yang dikelola oleh administrator terbatas.

Untuk informasi selengkapnya, lihat sumber daya ini:
+ Untuk mempelajari lebih lanjut tentang membuat kebijakan IAM yang dapat Anda berikan ke prinsipal, lihat [Tentukan izin IAM khusus dengan kebijakan terkelola pelanggan](access_policies_create.md).
+ Untuk mempelajari cara memberikan kebijakan IAM pada prinsipal, lihat [Menambahkan dan menghapus izin identitas IAM](access_policies_manage-attach-detach.md).
+ Untuk melihat contoh kebijakan untuk membatasi penggunaan kebijakan yang dikelola, lihat [IAM: Membatasi kebijakan terkelola yang dapat diterapkan pada pengguna, grup, atau peran IAM](reference_policies_examples_iam_limit-managed.md).

### Mengontrol izin untuk membuat, memperbarui, dan menghapus kebijakan yang dikelola pelanggan
<a name="policies-controlling-access-create-update-delete"></a>

Anda dapat menggunakan [kebijakan IAM](access_policies.md) untuk mengontrol siapa yang diizinkan untuk membuat, memperbarui, dan menghapus kebijakan yang dikelola pelanggan di Anda Akun AWS. Daftar berikut berisi operasi API yang berkaitan langsung dengan pembuatan, pembaruan, dan penghapusan kebijakan atau versi kebijakan: 
+ [CreatePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreatePolicy.html)
+ [CreatePolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreatePolicyVersion.html)
+ [DeletePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeletePolicy.html)
+ [DeletePolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeletePolicyVersion.html)
+ [SetDefaultPolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SetDefaultPolicyVersion.html)

Operasi API dalam daftar sebelumnya sesuai dengan tindakan yang dapat Anda izinkan atau tolak—yaitu, izin yang dapat Anda berikan—menggunakan kebijakan IAM. 

Pertimbangkan contoh kebijakan berikut. Ini memungkinkan pengguna untuk membuat, memperbarui (yaitu, membuat versi kebijakan baru), menghapus, dan menetapkan versi default untuk semua kebijakan yang dikelola pelanggan di Akun AWS. Contoh kebijakan juga mengizinkan pengguna untuk mencantumkan kebijakan dan mendapatkan kebijakan. Untuk mempelajari cara membuat kebijakan dengan menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat kebijakan menggunakan editor JSON](access_policies_create-console.md#access_policies_create-json-editor).

**Example Contoh kebijakan yang mengizinkan membuat, memperbarui, menghapus, mencantumkan, mendapatkan, dan mengatur versi default untuk semua kebijakan**    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "iam:CreatePolicy",
      "iam:CreatePolicyVersion",
      "iam:DeletePolicy",
      "iam:DeletePolicyVersion",
      "iam:GetPolicy",
      "iam:GetPolicyVersion",
      "iam:ListPolicies",
      "iam:ListPolicyVersions",
      "iam:SetDefaultPolicyVersion"
    ],
    "Resource": "*"
  }
}
```

Anda dapat membuat kebijakan yang membatasi penggunaan operasi API ini agar hanya memengaruhi kebijakan terkelola yang Anda tentukan. Misalnya, Anda mungkin ingin mengizinkan pengguna untuk mengatur versi default dan menghapus versi kebijakan, tetapi hanya untuk kebijakan tertentu yang dikelola pelanggan. Anda melakukannya dengan menentukan ARN kebijakan dalam elemen `Resource` dari kebijakan yang memberikan izin ini. 

Contoh berikut menunjukkan kebijakan yang mengizinkan pengguna menghapus versi kebijakan dan mengatur versi default. Namun tindakan ini hanya diizinkan untuk kebijakan yang dikelola pelanggan yang mencakup jalur /TEAM-A/. ARN kebijakan yang dikelola pelanggan ditentukan dalam elemen `Resource` dari kebijakan. (Dalam contoh ini ARN mencakup jalur dan sebuah wildcard sehingga cocok dengan semua kebijakan yang dikelola pelanggan yang mencakup jalur /TEAM-A/). Untuk mempelajari cara membuat kebijakan dengan menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat kebijakan menggunakan editor JSON](access_policies_create-console.md#access_policies_create-json-editor).

Untuk informasi selengkapnya tentang menggunakan jalur atas nama kebijakan yang dikelola pelanggan, lihat [Nama dan jalur yang ramah](reference_identifiers.md#identifiers-friendly-names). 

**Example Contoh kebijakan yang mengizinkan menghapus versi kebijakan dan mengatur versi default hanya untuk kebijakan tertentu**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:DeletePolicyVersion",
            "iam:SetDefaultPolicyVersion"
        ],
        "Resource": "arn:aws:iam::111122223333:policy/TEAM-A/*"
    }
}
```

### Mengontrol izin untuk memberikan dan melepaskan kebijakan yang dikelola
<a name="policies-controlling-access-attach-detach"></a>

Anda juga dapat menggunakan kebijakan IAM untuk mengizinkan pengguna bekerja dengan hanya kebijakan terkelola khusus saja. Sebagai akibatnya, Anda dapat mengontrol izin mana yang diizinkan untuk diberikan pengguna kepada entitas prinsipal lainnya. 

Daftar berikut menunjukkan operasi API yang berkaitan langsung dengan memberikan dan melepaskan kebijakan terkelola ke dan dari entitas prinsipal:
+  [AttachGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachGroupPolicy.html)
+ [AttachRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachRolePolicy.html)
+ [AttachUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachUserPolicy.html)
+ [DetachGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachGroupPolicy.html)
+ [DetachRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachRolePolicy.html)
+ [DetachUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachUserPolicy.html)

Anda dapat membuat kebijakan yang membatasi penggunaan operasi API ini agar hanya memengaruhi entitas and/or utama kebijakan terkelola tertentu yang Anda tentukan. Misalnya, Anda mungkin ingin mengizinkan pengguna untuk melampirkan kebijakan terkelola, tetapi hanya kebijakan terkelola yang Anda tentukan. Atau, Anda mungkin ingin mengizinkan pengguna untuk memberikan kebijakan terkelola, tetapi hanya kepada entitas prinsipal yang Anda tentukan. 

Contoh kebijakan berikut memungkinkan pengguna untuk melampirkan kebijakan terkelola hanya ke grup dan peran IAM yang menyertakan jalur /TEAM-A/. Grup pengguna dan peran ARNs ditentukan dalam `Resource` elemen kebijakan. (Dalam contoh ini ARNs sertakan jalur dan karakter wildcard dan dengan demikian cocok dengan semua grup dan peran IAM yang menyertakan jalur /TEAM-A/). Untuk mempelajari cara membuat kebijakan dengan menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat kebijakan menggunakan editor JSON](access_policies_create-console.md#access_policies_create-json-editor).

**Example Contoh kebijakan yang mengizinkan memberikan kebijakan terkelola hanya untuk grup pengguna atau peran tertentu**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:AttachGroupPolicy",
            "iam:AttachRolePolicy"
        ],
        "Resource": [
            "arn:aws:iam::111122223333:group/TEAM-A/*",
            "arn:aws:iam::111122223333:role/TEAM-A/*"
        ]
    }
}
```

Anda selanjutnya dapat membatasi tindakan dalam contoh sebelumnya untuk hanya memengaruhi kebijakan tertentu. Artinya, Anda dapat mengontrol izin yang boleh diberikan pengguna ke entitas prinsipal lainnya—dengan menambahkan ketentuan ke kebijakan. 

Dalam contoh berikut, ketentuan ini memastikan bahwa izin `AttachGroupPolicy` dan `AttachRolePolicy` hanya diperbolehkan jika kebijakan yang diberikan sesuai dengan salah satu kebijakan yang ditentukan. Ketentuan menggunakan `iam:PolicyARN` [kunci ketentuan](reference_policies_elements_condition.md) untuk menentukan kebijakan mana yang diizinkan untuk diberikan. Contoh kebijakan berikut berkembang pada contoh sebelumnya. Ini memungkinkan pengguna untuk melampirkan hanya kebijakan terkelola yang menyertakan jalur /TEAM-A/ ke hanya grup dan peran IAM yang menyertakan jalur /TEAM-A/. Untuk mempelajari cara membuat kebijakan dengan menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat kebijakan menggunakan editor JSON](access_policies_create-console.md#access_policies_create-json-editor).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:AttachGroupPolicy",
            "iam:AttachRolePolicy"
        ],
        "Resource": [
            "arn:aws:iam::111122223333:group/TEAM-A/*",
            "arn:aws:iam::111122223333:role/TEAM-A/*"
        ],
        "Condition": {
            "ArnLike": {
                "iam:PolicyARN": "arn:aws:iam::111122223333:policy/TEAM-A/*"
            }
        }
    }
}
```

------

Kebijakan ini menggunakan operator `ArnLike` kondisi, tetapi Anda juga dapat menggunakan operator `ArnEquals` kondisi karena kedua operator kondisi ini berperilaku identik. Untuk informasi lebih lanjut tentang `ArnLike` dan `ArnEquals`, lihat [Operator ketentuan Amazon Resource Name (ARN)](reference_policies_elements_condition_operators.md#Conditions_ARN) dalam *Jenis Ketentuan* bagian dari *Referensi Elemen Kebijakan*. 

Misalnya, Anda dapat membatasi penggunaan tindakan untuk hanya melibatkan kebijakan terkelola yang Anda tentukan. Anda melakukannya dengan menentukan ARN kebijakan dalam elemen `Condition` dari kebijakan yang memberikan izin ini. Misalnya, untuk menentukan ARN kebijakan yang dikelola pelanggan:

```
"Condition": {"ArnEquals": 
  {"iam:PolicyARN": "arn:aws:iam::123456789012:policy/POLICY-NAME"}
}
```

Anda juga dapat menentukan ARN kebijakan AWS terkelola dalam elemen kebijakan. `Condition` ARN dari kebijakan AWS terkelola menggunakan alias khusus `aws` dalam kebijakan ARN alih-alih ID akun, seperti dalam contoh ini:

```
"Condition": {"ArnEquals": 
  {"iam:PolicyARN": "arn:aws:iam::aws:policy/AmazonEC2FullAccess"}
}
```

## Mengontrol akses ke sumber daya
<a name="access_controlling-resources"></a>

Anda dapat mengontrol akses ke sumber daya dengan menggunakan kebijakan berbasis sumber daya. Dalam kebijakan berbasis identitas, Anda melampirkan kebijakan ke identitas dan menyebutkan sumber daya apa yang dapat diakses oleh identitas tersebut. Dalam kebijakan berbasis sumber daya, Anda memberikan kebijakan pada sumber daya yang ingin Anda kontrol. Dalam kebijakan, Anda menentukan prinsipal mana yang dapat mengakses sumber daya tersebut. Untuk informasi lebih lanjut tentang kedua jenis kebijakan, lihat [Kebijakan berbasis identitas dan kebijakan berbasis sumber daya](access_policies_identity-vs-resource.md).

Untuk informasi selengkapnya, lihat sumber daya ini:
+ Untuk mempelajari lebih lanjut tentang membuat kebijakan IAM yang dapat Anda berikan ke prinsipal, lihat [Tentukan izin IAM khusus dengan kebijakan terkelola pelanggan](access_policies_create.md).
+ Untuk mempelajari cara memberikan kebijakan IAM pada prinsipal, lihat [Menambahkan dan menghapus izin identitas IAM](access_policies_manage-attach-detach.md).
+ Amazon S3 mendukung penggunaan kebijakan berbasis sumber daya di bucket mereka. Untuk informasi lebih lanjut, lihat [Contoh Kebijakan Bucket:](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies.html)
<a name="NoDefaultPermissions"></a>
**Pembuat Sumber Daya Tidak Secara Otomatis Memiliki Izin**  
Jika Anda masuk menggunakan Pengguna root akun AWS kredensyal, Anda memiliki izin untuk melakukan tindakan apa pun pada sumber daya milik akun. Namun, ini tidak benar untuk pengguna IAM. Pengguna IAM dapat diberikan akses untuk membuat sumber daya, tetapi izin pengguna, bahkan untuk sumber daya tersebut, terbatas untuk apa yang telah diberikan secara jelas. Ini berarti bahwa hanya karena Anda membuat sumber daya, seperti peran IAM, Anda tidak secara otomatis memiliki izin untuk mengubah atau menghapus peran tersebut. Sebagai tambahan, izin Anda dapat dicabut setiap saat oleh pemilik akun atau pengguna lain yang telah diberi akses untuk mengelola izin Anda.

## Mengontrol akses ke prinsipal dalam akun tertentu
<a name="access_controlling-principal-accounts"></a>

Anda dapat memberi izin pengguna IAM secara langsung di akses akun Anda sendiri ke sumber daya Anda. Jika pengguna dari akun lain memerlukan akses ke sumber daya Anda, Anda dapat membuat peran IAM. Peran adalah sebuah entitas yang mencakup izin tetapi tidak terkait dengan pengguna tertentu. Pengguna dari akun lain kemudian dapat menggunakan peran dan mengakses sumber daya sesuai dengan izin yang telah Anda tetapkan untuk peran tersebut. Untuk informasi selengkapnya, lihat [Akses untuk pengguna IAM di pengguna lain Akun AWS yang Anda miliki](id_roles_common-scenarios_aws-accounts.md).

**catatan**  
Beberapa layanan mendukung kebijakan berbasis sumber daya sebagaimana dijelaskan dalam [Kebijakan berbasis identitas dan kebijakan berbasis sumber daya](access_policies_identity-vs-resource.md) (seperti Amazon S3, Amazon SNS, dan Amazon SQS). Untuk layanan tersebut, alternatif untuk menggunakan peran adalah dengan memberikan kebijakan ke sumber daya (bucket, topik, atau antrean) yang ingin Anda bagikan. Kebijakan berbasis sumber daya dapat menentukan AWS akun yang memiliki izin untuk mengakses sumber daya.

# Mengontrol akses ke dan untuk pengguna dan peran IAM menggunakan tag
<a name="access_iam-tags"></a>

Gunakan informasi di bagian berikut untuk mengontrol siapa yang dapat mengakses pengguna dan peran IAM Anda serta sumber daya apa yang dapat diakses pengguna dan peran Anda. Untuk informasi lebih umum dan contoh pengendalian akses ke AWS sumber daya lain, termasuk sumber daya IAM lainnya, lihat[Tag untuk AWS Identity and Access Management sumber daya](id_tags.md).

**catatan**  
Untuk detail tentang sensitivitas huruf besar untuk kunci tag dan nilai kunci tag, lihat[Case sensitivity](id_tags.md#case-sensitivity).

Tag dapat diberikan ke *sumber daya* IAM, melewati *permintaan*, atau diberikan pada *prinsipal* yang membuat permintaan. Pengguna atau peran IAM dapat berupa sumber daya dan prinsipal. Misalnya, Anda dapat menulis sebuah kebijakan yang mengizinkan pengguna untuk mencantumkan grup untuk pengguna. Operasi ini hanya diizinkan jika pengguna yang mengajukan permintaan (principal) memiliki tanda `project=blue` yang sama sebagai pengguna yang mereka coba lihat. Dalam contoh ini, pengguna dapat melihat keanggotaan kelompok untuk pengguna mana pun, termasuk mereka sendiri, selama mereka bekerja pada proyek yang sama.

tuanUntuk mengontrol akses berdasarkan tag, Anda memberikan informasi tag di [elemen ketentuan](reference_policies_elements_condition.md) dari kebijakan. Saat Anda membuat kebijakan IAM, Anda dapat menggunakan tag IAM dan kunci ketentuan tag terkait untuk mengontrol akses ke salah satu hal berikut:
+ **[Sumber Daya](access_tags.md#access_tags_control-resources)** – Mengontrol akses ke sumber daya pengguna atau peran berdasarkan tag mereka. Untuk melakukan ini, gunakan kunci *key-name* kondisi **aws:ResourceTag/**untuk menentukan pasangan nilai kunci tag mana yang harus dilampirkan ke sumber daya. Untuk informasi selengkapnya, lihat [Mengontrol akses ke AWS sumber daya](access_tags.md#access_tags_control-resources).
+ **[Permintaan](access_tags.md#access_tags_control-requests)** – Mengontrol tag yang dapat diberikan dalam permintaan IAM. Untuk melakukan ini, gunakan kunci *key-name* kondisi **aws:RequestTag/**untuk menentukan tag apa yang dapat ditambahkan, diubah, atau dihapus dari pengguna atau peran IAM. Kunci ini digunakan dengan cara yang sama untuk sumber daya IAM dan sumber AWS daya lainnya. Untuk informasi selengkapnya, lihat [Mengontrol akses selama AWS permintaan](access_tags.md#access_tags_control-requests).
+ **[Prinsipal](#access_iam-tags_control-principals)** – Mengontrol apa yang boleh dilakukan oleh orang yang membuat permintaan (prinsipal) berdasarkan tag yang dilampirkan ke pengguna atau peran IAM orang tersebut. Untuk melakukan ini, gunakan kunci *key-name* kondisi **aws:PrincipalTag/**untuk menentukan tag apa yang harus dilampirkan ke pengguna atau peran IAM sebelum permintaan diizinkan.
+ **[Setiap bagian dari proses otorisasi](#access_iam-tags_control-tag-keys)** — Gunakan **aws: TagKeys** condition key untuk mengontrol apakah kunci tag tertentu dapat digunakan dalam permintaan atau oleh prinsipal. Dalam hal ini, nilai kunci tidak menjadi masalah. Kunci ini berperilaku sama untuk IAM dan layanan lainnya AWS . Namun, ketika Anda menandai pengguna di IAM, ini juga mengontrol apakah prinsipal dapat membuat permintaan ke layanan apa pun. Untuk informasi selengkapnya, lihat [Mengontrol akses berdasarkan kunci tanda](access_tags.md#access_tags_control-tag-keys).

Anda dapat membuat kebijakan IAM menggunakan editor visual, dengan menggunakan JSON, atau dengan mengimpor kebijakan terkelola yang ada. Lihat perinciannya di [Tentukan izin IAM khusus dengan kebijakan terkelola pelanggan](access_policies_create.md).

**catatan**  
Anda juga dapat meneruskan [tag sesi](id_session-tags.md) saat Anda mengambil peran IAM atau mengfederasi pengguna. Ini hanya berlaku untuk durasi sesi.

## Mengontrol akses untuk prinsipal IAM
<a name="access_iam-tags_control-principals"></a>

Anda dapat mengontrol apa yang diperbolehkan untuk penanggung jawab berdasarkan tanda yang terpasang pada identitas orang tersebut. 

Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan berbasis identitas yang memungkinkan setiap pengguna di akun ini untuk melihat keanggotaan grup untuk setiap pengguna, termasuk mereka sendiri, selama mereka mengerjakan proyek yang sama. Operasi ini hanya diperbolehkan jika tag sumber daya pengguna dan tag prinsipal memiliki nilai yang sama untuk kunci tag`project`. Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Lalu, ikuti petunjuk di [buat kebijakan](access_policies_create.md) atau [ubah kebijakan](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "iam:ListGroupsForUser",
            "Resource": "arn:aws:iam::111222333444:user/*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/project": "${aws:PrincipalTag/project}"}
            }
        }]
}
```

------

## Mengontrol akses berdasarkan kunci tag
<a name="access_iam-tags_control-tag-keys"></a>

Anda dapat menggunakan tag dalam kebijakan IAM Anda untuk mengontrol apakah kunci tag tertentu dapat digunakan dalam permintaan atau oleh prinsipal.

Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan berbasis identitas yang memungkinkan hanya menghapus tag dengan `temporary` kunci dari pengguna. Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Lalu, ikuti petunjuk di [buat kebijakan](access_policies_create.md) atau [ubah kebijakan](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Action": "iam:UntagUser",
        "Resource": "*",
        "Condition": {"ForAllValues:StringEquals": {"aws:TagKeys": ["temporary"]}}
    }]
}
```

------

# Mengontrol akses ke AWS sumber daya menggunakan tag
<a name="access_tags"></a>

Anda dapat menggunakan tag untuk mengontrol akses ke AWS sumber daya yang mendukung penandaan, termasuk sumber daya IAM. Anda dapat menandai pengguna dan peran IAM untuk mengontrol apa yang dapat mereka akses. Untuk mempelajari cara menandai pengguna dan peran IAM, lihat [Tag untuk AWS Identity and Access Management sumber daya](id_tags.md). Selain itu, Anda dapat mengontrol akses ke sumber daya IAM berikut: kebijakan yang dikelola pelanggan, penyedia identitas IAM, profil instans, sertifikat server, dan perangkat MFA virtual. Untuk melihat tutorial membuat dan menguji kebijakan yang mengizinkan peran IAM dengan tag prinsipal mengakses sumber daya dengan tag yang cocok, lihat [Tutorial IAM: Tentukan izin untuk mengakses AWS sumber daya berdasarkan tag](tutorial_attribute-based-access-control.md). Gunakan informasi di bagian berikut untuk mengontrol akses ke AWS sumber daya lain, termasuk sumber daya IAM, tanpa menandai pengguna atau peran IAM.

Sebelum Anda menggunakan tag untuk mengontrol akses ke AWS sumber daya Anda, Anda harus memahami bagaimana AWS memberikan akses. AWS terdiri dari koleksi sumber *daya*. Instans Amazon EC2 adalah sebuah sumber daya. Bucket Amazon S3 adalah sebuah sumber daya. Anda dapat menggunakan AWS API, file AWS CLI, atau Konsol Manajemen AWS untuk melakukan operasi, seperti membuat bucket di Amazon S3. Saat Anda melakukannya, Anda mengirimkan sebuah *permintaan* untuk operasi tersebut. Permintaan Anda menentukan tindakan, sumber daya, sebuah *entitas prinsipal* (pengguna atau peran), sebuah *akun prinsipal*, dan informasi permintaan yang diperlukan. Semua informasi ini memberikan *konteks*.

AWS kemudian memeriksa bahwa Anda (entitas utama) diautentikasi (masuk) dan diberi wewenang (memiliki izin) untuk melakukan tindakan yang ditentukan pada sumber daya yang ditentukan. Selama otorisasi, AWS periksa semua kebijakan yang berlaku untuk konteks permintaan Anda. Sebagian besar kebijakan disimpan AWS sebagai [dokumen JSON](access_policies.md#access_policies-json) dan menentukan izin untuk entitas utama. Untuk informasi selengkapnya tentang tipe dan penggunaan kebijakan, lihat [Kebijakan dan izin di AWS Identity and Access Management](access_policies.md).

AWS mengotorisasi permintaan hanya jika setiap bagian dari permintaan Anda diizinkan oleh kebijakan. Untuk melihat diagram dan lebih mempelajari tentang infrastruktur IAM, lihat [Cara kerja IAM](intro-structure.md). Untuk detail tentang bagaimana IAM menentukan apakah permintaan diizinkan, lihat [Logika evaluasi kebijakan](reference_policies_evaluation-logic.md).

Tag adalah pertimbangan lain dalam proses ini karena tag dapat dilampirkan ke *sumber daya* atau diteruskan dalam *permintaan* ke layanan yang mendukung penandaan. Untuk mengontrol akses berdasarkan tanda, Anda memberikan informasi tanda di [elemen ketentuan](reference_policies_elements_condition.md) dari kebijakan. Untuk mempelajari apakah suatu AWS layanan mendukung pengendalian akses menggunakan tag, lihat [AWS layanan yang bekerja dengan IAM](reference_aws-services-that-work-with-iam.md) dan cari layanan yang memiliki **Ya** di kolom **ABAC**. Pilih nama layanan untuk melihat dokumentasi otorisasi dan kontrol akses untuk layanan tersebut.

Anda kemudian dapat membuat kebijakan IAM yang mengizinkan atau menolak akses ke sumber daya berdasarkan tag sumber daya tersebut. Dalam kebijakan tersebut, Anda dapat menggunakan kunci ketentuan tag untuk mengontrol akses ke salah satu hal berikut:
+ **[Sumber Daya](#access_tags_control-resources)** — Kontrol akses ke sumber daya AWS layanan berdasarkan tag pada sumber daya tersebut. Untuk melakukan ini, gunakan kunci *key-name* kondisi **aws:ResourceTag/**untuk menentukan apakah akan mengizinkan akses ke sumber daya berdasarkan tag yang dilampirkan ke sumber daya.
+ **[Permintaan](#access_tags_control-requests)** – Mengontrol tag apa yang dapat diteruskan dalam permintaan. Untuk melakukan ini, gunakan kunci *key-name* kondisi **aws:RequestTag/**untuk menentukan pasangan nilai kunci tag apa yang dapat diteruskan dalam permintaan untuk menandai sumber daya. AWS 
+ **[Setiap bagian dari proses otorisasi](#access_tags_control-tag-keys)** — Gunakan **aws: TagKeys** condition key untuk mengontrol apakah kunci tag tertentu dapat berada dalam permintaan. 

Anda dapat membuat kebijakan IAM secara visual, menggunakan JSON, atau dengan mengimpor kebijakan terkelola yang sudah ada. Lihat perinciannya di [Tentukan izin IAM khusus dengan kebijakan terkelola pelanggan](access_policies_create.md).

**catatan**  
Beberapa layanan memungkinkan pengguna untuk menentukan tag ketika mereka membuat sumber daya jika mereka memiliki izin untuk menggunakan tindakan yang membuat sumber daya.

## Mengontrol akses ke AWS sumber daya
<a name="access_tags_control-resources"></a>

Anda dapat menggunakan kondisi dalam kebijakan IAM untuk mengontrol akses ke AWS sumber daya berdasarkan tag pada sumber daya tersebut. Anda dapat melakukannya menggunakan kunci syarat `aws:ResourceTag/tag-key`, atau kunci syarat layanan khusus. Beberapa layanan hanya mendukung versi khusus layanan kunci ini dan bukan versi global. 

**Awas**  
Jangan mencoba mengontrol siapa yang dapat melewati peran dengan menandai peran dan kemudian menggunakan kunci `ResourceTag` kondisi dalam kebijakan dengan `iam:PassRole` tindakan tersebut. Pendekatan ini tidak memiliki hasil yang dapat diandalkan. Untuk informasi lebih lanjut tentang izin yang diperlukan untuk memberikan sebuah peran ke sebuah layanan, lihat [Berikan izin pengguna untuk meneruskan peran ke layanan AWS](id_roles_use_passrole.md).

 Contoh ini menunjukkan cara membuat kebijakan berbasis identitas yang memungkinkan memulai atau menghentikan instans Amazon EC2. Operasi ini hanya diperbolehkan jika tag instance `Owner` memiliki nilai nama pengguna. Kebijakan ini menetapkan izin untuk akses terprogram dan konsol. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "arn:aws:ec2:*:*:instance/*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
            }
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DescribeInstances",
            "Resource": "*"
        }
    ]
}
```

------

Anda dapat melampirkan kebijakan ini ke pengguna IAM di akun Anda. Jika pengguna bernama `richard` mencoba memulai instans Amazon EC2, instans harus diberi tag `Owner=richard` atau. `owner=richard` Atau, aksesnya akan ditolak. Kunci tanda `Owner` cocok dengan kedua `Owner` dan `owner` karena nama kunci ketentuan tidak terpengaruh huruf besar/kecil. Untuk informasi selengkapnya, lihat [Elemen kebijakan IAM JSON: Condition](reference_policies_elements_condition.md).

Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan berbasis identitas yang menggunakan tag `team` utama di ARN sumber daya. Kebijakan memberikan izin untuk menghapus antrean Amazon Simple Queue Service, tetapi hanya jika nama antrian dimulai dengan nama tim yang diikuti. `-queue` Misalnya, `qa-queue` if `qa` adalah nama tim untuk tag `team` utama.

------
#### [ JSON ]

****  

```
{
      "Version":"2012-10-17",		 	 	 
      "Statement": {
        "Sid": "AllQueueActions",
        "Effect": "Allow",
        "Action": "sqs:DeleteQueue",
        "Resource": "arn:aws:sqs:us-east-2:111122223333:${aws:PrincipalTag/team}-queue"
      }
}
```

------

## Mengontrol akses selama AWS permintaan
<a name="access_tags_control-requests"></a>

Anda dapat menggunakan kondisi dalam kebijakan IAM untuk mengontrol pasangan nilai kunci tag apa yang dapat diteruskan dalam permintaan yang menerapkan tag ke sumber daya. AWS 

Contoh ini menunjukkan cara membuat kebijakan berbasis identitas yang memungkinkan penggunaan `CreateTags` tindakan Amazon EC2 untuk melampirkan tag ke instance. Anda dapat memberikan tanda hanya jika tanda berisi kunci `environment` dan `preprod` atau nilai `production`. Jika anda mau, Anda bisa menggunakan pengubah `ForAllValues` dengan kunci ketentuan `aws:TagKeys` untuk menunjukkan bahwa hanya kunci `environment` yang diperbolehkan dalam permintaan. Ini menghentikan pengguna untuk memasukkan kunci lain, seperti tidak sengaja menggunakan `Environment` daripada `environment`. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": "ec2:CreateTags",
        "Resource": "arn:aws:ec2:*:*:instance/*",
        "Condition": {
            "StringEquals": {
                "aws:RequestTag/environment": [
                    "preprod",
                    "production"
                ]
            },
            "ForAllValues:StringEquals": {"aws:TagKeys": "environment"}
        }
    }
}
```

------

## Mengontrol akses berdasarkan kunci tanda
<a name="access_tags_control-tag-keys"></a>

Anda dapat menggunakan kondisi dalam kebijakan IAM untuk mengontrol apakah kunci tag tertentu dapat digunakan dalam permintaan.

Kami menyarankan bahwa ketika Anda menggunakan kebijakan untuk mengontrol akses menggunakan tag, Anda menggunakan [tombol `aws:TagKeys` kondisi](reference_policies_condition-keys.md#condition-keys-tagkeys). AWS layanan yang mendukung tag memungkinkan Anda membuat beberapa nama kunci tag yang hanya berbeda berdasarkan kasus, seperti menandai instans `stack=production` Amazon EC2 dengan dan. `Stack=test` Nama-nama kunci tidak peka huruf dalam syarat kebijakan. Ini berarti jika Anda menentukan `"aws:ResourceTag/TagKey1": "Value1"` dalam elemen ketentuan kebijakan Anda, kemudian ketentuan tersebut cocok dengan kunci tanda sumber daya bernama `TagKey1` atau `tagkey1`, tetapi tidak keduanya. Untuk mencegah tag duplikat dengan kunci yang hanya bervariasi menurut kasus, gunakan `aws:TagKeys` kondisi untuk menentukan kunci tag yang dapat diterapkan pengguna Anda, atau gunakan kebijakan tag, yang AWS Organizations tersedia. Untuk informasi selengkapnya, lihat [Kebijakan Tag](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html) di *Panduan AWS Organizations Pengguna*. 

Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan berbasis identitas yang memungkinkan pembuatan dan penandaan rahasia Secrets Manager, tetapi hanya dengan kunci tag atau. `environment` `cost-center` `Null`Kondisi memastikan bahwa kondisi mengevaluasi `false` jika tidak ada tag dalam permintaan.

```
{
        "Effect": "Allow",
        "Action": [
            "secretsmanager:CreateSecret",
            "secretsmanager:TagResource"
        ],
        "Resource": "*",
        "Condition": {
            "Null": {
                "aws:TagKeys": "false"
            },
            "ForAllValues:StringEquals": {
                "aws:TagKeys": [
                    "environment",
                    "cost-center"
                ]
            }
        }
}
```

# Akses sumber daya lintas akun di IAM
<a name="access_policies-cross-account-resource-access"></a>

Untuk beberapa AWS layanan, Anda dapat memberikan akses lintas akun ke sumber daya Anda menggunakan IAM. Untuk melakukannya, Anda dapat melampirkan kebijakan sumber daya langsung ke sumber daya yang ingin Anda bagikan, atau menggunakan peran sebagai proxy.

Untuk berbagi sumber daya secara langsung, sumber daya yang ingin Anda bagikan harus mendukung kebijakan berbasis [sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-resource-based-policies). Tidak seperti kebijakan berbasis identitas untuk peran, kebijakan berbasis sumber daya menentukan siapa (prinsipal mana) yang dapat mengakses sumber daya tersebut.

Gunakan peran sebagai proxy saat Anda ingin mengakses sumber daya di akun lain yang tidak mendukung kebijakan berbasis sumber daya.

Untuk detail tentang perbedaan antara jenis kebijakan ini, lihat[Kebijakan berbasis identitas dan kebijakan berbasis sumber daya](access_policies_identity-vs-resource.md).

**catatan**  
Peran IAM dan kebijakan berbasis sumber daya mendelegasikan akses ke seluruh akun hanya dengan satu partisi. Misalnya, Anda memiliki akun di AS Barat (California N.) di `aws` partisi standar. Anda juga memiliki akun di Tiongkok di `aws-cn` partisi. Anda tidak dapat menggunakan kebijakan berbasis sumber daya di akun Anda di Tiongkok untuk mengizinkan akses bagi pengguna di akun standar Anda. AWS 

## Akses lintas akun menggunakan peran
<a name="access_policies-cross-account-using-roles"></a>

Tidak semua AWS layanan mendukung kebijakan berbasis sumber daya. Untuk layanan ini, Anda dapat menggunakan peran IAM lintas akun untuk memusatkan manajemen izin saat menyediakan akses lintas akun ke beberapa layanan. Peran IAM lintas akun adalah peran IAM yang mencakup [kebijakan kepercayaan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#term_trust-policy) yang memungkinkan kepala sekolah IAM di akun lain untuk mengambil peran tersebut. AWS Sederhananya, Anda dapat membuat peran dalam satu AWS akun yang mendelegasikan izin tertentu ke akun lain AWS .

Untuk informasi tentang melampirkan kebijakan ke identitas IAM, lihat [Kelola kebijakan IAM](access_policies_manage.md).

**catatan**  
Saat prinsipal beralih ke peran untuk sementara menggunakan izin peran, mereka melepaskan izin aslinya dan mengambil izin yang ditetapkan ke peran yang diasumsikan.

Mari kita lihat keseluruhan proses yang berlaku untuk perangkat lunak APN Partner yang perlu mengakses akun pelanggan.

1. Pelanggan membuat peran IAM di akun mereka sendiri dengan kebijakan yang memungkinkan akses sumber daya Amazon S3 yang dibutuhkan mitra APN. Dalam contoh ini, nama perannya adalah`APNPartner`.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "s3:*",
               "Resource": [
                   "arn:aws:s3:::bucket-name"
               ]
           }
       ]
   }
   ```

------

1. Kemudian, pelanggan menentukan bahwa peran tersebut dapat diasumsikan oleh AWS akun mitra dengan memberikan Akun AWS ID Mitra APN dalam [kebijakan kepercayaan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) untuk peran tersebut`APNPartner`.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::111122223333:role/APN-user-name"
               },
               "Action": "sts:AssumeRole"
           }
       ]
   }
   ```

------

1. Pelanggan memberikan Nama Sumber Daya Amazon (ARN) peran tersebut kepada mitra APN. ARN adalah nama peran yang sepenuhnya memenuhi syarat.

   ```
   arn:aws:iam::Customer-Account-ID:role/APNPartner
   ```
**catatan**  
Sebaiknya gunakan ID eksternal dalam situasi multi-penyewa. Lihat perinciannya di [Akses ke Akun AWS yang dimiliki oleh pihak ketiga](id_roles_common-scenarios_third-party.md).

1. Ketika perangkat lunak Mitra APN perlu mengakses akun pelanggan, perangkat lunak memanggil [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)API AWS Security Token Service dengan ARN peran dalam akun pelanggan. STS mengembalikan AWS kredensi sementara yang memungkinkan perangkat lunak untuk melakukan tugasnya.

Untuk contoh lain pemberian akses lintas akun menggunakan peran, lihat. [Akses untuk pengguna IAM di pengguna lain Akun AWS yang Anda miliki](id_roles_common-scenarios_aws-accounts.md) Anda juga dapat mengikuti[Tutorial IAM: Delegasikan akses di seluruh AWS akun menggunakan peran IAM](tutorial_cross-account-with-roles.md).

## Akses lintas akun menggunakan kebijakan berbasis sumber daya
<a name="access_policies-cross-account-using-resource-based-policies"></a>

Saat akun mengakses sumber daya melalui akun lain menggunakan kebijakan berbasis sumber daya, prinsipal masih berfungsi di akun tepercaya dan tidak harus melepaskan izinnya untuk menerima izin peran. Dengan kata lain, kepala sekolah terus memiliki akses ke sumber daya di akun tepercaya sambil memiliki akses ke sumber daya di akun kepercayaan. Ini berguna untuk tugas seperti menyalin informasi ke atau dari sumber daya yang dibagikan di akun lain.

Prinsipal yang dapat Anda tentukan dalam kebijakan berbasis sumber daya termasuk akun, pengguna IAM, prinsipal pengguna federasi, prinsipal AWS STS federasi SAMM, prinsip federasi OIDC, peran IAM, sesi peran yang diasumsikan, atau layanan. AWS Untuk informasi selengkapnya, lihat [Menentukan prinsipal](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_principal.html#Principal_specifying).

Untuk mengetahui apakah prinsipal di akun di luar zona kepercayaan Anda (organisasi atau akun tepercaya) memiliki akses untuk mengambil peran Anda, lihat [Mengidentifikasi sumber daya yang dibagikan dengan entitas eksternal](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html#what-is-access-analyzer-resource-identification).

Daftar berikut mencakup beberapa AWS layanan yang mendukung kebijakan berbasis sumber daya. **Untuk daftar lengkap dari semakin banyak AWS layanan yang mendukung melampirkan kebijakan izin ke sumber daya, bukan prinsipal, lihat [AWS layanan yang bekerja dengan IAM](reference_aws-services-that-work-with-iam.md) dan cari layanan yang memiliki **Ya** di kolom Berbasis Sumber Daya.**
+ **Bucket Amazon S3** — Kebijakan ini dilampirkan ke bucket, tetapi kebijakan mengontrol akses ke bucket dan objek di dalamnya. Untuk informasi selengkapnya, lihat [Kebijakan Bucket untuk Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*. Dalam beberapa kasus, yang terbaik mungkin adalah menggunakan peran untuk akses lintas akun ke Amazon S3 Untuk informasi selengkapnya, lihat [contoh penelusuran di Panduan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access.html) Pengguna *Layanan Penyimpanan Sederhana Amazon*.
+ Topik **Amazon Simple Notification Service (Amazon SNS)** — Untuk informasi selengkapnya, buka [Contoh kasus untuk kontrol akses Amazon SNS](https://docs.aws.amazon.com//sns/latest/dg/sns-access-policy-use-cases.html) di Panduan Pengembang Layanan Pemberitahuan Sederhana *Amazon*.
+ *Antrian **Amazon Simple Queue Service (Amazon SQS) — Untuk informasi selengkapnya, buka [Lampiran: Bahasa Kebijakan Akses di Panduan Pengembang](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-creating-custom-policies.html) Layanan Antrian Sederhana Amazon**.* 

## Kebijakan berbasis sumber daya untuk mendelegasikan izin AWS
<a name="access_policies-cross-account-delegating-resource-based-policies"></a>

Jika sumber daya memberikan izin kepada prinsipal di akun Anda, maka Anda dapat mendelegasikan izin tersebut kepada identitas IAM tertentu. Identitas adalah pengguna, kelompok pengguna, atau peran dalam akun Anda. Anda mendelegasikan izin dengan melampirkan kebijakan ke identitas. Anda dapat memberikan izin maksimum yang diizinkan oleh akun pemilik sumber daya.

**penting**  
Dalam akses lintas akun, prinsipal membutuhkan `Allow` kebijakan identitas **dan** kebijakan berbasis sumber daya.

Asumsikan bahwa kebijakan berbasis sumber daya memberi semua prinsipal di akun Anda akses administratif penuh ke sumber daya. Kemudian Anda dapat mendelegasikan akses penuh, akses hanya-baca, atau akses sebagian lainnya ke kepala sekolah di akun Anda. AWS Alternatifnya, jika kebijakan berbasis sumber daya hanya memberikan izin daftar, maka Anda hanya dapat mendelegasikan akses daftar. Jika Anda mencoba untuk mendelegasikan lebih banyak izin dari yang dimiliki akun Anda, prinsipal Anda masih hanya akan memiliki akses daftar.

Untuk informasi selengkapnya tentang bagaimana keputusan ini dibuat, lihat [Menentukan apakah permintaan diizinkan atau ditolak dalam akun](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic_policy-eval-denyallow.html).

**catatan**  
Peran IAM dan kebijakan berbasis sumber daya mendelegasikan akses ke seluruh akun hanya dengan satu partisi. Misalnya, Anda tidak dapat menambahkan akses lintas akun antara akun dalam partisi `aws` standar dan akun dalam partisi `aws-cn`. 

Sebagai contoh, anggaplah bahwa Anda mengelola `AccountA` dan `AccountB`. Di Accounta, Anda memiliki bucket Amazon S3 bernama. `BucketA`

![\[Kebijakan berbasis sumber daya yang dibuat untuk bucket Amazon S3 memberikan izin accountB ke accounta.\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/access_policies-cross-account.png)


1. Anda melampirkan kebijakan berbasis sumber daya `BucketA` yang memungkinkan semua prinsipal di accountB akses penuh ke objek di bucket Anda. Mereka dapat membuat, membaca, atau menghapus objek apa pun dalam bucket tersebut. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "PrincipalAccess",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::111122223333:root"
               },
               "Action": "s3:*",
               "Resource": "arn:aws:s3:::BucketA/*"
           }
       ]
   }
   ```

------

   AccountA memberikan accountB akses penuh ke BucketA dengan menamai accounTB sebagai prinsipal dalam kebijakan berbasis sumber daya. Akibatnya, accounTB diberi wewenang untuk melakukan tindakan apa pun pada BuckETA, dan administrator accountB dapat mendelegasikan akses ke penggunanya di AccounTB.

   Pengguna root accountB memiliki semua izin yang diberikan ke akun. Oleh karena itu, pengguna root memiliki akses penuh ke BuckEta.

1. Di accounTB, lampirkan kebijakan ke pengguna IAM bernama User2. Kebijakan tersebut memungkinkan pengguna akses hanya-baca ke objek di BuckEta. Itu berarti bahwa User2 dapat melihat objek, tetapi tidak membuat, mengedit, atau menghapusnya. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect" : "Allow", 
               "Action" : [ 
                   "s3:Get*", 
                   "s3:List*" ], 
                   "Resource" : "arn:aws:s3:::BucketA/*" 
           } 
       ]
   }
   ```

------

   Tingkat akses maksimum yang dapat didelegasikan accountB adalah tingkat akses yang diberikan ke akun. Dalam hal ini, kebijakan berbasis sumber daya memberikan akses penuh ke accounTB, tetapi User2 hanya diberikan akses read-only.

   Administrator AccountB tidak memberikan akses ke User1. Secara default, pengguna tidak memiliki izin apa pun kecuali yang diberikan secara eksplisit, sehingga User1 tidak memiliki akses ke BuckEta.

IAM mengevaluasi izin prinsipal pada saat prinsipal mengajukan permintaan. Jika Anda menggunakan wildcard (\$1) untuk memberi pengguna akses penuh ke sumber daya Anda, prinsipal dapat mengakses sumber daya apa pun yang dapat diakses AWS akun Anda. Hal ini berlaku bahkan untuk sumber daya yang Anda tambahkan atau Anda memiliki akses kepadanya setelah membuat kebijakan pengguna.

Dalam contoh sebelumnya, jika accounTB telah melampirkan kebijakan ke User2 yang memungkinkan akses penuh ke semua sumber daya di semua akun, User2 akan secara otomatis memiliki akses ke sumber daya apa pun yang dapat diakses oleh AccounTB. Ini termasuk akses BuckEta dan akses ke sumber daya lain yang diberikan oleh kebijakan berbasis sumber daya di Accounta.

Untuk informasi selengkapnya tentang penggunaan peran yang kompleks, seperti memberikan akses ke aplikasi dan layanan, lihat[Skenario umum untuk peran IAM](id_roles_common-scenarios.md).

**penting**  
Berikan akses hanya kepada entitas yang Anda percayai, dan berikan tingkat akses minimum yang diperlukan. Setiap kali entitas tepercaya adalah AWS akun lain, setiap prinsipal IAM dapat diberikan akses ke sumber daya Anda. AWS Akun tepercaya dapat mendelegasikan akses hanya sejauh telah diberikan akses; itu tidak dapat mendelegasikan lebih banyak akses daripada akun itu sendiri telah diberikan.

Untuk informasi tentang izin, kebijakan, dan bahasa kebijakan izin yang Anda gunakan untuk menyusun kebijakan, lihat [Manajemen akses untuk AWS sumber daya](access.md).

# Teruskan sesi akses
<a name="access_forward_access_sessions"></a>

Forward Access Sessions (FAS) adalah teknologi IAM yang digunakan oleh AWS layanan untuk meneruskan identitas, izin, dan atribut sesi Anda saat AWS layanan membuat permintaan atas nama Anda. FAS menggunakan izin identitas yang memanggil AWS layanan, dikombinasikan dengan identitas AWS layanan untuk membuat permintaan ke layanan hilir. Permintaan FAS hanya dibuat untuk AWS layanan atas nama kepala IAM setelah layanan menerima permintaan yang memerlukan interaksi dengan AWS layanan atau sumber daya lain untuk diselesaikan. Ketika permintaan FAS dibuat:
+ Layanan yang menerima permintaan awal dari kepala IAM memeriksa izin dari prinsipal IAM.
+ Layanan yang menerima permintaan FAS berikutnya juga memeriksa izin dari prinsipal IAM yang sama.

Misalnya, FAS digunakan oleh Amazon S3 untuk melakukan panggilan AWS Key Management Service untuk mendekripsi objek [ketika](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) SSE-KMS digunakan untuk mengenkripsinya. Saat mengunduh objek terenkripsi SSE-KMS, peran bernama **pembaca data** memanggil GetObject objek terhadap Amazon S3, dan tidak memanggil secara langsung. AWS KMS Setelah menerima GetObject permintaan dan mengotorisasi pembaca data, Amazon S3 kemudian membuat permintaan FAS untuk AWS KMS mendekripsi objek Amazon S3. Ketika KMS menerima permintaan FAS, ia memeriksa izin peran dan hanya mengotorisasi permintaan dekripsi jika pembaca data memiliki izin yang benar pada kunci KMS. Permintaan ke Amazon S3 dan AWS KMS diotorisasi menggunakan izin peran dan hanya berhasil jika pembaca data memiliki izin untuk objek Amazon S3 dan kunci KMS. AWS 

![\[Diagram alir peran IAM diteruskan sebagai prinsipal ke Amazon S3 dan kemudian ke. AWS KMS\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/access-fas-example.png)


**catatan**  
Permintaan FAS tambahan dapat dilakukan oleh layanan yang telah menerima permintaan FAS. Dalam kasus seperti itu, kepala sekolah yang meminta harus memiliki izin untuk semua layanan yang dipanggil oleh FAS.

## Permintaan FAS dan ketentuan kebijakan IAM
<a name="access_fas_policy_conditions"></a>

Ketika permintaan FAS dibuat,[aws:CalledVia](reference_policies_condition-keys.md#condition-keys-calledvia),[aws:CalledViaFirst](reference_policies_condition-keys.md#condition-keys-calledviafirst), dan kunci [aws:CalledViaLast](reference_policies_condition-keys.md#condition-keys-calledvialast) kondisi diisi dengan prinsip layanan layanan yang memulai panggilan FAS. Nilai kunci [aws:ViaAWSService](reference_policies_condition-keys.md#condition-keys-viaawsservice) kondisi diatur ke `true` setiap kali permintaan FAS dibuat. Dalam diagram berikut, permintaan untuk CloudFormation secara langsung tidak memiliki `aws:CalledVia` atau kunci `aws:ViaAWSService` kondisi yang ditetapkan. Kapan CloudFormation dan DynamoDB membuat permintaan FAS hilir atas nama peran, nilai untuk kunci kondisi ini diisi.

![\[Diagram alir peran IAM diteruskan sebagai prinsipal ke CloudFormation dan kemudian meneruskan nilai kunci kondisi ke DynamoDB dan. AWS KMS\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/access-fas-example2.png)


Untuk mengizinkan permintaan FAS dibuat ketika permintaan tersebut akan ditolak oleh pernyataan kebijakan Deny dengan kunci kondisi yang menguji alamat IP Sumber atau Sumber VPCs, Anda harus menggunakan kunci kondisi untuk memberikan pengecualian untuk permintaan FAS dalam kebijakan Deny Anda. Ini dapat dilakukan untuk semua permintaan FAS dengan menggunakan kunci `aws:ViaAWSService` kondisi. Untuk mengizinkan hanya AWS layanan tertentu untuk membuat permintaan FAS, gunakan`aws:CalledVia`.

**penting**  
Ketika permintaan FAS dibuat setelah permintaan awal dibuat melalui titik akhir VPC, nilai kunci kondisi `aws:SourceVpce` untuk,`aws:SourceVpc`, `aws:VpcSourceIp` dan dari permintaan awal tidak digunakan dalam permintaan FAS. Saat menulis kebijakan menggunakan `aws:VPCSourceIP` atau `aws:SourceVPCE` memberikan akses secara kondisional, Anda juga harus menggunakan `aws:ViaAWSService` atau `aws:CalledVia` mengizinkan permintaan FAS. Ketika permintaan FAS dibuat setelah permintaan awal diterima oleh titik akhir AWS layanan publik, permintaan FAS berikutnya akan dibuat dengan nilai kunci `aws:SourceIP` kondisi yang sama.

## Contoh: Izinkan akses Amazon S3 dari VPC atau dengan FAS
<a name="access_fas_example"></a>

Dalam contoh kebijakan IAM berikut, permintaan Amazon GetObject S3 dan Athena hanya diizinkan jika berasal dari titik akhir VPC yang dilampirkan, atau jika permintaan tersebut adalah permintaan FAS yang *example\$1vpc* dibuat oleh Athena.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "OnlyAllowMyIPs",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject*",
        "athena:StartQueryExecution",
        "athena:GetQueryResults",
        "athena:GetWorkGroup",
        "athena:StopQueryExecution",
        "athena:GetQueryExecution"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:SourceVPC": [
          "vpc-111bbb22"
          ]
        }
      }
    },
    {
      "Sid": "OnlyAllowFAS",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject*"
      ],
      "Resource": "*",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:CalledVia": "athena.amazonaws.com"
        }
      }
    }
  ]
}
```

------

Untuk contoh tambahan menggunakan kunci kondisi untuk mengizinkan akses FAS, lihat contoh [repo kebijakan contoh perimeter data](https://github.com/aws-samples/data-perimeter-policy-examples).

# Contoh kebijakan berbasis identitas IAM
<a name="access_policies_examples"></a>

[Kebijakan](access_policies.md) adalah objek AWS yang, ketika dikaitkan dengan identitas atau sumber daya, menentukan izinnya. AWS mengevaluasi kebijakan ini ketika kepala sekolah IAM (pengguna atau peran) membuat permintaan. Izin dalam kebijakan menentukan apakah permintaan diizinkan atau ditolak. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON yang dilampirkan ke identitas IAM (pengguna, grup pengguna, atau peran). Kebijakan berbasis identitas dapat mencakup kebijakan terkelola AWS , kebijakan terkelola pelanggan, dan kebijakan inline. Untuk mempelajari cara membuat kebijakan IAM dengan menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat kebijakan menggunakan editor JSON](access_policies_create-console.md#access_policies_create-json-editor).

Secara default semua permintaan ditolak, jadi Anda harus memberikan akses ke layanan, tindakan, dan sumber daya yang Anda inginkan bagi identitas untuk mengakses. Jika Anda juga ingin mengizinkan akses untuk menyelesaikan tindakan yang ditentukan di konsol IAM, Anda perlu memberikan izin tambahan.

Pustaka kebijakan berikut dapat membantu Anda menentukan izin untuk identitas IAM Anda. Setelah anda menemukan kebijakan yang Anda perlukan, pilih **lihat kebijakan ini** untuk melihat JSON untuk kebijakan tersebut. Anda dapat menggunakan dokumen kebijakan JSON sebagai contoh untuk kebijakan Anda sendiri.

**catatan**  
Jika Anda ingin memberikan sebuah kebijakan untuk disertakan dalam panduan referensi ini, gunakan tombol **Umpan Balik** di bagian bawah halaman ini.

## Contoh kebijakan: AWS
<a name="policy_library_AWS"></a>
+ Mengizinkan akses selama rentang tanggal tertentu. ([Lihat kebijakan ini](reference_policies_examples_aws-dates.md).)
+ Memungkinkan mengaktifkan dan menonaktifkan Wilayah AWS . ([Lihat kebijakan ini](reference_policies_examples_aws-enable-disable-regions.md).)
+ **Memungkinkan pengguna yang diautentikasi MFA untuk mengelola kredensialnya sendiri di halaman kredensi Keamanan.** ([Lihat kebijakan ini](reference_policies_examples_aws_my-sec-creds-self-manage.md).)
+ Memungkinkan akses khusus saat menggunakan MFA selama rentang tanggal tertentu. ([Lihat kebijakan ini](reference_policies_examples_aws_mfa-dates.md).)
+ Memungkinkan pengguna mengelola kredensialnya sendiri di halaman Kredensial **Keamanan**. ([Lihat kebijakan ini](reference_policies_examples_aws_my-sec-creds-self-manage-no-mfa.md).)
+ Memungkinkan pengguna untuk mengelola perangkat MFA mereka sendiri di halaman **kredensi Keamanan**. ([Lihat kebijakan ini](reference_policies_examples_aws_my-sec-creds-self-manage-mfa-only.md).)
+ Memungkinkan pengguna mengelola kata sandi mereka sendiri di halaman **Kredensi Keamanan**. ([Lihat kebijakan ini](reference_policies_examples_aws_my-sec-creds-self-manage-password-only.md).)
+ Memungkinkan pengguna mengelola kata sandi, kunci akses, dan kunci publik SSH mereka sendiri di halaman **kredensi Keamanan**. ([Lihat kebijakan ini](reference_policies_examples_aws_my-sec-creds-self-manage-pass-accesskeys-ssh.md).)
+ Menolak akses AWS berdasarkan Wilayah yang diminta. ([Lihat kebijakan ini](reference_policies_examples_aws_deny-requested-region.md).)
+ Menolak akses AWS berdasarkan alamat IP sumber. ([Lihat kebijakan ini](reference_policies_examples_aws_deny-ip.md).)

## Contoh kebijakan: AWS Data Exchange
<a name="policy_data_exchange"></a>
+ Tolak akses ke sumber daya Amazon S3 di luar akun Anda kecuali. AWS Data Exchange([Lihat kebijakan ini](reference_policies_examples_resource_account_data_exch.md).)

## Contoh kebijakan: AWS Data Pipeline
<a name="policy_library_DataPipeline"></a>
+ Menolak akses ke saluran pipa yang tidak dibuat pengguna ([Lihat kebijakan ini](reference_policies_examples_datapipeline_not-owned.md).)

## Contoh kebijakan: Amazon DynamoDB
<a name="policy_library_DynamoDB"></a>
+ Mengizinkan akses ke tabel Amazon DynamoDB tertentu [(Lihat](reference_policies_examples_dynamodb_specific-table.md) kebijakan ini.)
+ Mengizinkan akses ke atribut Amazon DynamoDB tertentu [(Lihat](reference_policies_examples_dynamodb_attributes.md) kebijakan ini.)
+ [Mengizinkan akses tingkat item ke Amazon DynamoDB berdasarkan ID Amazon Cognito (Lihat kebijakan ini.)](reference_policies_examples_dynamodb_items.md)

## Contoh kebijakan: Amazon EC2
<a name="policy_library_ec2"></a>
+ Mengizinkan melampirkan atau melepaskan volume Amazon EBS ke EC2 instans Amazon berdasarkan tag ([Lihat](reference_policies_examples_ec2_ebs-owner.md) kebijakan ini.)
+ Memungkinkan peluncuran EC2 instans Amazon di subnet tertentu, secara terprogram dan di konsol ([Lihat](reference_policies_examples_ec2_instances-subnet.md) kebijakan ini.)
+ Memungkinkan mengelola grup EC2 keamanan Amazon yang terkait dengan VPC tertentu, secara terprogram dan di konsol ([Lihat](reference_policies_examples_ec2_securitygroups-vpc.md) kebijakan ini.)
+ Mengizinkan memulai atau menghentikan EC2 instans Amazon yang ditandai pengguna, secara terprogram, dan di konsol ([Lihat](reference_policies_examples_ec2_tag-owner.md) kebijakan ini.)
+ Mengizinkan memulai atau menghentikan EC2 instans Amazon berdasarkan sumber daya dan tag utama, secara terprogram dan di konsol ([Lihat kebijakan ini](reference_policies_examples_ec2-start-stop-tags.md).)
+ Mengizinkan memulai atau menghentikan EC2 instans Amazon saat sumber daya dan tag utama cocok ([Lihat kebijakan ini](reference_policies_examples_ec2-start-stop-match-tags.md).)
+ Memungkinkan EC2 akses Amazon penuh dalam Wilayah tertentu, secara terprogram dan di konsol. ([Lihat kebijakan ini](reference_policies_examples_ec2_region.md).)
+ Memungkinkan memulai atau menghentikan EC2 instans Amazon tertentu dan memodifikasi grup keamanan tertentu, secara terprogram dan di konsol ([Lihat kebijakan ini](reference_policies_examples_ec2_instance-securitygroup.md).)
+ Menolak akses ke EC2 operasi Amazon tertentu tanpa MFA [(Lihat kebijakan ini](reference_policies_examples_ec2_require-mfa.md).)
+ Membatasi penghentian EC2 instans Amazon ke rentang alamat IP tertentu ([Lihat kebijakan ini](reference_policies_examples_ec2_terminate-ip.md).)

## Contoh kebijakan: AWS Identity and Access Management (IAM)
<a name="policy_library_IAM"></a>
+ Mengizinkan akses ke API simulator kebijakan ([Lihat kebijakan ini](reference_policies_examples_iam_policy-sim.md).)
+ Mengizinkan akses ke konsol simulator kebijakan ([Lihat kebijakan ini](reference_policies_examples_iam_policy-sim-console.md).)
+ Mengizinkan untuk memberikan peran apa pun yang memiliki tanda tertentu, secara terprogram dan di konsol ([Lihat kebijakan ini](reference_policies_examples_iam-assume-tagged-role.md).)
+ Mengizinkan dan menolak akses ke beberapa layanan, secara terprogram dan di konsol ([Lihat kebijakan ini](reference_policies_examples_iam_multiple-services-console.md).)
+ Mengizinkan penambahan tag spesifik ke pengguna IAM dengan sebuah tag spesifik yang berbeda, secara terprogram dan di konsol ([Lihat kebijakan ini](reference_policies_examples_iam-add-tag.md).)
+ Mengizinkan penambahan tag spesifik ke setiap pengguna IAM atau peran, secara terprogram dan di konsol ([Lihat kebijakan ini](reference_policies_examples_iam-add-tag-user-role.md).)
+ Mengizinkan pembuatan pengguna baru hanya dengan tag spesifik ([Lihat kebijakan ini](reference_policies_examples_iam-new-user-tag.md).)
+ Mengizinkan menghasilkan dan mengambil laporan kredensial IAM ([Lihat kebijakan ini](reference_policies_examples_iam-credential-report.md).)
+ Mengizinkan pengelolaan keanggotaan grup, secara terprogram dan di konsol ([Lihat kebijakan ini](reference_policies_examples_iam_manage-group-membership.md).)
+ Mengizinkan pengelolaan tag tertentu ([Lihat kebijakan ini](reference_policies_examples_iam-manage-tags.md).)
+ Mengizinkan untuk memberikan sebuah peran IAM ke layanan tertentu ([Lihat kebijakan ini](reference_policies_examples_iam-passrole-service.md).)
+ Mengizinkan akses hanya-baca ke konsol IAM tanpa melaporkan ([Lihat kebijakan ini](reference_policies_examples_iam_read-only-console-no-reporting.md).)
+ Mengizinkan akses hanya-baca ke konsol IAM ([Lihat kebijakan ini](reference_policies_examples_iam_read-only-console.md).)
+ Mengizinkan pengguna spesifik untuk mengelola sebuah grup, secara terprogram dan di konsol ([Lihat kebijakan ini](reference_policies_examples_iam_users-manage-group.md).)
+ Mengizinkan pengaturan persyaratan kata sandi akun, secara terprogram dan di konsol ([Lihat kebijakan ini](reference_policies_examples_iam_set-account-pass-policy.md).)
+ Mengizinkan penggunaan API simulator kebijakan untuk pengguna dengan jalan tertentu ([Lihat kebijakan ini](reference_policies_examples_iam_policy-sim-path.md).)
+ Mengizinkan penggunaan konsol simulator kebijakan untuk pengguna dengan jalan tertentu ([Lihat kebijakan ini](reference_policies_examples_iam_policy-sim-path-console.md).)
+ Mengizinkan pengguna IAM untuk mengatur sendiri perangkat MFA. ([Lihat kebijakan ini](reference_policies_examples_iam_mfa-selfmanage.md).)
+ Memungkinkan pengguna IAM untuk mengatur kredensialnya sendiri, secara terprogram dan di konsol. ([Lihat kebijakan ini](reference_policies_examples_iam_credentials_console.md).)
+ Memungkinkan layanan tampilan informasi yang terakhir diakses untuk AWS Organizations kebijakan di konsol IAM. ([Lihat kebijakan ini](reference_policies_examples_iam_service-accessed-data-orgs.md).)
+ Batasi kebijakan terkelola yang dapat diterapkan ke pengguna, kelompok atau peran IAM ([Lihat kebijakan ini](reference_policies_examples_iam_limit-managed.md).)
+ Mengizinkan akses ke kebijakan IAM hanya di akun Anda ([Lihat kebijakan ini](resource_examples_iam_policies_resource_account.md).)

## Contoh kebijakan: AWS Lambda
<a name="policy_library_Lambda"></a>
+ Mengizinkan AWS Lambda fungsi mengakses tabel Amazon DynamoDB [(Lihat](reference_policies_examples_lambda-access-dynamodb.md) kebijakan ini.)

## Contoh kebijakan: Amazon RDS
<a name="policy_library_RDS"></a>
+ Mengizinkan akses basis data RDS sepenuhnya di dalam Wilayah tertentu ([Lihat kebijakan ini](reference_policies_examples_rds_region.md).)
+ Mengizinkan pemulihan basis data Amazon RDS, secara terprogram dan di konsol ([Lihat kebijakan ini](reference_policies_examples_rds_db-console.md).)
+ Mengizinkan pemilik tag mengakses sepenuhnya sumber daya Amazon RDS yang telah mereka tandai ([Lihat kebijakan ini](reference_policies_examples_rds_tag-owner.md).)

## Contoh kebijakan: Amazon S3
<a name="policy_library_S3"></a>
+ Mengizinkan pengguna Amazon Cognito mengakses objek dalam bucket Amazon S3 milik mereka ([Lihat kebijakan ini](reference_policies_examples_s3_cognito-bucket.md).)
+ [Memungkinkan pengguna dengan kredensi sementara untuk mengakses direktori home mereka sendiri di Amazon S3, secara terprogram dan di konsol (Lihat kebijakan ini.)](reference_policies_examples_s3_federated-home-directory-console.md)
+ Mengizinkan akses S3 penuh, tetapi secara tegas menolak akses ke bucket Produksi jika administrator belum masuk menggunakan MFA dalam tiga puluh menit terakhir ([Lihat kebijakan ini](reference_policies_examples_s3_full-access-except-production.md).)
+ Mengizinkan pengguna IAM untuk mengakses direktori home milik mereka di Amazon S3, secara terprogram dan di konsol ([Lihat kebijakan ini](reference_policies_examples_s3_home-directory-console.md).)
+ Memungkinkan pengguna mengelola satu bucket Amazon S3 dan menolak setiap AWS tindakan dan sumber daya lainnya ([Lihat kebijakan ini](reference_policies_examples_s3_deny-except-bucket.md).)
+ Mengizinkan akses `Read` dan `Write` ke bucket Amazon S3 tertentu ([Lihat kebijakan ini](reference_policies_examples_s3_rw-bucket.md).)
+ Mengizinkan akses `Read` dan `Write` ke bucket Amazon S3 tertentu, secara terprogram dan di konsol ([Lihat kebijakan ini](reference_policies_examples_s3_rw-bucket-console.md).)

# AWS: Mengizinkan akses berdasarkan tanggal dan waktu
<a name="reference_policies_examples_aws-dates"></a>

Contoh ini menunjukkan cara membuat kebijakan berbasis identitas yang memungkinkan akses ke tindakan berdasarkan tanggal dan waktu. Kebijakan ini membatasi akses ke tindakan yang terjadi antara 1 April 2020 dan 30 Juni 2020 (UTC), inklusif. Kebijakan ini memberikan izin yang diperlukan untuk menyelesaikan tindakan ini secara terprogram dari API atau. AWS AWS CLI Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Lalu, ikuti petunjuk di [buat kebijakan](access_policies_create.md) atau [ubah kebijakan](access_policies_manage-edit.md).

Untuk mempelajari tentang menggunakan beberapa ketentuan dalam blok `Condition` kebijakan IAM, lihat [Beberapa nilai dalam suatu ketentuan](reference_policies_elements_condition.md#Condition-multiple-conditions).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "service-prefix:action-name",
            "Resource": "*",
            "Condition": {
                "DateGreaterThan": {"aws:CurrentTime": "2020-04-01T00:00:00Z"},
                "DateLessThan": {"aws:CurrentTime": "2020-06-30T23:59:59Z"}
            }
        }
    ]
}
```

------

**catatan**  
Anda tidak dapat menggunakan variabel kebijakan dengan operator kondisi Tanggal. Untuk mempelajari lebih lanjut lihat [Elemen kondisi](reference_policies_variables.md#policy-vars-conditionelement)

# AWS: Memungkinkan mengaktifkan dan menonaktifkan Wilayah AWS
<a name="reference_policies_examples_aws-enable-disable-regions"></a>

Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan berbasis identitas yang memungkinkan administrator mengaktifkan dan menonaktifkan Wilayah Asia Pasifik (Hong Kong) (ap-east-1). Kebijakan ini menetapkan izin untuk akses terprogram dan konsol. Pengaturan ini muncul di halaman **Pengaturan akun** di Konsol Manajemen AWS. Halaman ini mencakup informasi tingkat akun yang sensitif yang harus dilihat dan dikelola hanya oleh administrator akun. Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Lalu, ikuti petunjuk di [buat kebijakan](access_policies_create.md) atau [ubah kebijakan](access_policies_manage-edit.md).

**penting**  
Anda tidak dapat mengaktifkan atau menonaktifkan wilayah yang diaktifkan secara default. Anda hanya dapat memasukkan wilayah yang *dinonaktifkan* secara default. Untuk informasi selengkapnya, lihat [Mengelola Wilayah AWS](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html) di *Referensi Umum AWS*.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EnableDisableHongKong",
            "Effect": "Allow",
            "Action": [
                "account:EnableRegion",
                "account:DisableRegion"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {"account:TargetRegion": "ap-east-1"}
            }
        },
        {
            "Sid": "ViewConsole",
            "Effect": "Allow",
            "Action": [
                "account:ListRegions"
            ],
            "Resource": "*"
        }
    ]
}
```

------

# AWS: Memungkinkan pengguna IAM yang diautentikasi MFA untuk mengelola kredensialnya sendiri di halaman kredensi Keamanan
<a name="reference_policies_examples_aws_my-sec-creds-self-manage"></a>

**Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan berbasis identitas yang memungkinkan pengguna IAM yang diautentikasi menggunakan [otentikasi multi-faktor (MFA)](id_credentials_mfa.md) untuk mengelola kredensialnya sendiri di halaman Kredensi Keamanan.** Halaman Konsol Manajemen AWS ini menampilkan informasi akun seperti ID akun dan ID pengguna kanonik. Pengguna juga dapat melihat dan mengubah kata sandi, access key, perangkat MFA, sertifikat X.509, dan kunci SSH serta kredensial Git milik mereka. Contoh kebijakan ini mencakup izin yang diperlukan untuk melihat dan mengubah semua informasi di halaman tersebut. Ini juga mengharuskan pengguna untuk mengatur dan mengotentikasi menggunakan MFA sebelum melakukan operasi lain di. AWS Untuk mengizinkan pengguna mengelola kredensial milik mereka tanpa menggunakan MFA, lihat [AWS: Memungkinkan pengguna IAM untuk mengelola kredensialnya sendiri di halaman kredensial Keamanan](reference_policies_examples_aws_my-sec-creds-self-manage-no-mfa.md).

Untuk mempelajari cara pengguna mengakses halaman **Kredensial keamanan**, lihat. [Cara pengguna IAM mengubah kata sandi mereka sendiri (konsol)](id_credentials_passwords_user-change-own.md#ManagingUserPwdSelf-Console)

**catatan**  
Kebijakan contoh ini tidak mengizinkan pengguna untuk mengatur ulang kata sandi saat masuk Konsol Manajemen AWS untuk pertama kalinya. Kami menyarankan Anda untuk tidak memberikan izin kepada pengguna baru sampai mereka masuk. Untuk informasi selengkapnya, lihat [Bagaimana cara membuat pengguna IAM dengan aman?](troubleshoot.md#troubleshoot_general_securely-create-iam-users). Ini juga mencegah pengguna dengan kata sandi yang kedaluwarsa mengatur ulang kata sandi mereka saat masuk. Anda dapat mengizinkan ini dengan menambahkan `iam:ChangePassword` dan `iam:GetAccountPasswordPolicy` ke pernyataan `DenyAllExceptListedIfNoMFA`. Namun, kami tidak merekomendasikan ini karena mengizinkan pengguna untuk mengubah kata sandi mereka tanpa MFA dapat menjadi risiko keamanan.
Jika Anda bermaksud menggunakan kebijakan ini untuk akses terprogram, Anda harus menelepon [https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html)untuk mengautentikasi dengan MFA. Untuk informasi selengkapnya, lihat [Akses API aman dengan MFA](id_credentials_mfa_configure-api-require.md).

**Apa yang dilakukan kebijakan ini?**
+ Pernyataan `AllowViewAccountInfo` mengizinkan pengguna untuk melihat informasi tingkat akun. Izin ini harus ada di dalam pernyataan milik mereka karena hal itu tidak mendukung atau tidak perlu untuk menentukan ARN sumber daya tertentu. Alih-alih, izin ini menentukan `"Resource" : "*"`. Pernyataan ini mencakup tindakan berikut yang mengizinkan pengguna melihat informasi spesifik: 
  + `GetAccountPasswordPolicy` – Melihat persyaratan kata sandi akun saat mengubah kata sandi pengguna IAM milik mereka.
  + `ListVirtualMFADevices` – Melihat detail tentang perangkat MFA virtual yang diaktifkan untuk pengguna.
+ Pernyataan `AllowManageOwnPasswords` mengizinkan pengguna untuk mengubah kata sandi milik mereka. Pernyataan ini juga mencakup `GetUser` tindakan, yang diperlukan untuk melihat sebagian besar informasi di halaman **Kredensi Keamanan Saya**.
+ Pernyataan `AllowManageOwnAccessKeys` mengizinkan pengguna untuk membuat, memperbarui, dan menghapus access key milik mereka. Pengguna juga dapat mengambil informasi tentang kapan kunci akses yang ditentukan terakhir digunakan.
+ Pernyataan `AllowManageOwnSigningCertificates` mengizinkan pengguna untuk mengunggah, memperbarui, dan menghapus sertifikat tanda tangan milik mereka.
+ Pernyataan `AllowManageOwnSSHPublicKeys` mengizinkan pengguna untuk mengunggah, memperbarui, dan menghapus kunci publik SSH milik mereka untuk CodeCommit.
+ Pernyataan `AllowManageOwnGitCredentials` mengizinkan pengguna untuk membuat, memperbarui, dan menghapus kredensial Git milik mereka untuk CodeCommit.
+ `AllowManageOwnVirtualMFADevice`Pernyataan tersebut memungkinkan pengguna untuk membuat perangkat MFA virtual mereka sendiri. ARN sumber daya dalam pernyataan ini memungkinkan pengguna untuk membuat perangkat MFA dengan nama apa pun, tetapi pernyataan lain dalam kebijakan hanya mengizinkan pengguna untuk melampirkan perangkat ke pengguna yang saat ini masuk.
+ Pernyataan `AllowManageOwnUserMFA` mengizinkan pengguna melihat atau mengelola perangkat MFA virtual, U2F, atau perangkat keras untuk pengguna milik mereka. ARN sumber daya dalam pernyataan ini mengizinkan akses hanya ke pengguna IAM milik pengguna. Pengguna tidak dapat melihat atau mengelola perangkat MFA untuk pengguna lain. 
+ `DenyAllExceptListedIfNoMFA`Pernyataan tersebut menolak akses ke setiap tindakan di semua AWS layanan, kecuali beberapa tindakan yang terdaftar, tetapi ***hanya jika*** pengguna tidak masuk dengan MFA. Pernyataan ini menggunakan kombinasi `"Deny"` dan `"NotAction"` untuk secara tegas menolak akses ke setiap tindakan yang tidak tercantum. Item yang tercantum tidak ditolak atau diizinkan oleh pernyataan ini. Namun, tindakan tersebut diizinkan oleh pernyataan lain dalam kebijakan tersebut. Untuk informasi lebih lanjut tentang logika untuk pernyataan ini, lihat [NotAction dengan Menolak](reference_policies_elements_notaction.md). Jika pengguna masuk di dengan MFA, maka pengujian `Condition` gagal dan pernyataan ini tidak menolak tindakan apa pun. Dalam kasus ini, kebijakan atau pernyataan lain untuk pengguna menentukan izin pengguna.

  Pernyataan ini memastikan bahwa ketika pengguna belum masuk dengan MFA yang dapat mereka lakukan hanya tindakan yang tercantum. Sebagai tambahan, mereka dapat melakukan tindakan yang tercantum hanya jika pernyataan atau kebijakan lain mengizinkan akses ke tindakan tersebut. Ini tidak mengizinkan pengguna untuk membuat kata sandi saat masuk, karena tindakan `iam:ChangePassword` seharusnya tidak boleh diizinkan tanpa otorisasi MFA.

  Versi `...IfExists` dari operator `Bool` memastikan bahwa jika kunci `aws:MultiFactorAuthPresent` hilang, ketentuan menghasilkan sah. Ini berarti bahwa pengguna yang mengakses kredensial jangka panjang sebuah API, seperti kunci akses, tidak diberi akses ke operasi API non-IAM.

Kebijakan ini tidak mengizinkan pengguna untuk melihat halaman **Pengguna** di konsol IAM atau menggunakan halaman tersebut untuk mengakses informasi pengguna milik mereka. Untuk mengizinkan ini, tambahkan tindakan `iam:ListUsers` ke pernyataan `AllowViewAccountInfo` dan pernyataan `DenyAllExceptListedIfNoMFA`. Ini juga tidak mengizinkan pengguna untuk mengubah kata sandi mereka di halaman pengguna milik mereka. Untuk memungkinkan ini, tambahkan `iam:GetLoginProfile` dan `iam:UpdateLoginProfile` tindakan ke `AllowManageOwnPasswords` pernyataan. Untuk juga mengizinkan pengguna mengubah kata sandi mereka dari halaman pengguna milik mereka tanpa masuk menggunakan MFA, tambahkan tindakan `iam:UpdateLoginProfile` ke pernyataan `DenyAllExceptListedIfNoMFA`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowViewAccountInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy",
                "iam:ListVirtualMFADevices"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowManageOwnPasswords",
            "Effect": "Allow",
            "Action": [
                "iam:ChangePassword",
                "iam:GetUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:DeleteAccessKey",
                "iam:ListAccessKeys",
                "iam:UpdateAccessKey",
                "iam:GetAccessKeyLastUsed"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnSigningCertificates",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteSigningCertificate",
                "iam:ListSigningCertificates",
                "iam:UpdateSigningCertificate",
                "iam:UploadSigningCertificate"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnSSHPublicKeys",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteSSHPublicKey",
                "iam:GetSSHPublicKey",
                "iam:ListSSHPublicKeys",
                "iam:UpdateSSHPublicKey",
                "iam:UploadSSHPublicKey"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnGitCredentials",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceSpecificCredential",
                "iam:DeleteServiceSpecificCredential",
                "iam:ListServiceSpecificCredentials",
                "iam:ResetServiceSpecificCredential",
                "iam:UpdateServiceSpecificCredential"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnVirtualMFADevice",
            "Effect": "Allow",
            "Action": [
                "iam:CreateVirtualMFADevice"
            ],
            "Resource": "arn:aws:iam::*:mfa/*"
        },
        {
            "Sid": "AllowManageOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice",
                "iam:EnableMFADevice",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "DenyAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:CreateVirtualMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:GetMFADevice",
                "iam:ListMFADevices",
                "iam:ListVirtualMFADevices",
                "iam:ResyncMFADevice",
                "sts:GetSessionToken"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}
```

------

# AWS: Mengizinkan akses tertentu dalam tanggal tertentu menggunakan MFA
<a name="reference_policies_examples_aws_mfa-dates"></a>

Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan berbasis identitas yang menggunakan beberapa kondisi, yang dievaluasi menggunakan logika. `AND` Ini memungkinkan akses penuh ke layanan bernama `SERVICE-NAME-1`, dan akses ke tindakan `ACTION-NAME-A` dan `ACTION-NAME-B` dalam layanan bernama `SERVICE-NAME-2`. Tindakan ini hanya diizinkan ketika pengguna diautentikasi menggunakan [autentikasi multifaktor (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html). Akses dibatasi untuk tindakan yang terjadi antara 1 Juli 2017 dan 31 Desember 2017 (UTC), termasuk. Kebijakan ini memberikan izin yang diperlukan untuk menyelesaikan tindakan ini secara terprogram dari API atau. AWS AWS CLI Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Lalu, ikuti petunjuk di [buat kebijakan](access_policies_create.md) atau [ubah kebijakan](access_policies_manage-edit.md).

Untuk mempelajari tentang menggunakan beberapa ketentuan dalam blok `Condition` kebijakan IAM, lihat [Beberapa nilai dalam suatu ketentuan](reference_policies_elements_condition.md#Condition-multiple-conditions).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "service-prefix-1:*",
            "service-prefix-2:action-name-a",
            "service-prefix-2:action-name-b"
        ],
        "Resource": "*",
        "Condition": {
            "Bool": {"aws:MultiFactorAuthPresent": true},
            "DateGreaterThan": {"aws:CurrentTime": "2017-07-01T00:00:00Z"},
            "DateLessThan": {"aws:CurrentTime": "2017-12-31T23:59:59Z"}
        }
    }
}
```

------

# AWS: Memungkinkan pengguna IAM untuk mengelola kredensialnya sendiri di halaman kredensial Keamanan
<a name="reference_policies_examples_aws_my-sec-creds-self-manage-no-mfa"></a>

**Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan berbasis identitas yang memungkinkan pengguna IAM mengelola semua kredensialnya sendiri di halaman kredensial Keamanan.** Konsol Manajemen AWS Halaman ini menampilkan informasi akun seperti ID akun dan ID pengguna kanonik. Pengguna juga dapat melihat dan mengubah kata sandi, access key, sertifikat X.509, kunci SSH, serta kredensial Git milik mereka. Contoh kebijakan ini mencakup izin yang diperlukan untuk melihat dan mengubah semua informasi di halaman tersebut *kecuali* perangkat MFA pengguna. Untuk mengizinkan pengguna mengelola kredensial milik mereka menggunakan MFA, lihat [AWS: Memungkinkan pengguna IAM yang diautentikasi MFA untuk mengelola kredensialnya sendiri di halaman kredensi Keamanan](reference_policies_examples_aws_my-sec-creds-self-manage.md).

Untuk mempelajari cara pengguna mengakses halaman **Kredensial keamanan**, lihat. [Cara pengguna IAM mengubah kata sandi mereka sendiri (konsol)](id_credentials_passwords_user-change-own.md#ManagingUserPwdSelf-Console)

**Apa yang dilakukan kebijakan ini?**
+ Pernyataan `AllowViewAccountInfo` mengizinkan pengguna untuk melihat informasi tingkat akun. Izin ini harus ada di dalam pernyataan milik mereka karena hal itu tidak mendukung atau tidak perlu untuk menentukan ARN sumber daya tertentu. Alih-alih, izin ini menentukan `"Resource" : "*"`. Pernyataan ini mencakup tindakan berikut yang mengizinkan pengguna melihat informasi spesifik: 
  + `GetAccountPasswordPolicy` – Melihat persyaratan kata sandi akun saat mengubah kata sandi pengguna IAM milik mereka.
  + `GetAccountSummary` – Melihat ID akun dan akun [ID pengguna resmi](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingCanonicalId).
+ Pernyataan `AllowManageOwnPasswords` mengizinkan pengguna untuk mengubah kata sandi milik mereka. Pernyataan ini juga mencakup `GetUser` tindakan, yang diperlukan untuk melihat sebagian besar informasi di halaman **Kredensi Keamanan Saya**.
+ Pernyataan `AllowManageOwnAccessKeys` mengizinkan pengguna untuk membuat, memperbarui, dan menghapus access key milik mereka. Pengguna juga dapat mengambil informasi tentang kapan kunci akses yang ditentukan terakhir digunakan.
+ Pernyataan `AllowManageOwnSigningCertificates` mengizinkan pengguna untuk mengunggah, memperbarui, dan menghapus sertifikat tanda tangan milik mereka.
+ Pernyataan `AllowManageOwnSSHPublicKeys` mengizinkan pengguna untuk mengunggah, memperbarui, dan menghapus kunci publik SSH milik mereka untuk CodeCommit.
+ Pernyataan `AllowManageOwnGitCredentials` memungkinkan pengguna membuat, memperbarui, dan menghapus kredensial milik mereka untuk CodeCommit.

Kebijakan ini tidak mengizinkan pengguna melihat atau mengelola perangkat MFA milik mereka. Mereka juga tidak dapat melihat halaman **Pengguna** di konsol IAM atau menggunakan halaman tersebut untuk mengakses informasi pengguna milik mereka. Untuk mengijinkan ini, tambahkan tindakan `iam:ListUsers` ke pernyataan `AllowViewAccountInfo`. Ini juga tidak mengizinkan pengguna untuk mengubah kata sandi mereka di halaman pengguna milik mereka. Untuk mengizinkan ini, tambahkan tindakan `iam:CreateLoginProfile`, `iam:DeleteLoginProfile`, `iam:GetLoginProfile`, and `iam:UpdateLoginProfile` ke pernyataan `AllowManageOwnPasswords`. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowViewAccountInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy",
                "iam:GetAccountSummary"       
            ],
            "Resource": "*"
        },       
        {
            "Sid": "AllowManageOwnPasswords",
            "Effect": "Allow",
            "Action": [
                "iam:ChangePassword",
                "iam:GetUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:DeleteAccessKey",
                "iam:ListAccessKeys",
                "iam:UpdateAccessKey",
                "iam:GetAccessKeyLastUsed"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnSigningCertificates",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteSigningCertificate",
                "iam:ListSigningCertificates",
                "iam:UpdateSigningCertificate",
                "iam:UploadSigningCertificate"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnSSHPublicKeys",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteSSHPublicKey",
                "iam:GetSSHPublicKey",
                "iam:ListSSHPublicKeys",
                "iam:UpdateSSHPublicKey",
                "iam:UploadSSHPublicKey"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnGitCredentials",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceSpecificCredential",
                "iam:DeleteServiceSpecificCredential",
                "iam:ListServiceSpecificCredentials",
                "iam:ResetServiceSpecificCredential",
                "iam:UpdateServiceSpecificCredential"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}
```

------

# AWS: Memungkinkan pengguna IAM yang diautentikasi MFA untuk mengelola perangkat MFA mereka sendiri di halaman kredensi Keamanan
<a name="reference_policies_examples_aws_my-sec-creds-self-manage-mfa-only"></a>

**Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan berbasis identitas yang memungkinkan pengguna IAM yang diautentikasi melalui [otentikasi multi-faktor (MFA) untuk mengelola perangkat MFA](id_credentials_mfa.md) mereka sendiri di halaman kredensi Keamanan.** Konsol Manajemen AWS Halaman ini menampilkan informasi akun dan pengguna, tetapi pengguna hanya dapat melihat dan mengedit perangkat MFA mereka sendiri. Untuk mengizinkan pengguna mengelola semua kredensial milik mereka menggunakan MFA, lihat [AWS: Memungkinkan pengguna IAM yang diautentikasi MFA untuk mengelola kredensialnya sendiri di halaman kredensi Keamanan](reference_policies_examples_aws_my-sec-creds-self-manage.md).

**catatan**  
Jika pengguna IAM dengan kebijakan ini tidak diautentikasi oleh MFA, kebijakan ini menolak akses ke semua AWS tindakan kecuali yang diperlukan untuk mengautentikasi menggunakan MFA. Untuk menggunakan AWS API AWS CLI dan, pengguna IAM harus terlebih dahulu mengambil token MFA mereka menggunakan AWS STS [GetSessionToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html)operasi dan kemudian menggunakan token itu untuk mengautentikasi operasi yang diinginkan. Kebijakan lain, seperti kebijakan berbasis sumber daya atau kebijakan berbasis identitas lainnya dapat memungkinkan tindakan di layanan lain. Kebijakan ini akan menolak akses tersebut jika pengguna IAM tidak diautentikasi oleh MFA.

Untuk mempelajari cara pengguna dapat mengakses halaman **Kredensial keamanan**, lihat. [Cara pengguna IAM mengubah kata sandi mereka sendiri (konsol)](id_credentials_passwords_user-change-own.md#ManagingUserPwdSelf-Console)

**Apa yang dilakukan kebijakan ini?**
+ Pernyataan `AllowViewAccountInfo` mengizinkan pengguna untuk melihat detail tentang perangkat MFA virtual yang diaktifkan untuk pengguna. Izin ini harus berada dalam pernyataannya sendiri karena hal itu tidak mendukung ARN sumber daya tertentu. Sebagai gantinya Anda harus menentukan `"Resource" : "*"`.
+ `AllowManageOwnVirtualMFADevice`Pernyataan tersebut memungkinkan pengguna untuk membuat perangkat MFA virtual mereka sendiri. ARN sumber daya dalam pernyataan ini memungkinkan pengguna untuk membuat perangkat MFA dengan nama apa pun, tetapi pernyataan lain dalam kebijakan hanya mengizinkan pengguna untuk melampirkan perangkat ke pengguna yang saat ini masuk.
+ Pernyataan `AllowManageOwnUserMFA` mengizinkan pengguna untuk melihat atau mengelola perangkat MFA virtual, U2F, atau perangkat keras milik mereka. ARN sumber daya dalam pernyataan ini mengizinkan akses hanya ke pengguna IAM milik pengguna. Pengguna tidak dapat melihat atau mengelola perangkat MFA untuk pengguna lain.
+ `DenyAllExceptListedIfNoMFA`Pernyataan tersebut menolak akses ke setiap tindakan di semua AWS layanan, kecuali beberapa tindakan yang terdaftar, tetapi ***hanya jika*** pengguna tidak masuk dengan MFA. Pernyataan ini menggunakan kombinasi `"Deny"` dan `"NotAction"` untuk secara tegas menolak akses ke setiap tindakan yang tidak tercantum. Item yang tercantum tidak ditolak atau diizinkan oleh pernyataan ini. Namun, tindakan tersebut diizinkan oleh pernyataan lain dalam kebijakan tersebut. Untuk informasi lebih lanjut tentang logika untuk pernyataan ini, lihat [NotAction dengan Menolak](reference_policies_elements_notaction.md). Jika pengguna masuk di dengan MFA, maka pengujian `Condition` gagal dan pernyataan ini tidak menolak tindakan apa pun. Dalam kasus ini, kebijakan atau pernyataan lain untuk pengguna menentukan izin pengguna.

  Pernyataan ini memastikan bahwa ketika pengguna belum masuk di dengan MFA, mereka hanya dapat melakukan tindakan yang tercantum. Sebagai tambahan, mereka dapat melakukan tindakan yang tercantum hanya jika pernyataan atau kebijakan lain mengizinkan akses ke tindakan tersebut.

  Versi `...IfExists` dari operator `Bool` memastikan bahwa jika kunci `aws:MultiFactorAuthPresent` hilang, ketentuan menghasilkan sah. Ini berarti bahwa pengguna yang mengakses kredensial jangka panjang operasi API, seperti kunci akses, ditolak aksesnya ke operasi API non-IAM.

Kebijakan ini tidak mengizinkan pengguna untuk melihat halaman **Pengguna** di konsol IAM atau menggunakan halaman tersebut untuk mengakses informasi pengguna milik mereka. Untuk mengizinkan ini, tambahkan tindakan `iam:ListUsers` ke pernyataan `AllowViewAccountInfo` dan pernyataan `DenyAllExceptListedIfNoMFA`.

**Awas**  
Jangan tambahkan izin untuk menghapus perangkat MFA tanpa autentikasi MFA. Pengguna dengan kebijakan ini mungkin mencoba untuk menetapkan sendiri perangkat MFA virtual dan menerima kesalahan bahwa mereka tidak berwenang untuk melakukan. `iam:DeleteVirtualMFADevice` Jika ini terjadi, **jangan** tambahkan izin tersebut ke pernyataan `DenyAllExceptListedIfNoMFA`. Pengguna yang tidak diautentikasi menggunakan MFA seharusnya tidak pernah diizinkan untuk menghapus perangkat MFA mereka. Pengguna mungkin melihat kesalahan ini jika sebelumnya mereka mulai memberikan perangkat MFA virtual ke penggunanya dan membatalkan proses tersebut. Untuk mengatasi masalah ini, Anda atau administrator lain harus menghapus perangkat MFA virtual pengguna yang ada menggunakan API AWS CLI atau AWS . Lihat informasi yang lebih lengkap di [Saya tidak berwenang untuk melakukan: iam: DeleteVirtual MFADevice](troubleshoot.md#troubleshoot_general_access-denied-delete-mfa).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowViewAccountInfo",
            "Effect": "Allow",
            "Action": "iam:ListVirtualMFADevices",
            "Resource": "*"
        },
        {
            "Sid": "AllowManageOwnVirtualMFADevice",
            "Effect": "Allow",
            "Action": [
                "iam:CreateVirtualMFADevice"
            ],
            "Resource": "arn:aws:iam::*:mfa/*"
        },
        {
            "Sid": "AllowManageOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:GetMFADevice",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "DenyAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:CreateVirtualMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ListVirtualMFADevices",
                "iam:ResyncMFADevice",
                "sts:GetSessionToken"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {"aws:MultiFactorAuthPresent": "false"}
            }
        }
    ]
}
```

------

# AWS: Memungkinkan pengguna IAM untuk mengubah kata sandi konsol mereka sendiri di halaman kredensi Keamanan
<a name="reference_policies_examples_aws_my-sec-creds-self-manage-password-only"></a>

**Contoh ini menunjukkan cara Anda membuat kebijakan berbasis identitas yang memungkinkan pengguna IAM mengubah Konsol Manajemen AWS kata sandi mereka sendiri di halaman kredensial Keamanan.** Konsol Manajemen AWS Halaman ini menampilkan informasi akun dan pengguna, tetapi pengguna hanya dapat mengakses kata sandi mereka sendiri. Untuk mengizinkan pengguna mengelola semua kredensial milik mereka menggunakan MFA, lihat [AWS: Memungkinkan pengguna IAM yang diautentikasi MFA untuk mengelola kredensialnya sendiri di halaman kredensi Keamanan](reference_policies_examples_aws_my-sec-creds-self-manage.md). Untuk mengizinkan pengguna mengelola kredensial milik mereka tanpa menggunakan MFA, lihat [AWS: Memungkinkan pengguna IAM untuk mengelola kredensialnya sendiri di halaman kredensial Keamanan](reference_policies_examples_aws_my-sec-creds-self-manage-no-mfa.md).

Untuk mempelajari cara pengguna dapat mengakses halaman **Kredensial keamanan**, lihat. [Cara pengguna IAM mengubah kata sandi mereka sendiri (konsol)](id_credentials_passwords_user-change-own.md#ManagingUserPwdSelf-Console)

**Apa yang dilakukan kebijakan ini?**
+ Pernyataan `ViewAccountPasswordRequirements` mengizinkan pengguna untuk melihat persyaratan kata sandi akun saat mengubah kata sandi pengguna IAM milik mereka.
+ Pernyataan `ChangeOwnPassword` mengizinkan pengguna untuk mengubah kata sandi milik mereka. Pernyataan ini juga mencakup `GetUser` tindakan, yang diperlukan untuk melihat sebagian besar informasi di halaman **Kredensi Keamanan Saya**.

Kebijakan ini tidak mengizinkan pengguna untuk melihat halaman **Pengguna** di konsol IAM atau menggunakan halaman tersebut untuk mengakses informasi pengguna milik mereka. Untuk mengijinkan ini, tambahkan tindakan `iam:ListUsers` ke pernyataan `ViewAccountPasswordRequirements`. Ini juga tidak mengizinkan pengguna untuk mengubah kata sandi mereka di halaman pengguna milik mereka. Untuk memungkinkan ini, tambahkan `iam:GetLoginProfile` dan `iam:UpdateLoginProfile` tindakan ke `ChangeOwnPasswords` pernyataan.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewAccountPasswordRequirements",
            "Effect": "Allow",
            "Action": "iam:GetAccountPasswordPolicy",
            "Resource": "*"
        },
        {
            "Sid": "ChangeOwnPassword",
            "Effect": "Allow",
            "Action": [
                "iam:GetUser",
                "iam:ChangePassword"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}
```

------

# AWS: Memungkinkan pengguna IAM untuk mengelola kata sandi, kunci akses, dan kunci publik SSH mereka sendiri di halaman kredensi Keamanan
<a name="reference_policies_examples_aws_my-sec-creds-self-manage-pass-accesskeys-ssh"></a>

**Contoh ini menunjukkan cara Anda membuat kebijakan berbasis identitas yang memungkinkan pengguna IAM mengelola kata sandi, kunci akses, dan sertifikat X.509 mereka sendiri di halaman kredensial Keamanan.** Halaman Konsol Manajemen AWS ini menampilkan informasi akun seperti ID akun dan ID pengguna kanonik. Pengguna juga dapat melihat dan mengubah kata sandi, access key, perangkat MFA, sertifikat X.509, kunci SSH, dan kredensial Git milik mereka. Kebijakan contoh ini mencakup izin yang diperlukan untuk hanya melihat dan mengubah kata sandi, access key, dan sertifikat X.509 miliknya. Untuk mengizinkan pengguna mengelola semua kredensial milik mereka menggunakan MFA, lihat [AWS: Memungkinkan pengguna IAM yang diautentikasi MFA untuk mengelola kredensialnya sendiri di halaman kredensi Keamanan](reference_policies_examples_aws_my-sec-creds-self-manage.md). Untuk mengizinkan pengguna mengelola kredensial milik mereka tanpa menggunakan MFA, lihat [AWS: Memungkinkan pengguna IAM untuk mengelola kredensialnya sendiri di halaman kredensial Keamanan](reference_policies_examples_aws_my-sec-creds-self-manage-no-mfa.md).

Untuk mempelajari cara pengguna mengakses halaman **Kredensial keamanan**, lihat. [Cara pengguna IAM mengubah kata sandi mereka sendiri (konsol)](id_credentials_passwords_user-change-own.md#ManagingUserPwdSelf-Console)

**Apa yang dilakukan kebijakan ini?**
+ Pernyataan `AllowViewAccountInfo` mengizinkan pengguna untuk melihat informasi tingkat akun. Izin ini harus ada di dalam pernyataan milik mereka karena hal itu tidak mendukung atau tidak perlu untuk menentukan ARN sumber daya tertentu. Alih-alih, izin ini menentukan `"Resource" : "*"`. Pernyataan ini mencakup tindakan berikut yang mengizinkan pengguna melihat informasi spesifik: 
  + `GetAccountPasswordPolicy` – Melihat persyaratan kata sandi akun saat mengubah kata sandi pengguna IAM milik mereka.
  + `GetAccountSummary` – Melihat ID akun dan akun [ID pengguna resmi](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingCanonicalId).
+ Pernyataan `AllowManageOwnPasswords` mengizinkan pengguna untuk mengubah kata sandi milik mereka. Pernyataan ini juga mencakup `GetUser` tindakan, yang diperlukan untuk melihat sebagian besar informasi di halaman **Kredensi Keamanan Saya**.
+ Pernyataan `AllowManageOwnAccessKeys` mengizinkan pengguna untuk membuat, memperbarui, dan menghapus access key milik mereka. Pengguna juga dapat mengambil informasi tentang kapan kunci akses yang ditentukan terakhir digunakan.
+ Pernyataan `AllowManageOwnSSHPublicKeys` mengizinkan pengguna untuk mengunggah, memperbarui, dan menghapus kunci publik SSH milik mereka untuk CodeCommit.

Kebijakan ini tidak mengizinkan pengguna melihat atau mengelola perangkat MFA milik mereka. Mereka juga tidak dapat melihat halaman **Pengguna** di konsol IAM atau menggunakan halaman tersebut untuk mengakses informasi pengguna milik mereka. Untuk mengijinkan ini, tambahkan tindakan `iam:ListUsers` ke pernyataan `AllowViewAccountInfo`. Ini juga tidak mengizinkan pengguna untuk mengubah kata sandi mereka di halaman pengguna milik mereka. Untuk memungkinkan ini, tambahkan `iam:GetLoginProfile` dan `iam:UpdateLoginProfile` tindakan ke `AllowManageOwnPasswords` pernyataan. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowViewAccountInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy",
                "iam:GetAccountSummary"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowManageOwnPasswords",
            "Effect": "Allow",
            "Action": [
                "iam:ChangePassword",
                "iam:GetUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:DeleteAccessKey",
                "iam:ListAccessKeys",
                "iam:UpdateAccessKey",
                "iam:GetAccessKeyLastUsed"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnSSHPublicKeys",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteSSHPublicKey",
                "iam:GetSSHPublicKey",
                "iam:ListSSHPublicKeys",
                "iam:UpdateSSHPublicKey",
                "iam:UploadSSHPublicKey"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}
```

------

# AWS: Menolak akses AWS berdasarkan Wilayah yang diminta
<a name="reference_policies_examples_aws_deny-requested-region"></a>

Contoh ini menunjukkan cara Anda membuat kebijakan berbasis identitas yang menolak akses ke tindakan apa pun di luar Wilayah yang ditentukan menggunakan [kunci `aws:RequestedRegion` kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requestedregion), kecuali untuk tindakan dalam layanan yang ditentukan menggunakan. `NotAction` Kebijakan ini menetapkan izin untuk akses terprogram dan konsol. Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Lalu, ikuti petunjuk di [buat kebijakan](access_policies_create.md) atau [ubah kebijakan](access_policies_manage-edit.md).

Kebijakan ini menggunakan elemen `NotAction` dengan efek `Deny`, yang secara tegas menghalangi akses ke semua tindakan yang *tidak* tercantum dalam pernyataan. Tindakan dalam CloudFront, IAM, Rute 53, dan Dukungan layanan tidak boleh ditolak karena ini adalah layanan AWS global populer dengan titik akhir tunggal yang secara fisik terletak di `us-east-1` Wilayah. Karena semua permintaan untuk layanan ini diajukan ke Wilayah `us-east-1`, permintaan tidak akan ditolak tanpa elemen `NotAction`. Edit elemen ini untuk menyertakan tindakan untuk layanan AWS global lainnya yang Anda gunakan, seperti`budgets`,`globalaccelerator`,`importexport`,`organizations`, atau`waf`. Beberapa layanan global lainnya, seperti Amazon Q Developer dalam aplikasi obrolan dan AWS Device Farm, adalah layanan global dengan titik akhir yang secara fisik berlokasi di `us-west-2` wilayah tersebut. Untuk mempelajari tentang semua layanan yang memiliki titik akhir global tunggal, lihat[Wilayah dan Titik Akhir AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html) di *Referensi Umum AWS*. Untuk informasi selengkapnya tentang penggunaan elemen `NotAction` dengan efek `Deny`, lihat [Elemen kebijakan IAM JSON: NotAction](reference_policies_elements_notaction.md). 

**penting**  
Kebijakan ini tidak mengizinkan tindakan apa pun. Gunakan kebijakan ini bersama dengan kebijakan lain yang mengizinkan tindakan tertentu. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "DenyAllOutsideRequestedRegions",
            "Effect": "Deny",
            "NotAction": [
                "cloudfront:*",
                "iam:*",
                "organizations:*",
                "route53:*",
                "support:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:RequestedRegion": [
                        "eu-central-1",
                        "eu-west-1",
                        "eu-west-2",
                        "eu-west-3"
                    ]
                }
            }
        }
    ]
}
```

------

# AWS: Menolak akses AWS berdasarkan IP sumber
<a name="reference_policies_examples_aws_deny-ip"></a>

Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan berbasis identitas yang menolak akses ke semua AWS tindakan di akun saat permintaan berasal dari *prinsipal* di luar rentang IP yang ditentukan. Kebijakan ini berguna saat alamat IP untuk perusahaan Anda berada dalam cakupan tertentu. Dalam contoh ini, permintaan akan ditolak kecuali berasal dari kisaran CIDR 192.0.2.0/24 atau 203.0.113.0/24. Kebijakan ini tidak menolak permintaan yang dibuat oleh AWS layanan yang digunakan [Teruskan sesi akses](access_forward_access_sessions.md) karena alamat IP pemohon asli dipertahankan.

Hati-hati saat menggunakan kondisi negatif dalam pernyataan kebijakan yang sama seperti `"Effect": "Deny"`. Saat Anda melakukannya, tindakan yang ditentukan dalam pernyataan kebijakan secara eksplisit ditolak di semua kondisi *kecuali* untuk yang ditentukan.

**penting**  
Kebijakan ini tidak mengizinkan tindakan apa pun. Gunakan kebijakan ini bersama dengan kebijakan lain yang mengizinkan tindakan tertentu. 

Ketika kebijakan lain mengizinkan tindakan, prinsipal dapat membuat permintaan dari rentang alamat IP. AWS Layanan juga dapat membuat permintaan menggunakan kredensi kepala sekolah. Saat prinsipal mengajukan permintaan dari luar rentang IP, permintaan tersebut ditolak.

Untuk informasi selengkapnya tentang penggunaan kunci `aws:SourceIp` kondisi, termasuk informasi tentang kapan `aws:SourceIp` mungkin tidak berfungsi dalam kebijakan Anda, lihat[AWS kunci konteks kondisi global](reference_policies_condition-keys.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
            "NotIpAddress": {
                "aws:SourceIp": [
                    "192.0.2.0/24",
                    "203.0.113.0/24"
                ]
            }
        }
    }
}
```

------

# AWS: Tolak akses ke sumber daya Amazon S3 di luar akun Anda kecuali AWS Data Exchange
<a name="reference_policies_examples_resource_account_data_exch"></a>

Contoh ini menunjukkan cara Anda membuat kebijakan berbasis identitas yang menolak akses ke semua sumber daya AWS yang bukan milik akun Anda, kecuali sumber daya yang AWS Data Exchange diperlukan untuk pengoperasian normal. Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Lalu, ikuti petunjuk di [buat kebijakan](access_policies_create.md) atau [ubah kebijakan](access_policies_manage-edit.md). 

Anda dapat membuat kebijakan serupa untuk membatasi akses ke sumber daya dalam organisasi atau unit organisasi, sambil menghitung sumber daya yang AWS Data Exchange dimiliki dengan menggunakan kunci kondisi `aws:ResourceOrgPaths` dan`aws:ResourceOrgID`.

Jika Anda menggunakan AWS Data Exchange di lingkungan Anda, layanan akan membuat dan berinteraksi dengan sumber daya seperti bucket Amazon S3 yang dimiliki oleh akun layanan. Misalnya, AWS Data Exchange mengirimkan permintaan ke bucket Amazon S3 yang dimiliki oleh AWS Data Exchange layanan atas nama prinsipal IAM (pengguna atau peran) yang memanggil. AWS Data Exchange APIs Dalam hal ini, menggunakan`aws:ResourceAccount`,`aws:ResourceOrgPaths`, atau `aws:ResourceOrgID` dalam kebijakan, tanpa memperhitungkan sumber daya yang AWS Data Exchange dimiliki, menolak akses ke ember yang dimiliki oleh akun layanan.
+ Pernyataan tersebut`DenyAllAwsResourcesOutsideAccountExceptS3`,, menggunakan `NotAction` elemen dengan efek [Deny](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_effect.html) yang secara eksplisit menolak akses ke setiap tindakan yang tidak tercantum dalam pernyataan yang juga bukan milik akun yang terdaftar. `NotAction`Elemen menunjukkan pengecualian untuk pernyataan ini. Tindakan ini merupakan pengecualian untuk pernyataan ini karena jika tindakan dilakukan pada sumber daya yang dibuat oleh AWS Data Exchange, kebijakan menyangkalnya.
+ Pernyataan itu`DenyAllS3ResoucesOutsideAccountExceptDataExchange`,, menggunakan kombinasi `ResourceAccount` dan `CalledVia` kondisi untuk menolak akses ke tiga tindakan Amazon S3 yang dikecualikan dalam pernyataan sebelumnya. Pernyataan tersebut menyangkal tindakan jika sumber daya tidak termasuk dalam akun yang terdaftar dan jika layanan panggilan tidak AWS Data Exchange. Pernyataan tersebut tidak menyangkal tindakan jika sumber daya milik akun yang terdaftar atau kepala layanan yang terdaftar`dataexchange.amazonaws.com`,, melakukan operasi.

**penting**  
Kebijakan ini tidak mengizinkan tindakan apa pun. Ini menggunakan `Deny` efek yang secara eksplisit menolak akses ke semua sumber daya yang tercantum dalam pernyataan yang bukan milik akun yang terdaftar. Gunakan kebijakan ini dalam kombinasi dengan kebijakan lain yang memungkinkan akses ke sumber daya tertentu.

Contoh berikut menunjukkan cara mengonfigurasi kebijakan untuk mengizinkan akses ke bucket Amazon S3 yang diperlukan.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyAllAwsReourcesOutsideAccountExceptAmazonS3",
      "Effect": "Deny",
      "NotAction": [
        "s3:GetObject",
        "s3:PutObject",
        "s3:PutObjectAcl"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "111122223333"
          ]
        }
      }
    },
    {
      "Sid": "DenyAllS3ResourcesOutsideAccountExceptDataExchange",
      "Effect": "Deny",
      "Action": [
        "s3:GetObject",
        "s3:PutObject",
        "s3:PutObjectAcl"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "111122223333"
          ]
        },
        "ForAllValues:StringNotEquals": {
          "aws:CalledVia": [
            "dataexchange.amazonaws.com"
          ]
        }
      }
    }
  ]
}
```

------

# AWS Data Pipeline: Menolak akses ke DataPipeline saluran pipa yang tidak dibuat pengguna
<a name="reference_policies_examples_datapipeline_not-owned"></a>

Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan berbasis identitas yang menolak akses ke pipeline yang tidak dibuat pengguna. Jika nilai kolom `PipelineCreator` cocok dengan nama pengguna IAM, maka tindakan yang ditentukan tidak ditolak. Kebijakan ini memberikan izin yang diperlukan untuk menyelesaikan tindakan ini secara terprogram dari API atau. AWS AWS CLI

**penting**  
Kebijakan ini tidak mengizinkan tindakan apa pun. Gunakan kebijakan ini bersama dengan kebijakan lain yang mengizinkan tindakan tertentu. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ExplicitDenyIfNotTheOwner",
            "Effect": "Deny",
            "Action": [
                "datapipeline:ActivatePipeline",
                "datapipeline:AddTags",
                "datapipeline:DeactivatePipeline",
                "datapipeline:DeletePipeline",
                "datapipeline:DescribeObjects",
                "datapipeline:EvaluateExpression",
                "datapipeline:GetPipelineDefinition",
                "datapipeline:PollForTask",
                "datapipeline:PutPipelineDefinition",
                "datapipeline:QueryObjects",
                "datapipeline:RemoveTags",
                "datapipeline:ReportTaskProgress",
                "datapipeline:ReportTaskRunnerHeartbeat",
                "datapipeline:SetStatus",
                "datapipeline:SetTaskStatus",
                "datapipeline:ValidatePipelineDefinition"
            ],
            "Resource": ["*"],
            "Condition": {
                "StringNotEquals": {"datapipeline:PipelineCreator": "${aws:userid}"}
            }
        }
    ]
}
```

------

# Amazon DynamoDB: Memungkinkan akses ke tabel tertentu
<a name="reference_policies_examples_dynamodb_specific-table"></a>

Contoh ini menunjukkan cara Anda membuat kebijakan berbasis identitas yang memungkinkan akses penuh ke tabel `MyTable` DynamoDB. Kebijakan ini memberikan izin yang diperlukan untuk menyelesaikan tindakan ini secara terprogram dari API atau. AWS AWS CLI Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Lalu, ikuti petunjuk di [buat kebijakan](access_policies_create.md) atau [ubah kebijakan](access_policies_manage-edit.md).

**penting**  
Kebijakan ini memungkinkan semua tindakan yang dapat dilakukan pada tabel DynamoDB. Untuk meninjau tindakan ini, lihat [Izin API DynamoDB: Referensi Tindakan, Sumber Daya, dan Ketentuan](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/api-permissions-reference.html) di Panduan Pengembang Amazon *DynamoDB*. Anda dapat memberikan izin yang sama dengan mencantumkan setiap tindakan individu. Namun, jika Anda menggunakan wildcard (`*`) dalam `Action` elemen, misalnya, Anda tidak perlu memperbarui kebijakan jika DynamoDB menambahkan tindakan List baru. `"dynamodb:List*"` 

Kebijakan ini mengizinkan tindakan hanya pada tabel DynamoDB yang ada dengan nama yang ditentukan. Untuk memungkinkan pengguna `Read` mengakses semua yang ada di DynamoDB, Anda juga dapat melampirkan [AmazonDynamoDBReadOnlyAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonDynamoDBReadOnlyAccess) AWS kebijakan terkelola.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ListAndDescribe",
            "Effect": "Allow",
            "Action": [
                "dynamodb:List*",
                "dynamodb:DescribeReservedCapacity*",
                "dynamodb:DescribeLimits",
                "dynamodb:DescribeTimeToLive"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SpecificTable",
            "Effect": "Allow",
            "Action": [
                "dynamodb:BatchGet*",
                "dynamodb:DescribeStream",
                "dynamodb:DescribeTable",
                "dynamodb:Get*",
                "dynamodb:Query",
                "dynamodb:Scan",
                "dynamodb:BatchWrite*",
                "dynamodb:CreateTable",
                "dynamodb:Delete*",
                "dynamodb:Update*",
                "dynamodb:PutItem"
            ],
            "Resource": "arn:aws:dynamodb:*:*:table/MyTable"
        }
    ]
}
```

------

# Amazon DynamoDB: Memungkinkan akses ke atribut tertentu
<a name="reference_policies_examples_dynamodb_attributes"></a>

Contoh ini menunjukkan cara Anda membuat kebijakan berbasis identitas yang memungkinkan akses ke atribut DynamoDB tertentu. Kebijakan ini memberikan izin yang diperlukan untuk menyelesaikan tindakan ini secara terprogram dari API atau. AWS AWS CLI Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Lalu, ikuti petunjuk di [buat kebijakan](access_policies_create.md) atau [ubah kebijakan](access_policies_manage-edit.md).

Persyaratan `dynamodb:Select` mencegah tindakan API dari mengembalikan atribut apapun yang tidak diperbolehkan, seperti dari proyeksi indeks. Untuk mempelajari selengkapnya tentang kunci kondisi DynamoDB, [lihat Menentukan Kondisi: Menggunakan Kunci Kondisi](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/specifying-conditions.html#FGAC_DDB.ConditionKeys) di Panduan Pengembang Amazon *DynamoDB*. Untuk mempelajari tentang menggunakan beberapa ketentuan atau beberapa kunci kondisi dalam blok `Condition` dari kebijakan IAM, lihat [Beberapa nilai dalam suatu ketentuan](reference_policies_elements_condition.md#Condition-multiple-conditions).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:GetItem",
                "dynamodb:BatchGetItem",
                "dynamodb:Query",
                "dynamodb:PutItem",
                "dynamodb:UpdateItem",
                "dynamodb:DeleteItem",
                "dynamodb:BatchWriteItem"
            ],
            "Resource": ["arn:aws:dynamodb:*:*:table/table-name"],
            "Condition": {
                "ForAllValues:StringEquals": {
                    "dynamodb:Attributes": [
                        "column-name-1",
                        "column-name-2",
                        "column-name-3"
                    ]
                },
                "StringEqualsIfExists": {"dynamodb:Select": "SPECIFIC_ATTRIBUTES"}
            }
        }
    ]
}
```

------

# Amazon DynamoDB: Mengizinkan akses tingkat item ke DynamoDB berdasarkan ID Amazon Cognito
<a name="reference_policies_examples_dynamodb_items"></a>

Contoh ini menunjukkan cara Anda membuat kebijakan berbasis identitas yang memungkinkan akses tingkat item ke tabel `MyTable` DynamoDB berdasarkan ID pengguna kumpulan identitas Amazon Cognito. Kebijakan ini memberikan izin yang diperlukan untuk menyelesaikan tindakan ini secara terprogram dari API atau. AWS AWS CLI Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Lalu, ikuti petunjuk di [buat kebijakan](access_policies_create.md) atau [ubah kebijakan](access_policies_manage-edit.md).

Untuk menggunakan kebijakan ini, Anda harus menyusun tabel DynamoDB sehingga ID pengguna kumpulan identitas Amazon Cognito adalah kunci partisi. Untuk informasi selengkapnya, lihat [Membuat Tabel](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/WorkingWithTables.Basics.html#WorkingWithTables.Basics.CreateTable) di Panduan Pengembang *Amazon DynamoDB*.

Untuk mempelajari selengkapnya tentang kunci kondisi DynamoDB, [lihat Menentukan Kondisi: Menggunakan Kunci Kondisi](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/specifying-conditions.html#FGAC_DDB.ConditionKeys) di Panduan Pengembang Amazon *DynamoDB*.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:DeleteItem",
                "dynamodb:GetItem",
                "dynamodb:PutItem",
                "dynamodb:Query",
                "dynamodb:UpdateItem"
            ],
            "Resource": ["arn:aws:dynamodb:*:*:table/MyTable"],
            "Condition": {
                "ForAllValues:StringEquals": {
                    "dynamodb:LeadingKeys": ["${cognito-identity.amazonaws.com:sub}"]
                }
            }
        }
    ]
}
```

------

# Amazon EC2: Lampirkan atau lepaskan volume Amazon EBS ke instans EC2 berdasarkan tag
<a name="reference_policies_examples_ec2_ebs-owner"></a>

Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan berbasis identitas yang memungkinkan pemilik volume EBS melampirkan atau melepaskan volume EBS mereka yang ditentukan menggunakan tag `VolumeUser` ke instans EC2 yang ditandai sebagai instance pengembangan (). `Department=Development` Kebijakan ini memberikan izin yang diperlukan untuk menyelesaikan tindakan ini secara terprogram dari API atau. AWS AWS CLI Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Lalu, ikuti petunjuk di [buat kebijakan](access_policies_create.md) atau [ubah kebijakan](access_policies_manage-edit.md).

Untuk informasi selengkapnya tentang membuat kebijakan IAM untuk mengontrol akses ke sumber daya Amazon EC2, [lihat Mengontrol Akses ke Sumber Daya Amazon EC2 di Panduan Pengguna Amazon *EC2*](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/UsingIAM.html).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AttachVolume",
                "ec2:DetachVolume"
            ],
            "Resource": "arn:aws:ec2:*:*:instance/*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/Department": "Development"}
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AttachVolume",
                "ec2:DetachVolume"
            ],
            "Resource": "arn:aws:ec2:*:*:volume/*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/VolumeUser": "${aws:username}"}
            }
        }
    ]
}
```

------

# Amazon EC2: Memungkinkan peluncuran instans EC2 di subnet tertentu, secara terprogram dan di konsol
<a name="reference_policies_examples_ec2_instances-subnet"></a>

Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan berbasis identitas yang memungkinkan daftar informasi untuk semua objek EC2 dan meluncurkan instans EC2 di subnet tertentu. Kebijakan ini menetapkan izin untuk akses terprogram dan konsol. Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Lalu, ikuti petunjuk di [buat kebijakan](access_policies_create.md) atau [ubah kebijakan](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:Describe*",
                "ec2:GetConsole*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:RunInstances",
            "Resource": [
                "arn:aws:ec2:*:*:subnet/subnet-subnet-id",
                "arn:aws:ec2:*:*:network-interface/*",
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ec2:*:*:volume/*",
                "arn:aws:ec2:*::image/ami-*",
                "arn:aws:ec2:*:*:key-pair/*",
                "arn:aws:ec2:*:*:security-group/*"
            ]
        }
    ]
}
```

------

# Amazon EC2: Memungkinkan mengelola grup keamanan EC2 dengan pasangan nilai kunci tag tertentu secara terprogram dan di konsol
<a name="reference_policies_examples_ec2_securitygroups-vpc"></a>

Contoh ini menunjukkan cara Anda membuat kebijakan berbasis identitas yang memberikan izin kepada pengguna untuk mengambil tindakan tertentu untuk grup keamanan yang memiliki tag yang sama. Kebijakan ini memberikan izin untuk melihat grup keamanan di konsol Amazon EC2, menambah dan menghapus aturan masuk dan keluar, serta mencantumkan serta mengubah deskripsi aturan untuk grup keamanan yang ada dengan tag. `Department=Test` Kebijakan ini menetapkan izin untuk akses terprogram dan konsol. Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Lalu, ikuti petunjuk di [buat kebijakan](access_policies_create.md) atau [ubah kebijakan](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [{
      "Effect": "Allow",
      "Action": [
         "ec2:DescribeSecurityGroups",
         "ec2:DescribeSecurityGroupRules",
         "ec2:DescribeTags"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
         "ec2:AuthorizeSecurityGroupIngress", 
         "ec2:RevokeSecurityGroupIngress", 
         "ec2:AuthorizeSecurityGroupEgress", 
         "ec2:RevokeSecurityGroupEgress", 
         "ec2:ModifySecurityGroupRules",
         "ec2:UpdateSecurityGroupRuleDescriptionsIngress", 
         "ec2:UpdateSecurityGroupRuleDescriptionsEgress"
      ],
      "Resource": [
         "arn:aws:ec2:us-east-1:111122223333:security-group/*"
      ],
      "Condition": {
         "StringEquals": {
            "aws:ResourceTag/Department": "Test"
         }
      }
     },     
     {
      "Effect": "Allow",
      "Action": [
         "ec2:ModifySecurityGroupRules"
      ],
      "Resource": [
         "arn:aws:ec2:us-east-1:111122223333:security-group-rule/*"
      ]
     }
   ]
}
```

------

# Amazon EC2: Memungkinkan memulai atau menghentikan instans EC2 yang telah ditandai pengguna, secara terprogram, dan di konsol
<a name="reference_policies_examples_ec2_tag-owner"></a>

Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan berbasis identitas yang memungkinkan pengguna IAM untuk memulai atau menghentikan instans EC2, tetapi hanya jika tag instans `Owner` memiliki nilai nama pengguna tersebut. Kebijakan ini menetapkan izin untuk akses terprogram dan konsol.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "arn:aws:ec2:*:*:instance/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Owner": "${aws:username}"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DescribeInstances",
            "Resource": "*"
        }
    ]
}
```

------

# EC2: Mulai atau hentikan instance berdasarkan tag
<a name="reference_policies_examples_ec2-start-stop-tags"></a>

Contoh ini menunjukkan cara Anda membuat kebijakan berbasis identitas yang memungkinkan memulai atau menghentikan instance dengan pasangan nilai kunci tag`Project = DataAnalytics`, tetapi hanya berdasarkan prinsip dengan pasangan nilai kunci tag. `Department = Data` Kebijakan ini memberikan izin yang diperlukan untuk menyelesaikan tindakan ini secara terprogram dari API atau. AWS AWS CLI Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Lalu, ikuti petunjuk di [buat kebijakan](access_policies_create.md) atau [ubah kebijakan](access_policies_manage-edit.md). 

Ketentuan dalam pengembalian kebijakan benar jika kedua bagian dari ketentuan tersebut benar. Instans harus memiliki tanda `Project=DataAnalytics`. Sebagai tambahan, prinsipal IAM (pengguna atau peran) yang membuat permintaan harus memiliki tag `Department=Data`. 

**catatan**  
Sebagai praktik terbaik, lampirkan kebijakan dengan kunci ketentuan `aws:PrincipalTag` ke grup IAM, untuk kasus di mana beberapa pengguna mungkin memiliki tag tertentu dan beberapa mungkin tidak. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "StartStopIfTags",
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "arn:aws:ec2:us-east-1:123456789012:instance/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Project": "DataAnalytics",
                    "aws:PrincipalTag/Department": "Data"
                }
            }
        }
    ]
}
```

------

# EC2: Mulai atau hentikan instans berdasarkan pada pencocokan prinsipal dan tanda sumber daya
<a name="reference_policies_examples_ec2-start-stop-match-tags"></a>

Contoh ini menunjukkan cara membuat kebijakan berbasis identitas yang memungkinkan prinsipal memulai atau menghentikan instans Amazon EC2 saat tag sumber daya instans dan tag prinsipal memiliki nilai yang sama untuk kunci tag. `CostCenter` Kebijakan ini memberikan izin yang diperlukan untuk menyelesaikan tindakan ini secara terprogram dari API atau. AWS AWS CLI Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Lalu, ikuti petunjuk di [buat kebijakan](access_policies_create.md) atau [ubah kebijakan](access_policies_manage-edit.md). 

**catatan**  
Sebagai praktik terbaik, lampirkan kebijakan dengan kunci ketentuan `aws:PrincipalTag` ke grup IAM, untuk kasus di mana beberapa pengguna mungkin memiliki tag tertentu dan beberapa mungkin tidak. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "ec2:startInstances",
            "ec2:stopInstances"
        ],
        "Resource": "*",
        "Condition": {"StringEquals": 
            {"aws:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"}}
    }
}
```

------

# Amazon EC2: Memungkinkan akses EC2 penuh dalam Wilayah tertentu, secara terprogram dan di konsol
<a name="reference_policies_examples_ec2_region"></a>

Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan berbasis identitas yang memungkinkan akses EC2 penuh dalam Wilayah tertentu. Kebijakan ini menetapkan izin untuk akses terprogram dan konsol. Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Lalu, ikuti petunjuk di [buat kebijakan](access_policies_create.md) atau [ubah kebijakan](access_policies_manage-edit.md). Untuk daftar kode Wilayah, lihat [Wilayah yang Tersedia](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#concepts-available-regions) dalam *Panduan Pengguna Amazon EC2*.

Atau, Anda dapat menggunakan kunci kondisi global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requestedregion](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requestedregion), yang didukung oleh semua tindakan Amazon EC2 API. Untuk informasi selengkapnya, lihat [Contoh: Membatasi akses ke Wilayah tertentu](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-region) di Panduan *Pengguna Amazon EC2*.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": "ec2:*",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ec2:Region": "us-east-2"
                }
            }
        }
    ]
}
```

------

# Amazon EC2: Memungkinkan memulai atau menghentikan instans EC2 dan memodifikasi grup keamanan, secara terprogram dan di konsol
<a name="reference_policies_examples_ec2_instance-securitygroup"></a>

Contoh ini menunjukkan cara membuat kebijakan berbasis identitas yang memungkinkan memulai atau menghentikan instans EC2 tertentu dan memodifikasi grup keamanan tertentu. Kebijakan ini menetapkan izin untuk akses terprogram dan konsol. Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Lalu, ikuti petunjuk di [buat kebijakan](access_policies_create.md) atau [ubah kebijakan](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Action": [
        "ec2:DescribeInstances",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeSecurityGroupReferences",
        "ec2:DescribeStaleSecurityGroups"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "ec2:AuthorizeSecurityGroupEgress",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:RevokeSecurityGroupIngress",
        "ec2:StartInstances",
        "ec2:StopInstances"
      ],
      "Resource": [
        "arn:aws:ec2:*:*:instance/i-instance-id",
        "arn:aws:ec2:*:*:security-group/sg-security-group-id"
      ],
      "Effect": "Allow"
    }
  ]
}
```

------

# Amazon EC2: Memerlukan MFA (GetSessionToken) untuk operasi EC2 tertentu
<a name="reference_policies_examples_ec2_require-mfa"></a>

Contoh ini menunjukkan cara membuat kebijakan berbasis identitas yang memungkinkan akses penuh ke semua operasi AWS API di Amazon EC2. Namun, itu secara tegas menolak akses ke `StopInstances` dan `TerminateInstances` Operasi API jika pengguna tidak diautentikasi menggunakan [Multi-Factor Authentication (MFA)](id_credentials_mfa.md). Untuk melakukan ini secara terprogram, pengguna harus menyertakan nilai opsional `SerialNumber` dan `TokenCode` saat memanggil operasi `GetSessionToken`. Operasi ini mengembalikan kredensial sementara yang diautentikasi menggunakan MFA. Untuk mempelajari lebih lanjut tentang GetSessionToken, lihat[Meminta kredensi untuk pengguna di lingkungan yang tidak tepercaya](id_credentials_temp_request.md#api_getsessiontoken).

Apa yang dikerjakan oleh kebijakan ini?
+ Pernyataan `AllowAllActionsForEC2` mengizinkan semua tindakan Amazon EC2
+ Pernyataan `DenyStopAndTerminateWhenMFAIsNotPresent` menolak tindakan `StopInstances` dan `TerminateInstances` saat konteks MFA hilang. Ini berarti tindakan tersebut ditolak saat konteks multi-factor authentication hilang (artinya MFA tidak digunakan). Penolakan mennimpa izin.

**catatan**  
Pemeriksaaan ketentuan untuk `MultiFactorAuthPresent` dalam pernyataan `Deny` tidak boleh berupa `{"Bool":{"aws:MultiFactorAuthPresent":false}}` karena kunci tersebut tidak ada dan tidak dapat dievaluasi saat MFA tidak digunakan. Sebagai gantinya, gunakan periksa `BoolIfExists` untuk melihat apakah kuncinya ada sebelum memeriksa nilai. Lihat informasi yang lebih lengkap di [... IfExists operator kondisi](reference_policies_elements_condition_operators.md#Conditions_IfExists).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowAllActionsForEC2",
            "Effect": "Allow",
            "Action": "ec2:*",
            "Resource": "*"
        },
        {
            "Sid": "DenyStopAndTerminateWhenMFAIsNotPresent",
            "Effect": "Deny",
            "Action": [
                "ec2:StopInstances",
                "ec2:TerminateInstances"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {"aws:MultiFactorAuthPresent": false}
            }
        }
    ]
}
```

------

# Amazon EC2: Membatasi penghentian instans EC2 ke rentang alamat IP
<a name="reference_policies_examples_ec2_terminate-ip"></a>

Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan berbasis identitas yang membatasi instans EC2 dengan mengizinkan tindakan, tetapi secara eksplisit menolak akses ketika permintaan berasal dari luar rentang IP yang ditentukan. Kebijakan ini berguna saat alamat IP untuk perusahaan Anda berada dalam cakupan tertentu. Kebijakan ini memberikan izin yang diperlukan untuk menyelesaikan tindakan ini secara terprogram dari API atau. AWS AWS CLI Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Lalu, ikuti petunjuk di [buat kebijakan](access_policies_create.md) atau [ubah kebijakan](access_policies_manage-edit.md).

Jika kebijakan ini digunakan bersama dengan kebijakan lain yang mengizinkan `ec2:TerminateInstances` tindakan (seperti kebijakan yang EC2 FullAccess AWS dikelola [Amazon](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEC2FullAccess)), akses ditolak. Hal ini dikarenakan pernyataan penolakan yang eksplisit lebih diutamakan daripada pernyataan yang membolehkan. Untuk informasi selengkapnya, lihat [Bagaimana logika kode AWS penegakan mengevaluasi permintaan untuk mengizinkan atau menolak akses](reference_policies_evaluation-logic_policy-eval-denyallow.md).

**penting**  
Kunci `aws:SourceIp` kondisi menolak akses ke Layanan AWS, seperti AWS CloudFormation, yang membuat panggilan atas nama Anda. Untuk informasi selengkapnya tentang penggunaan kunci kondisi `aws:SourceIp`, lihat [AWS kunci konteks kondisi global](reference_policies_condition-keys.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["ec2:TerminateInstances"],
            "Resource": ["*"]
        },
        {
            "Effect": "Deny",
            "Action": ["ec2:TerminateInstances"],
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                }
            },
            "Resource": ["*"]
        }
    ]
}
```

------

# IAM: Akses API simulator kebijakan
<a name="reference_policies_examples_iam_policy-sim"></a>

Contoh ini menunjukkan cara membuat kebijakan berbasis identitas yang memungkinkan penggunaan API simulator kebijakan untuk kebijakan yang dilampirkan ke pengguna, grup, atau peran saat ini. Akun AWS Kebijakan ini juga mengizinkan akses untuk menyimulasikan kebijakan yang kurang sensitif untuk diteruskan ke API sebagai strings. Kebijakan ini memberikan izin yang diperlukan untuk menyelesaikan tindakan ini secara terprogram dari API atau. AWS AWS CLI

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "iam:GetContextKeysForCustomPolicy",
                "iam:GetContextKeysForPrincipalPolicy",
                "iam:SimulateCustomPolicy",
                "iam:SimulatePrincipalPolicy"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

------

**catatan**  
Untuk mengizinkan pengguna mengakses konsol simulator kebijakan guna mensimulasikan kebijakan yang dilampirkan ke pengguna, grup, atau peran saat ini Akun AWS, lihat[IAM: Akses konsol simulator kebijakan](reference_policies_examples_iam_policy-sim-console.md).

# IAM: Akses konsol simulator kebijakan
<a name="reference_policies_examples_iam_policy-sim-console"></a>

Contoh ini menunjukkan cara membuat kebijakan berbasis identitas yang memungkinkan penggunaan konsol simulator kebijakan untuk kebijakan yang dilampirkan ke pengguna, grup, atau peran saat ini. Akun AWS Kebijakan ini memberikan izin yang diperlukan untuk menyelesaikan tindakan ini secara terprogram dari API atau. AWS AWS CLI

[Anda dapat mengakses konsol IAM Policy Simulator di:/https://policysim.aws.amazon.com](https://policysim.aws.amazon.com/)

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "iam:GetGroup",
                "iam:GetGroupPolicy",
                "iam:GetPolicy",
                "iam:GetPolicyVersion",
                "iam:GetRole",
                "iam:GetRolePolicy",
                "iam:GetUser",
                "iam:GetUserPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListAttachedRolePolicies",
                "iam:ListAttachedUserPolicies",
                "iam:ListGroups",
                "iam:ListGroupPolicies",
                "iam:ListGroupsForUser",
                "iam:ListRolePolicies",
                "iam:ListRoles",
                "iam:ListUserPolicies",
                "iam:ListUsers"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

------

# IAM: Asumsikan peran yang memiliki tag tertentu
<a name="reference_policies_examples_iam-assume-tagged-role"></a>

Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan berbasis identitas yang memungkinkan pengguna IAM untuk mengambil peran dengan pasangan nilai kunci tag. `Project = ExampleCorpABC` Kebijakan ini memberikan izin yang diperlukan untuk menyelesaikan tindakan ini secara terprogram dari API atau. AWS AWS CLI Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Lalu, ikuti petunjuk di [buat kebijakan](access_policies_create.md) atau [edit kebijakan](access_policies_manage-edit.md). 

Jika ada peran dengan tag ini pada akun yang sama dengan pengguna, maka pengguna dapat mengambil peran tersebut. Jika ada peran dengan tanda ini pada akun selain milik pengguna, peran tersebut memerlukan izin tambahan. Kebijakan kepercayaan peran lintas-akun juga harus mengizinkan pengguna atau semua anggota dari akun pengguna untuk mengambil peran itu. Untuk informasi tentang penggunaan peran untuk akses lintas-akun, lihat [Akses untuk pengguna IAM di pengguna lain Akun AWS yang Anda miliki](id_roles_common-scenarios_aws-accounts.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AssumeTaggedRole",
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"iam:ResourceTag/Project": "ExampleCorpABC"}
            }
        }
    ]
}
```

------

# IAM: Mengizinkan dan menolak akses ke beberapa layanan secara terprogram dan di konsol
<a name="reference_policies_examples_iam_multiple-services-console"></a>

Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan berbasis identitas yang memungkinkan akses penuh ke beberapa layanan dan akses pengelolaan mandiri terbatas di IAM. Ia juga menolak akses ke bucket `logs` Amazon S3 atau contoh `i-1234567890abcdef0` Amazon EC2. Kebijakan ini menetapkan izin untuk akses terprogram dan konsol. Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Lalu, ikuti petunjuk di [buat kebijakan](access_policies_create.md) atau [edit kebijakan](access_policies_manage-edit.md).

**Awas**  
Kebijakan ini mengizinkan akses penuh ke setiap tindakan dan sumber daya dalam beberapa layanan. Kebijakan ini harus diterapkan hanya bagi administrator yang tepercaya.

Anda dapat menggunakan kebijakan ini sebagai batasan izin untuk menentukan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada pengguna IAM. Untuk informasi selengkapnya, lihat [Mendelegasikan tanggung jawab kepada orang lain menggunakan batas izin](access_policies_boundaries.md#access_policies_boundaries-delegate). Ketika kebijakan itu digunakan sebagai batasan izin bagi pengguna, pernyataan itu menentukan batasan berikut:
+ Pernyataan `AllowServices` mengizinkan akses penuh ke layanan AWS tertentu. Artinya, tindakan pengguna dalam layanan ini hanya dibatasi oleh kebijakan izin yang melekat pada pengguna.
+ Pernyataan `AllowIAMConsoleForCredentials` mengizinkan akses untuk mencantumkan semua pengguna IAM. Akses ini diperlukan untuk menavigasi halaman **Pengguna** di Konsol Manajemen AWS. Ia juga mengizinkan untuk melihat persyaratan kata sandi untuk akun, yang diperlukan bagi pengguna untuk mengubah kata sandinya sendiri.
+ Pernyataan `AllowManageOwnPasswordAndAccessKeys` ini mengizinkan pengguna mengelola kata sandi konsol dan kunci akses programnya sendiri. Ini penting karena jika kebijakan lain memberi akses IAM penuh ke pengguna, pengguna tersebut lalu dapat mengubah izinnya sendiri atau izin pengguna lain. Pernyataan ini mencegah hal tersebut terjadi.
+ Pernyataan `DenyS3Logs` itu secara eksplisit menolak akses ke `logs` bucket. Kebijakan ini menerapkan batasan perusahaan kepada pengguna.
+ Pernyataan `DenyEC2Production` secara eksplisit menolak akses ke instans `i-1234567890abcdef0`.

Kebijakan ini tidak mengizinkan akses ke layanan atau tindakan lain. Jika kebijakan digunakan sebagai batas izin pada pengguna, meskipun kebijakan lain yang dilampirkan pada pengguna mengizinkan tindakan tersebut, AWS menolak permintaan tersebut.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowServices",
            "Effect": "Allow",
            "Action": [
                "s3:*",
                "cloudwatch:*",
                "ec2:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowIAMConsoleForCredentials",
            "Effect": "Allow",
            "Action": [
                "iam:ListUsers",
                "iam:GetAccountPasswordPolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowManageOwnPasswordAndAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:*AccessKey*",
                "iam:ChangePassword",
                "iam:GetUser",
                "iam:*LoginProfile*"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "DenyS3Logs",
            "Effect": "Deny",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::logs",
                "arn:aws:s3:::logs/*"
            ]
        },
        {
            "Sid": "DenyEC2Production",
            "Effect": "Deny",
            "Action": "ec2:*",
            "Resource": "arn:aws:ec2:*:*:instance/i-1234567890abcdef0"
        }
    ]
}
```

------

# IAM: Tambahkan tag tertentu ke pengguna dengan tag tertentu
<a name="reference_policies_examples_iam-add-tag"></a>

Contoh ini menunjukkan cara membuat kebijakan berbasis identitas yang memungkinkan penambahan kunci tag `Department` dengan nilai tag `Marketing``Development`, atau `QualityAssurance` ke pengguna IAM. Pengguna tersebut harus sudah menyertakan pasangan kunci tag — nilai. `JobFunction = manager` Anda dapat menggunakan kebijakan ini untuk mewajibkan satu manajer hanya dimiliki oleh satu dari tiga departemen. Kebijakan ini menetapkan izin untuk akses terprogram dan konsol. Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Lalu, ikuti petunjuk di [buat kebijakan](access_policies_create.md) atau [ubah kebijakan](access_policies_manage-edit.md). 

Pernyataan `ListTagsForAllUsers` memungkinkan melihat tanda untuk semua pengguna di akun Anda. 

Kondisi pertama dalam `TagManagerWithSpecificDepartment` pernyataan menggunakan `StringEquals` operator kondisi. Kondisi akan kembali sebagai benar bila kedua bagian dari kondisi adalah benar. Pengguna yang akan ditandai harus sudah memiliki tanda `JobFunction=Manager`. Permintaan itu harus menyertakan kunci tanda `Department` dengan satu nilai tanda yang terdaftar. 

Kondisi kedua menggunakan operator kondisi `ForAllValues:StringEquals`. Kondisi mengembalikan benar jika semua kunci tanda dalam permintaan sesuai dengan kunci dalam kebijakan. Artinya satu-satunya kunci tanda dalam permintaan tersebut harus `Department`. Untuk informasi selengkapnya tentang penggunaan `ForAllValues`, lihat [Tetapkan operator untuk kunci konteks multivaluasi](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ListTagsForAllUsers",
            "Effect": "Allow",
            "Action": [
                "iam:ListUserTags",
                "iam:ListUsers"
            ],
            "Resource": "*"
        },
        {
            "Sid": "TagManagerWithSpecificDepartment",
            "Effect": "Allow",
            "Action": "iam:TagUser",
            "Resource": "*",
            "Condition": {"StringEquals": {
                "iam:ResourceTag/JobFunction": "Manager",
                "aws:RequestTag/Department": [
                    "Marketing",
                    "Development",
                    "QualityAssurance"
                    ]
                },
                "ForAllValues:StringEquals": {"aws:TagKeys": "Department"}
            }
        }
    ]
}
```

------

# IAM: Tambahkan tag tertentu dengan nilai tertentu
<a name="reference_policies_examples_iam-add-tag-user-role"></a>

Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan berbasis identitas yang memungkinkan hanya menambahkan kunci tag `CostCenter` dan nilai tag `A-123` atau nilai tag `B-456` ke pengguna atau peran IAM mana pun. Anda dapat menggunakan kebijakan ini untuk membatasi penandaan ke kunci tanda tertentu dan serangkaian nilai tanda. Kebijakan ini menetapkan izin untuk akses terprogram dan konsol. Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Lalu, ikuti petunjuk di [buat kebijakan](access_policies_create.md) atau [ubah kebijakan](access_policies_manage-edit.md). 

Pernyataan `ConsoleDisplay` memungkinkan melihat tanda untuk semua pengguna dan peran dalam akun Anda. 

Kondisi pertama dalam `AddTag` pernyataan menggunakan `StringEquals` operator kondisi. Kondisi mengembalikan benar jika permintaan memasukkan kunci tanda `CostCenter` dengan satu nilai tanda yang terdaftar. 

Kondisi kedua menggunakan operator kondisi `ForAllValues:StringEquals`. Kondisi mengembalikan benar jika semua kunci tanda dalam permintaan sesuai dengan kunci dalam kebijakan. Artinya satu-satunya kunci tanda dalam permintaan tersebut harus `CostCenter`. Untuk informasi selengkapnya tentang penggunaan `ForAllValues`, lihat [Tetapkan operator untuk kunci konteks multivaluasi](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ConsoleDisplay",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:GetUser",
                "iam:ListRoles",
                "iam:ListRoleTags",
                "iam:ListUsers",
                "iam:ListUserTags"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AddTag",
            "Effect": "Allow",
            "Action": [
                "iam:TagUser",
                "iam:TagRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/CostCenter": [
                        "A-123",
                        "B-456"
                    ]
                },
                "ForAllValues:StringEquals": {"aws:TagKeys": "CostCenter"}
            }
        }
    ]
}
```

------

# IAM: Buat pengguna baru hanya dengan tag tertentu
<a name="reference_policies_examples_iam-new-user-tag"></a>

Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan berbasis identitas yang memungkinkan pembuatan pengguna IAM tetapi hanya dengan satu atau kedua kunci dan tag. `Department` `JobFunction` Kunci tanda `Department` harus memiliki nilai tanda `Development` atau `QualityAssurance`. Kunci tanda `JobFunction` harus memiliki nilia tanda `Employee`. Anda dapat menggunakan kebijakan ini untuk mewajibkan bahwa pengguna baru memiliki fungsi dan departemen tugas tertentu. Kebijakan ini memberikan izin yang diperlukan untuk menyelesaikan tindakan ini secara terprogram dari API atau. AWS AWS CLI Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Lalu, ikuti petunjuk di [buat kebijakan](access_policies_create.md) atau [ubah kebijakan](access_policies_manage-edit.md). 

Kondisi pertama dalam pernyataan itu menggunakan `StringEqualsIfExists` operator kondisi. Jika tanda dengan kunci `Department` atau `JobFunction` ada dalam permintaan, tanda tersebut harus memiliki nilai yang ditentukan. Jika tidak ada kunci yang muncul, maka kondisi ini akan dievaluasi sebagai benar. Satu-satunya cara bahwa kondisi itu dievaluasi sebagai salah adalah bila satu dari kunci kondisi yang ditentukan muncul dalam permintaan, tetapi memiliki nilai berbeda dari yang diizinkan. Untuk informasi selengkapnya tentang penggunaan `IfExists`, lihat [... IfExists operator kondisi](reference_policies_elements_condition_operators.md#Conditions_IfExists).

Kondisi kedua menggunakan operator kondisi `ForAllValues:StringEquals`. Kondisi akan mengembalikan benar bila ada kecocokan di antara setiap kunci tanda khusus yang ditentukan dalam permintaan, dan setidaknya satu nilai dalam kebijakan. Artinya, semua tanda dalam permintaan harus ada dalam daftar ini. Namun, permintaan tersebut hanya dapat memasukkan satu tanda ke dalam daftar. Misalnya, Anda dapat membuat pengguna IAM hanya dengan `Department=QualityAssurance` tag. Namun, Anda tidak dapat membuat pengguna IAM dengan `JobFunction=employee` tag dan `Project=core` tag. Untuk informasi selengkapnya tentang penggunaan `ForAllValues`, lihat [Tetapkan operator untuk kunci konteks multivaluasi](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "TagUsersWithOnlyTheseTags",
            "Effect": "Allow",
            "Action": [
                "iam:CreateUser",
                "iam:TagUser"
            ],
            "Resource": "*",
            "Condition": {
                "StringEqualsIfExists": {
                    "aws:RequestTag/Department": [
                        "Development",
                        "QualityAssurance"
                    ],
                    "aws:RequestTag/JobFunction": "Employee"
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "Department",
                        "JobFunction"
                    ]
                }
            }
        }
    ]
}
```

------

# IAM: Menghasilkan dan mengambil laporan kredensi IAM
<a name="reference_policies_examples_iam-credential-report"></a>

Contoh ini menunjukkan cara membuat kebijakan berbasis identitas yang memungkinkan pengguna membuat dan mengunduh laporan yang mencantumkan semua pengguna IAM di dalamnya. Akun AWS Laporan ini termasuk status dari kredensial pengguna, termasuk kata sandi, access key, perangkat MFA, dan sertifikat tanda tangan. Kebijakan ini memberikan izin yang diperlukan untuk menyelesaikan tindakan ini secara terprogram dari API atau. AWS AWS CLI

Untuk informasi selengkapnya tentang laporan kredensial, lihat [Hasilkan laporan kredensi untuk Anda Akun AWS](id_credentials_getting-report.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:GenerateCredentialReport",
            "iam:GetCredentialReport"
        ],
        "Resource": "*"
    }
}
```

------

# IAM: Memungkinkan mengelola keanggotaan grup secara terprogram dan di konsol
<a name="reference_policies_examples_iam_manage-group-membership"></a>

Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan berbasis identitas yang memungkinkan memperbarui keanggotaan grup yang dipanggil. `MarketingTeam` Kebijakan ini menetapkan izin untuk akses terprogram dan konsol. Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Lalu, ikuti petunjuk di [buat kebijakan](access_policies_create.md) atau [edit kebijakan](access_policies_manage-edit.md).

Apa yang dikerjakan oleh kebijakan ini?
+ Pernyataan `ViewGroups` memungkinkan penggunanya mencantumkan semua pengguna dan grup di Konsol Manajemen AWS. Ia juga memungkinkan pengguna untuk melihat informasi dasar tentang pengguna di akun. Izin ini harus ada di dalam pernyataannya sendiri karena mereka tidak mendukung atau tidak perlu menentukan ARN sumber daya tertentu. Alih-alih, izin ini menentukan `"Resource" : "*"`.
+ Pernyataan `ViewEditThisGroup` ini memungkinkan pengguna melihat informasi tentang `MarketingTeam` grup, dan menambahkan dan menghapus pengguna dari grup tersebut.

Kebijakan ini tidak mengizinkan pengguna untuk melihat atau mengedit izin dari pengguna atau `MarketingTeam` dari grup.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewGroups",
            "Effect": "Allow",
            "Action": [
                "iam:ListGroups",
                "iam:ListUsers",
                "iam:GetUser",
                "iam:ListGroupsForUser"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ViewEditThisGroup",
            "Effect": "Allow",
            "Action": [
                "iam:AddUserToGroup",
                "iam:RemoveUserFromGroup",
                "iam:GetGroup"
            ],
            "Resource": "arn:aws:iam::*:group/MarketingTeam"
        }
    ]
}
```

------

# IAM: Kelola tag tertentu
<a name="reference_policies_examples_iam-manage-tags"></a>

Contoh ini menunjukkan cara membuat kebijakan berbasis identitas yang memungkinkan penambahan dan penghapusan tag IAM dengan kunci tag `Department` dari entitas IAM (pengguna dan peran). Kebijakan ini tidak membatasi nilai `Department` tag. Kebijakan ini memberikan izin yang diperlukan untuk menyelesaikan tindakan ini secara terprogram dari API atau. AWS AWS CLI Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Lalu, ikuti petunjuk di [buat kebijakan](access_policies_create.md) atau [ubah kebijakan](access_policies_manage-edit.md). 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:TagUser",
            "iam:TagRole",
            "iam:UntagUser",
            "iam:UntagRole"

        ],
        "Resource": "*",
        "Condition": {"ForAllValues:StringEquals": {"aws:TagKeys": "Department"}}
    }
}
```

------

# IAM: Lulus peran IAM ke layanan tertentu AWS
<a name="reference_policies_examples_iam-passrole-service"></a>

Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan berbasis identitas yang memungkinkan meneruskan peran layanan IAM apa pun ke layanan Amazon. CloudWatch Kebijakan ini memberikan izin yang diperlukan untuk menyelesaikan tindakan ini secara terprogram dari API atau. AWS AWS CLI Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Lalu, ikuti petunjuk di [buat kebijakan](access_policies_create.md) atau [ubah kebijakan](access_policies_manage-edit.md). 

Peran layanan adalah peran IAM yang menentukan AWS layanan sebagai prinsipal yang dapat mengambil peran tersebut. Ini memungkinkan layanan untuk mengambil peran dan mengakses sumber daya di layanan lain atas nama Anda. Untuk memungkinkan Amazon CloudWatch mengambil peran yang Anda lewati, Anda harus menentukan prinsip `cloudwatch.amazonaws.com` layanan sebagai prinsipal dalam kebijakan kepercayaan peran Anda. Prinsipiel layanan ditentukan oleh layanan tersebut. Untuk mempelajari prinsipal layanan dari layanan, lihat dokumentasi untuk layanan tersebut. Untuk beberapa layanan, lihat [AWS layanan yang bekerja dengan IAM](reference_aws-services-that-work-with-iam.md) dan cari layanan yang **Ya **dalam **kolom** Peran Terkait-Layanan. Pilih **Ya** dengan tautan untuk melihat dokumentasi peran yang terkait dengan layanan untuk layanan tersebut. Cari `amazonaws.com` untuk melihat prinsipal layanan.

Untuk mempelajari penerusan peran layanan ke layanan, lihat [Berikan izin pengguna untuk meneruskan peran ke layanan AWS](id_roles_use_passrole.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"iam:PassedToService": "cloudwatch.amazonaws.com"}
            }
        }
    ]
}
```

------

# IAM: Mengizinkan akses hanya-baca ke konsol IAM tanpa melaporkan
<a name="reference_policies_examples_iam_read-only-console-no-reporting"></a>

Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan berbasis identitas yang memungkinkan pengguna IAM untuk melakukan tindakan IAM apa pun yang dimulai dengan string atau. `Get` `List` Saat pengguna bekerja dengan konsol, konsol membuat permintaan ke IAM untuk mencantumkan grup, pengguna, peran, dan kebijakan, dan untuk menghasilkan laporan tentang sumber daya tersebut.

Tanda bintang berfungsi sebagai wildcard. Saat Anda menggunakan `iam:Get*` kebijakan, izin yang dihasilkan mencakup semua tindakan IAM yang dimulai`Get`, seperti `GetUser` dan. `GetRole` Wildcard berguna jika jenis entitas baru ditambahkan ke IAM di masa mendatang. Dalam hal itu, izin yang diberikan oleh kebijakan secara otomatis memungkinkan pengguna mendaftar dan mendapat rincian mengenai entitas baru tersebut. 

Kebijakan ini tidak dapat digunakan untuk membuat laporan atau detail layanan yang terakhir diakses. Untuk kebijakan yang berbeda yang mengizinkan ini, lihat [IAM: Mengizinkan akses hanya-baca ke konsol IAM](reference_policies_examples_iam_read-only-console.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:Get*",
            "iam:List*"
        ],
        "Resource": "*"
    }
}
```

------

# IAM: Mengizinkan akses hanya-baca ke konsol IAM
<a name="reference_policies_examples_iam_read-only-console"></a>

Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan berbasis identitas yang memungkinkan pengguna IAM melakukan tindakan IAM apa pun yang dimulai dengan string,, atau. `Get` `List` `Generate` Saat pengguna bekerja dengan konsol IAM, konsol membuat permintaan untuk mencantumkan grup, pengguna, peran, dan kebijakan, dan untuk menghasilkan laporan tentang sumber daya tersebut.

Tanda bintang berfungsi sebagai wildcard. Saat Anda menggunakan `iam:Get*` kebijakan, izin yang dihasilkan mencakup semua tindakan IAM yang dimulai`Get`, seperti `GetUser` dan. `GetRole` Menggunakan wildcard bermanfaat, terutama jika jenis entitas baru ditambahkan ke IAM di masa depan. Dalam hal itu, izin yang diberikan oleh kebijakan secara otomatis memungkinkan pengguna mendaftar dan mendapat rincian mengenai entitas baru tersebut. 

Gunakan kebijakan ini untuk akses konsol yang menyertakan izin untuk menghasilkan laporan atau detail layanan yang terakhir diakses. Untuk kebijakan yang berbeda yang tidak memungkinkan pembuatan tindakan, lihat [IAM: Mengizinkan akses hanya-baca ke konsol IAM tanpa melaporkan](reference_policies_examples_iam_read-only-console-no-reporting.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:Get*",
            "iam:List*",
            "iam:Generate*"
        ],
        "Resource": "*"
    }
}
```

------

# IAM: Memungkinkan pengguna IAM tertentu untuk mengelola grup secara terprogram dan di konsol
<a name="reference_policies_examples_iam_users-manage-group"></a>

Contoh ini menunjukkan cara membuat kebijakan berbasis identitas yang memungkinkan pengguna IAM tertentu mengelola grup. `AllUsers` Kebijakan ini menetapkan izin untuk akses terprogram dan konsol. Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Lalu, ikuti petunjuk di [buat kebijakan](access_policies_create.md) atau [edit kebijakan](access_policies_manage-edit.md).

Apa yang dikerjakan oleh kebijakan ini?
+ Pernyataan `AllowAllUsersToListAllGroups` ini memungkinkan pendaftaran semua grup. Hal ini diperlukan untuk akses konsol. Izin ini harus berada dalam pernyataannya sendiri karena tidak mendukung ARN sumber daya. Alih-alih, izin ini menentukan `"Resource" : "*"`.
+ Pernyataan `AllowAllUsersToViewAndManageThisGroup` ini mengizinkan semua tindakan grup yang dapat dilakukan pada tipe sumber daya grup. Ia tidak mengizinkan `ListGroupsForUser` tindakan, yang dapat dilakukan pada tipe sumber daya pengguna dan bukan tipe sumber daya grup. Untuk informasi selengkapnya tentang jenis sumber daya yang dapat Anda tentukan untuk tindakan IAM, lihat [Tindakan, Sumber Daya, dan Kunci Kondisi untuk AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_identityandaccessmanagement.html#identityandaccessmanagement-actions-as-permissions).
+ Pernyataan `LimitGroupManagementAccessToSpecificUsers` itu menolak pengguna dengan nama tertentu mengakses untuk menulis dan pengelolaan izin tindakan grup. Ketika pengguna yang ditentukan dalam kebijakan mencoba untuk membuat perubahan pada grup, pernyataan ini tidak menolak permintaan tersebut. Permintaan tersebut akan diizinkan oleh `AllowAllUsersToViewAndManageThisGroup` pernyataan. Jika pengguna lain mencoba melakukan operasi ini, permintaannya ditolak. Anda dapat melihat tindakan IAM yang dijelaskan dengan **Tulis** atau **pengelolaan izin** tingkat akses sambil membuat kebijakan ini di konsol IAM. Untuk melakukan hal ini, beralihlah dari tab **JSON** ke tab**editor Visual**. Untuk informasi selengkapnya tentang tingkat akses. lihat [Tindakan, Sumber Daya, dan Kunci Kondisi untuk AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_identityandaccessmanagement.html#identityandaccessmanagement-actions-as-permissions).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowAllUsersToListAllGroups",
            "Effect": "Allow",
            "Action": "iam:ListGroups",
            "Resource": "*"
        },
        {
            "Sid": "AllowAllUsersToViewAndManageThisGroup",
            "Effect": "Allow",
            "Action": "iam:*Group*",
            "Resource": "arn:aws:iam::*:group/AllUsers"
        },
        {
            "Sid": "LimitGroupManagementAccessToSpecificUsers",
            "Effect": "Deny",
            "Action": [
                "iam:AddUserToGroup",
                "iam:CreateGroup",
                "iam:RemoveUserFromGroup",
                "iam:DeleteGroup",
                "iam:AttachGroupPolicy",
                "iam:UpdateGroup",
                "iam:DetachGroupPolicy",
                "iam:DeleteGroupPolicy",
                "iam:PutGroupPolicy"
            ],
            "Resource": "arn:aws:iam::*:group/AllUsers",
            "Condition": {
                "StringNotEquals": {
                    "aws:username": [
                        "srodriguez",
                        "mjackson",
                        "adesai"
                    ]
                }
            }
        }
    ]
}
```

------

# IAM: Memungkinkan pengaturan persyaratan kata sandi akun secara terprogram dan di konsol
<a name="reference_policies_examples_iam_set-account-pass-policy"></a>

Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan berbasis identitas yang memungkinkan pengguna untuk melihat dan memperbarui persyaratan kata sandi akun mereka. Persyaratan kata sandi tersebut menentukan kompleksitas persyaratan dan periode rotasi wajib untuk kata sandi para anggota akun. Kebijakan ini menetapkan izin untuk akses terprogram dan konsol.

Untuk mempelajari bagaimana mengatur persyaratan kata sandi akun untuk akun Anda, lihat [Menetapkan kebijakan kata sandi akun untuk pengguna IAM](id_credentials_passwords_account-policy.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:GetAccountPasswordPolicy",
            "iam:UpdateAccountPasswordPolicy"
        ],
        "Resource": "*"
    }
}
```

------

# IAM: Akses API simulator kebijakan berdasarkan jalur pengguna
<a name="reference_policies_examples_iam_policy-sim-path"></a>

Contoh ini menunjukkan cara membuat kebijakan berbasis identitas yang memungkinkan penggunaan API simulator kebijakan hanya untuk pengguna yang memiliki jalur. `Department/Development` Kebijakan ini memberikan izin yang diperlukan untuk menyelesaikan tindakan ini secara terprogram dari API atau. AWS AWS CLI Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Lalu, ikuti petunjuk di [buat kebijakan](access_policies_create.md) atau [ubah kebijakan](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "iam:GetContextKeysForPrincipalPolicy",
                "iam:SimulatePrincipalPolicy"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:iam::*:user/Department/Development/*"
        }
    ]
}
```

------

**catatan**  
Untuk membuat kebijakan yang memungkinkan penggunaan konsol simulator kebijakan untuk pengguna yang memiliki jalur `Department/Development`, lihat [IAM: Akses konsol simulator kebijakan berdasarkan jalur pengguna](reference_policies_examples_iam_policy-sim-path-console.md).

# IAM: Akses konsol simulator kebijakan berdasarkan jalur pengguna
<a name="reference_policies_examples_iam_policy-sim-path-console"></a>

Contoh ini menunjukkan cara membuat kebijakan berbasis identitas yang memungkinkan penggunaan konsol simulator kebijakan hanya untuk pengguna yang memiliki jalur. `Department/Development` Kebijakan ini memberikan izin yang diperlukan untuk menyelesaikan tindakan ini secara terprogram dari API atau. AWS AWS CLI Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Lalu, ikuti petunjuk di [buat kebijakan](access_policies_create.md) atau [ubah kebijakan](access_policies_manage-edit.md).

[Anda dapat mengakses Simulator Kebijakan IAM di:/https://policysim.aws.amazon.com](https://policysim.aws.amazon.com/)

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "iam:GetPolicy",
                "iam:GetUserPolicy"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "iam:GetUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListGroupsForUser",
                "iam:ListUserPolicies",
                "iam:ListUsers"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:iam::*:user/Department/Development/*"
        }
    ]
}
```

------

# IAM: Memungkinkan pengguna IAM untuk mengelola sendiri perangkat MFA
<a name="reference_policies_examples_iam_mfa-selfmanage"></a>

Contoh ini menunjukkan cara membuat kebijakan berbasis identitas yang memungkinkan pengguna IAM mengelola sendiri perangkat [autentikasi](id_credentials_mfa.md) multi-faktor (MFA) mereka. Kebijakan ini memberikan izin yang diperlukan untuk menyelesaikan tindakan ini secara terprogram dari API atau. AWS AWS CLI

**catatan**  
Jika pengguna IAM dengan kebijakan ini tidak diautentikasi oleh MFA, kebijakan ini menolak akses ke semua AWS tindakan kecuali yang diperlukan untuk mengautentikasi menggunakan MFA. Jika Anda menambahkan izin ini untuk pengguna yang masuk AWS, mereka mungkin perlu keluar dan masuk kembali untuk melihat perubahan ini.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowListActions",
            "Effect": "Allow",
            "Action": [
                "iam:ListUsers",
                "iam:ListVirtualMFADevices"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowUserToCreateVirtualMFADevice",
            "Effect": "Allow",
            "Action": [
                "iam:CreateVirtualMFADevice"
            ],
            "Resource": "arn:aws:iam::*:mfa/*"
        },
        {
            "Sid": "AllowUserToManageTheirOwnMFA",
            "Effect": "Allow",
            "Action": [
                "iam:EnableMFADevice",
                "iam:GetMFADevice",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowUserToDeactivateTheirOwnMFAOnlyWhenUsingMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice"
            ],
            "Resource": [
                "arn:aws:iam::*:user/${aws:username}"
            ],
            "Condition": {
                "Bool": {
                    "aws:MultiFactorAuthPresent": "true"
                }
            }
        },
        {
            "Sid": "BlockMostAccessUnlessSignedInWithMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:CreateVirtualMFADevice",
                "iam:EnableMFADevice",
                "iam:ListMFADevices",
                "iam:ListUsers",
                "iam:ListVirtualMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}
```

------

# IAM: Memungkinkan pengguna IAM memperbarui kredensialnya sendiri secara terprogram dan di konsol
<a name="reference_policies_examples_iam_credentials_console"></a>

Contoh ini menunjukkan cara Anda membuat kebijakan berbasis identitas yang memungkinkan pengguna IAM memperbarui kunci akses mereka sendiri, menandatangani sertifikat, kredensi khusus layanan, dan kata sandi. Kebijakan ini menetapkan izin untuk akses terprogram dan konsol.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListUsers",
                "iam:GetAccountPasswordPolicy"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:*AccessKey*",
                "iam:ChangePassword",
                "iam:GetUser",
                "iam:*ServiceSpecificCredential*",
                "iam:*SigningCertificate*"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        }
    ]
}
```

------

Untuk mempelajari bagaimana pengguna dapat mengubah kata sandinya sendiri di konsol, lihat [Bagaimana pengguna IAM mengubah kata sandi mereka sendiri](id_credentials_passwords_user-change-own.md).

# IAM: Lihat informasi layanan yang terakhir diakses untuk kebijakan AWS Organizations
<a name="reference_policies_examples_iam_service-accessed-data-orgs"></a>

Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan berbasis identitas yang memungkinkan layanan melihat informasi yang terakhir diakses untuk kebijakan tertentu. AWS Organizations Kebijakan ini memungkinkan pengambilan data untuk kebijakan kendali layanan (SCP) dengan `p-policy123` ID. Orang yang membuat dan melihat laporan harus diautentikasi menggunakan kredensi akun AWS Organizations manajemen. Kebijakan ini memungkinkan pemohon untuk mengambil data untuk setiap AWS Organizations entitas dalam organisasi mereka. Kebijakan ini menetapkan izin untuk akses terprogram dan konsol. Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Lalu, ikuti petunjuk di [buat kebijakan](access_policies_create.md) atau [edit kebijakan](access_policies_manage-edit.md).

Untuk informasi penting tentang informasi yang diakses terakhir, termasuk izin yang diperlukan, pemecahan masalah, dan Wilayah yang didukung, lihat [Memperbaiki izin dalam AWS menggunakan informasi yang terakhir diakses](access_policies_last-accessed.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowOrgsReadOnlyAndIamGetReport",
            "Effect": "Allow",
            "Action": [
                "iam:GetOrganizationsAccessReport",
                "organizations:Describe*",
                "organizations:List*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowGenerateReportOnlyForThePolicy",
            "Effect": "Allow",
            "Action": "iam:GenerateOrganizationsAccessReport",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"iam:OrganizationsPolicyId": "p-policy123"}
            }
        }
    ]
}
```

------

# IAM: Membatasi kebijakan terkelola yang dapat diterapkan pada pengguna, grup, atau peran IAM
<a name="reference_policies_examples_iam_limit-managed"></a>

Contoh ini menunjukkan cara membuat kebijakan berbasis identitas yang membatasi kebijakan yang dikelola dan AWS dikelola pelanggan yang dapat diterapkan pada pengguna, grup, atau peran IAM. Kebijakan ini memberikan izin yang diperlukan untuk menyelesaikan tindakan ini secara terprogram dari API atau. AWS AWS CLI Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Lalu, ikuti petunjuk di [buat kebijakan](access_policies_create.md) atau [ubah kebijakan](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:AttachUserPolicy",
            "iam:DetachUserPolicy"
        ],
        "Resource": "*",
        "Condition": {
            "ArnEquals": {
                "iam:PolicyARN": [
                    "arn:aws:iam::*:policy/policy-name-1",
                    "arn:aws:iam::*:policy/policy-name-2"
                ]
            }
        }
    }
}
```

------

# AWS: Tolak akses ke sumber daya di luar akun Anda kecuali kebijakan IAM yang AWS dikelola
<a name="resource_examples_iam_policies_resource_account"></a>

Menggunakan `aws:ResourceAccount` kebijakan berbasis identitas Anda dapat memengaruhi pengguna atau kemampuan peran untuk memanfaatkan beberapa layanan yang memerlukan interaksi dengan sumber daya di akun yang dimiliki oleh layanan.

Anda dapat membuat kebijakan dengan pengecualian untuk mengizinkan kebijakan IAM AWS terkelola. Akun yang dikelola layanan di luar Kebijakan IAM AWS Organizations Terkelola milik Anda sendiri. Ada empat tindakan IAM yang mencantumkan dan mengambil kebijakan AWS-managed. Gunakan tindakan ini dalam [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html)elemen pernyataan. `AllowAccessToS3ResourcesInSpecificAccountsAndSpecificService1`dalam kebijakan.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowAccessToResourcesInSpecificAccountsAndSpecificService1",
      "Effect": "Deny",
      "NotAction": [
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:ListEntitiesForPolicy",
        "iam:ListPolicies"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "111122223333"
          ]
        }
      }
    }
  ]
}
```

------

# AWS Lambda: Mengizinkan fungsi Lambda mengakses tabel Amazon DynamoDB
<a name="reference_policies_examples_lambda-access-dynamodb"></a>

Contoh ini menunjukkan cara membuat kebijakan berbasis identitas yang memungkinkan akses baca dan tulis ke tabel Amazon DynamoDB tertentu. Kebijakan ini juga memungkinkan penulisan file log ke CloudWatch Log. Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Lalu, ikuti petunjuk di [buat kebijakan](access_policies_create.md) atau [edit kebijakan](access_policies_manage-edit.md).

Untuk menggunakan kebijakan ini, lampirkan kebijakan tersebut pada peran layanan [Lambda](id_roles_create_for-service.md). Peran layanan adalah peran yang Anda buat di akun Anda untuk mengizinkan layanan melakukan tindakan atas nama Anda. Peran layanan itu harus dimasukkan AWS Lambda sebagai kepala sekolah dalam kebijakan kepercayaan. Untuk detail tentang cara menggunakan kebijakan ini, lihat [Cara Membuat Kebijakan AWS IAM untuk Memberikan AWS Lambda Akses ke Tabel AWS Amazon DynamoDB](https://aws.amazon.com/blogs/security/how-to-create-an-aws-iam-policy-to-grant-aws-lambda-access-to-an-amazon-dynamodb-table/) di Blog Keamanan.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ReadWriteTable",
            "Effect": "Allow",
            "Action": [
                "dynamodb:BatchGetItem",
                "dynamodb:GetItem",
                "dynamodb:Query",
                "dynamodb:Scan",
                "dynamodb:BatchWriteItem",
                "dynamodb:PutItem",
                "dynamodb:UpdateItem"
            ],
            "Resource": "arn:aws:dynamodb:*:*:table/SampleTable"
        },
        {
            "Sid": "GetStreamRecords",
            "Effect": "Allow",
            "Action": "dynamodb:GetRecords",
            "Resource": "arn:aws:dynamodb:*:*:table/SampleTable/stream/* "
        },
        {
            "Sid": "WriteLogStreamsAndGroups",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CreateLogGroup",
            "Effect": "Allow",
            "Action": "logs:CreateLogGroup",
            "Resource": "*"
        }
    ]
}
```

------

# Amazon RDS: Memungkinkan akses database RDS penuh dalam Wilayah tertentu
<a name="reference_policies_examples_rds_region"></a>

Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan berbasis identitas yang memungkinkan akses database RDS penuh dalam Wilayah tertentu. Kebijakan ini memberikan izin yang diperlukan untuk menyelesaikan tindakan ini secara terprogram dari API atau. AWS AWS CLI Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Lalu, ikuti petunjuk di [buat kebijakan](access_policies_create.md) atau [ubah kebijakan](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "rds:*",
            "Resource": ["arn:aws:rds:us-east-1:*:*"]
        },
        {
            "Effect": "Allow",
            "Action": ["rds:Describe*"],
            "Resource": ["*"]
        }
    ]
}
```

------

# Amazon RDS: Memungkinkan memulihkan database RDS, secara terprogram dan di konsol
<a name="reference_policies_examples_rds_db-console"></a>

Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan berbasis identitas yang memungkinkan pemulihan database RDS. Kebijakan ini menetapkan izin untuk akses terprogram dan konsol.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:Describe*",
                "rds:CreateDBParameterGroup",
                "rds:CreateDBSnapshot",
                "rds:DeleteDBSnapshot",
                "rds:Describe*",
                "rds:DownloadDBLogFilePortion",
                "rds:List*",
                "rds:ModifyDBInstance",
                "rds:ModifyDBParameterGroup",
                "rds:ModifyOptionGroup",
                "rds:RebootDBInstance",
                "rds:RestoreDBInstanceFromDBSnapshot",
                "rds:RestoreDBInstanceToPointInTime"
            ],
            "Resource": "*"
        }
    ]
}
```

------

# Amazon RDS: Memungkinkan pemilik tag akses penuh ke sumber daya RDS yang telah mereka tag
<a name="reference_policies_examples_rds_tag-owner"></a>

Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan berbasis identitas yang memungkinkan pemilik tag akses penuh ke sumber daya RDS yang telah mereka tag. Kebijakan ini memberikan izin yang diperlukan untuk menyelesaikan tindakan ini secara terprogram dari API atau. AWS AWS CLI

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "rds:Describe*",
                "rds:List*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "rds:DeleteDBInstance",
                "rds:RebootDBInstance",
                "rds:ModifyDBInstance"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"rds:db-tag/Owner": "${aws:username}"}
            }
        },
        {
            "Action": [
                "rds:ModifyOptionGroup",
                "rds:DeleteOptionGroup"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"rds:og-tag/Owner": "${aws:username}"}
            }
        },
        {
            "Action": [
                "rds:ModifyDBParameterGroup",
                "rds:ResetDBParameterGroup"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"rds:pg-tag/Owner": "${aws:username}"}
            }
        },
        {
            "Action": [
                "rds:AuthorizeDBSecurityGroupIngress",
                "rds:RevokeDBSecurityGroupIngress",
                "rds:DeleteDBSecurityGroup"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"rds:secgrp-tag/Owner": "${aws:username}"}
            }
        },
        {
            "Action": [
                "rds:DeleteDBSnapshot",
                "rds:RestoreDBInstanceFromDBSnapshot"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"rds:snapshot-tag/Owner": "${aws:username}"}
            }
        },
        {
            "Action": [
                "rds:ModifyDBSubnetGroup",
                "rds:DeleteDBSubnetGroup"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"rds:subgrp-tag/Owner": "${aws:username}"}
            }
        },
        {
            "Action": [
                "rds:ModifyEventSubscription",
                "rds:AddSourceIdentifierToSubscription",
                "rds:RemoveSourceIdentifierFromSubscription",
                "rds:DeleteEventSubscription"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"rds:es-tag/Owner": "${aws:username}"}
            }
        }
    ]
}
```

------

# Amazon S3: Memungkinkan pengguna Amazon Cognito mengakses objek di bucket mereka
<a name="reference_policies_examples_s3_cognito-bucket"></a>

Contoh ini menunjukkan cara membuat kebijakan berbasis identitas yang memungkinkan pengguna Amazon Cognito mengakses objek di bucket Amazon S3 tertentu. Kebijakan ini mengizinkan akses hanya ke objek dengan nama yang menyertakan`cognito`, nama aplikasi, dan ID utama federasi, yang diwakili oleh variabel \$1 \$1cognito-identity.amazonaws.com:sub\$1. Kebijakan ini memberikan izin yang diperlukan untuk menyelesaikan tindakan ini secara terprogram dari API atau. AWS AWS CLI Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Lalu, ikuti petunjuk di [buat kebijakan](access_policies_create.md) atau [edit kebijakan](access_policies_manage-edit.md).

**catatan**  
Nilai 'sub' yang digunakan dalam kunci obyek bukanlah nilai sub pengguna di Kumpulan Pengguna, namun identitas id yang diasosiasikan dengan pengguna di Kumpulan Identitas.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "ListYourObjects",
      "Effect": "Allow",
      "Action": "s3:ListBucket",
      "Resource": [
        "arn:aws:s3:::bucket-name"
      ],
      "Condition": {
        "StringLike": {
          "s3:prefix": [
            "cognito/application-name/${cognito-identity.amazonaws.com:sub}/*"
          ]
        }
      }
    },
    {
      "Sid": "ReadWriteDeleteYourObjects",
      "Effect": "Allow",
      "Action": [
        "s3:DeleteObject",
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::bucket-name/cognito/application-name/${cognito-identity.amazonaws.com:sub}/*"
      ]
    }
  ]
}
```

------

Amazon Cognito menyediakan autentikasi, otorisasi, dan pengelolaan pengguna untuk aplikasi web dan seluler Anda. Pengguna Anda bisa langsung masuk dengan nama pengguna dan kata sandi, atau lewat pihak ketiga seperti Facebook, Amazon, atau Google. 

Dua komponen utama Amazon Cognito adalah kumpulan pengguna dan kumpulan identitas. Kumpulan pengguna adalah direktori pengguna yang menyediakan opsi pendaftaran dan masuk bagi pengguna aplikasi Anda. Kumpulan identitas memungkinkan Anda memberi pengguna akses ke AWS layanan lain. Anda dapat menggunakan kolam identitas dan kolam pengguna secara terpisah atau bersama-sama. 

Untuk informasi selengkapnya tentang Amazon Cognito, lihat Panduan Pengguna [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-identity.html).

# Amazon S3: Memungkinkan pengguna federasi mengakses ke direktori home Amazon S3 mereka, secara terprogram dan di konsol
<a name="reference_policies_examples_s3_federated-home-directory-console"></a>

Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan berbasis identitas yang memungkinkan prinsipal federasi mengakses objek bucket direktori home mereka sendiri di S3. Direktori home adalah bucket yang menyertakan `home` folder dan folder untuk masing-masing kepala sekolah federasi. Kebijakan ini menetapkan izin untuk akses terprogram dan konsol. Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Lalu, ikuti petunjuk di [buat kebijakan](access_policies_create.md) atau [ubah kebijakan](access_policies_manage-edit.md).

Variabel `${aws:userid}` dalam kebijakan ini memutuskan untuk `role-id:specified-name`. `role-id`Bagian dari ID utama federasi adalah pengidentifikasi unik yang ditugaskan untuk peran kepala sekolah federasi selama pembuatan. Untuk informasi selengkapnya, lihat [Pengidentifikasi unik](reference_identifiers.md#identifiers-unique-ids). `specified-name`Ini adalah [RoleSessionName parameter](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html#API_AssumeRoleWithWebIdentity_RequestParameters) yang diteruskan ke `AssumeRoleWithWebIdentity` permintaan ketika kepala sekolah federasi mengambil peran mereka.

Anda dapat melihat ID peran menggunakan AWS CLI perintah`aws iam get-role --role-name specified-name`. Misalnya, bayangkan Anda menentukan nama `John` yang mudah diingat dan CLI mengembalikan ID peran `AROAXXT2NJT7D3SIQN7Z6`. Dalam hal ini, ID pengguna kepala sekolah federasi adalah`AROAXXT2NJT7D3SIQN7Z6:John`. Kebijakan ini kemudian memungkinkan kepala sekolah federasi John untuk mengakses bucket Amazon S3 dengan awalan. `AROAXXT2NJT7D3SIQN7Z6:John`

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "S3ConsoleAccess",
            "Effect": "Allow",
            "Action": [
                "s3:GetAccountPublicAccessBlock",
                "s3:GetBucketAcl",
                "s3:GetBucketLocation",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:ListAccessPoints",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ListObjectsInBucket",
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Condition": {
                "StringLike": {
                    "s3:prefix": [
                        "",
                        "home/",
                        "home/${aws:userid}/*"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/home/${aws:userid}",
                "arn:aws:s3:::amzn-s3-demo-bucket/home/${aws:userid}/*"
            ]
        }
    ]
}
```

------

# Amazon S3: Akses Bucket S3, tetapi bucket produksi ditolak tanpa MFA baru-baru ini
<a name="reference_policies_examples_s3_full-access-except-production"></a>

Contoh ini menunjukkan cara membuat kebijakan berbasis identitas yang memungkinkan administrator Amazon S3 mengakses bucket apa pun, termasuk memperbarui, menambahkan, dan menghapus objek. Namun, ini secara eksplisit menolak akses ke bucket `amzn-s3-demo-bucket-production` jika pengguna belum masuk menggunakan [Autentikasi Multi-factor (MFA)](id_credentials_mfa.md) dalam tiga puluh menit terakhir. Kebijakan ini memberikan izin yang diperlukan untuk melakukan tindakan ini di konsol atau menggunakan API atau secara terprogram. AWS CLI AWS Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Lalu, ikuti petunjuk di [buat kebijakan](access_policies_create.md) atau [ubah kebijakan](access_policies_manage-edit.md).

Kebijakan ini tidak pernah mengizinkan akses terprogram ke bucket `amzn-s3-demo-bucket` menggunakan access key pengguna. Hal ini dicapai menggunakan kunci kondisi `aws:MultiFactorAuthAge` dengan operator kondisi `NumericGreaterThanIfExists`. Kondisi kebijakan ini akan kembali`true` jika tidak ada MFA atau jika usia MFA lebih dari 30 menit. Dalam situasi tersebut, akses ditolak. Untuk mengakses `amzn-s3-demo-bucket-production` bucket secara terprogram, administrator S3 harus menggunakan kredensial sementara yang dibuat dalam 30 menit terakhir menggunakan [GetSessionToken](id_credentials_temp_request.md#api_getsessiontoken) operasi API.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ListAllS3Buckets",
            "Effect": "Allow",
            "Action": ["s3:ListAllMyBuckets"],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Sid": "AllowBucketLevelActions",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Sid": "AllowBucketObjectActions",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:DeleteObject"
            ],
            "Resource": "arn:aws:s3:::*/*"
        },
        {
            "Sid": "RequireMFAForProductionBucket",
            "Effect": "Deny",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-production/*",
                "arn:aws:s3:::amzn-s3-demo-bucket-production"
            ],
            "Condition": {
                "NumericGreaterThanIfExists": {"aws:MultiFactorAuthAge": "1800"}
            }
        }
    ]
}
```

------

# Amazon S3: Memungkinkan pengguna IAM mengakses direktori home S3 mereka, secara terprogram dan di konsol
<a name="reference_policies_examples_s3_home-directory-console"></a>

Contoh ini menunjukkan cara membuat kebijakan berbasis identitas yang memungkinkan pengguna IAM mengakses objek bucket direktori home mereka sendiri di S3. Direktori rumah adalah bucket yang mencakup `home` folder dan folders untuk pengguna individual. Kebijakan ini menetapkan izin untuk akses terprogram dan konsol. Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Lalu, ikuti petunjuk di [buat kebijakan](access_policies_create.md) atau [ubah kebijakan](access_policies_manage-edit.md).

Kebijakan ini tidak akan berfungsi saat menggunakan peran IAM karena `aws:username` variabel tidak tersedia saat menggunakan peran IAM. Untuk detail tentang nilai kunci prinsipal, lihat [Nilai-nilai kunci utama](reference_policies_variables.md#principaltable).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "S3ConsoleAccess",
            "Effect": "Allow",
            "Action": [
                "s3:GetAccountPublicAccessBlock",
                "s3:GetBucketAcl",
                "s3:GetBucketLocation",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:ListAccessPoints",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ListObjectsInBucket",
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Condition": {
                "StringLike": {
                    "s3:prefix": [
                        "",
                        "home/",
                        "home/${aws:username}/*"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/home/${aws:username}",
                "arn:aws:s3:::amzn-s3-demo-bucket/home/${aws:username}/*"
            ]
        }
    ]
}
```

------

# Amazon S3: Batasi manajemen ke bucket S3 tertentu
<a name="reference_policies_examples_s3_deny-except-bucket"></a>

Contoh ini menunjukkan cara membuat kebijakan berbasis identitas yang membatasi pengelolaan bucket Amazon S3 ke bucket tertentu. Kebijakan ini memberikan izin untuk melakukan semua tindakan Amazon S3, tetapi menolak akses ke Layanan AWS setiap kecuali Amazon S3. Lihat contoh berikut ini. Menurut kebijakan ini, Anda hanya dapat mengakses tindakan Amazon S3 yang dapat Anda lakukan pada bucket S3 atau sumber daya objek S3. Kebijakan ini memberikan izin yang diperlukan untuk menyelesaikan tindakan ini secara terprogram dari API atau. AWS AWS CLI Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Lalu, ikuti petunjuk di [buat kebijakan](access_policies_create.md) atau [ubah kebijakan](access_policies_manage-edit.md).

Jika kebijakan ini digunakan dalam kombinasi dengan kebijakan lain (seperti kebijakan EC2 FullAccess AWS terkelola [AmazonS3 atau FullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonS3FullAccess) [Amazon](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEC2FullAccess)) yang mengizinkan tindakan ditolak oleh kebijakan ini, maka akses ditolak. Hal ini dikarenakan pernyataan penolakan yang eksplisit lebih diutamakan daripada pernyataan yang membolehkan. Untuk informasi selengkapnya, lihat [Bagaimana logika kode AWS penegakan mengevaluasi permintaan untuk mengizinkan atau menolak akses](reference_policies_evaluation-logic_policy-eval-denyallow.md).

**Awas**  
[`NotAction`](reference_policies_elements_notaction.md) dan [`NotResource`](reference_policies_elements_notresource.md) adalah elemen kebijakan lanjutan yang harus digunakan dengan seksama. Kebijakan ini menolak akses ke setiap AWS layanan kecuali Amazon S3. Jika Anda melampirkan kebijakan ini kepada pengguna, kebijakan lain yang mengizinkan layanan lain diabaikan dan akses ditolak.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::bucket-name",
                "arn:aws:s3:::bucket-name/*"
            ]
        },
        {
            "Effect": "Deny",
            "NotAction": "s3:*",
            "NotResource": [
                "arn:aws:s3:::bucket-name",
                "arn:aws:s3:::bucket-name/*"
            ]
        }
    ]
}
```

------

# Berikan akses baca dan tulis ke objek bucket Amazon S3
<a name="reference_policies_examples_s3_rw-bucket"></a>

Contoh ini menunjukkan cara membuat kebijakan berbasis identitas yang mengizinkan `Read` dan `Write` mengakses objek di bucket Amazon S3 tertentu. Kebijakan ini memberikan izin yang diperlukan untuk menyelesaikan tindakan ini secara terprogram dari API atau. AWS AWS CLI Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Lalu, ikuti petunjuk di [buat kebijakan](access_policies_create.md) atau [ubah kebijakan](access_policies_manage-edit.md).

Tindakan `s3:*Object` ini menggunakan wildcard sebagai bagian dari nama tindakan. Pernyataan ini `AllObjectActions` mengizinkan `GetObject`, `DeleteObject`, `PutObject`, dan tindakan Amazon S3 lainnya yang berakhir dengan kata “Obyek”.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ListObjectsInBucket",
            "Effect": "Allow",
            "Action": ["s3:ListBucket"],
            "Resource": ["arn:aws:s3:::bucket-name"]
        },
        {
            "Sid": "AllObjectActions",
            "Effect": "Allow",
            "Action": "s3:*Object",
            "Resource": ["arn:aws:s3:::bucket-name/*"]
        }
    ]
}
```

------

**catatan**  
Untuk mengizinkan `Read` dan `Write` akses ke objek dalam bucket Amazon S3 dan juga termasuk izin tambahan untuk akses konsol, lihat [Amazon S3: Memungkinkan akses baca dan tulis ke objek di Bucket S3, secara terprogram dan di konsol](reference_policies_examples_s3_rw-bucket-console.md).

# Amazon S3: Memungkinkan akses baca dan tulis ke objek di Bucket S3, secara terprogram dan di konsol
<a name="reference_policies_examples_s3_rw-bucket-console"></a>

Contoh ini menunjukkan cara membuat kebijakan berbasis identitas yang mengizinkan `Read` dan `Write` mengakses objek dalam bucket S3 tertentu. Kebijakan ini menetapkan izin untuk akses terprogram dan konsol. Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Lalu, ikuti petunjuk di [buat kebijakan](access_policies_create.md) atau [ubah kebijakan](access_policies_manage-edit.md).

Tindakan `s3:*Object` ini menggunakan wildcard sebagai bagian dari nama tindakan. Pernyataan ini `AllObjectActions` mengizinkan `GetObject`, `DeleteObject`, `PutObject`, dan tindakan Amazon S3 lainnya yang berakhir dengan kata “Obyek”.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "S3ConsoleAccess",
            "Effect": "Allow",
            "Action": [
                "s3:GetAccountPublicAccessBlock",
                "s3:GetBucketAcl",
                "s3:GetBucketLocation",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:ListAccessPoints",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ListObjectsInBucket",
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket"]
        },
        {
            "Sid": "AllObjectActions",
            "Effect": "Allow",
            "Action": "s3:*Object",
            "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket/*"]
        }
    ]
}
```

------

# Kelola kebijakan IAM
<a name="access_policies_manage"></a>

IAM memberi Anda perangkat untuk membuat dan mengelola semua tipe kebijakan IAM (kebijakan terkelola dan kebijakan selaras). Untuk menambahkan izin ke identitas IAM (pengguna, grup, atau peran IAM), Anda membuat kebijakan, memvalidasi kebijakan, dan kemudian melampirkan kebijakan ke identitas. Anda dapat melampirkan beberapa kebijakan ke satu identitas, dan setiap kebijakan dapat berisi beberapa izin.

**Topics**
+ [

## Sumber daya tambahan
](#access_policies_manage-additional-resources)
+ [

# Tentukan izin IAM khusus dengan kebijakan terkelola pelanggan
](access_policies_create.md)
+ [

# Validasi kebijakan IAM
](access_policies_policy-validator.md)
+ [

# Pengujian kebijakan IAM dengan simulator kebijakan IAM
](access_policies_testing-policies.md)
+ [

# Menambahkan dan menghapus izin identitas IAM
](access_policies_manage-attach-detach.md)
+ [

# Peningkatan versi IAM
](access_policies_managed-versioning.md)
+ [

# Edit kebijakan IAM
](access_policies_manage-edit.md)
+ [

# Hapus kebijakan IAM
](access_policies_manage-delete.md)
+ [

# Memperbaiki izin dalam AWS menggunakan informasi yang terakhir diakses
](access_policies_last-accessed.md)

## Sumber daya tambahan
<a name="access_policies_manage-additional-resources"></a>

Sumber daya berikut dapat membantu Anda mempelajari lebih lanjut tentang AWS kebijakan.
+ Untuk informasi lebih lanjut tentang tipe kebijakan IAM yang berbeda, lihat [Kebijakan dan izin di AWS Identity and Access Management](access_policies.md). 
+ Untuk informasi umum tentang penggunaan kebijakan di dalam IAM, lihat [Manajemen akses untuk AWS sumber daya](access.md).
+ Untuk informasi tentang cara menggunakan IAM Access Analyzer untuk menghasilkan kebijakan IAM yang didasarkan pada aktivitas akses untuk entitas, lihat pembuatan kebijakan [IAM Access](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html) Analyzer.
+ Untuk informasi tentang bagaimana izin dievaluasi saat beberapa kebijakan berlaku untuk identitas IAM yang diberikan, lihat [Logika evaluasi kebijakan](reference_policies_evaluation-logic.md).
+ Jumlah dan ukuran sumber daya IAM dalam AWS akun terbatas. Lihat informasi yang lebih lengkap di [IAM dan AWS STS kuota](reference_iam-quotas.md).

# Tentukan izin IAM khusus dengan kebijakan terkelola pelanggan
<a name="access_policies_create"></a>

[Kebijakan](access_policies.md) menentukan izin untuk identitas atau sumber daya di. AWS Anda dapat membuat *kebijakan yang dikelola pelanggan* di IAM menggunakan Konsol Manajemen AWS, AWS CLI, atau AWS API. Kebijakan yang dikelola pelanggan adalah kebijakan mandiri yang Anda kelola sendiri Akun AWS. Anda kemudian dapat melampirkan kebijakan ke identitas (pengguna, grup, dan peran) di situs Anda Akun AWS.

*Kebijakan berbasis identitas adalah kebijakan* yang melekat pada identitas di IAM. Kebijakan berbasis identitas dapat mencakup kebijakan terkelola, kebijakan yang AWS dikelola pelanggan, dan kebijakan inline. AWS kebijakan terkelola dibuat dan dikelola oleh AWS, dan Anda dapat menggunakannya tetapi tidak mengelolanya. Kebijakan inline adalah kebijakan yang Anda buat dan sematkan langsung ke grup pengguna, pengguna, atau peran IAM. Kebijakan inline tidak dapat digunakan kembali pada identitas lain atau dikelola di luar identitas di mana mereka ada. Untuk informasi selengkapnya, lihat [Menambahkan dan menghapus izin identitas IAM](access_policies_manage-attach-detach.md).

Umumnya lebih baik menggunakan kebijakan yang dikelola pelanggan daripada kebijakan inline atau kebijakan AWS terkelola. AWS kebijakan terkelola biasanya memberikan izin administratif atau hanya-baca yang luas. Untuk keamanan terbesar, [berikan hak istimewa paling sedikit](best-practices.md#grant-least-privilege), yang berarti hanya memberikan izin yang diperlukan untuk melakukan tugas pekerjaan tertentu.

Ketika Anda membuat atau mengedit kebijakan IAM, AWS dapat secara otomatis melakukan validasi kebijakan untuk membantu Anda membuat kebijakan yang efektif dengan hak istimewa paling sedikit dalam pikiran. Dalam Konsol Manajemen AWS, IAM mengidentifikasi kesalahan sintaks JSON, sementara IAM Access Analyzer menyediakan pemeriksaan kebijakan tambahan dengan rekomendasi untuk membantu Anda menyempurnakan kebijakan Anda lebih lanjut. Untuk mempelajari selengkapnya tentang validasi kebijakan, lihat [Validasi kebijakan IAM](access_policies_policy-validator.md). Untuk mempelajari selengkapnya tentang pemeriksaan kebijakan IAM Access Analyzer dan rekomendasi yang dapat ditindaklanjuti, lihat validasi kebijakan [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) Access Analyzer.

Anda dapat menggunakan Konsol Manajemen AWS, AWS CLI, atau AWS API untuk membuat kebijakan yang dikelola pelanggan di IAM. Untuk informasi selengkapnya tentang menggunakan CloudFormation templat untuk menambah atau memperbarui kebijakan, lihat [referensi jenis AWS Identity and Access Management sumber daya](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) di *Panduan CloudFormation Pengguna*.

**Topics**
+ [

# Buat kebijakan IAM (konsol)
](access_policies_create-console.md)
+ [

# Buat kebijakan IAM ()AWS CLI
](access_policies_create-cli.md)
+ [

# Buat kebijakan IAM (AWS API)
](access_policies_create-api.md)

# Buat kebijakan IAM (konsol)
<a name="access_policies_create-console"></a>

Sebuah[kebijakan](access_policies.md) adalah entitas yang, saat dilampirkan dengan sebuah identitas atau sumber daya, menjelaskan izinnya. Anda dapat menggunakan Konsol Manajemen AWS untuk membuat *kebijakan yang dikelola pelanggan* di IAM. Kebijakan yang dikelola pelanggan adalah kebijakan mandiri yang Anda kelola sendiri. Akun AWS Anda kemudian dapat melampirkan kebijakan ke identitas (pengguna, grup, dan peran) di situs Anda Akun AWS.

Jumlah dan ukuran sumber daya IAM dalam AWS akun terbatas. Untuk informasi selengkapnya, lihat [IAM dan AWS STS kuota](reference_iam-quotas.md).

**Topics**
+ [

## Membuat kebijakan IAM
](#access_policies_create-start)
+ [

## Membuat kebijakan menggunakan editor JSON
](#access_policies_create-json-editor)
+ [

## Membuat kebijakan dengan editor visual
](#access_policies_create-visual-editor)
+ [

## Mengimpor kebijakan terkelola yang ada
](#access_policies_create-copy)

## Membuat kebijakan IAM
<a name="access_policies_create-start"></a>

Anda dapat membuat kebijakan terkelola pelanggan Konsol Manajemen AWS menggunakan salah satu metode berikut:
+ **[JSON](#access_policies_create-json-editor)** — Tempel dan sesuaikan publikasi [contoh kebijakan berbasis-identitas](access_policies_examples.md).
+ **[Editor visual](#access_policies_create-visual-editor)** — Susun kebijakan baru dari nol di editor visual. Jika Anda menggunakan editor visual, Anda tidak harus memahami sintaksis JSON.
+ **[Impor](#access_policies_create-copy)** — Impor dan sesuaikan kebijakan terkelola dari akun Anda. Anda dapat mengimpor kebijakan AWS terkelola atau kebijakan terkelola pelanggan yang sebelumnya Anda buat.

Jumlah dan ukuran sumber daya IAM dalam AWS akun terbatas. Untuk informasi selengkapnya, lihat [IAM dan AWS STS kuota](reference_iam-quotas.md).

## Membuat kebijakan menggunakan editor JSON
<a name="access_policies_create-json-editor"></a>

Anda dapat mengetik atau menempelkan kebijakan di JSON dengan memilih opsi **JSON**. Metode ini berguna untuk menyalin [contoh kebijakan](access_policies_examples.md) untuk dipakai di akun Anda. Atau, Anda bisa mengetik dokumen kebijakan JSON Anda sendiri di editor JSON. Anda juga dapat menggunakan opsi **JSON** untuk beralih antara editor visual dan JSON untuk membandingkan tampilan.

 Saat Anda membuat atau mengedit kebijakan di editor JSON, IAM melakukan validasi kebijakan untuk membantu Anda membuat kebijakan yang efektif. IAM mengidentifikasi kesalahan sintaks JSON, sementara IAM Access Analyzer menyediakan pemeriksaan kebijakan tambahan dengan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda menyempurnakan kebijakan lebih lanjut. 

Dokumen [kebijakan](access_policies.md) JSON terdiri atas satu atau lebih pernyataan. Setiap pernyataan harus berisi semua tindakan yang berbagi efek yang sama (`Allow` atau `Deny`) dan mendukung sumber daya dan kondisi yang sama. Jika satu tindakan mengharuskan Anda untuk menentukan semua sumber daya (`"*"`) dan tindakan lain mendukung Amazon Resource Name (ARN) dari sumber daya tertentu, mereka harus berada dalam dua pernyataan JSON terpisah. Untuk rincian format ARN, lihat [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) di dalam * Panduan Referensi Umum AWS *. Untuk informasi umum tentang kebijakan IAM, lihat [Kebijakan dan izin di AWS Identity and Access Management](access_policies.md). Untuk informasi tentang bahasa kebijakan IAM, lihat [Referensi kebijakan IAM JSON](reference_policies.md).

**Cara menggunakan editor kebijakan JSON untuk membuat kebijakan**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi sebelah kiri, pilih **Kebijakan**. 

1. Pilih **Buat kebijakan**.

1. Di bagian **Editor kebijakan**, pilih opsi **JSON**.

1. Ketik atau tempel dokumen kebijakan JSON. Untuk rincian bahasa kebijakan IAM, lihat [Referensi kebijakan IAM JSON](reference_policies.md).

1.  Selesaikan peringatan keamanan, kesalahan, atau peringatan umum yang dihasilkan selama [validasi kebijakan](access_policies_policy-validator.md), lalu pilih **Berikutnya**. 
**catatan**  
Anda dapat beralih antara opsi editor **Visual** dan **JSON** kapan saja. Namun, jika Anda melakukan perubahan atau memilih **Berikutnya** di editor **Visual**, IAM dapat merestrukturisasi kebijakan Anda untuk mengoptimalkannya bagi editor visual. Untuk informasi selengkapnya, lihat [Restrukturisasi kebijakan](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. (Opsional) Saat membuat atau mengedit kebijakan Konsol Manajemen AWS, Anda dapat membuat templat kebijakan JSON atau YAMAL yang dapat Anda gunakan dalam CloudFormation templat.

   Untuk melakukannya, di **editor Kebijakan** pilih **Tindakan**, lalu pilih **Buat CloudFormation templat**. Untuk mempelajari selengkapnya, CloudFormation lihat [referensi jenis AWS Identity and Access Management sumber daya](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) di Panduan AWS CloudFormation Pengguna.

1. Setelah selesai menambahkan izin ke kebijakan, pilih **Berikutnya**.

1. Pada halaman **Tinjau dan buat**, ketik **Nama Kebijakan** dan **Deskripsi** (opsional) untuk kebijakan yang Anda buat. Tinjau **Izin yang ditentukan dalam kebijakan ini** untuk melihat izin yang diberikan oleh kebijakan Anda.

1. (Opsional) Tambahkan metadata ke kebijakan dengan melampirkan tanda sebagai pasangan nilai kunci. Untuk informasi selengkapnya tentang menggunakan tanda di IAM, lihat [Tag untuk AWS Identity and Access Management sumber daya](id_tags.md).

1. Pilih **Buat kebijakan** untuk menyimpan kebijakan baru Anda.

Setelah Anda membuat kebijakan, Anda dapat melampirkannya ke grup, pengguna, atau peran Anda. Untuk informasi selengkapnya, lihat [Menambahkan dan menghapus izin identitas IAM](access_policies_manage-attach-detach.md).

## Membuat kebijakan dengan editor visual
<a name="access_policies_create-visual-editor"></a>

Editor visual di konsol IAM akan memandu Anda dalam membuat kebijakan tanpa harus menulis sintaksis JSON. Untuk melihat contoh penggunaan editor visual dalam pembuatan kebijakan, lihat [Mengontrol akses ke identitas](access_controlling.md#access_controlling-identities).

**Untuk menggunakan editor visual dalam pembuatan kebijakan**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi sebelah kiri, pilih **Kebijakan**. 

1. Pilih **Buat kebijakan**.

1. Di bagian **Editor kebijakan**, temukan bagian **Pilih layanan**, lalu pilih AWS layanan. Anda bisa menggunakan kotak pencarian di bagian atas untuk membatasi hasil pada daftar layanan. Anda bisa memilih hanya satu layanan pada blok izin editor visual. Untuk memberikan akses ke lebih dari satu layanan, tambahkan beberapa blok izin dengan memilih **Tambahkan lebih banyak izin**.

1. Di **Tindakan yang diizinkan**, pilih tindakan yang akan ditambahkan ke kebijakan. Anda bisa memilih tindakan dengan cara berikut:
   + Pilih kotak centang untuk semua tindakan.
   + Pilih **tambah tindakan** untuk mengetik nama tindakan tertentu. Anda bisa menggunakan wildcards (`*`) untuk menentukan beberapa tindakan.
   + Pilih satu grup **Tingkat akses** untuk memilih semua tindakan untuk tingkat akses tersebut (misalnya, **Baca**, **Tulis**, atau **Daftar**).
   + Perluas setiap grup **Tingkat akses** untuk memilih tindakan individu.

   Secara default, kebijakan yang Anda buat mengizinkan tindakan yang Anda pilih. Sebaliknya, untuk menolak tindakan terpilih, pilih **Beralih ke menolak izin**. Karena [IAM menolak secara default](reference_policies_evaluation-logic.md), kami merekomendasikan sebagai praktik terbaik keamanan agar Anda mengizinkan hanya tindakan dan sumber daya yang diperlukan pengguna saja. Anda harus membuat pernyataan JSON untuk menolak izin hanya bila Anda ingin membatalkan izin secara terpisah mengizinkan pernyataan atau kebijakan lain. Kami sarankan Anda membatasi jumlah izin penolakan seminim mungkin karena dapat meningkatkan kesulitan izin pemecahan masalah.

1. Untuk **Sumber Daya**, bila layanan dan tindakan yang Anda pilih di langkah sebelumnya tidak mendukung pilihan [sumber daya tertentu](access_controlling.md#access_controlling-resources), semua sumber daya diperbolehkan dan Anda tidak bisa mengedit bagian ini. 

   Jika Anda memilih satu atau lebih tindakan yang mendukung[izin tingkat sumber daya](access_controlling.md#access_controlling-resources), maka editor visual akan mendaftar sumber daya tersebut. Kemudian Anda bisa memperluas **Sumber Daya** untuk menentukan sumber daya bagi kebijakan Anda. 

   Anda dapat menentukan sumber daya dengan cara berikut:
   + Pilih **Tambah ARNs** untuk menentukan sumber daya berdasarkan Nama Sumber Daya Amazon (ARN) mereka. Anda dapat menggunakan editor atau daftar ARNs ARN visual secara manual. Untuk informasi lebih lanjut tentang sintaks ARN, lihat [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) pada *Panduan Referensi Umum AWS *. Untuk informasi tentang penggunaan ARNs dalam `Resource` elemen kebijakan, lihat[Elemen kebijakan IAM JSON: Resource](reference_policies_elements_resource.md).
   + Pilih **Apa saja di akun ini di** samping sumber daya untuk memberikan izin ke sumber daya apa pun dari jenis itu.
   + Pilih **Semua** untuk memilih semua sumber daya untuk layanan ini. 

1. (Opsional) Pilih **Ketentuan permintaan - *opsional*** untuk menambahkan kondisi ke kebijakan yang Anda buat. Kondisi membatasi efek dari pernyataan kebijakan JSON. Misalnya, Anda dapat menentukan bahwa pengguna diizinkan melakukan tindakan pada sumber daya hanya ketika permintaan pengguna tersebut terjadi di rentang waktu tertentu. Anda juga bisa menggunakan kondisi yang umum dipakai untuk membatasi apakah seorang pengguna harus menggunakan multi-factor authentication (MFA). Atau Anda bisa meminta agar permintaan yang berasal dari rentang alamat IP tertentu. Untuk daftar semua kunci konteks yang dapat Anda gunakan dalam kondisi kebijakan, lihat [Tindakan, sumber daya, dan kunci kondisi untuk AWS layanan](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) di *Referensi Otorisasi Layanan*.

   Anda bisa memilih kondisi dengan cara berikut:
   + Gunakan kotak centang untuk memilih kondisi yang umum digunakan.
   + Pilih **Tambahkan kondisi lain** untuk menentukan kondisi lain. Pilih kondisi dari **Kunci Kondisi**, **Pengukur**, dan **Operator**, lalu ketik **Nilai**. Untuk menambahkan lebih dari satu nilai, pilih **Tambah**. Anda dapat mempertimbangkan nilai tersebut terhubung secara logika "ATAU" operator. Setelah selesai, pilih **Tambahkan kondisi**.

   Untuk menambahkan lebih dari satu kondisi, pilih **Tambahkan kondisi lain** lagi. Ulangi seperlunya. Setiap kondisi berlaku hanya untuk blok izin editor visual yang satu ini. Semua kondisi haruslah benar agar blok izin dapat dianggap cocok. Dengan kata lain, pertimbangkan kondisi yang akan dihubungkan oleh logika “DAN” operator.

   Untuk informasi lebih lanjut mengenai elemen **Kondisi**, lihat [Elemen kebijakan IAM JSON: Condition](reference_policies_elements_condition.md) di [Referensi kebijakan IAM JSON](reference_policies.md).

1. Untuk menambahkan lebih banyak blok izin, pilih **Tambahkan izin lainnya**. Untuk setiap blok, ulangi langkah 2 sampai 5.
**catatan**  
Anda dapat beralih antara opsi editor **Visual** dan **JSON** kapan saja. Namun, jika Anda melakukan perubahan atau memilih **Berikutnya** di editor **Visual**, IAM dapat merestrukturisasi kebijakan Anda untuk mengoptimalkannya bagi editor visual. Untuk informasi selengkapnya, lihat [Restrukturisasi kebijakan](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. (Opsional) Saat membuat atau mengedit kebijakan Konsol Manajemen AWS, Anda dapat membuat templat kebijakan JSON atau YAMAL yang dapat Anda gunakan dalam CloudFormation templat.

   Untuk melakukannya, di **editor Kebijakan** pilih **Tindakan**, lalu pilih **Buat CloudFormation templat**. Untuk mempelajari selengkapnya, CloudFormation lihat [referensi jenis AWS Identity and Access Management sumber daya](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) di Panduan AWS CloudFormation Pengguna.

1. Setelah selesai menambahkan izin ke kebijakan, pilih **Berikutnya**.

1. Pada halaman **Tinjau dan buat**, ketik **Nama Kebijakan** dan **Deskripsi** (opsional) untuk kebijakan yang Anda buat. Tinjau **Izin yang ditentukan dalam kebijakan ini** untuk memastikan bahwa Anda telah memberikan izin yang dimaksud. 

1. (Opsional) Tambahkan metadata ke kebijakan dengan melampirkan tanda sebagai pasangan nilai kunci. Untuk informasi selengkapnya tentang menggunakan tanda di IAM, lihat [Tag untuk AWS Identity and Access Management sumber daya](id_tags.md).

1. Pilih **Buat kebijakan** untuk menyimpan kebijakan baru Anda.

Setelah Anda membuat kebijakan, Anda dapat melampirkannya ke grup, pengguna, atau peran Anda. Untuk informasi selengkapnya, lihat [Menambahkan dan menghapus izin identitas IAM](access_policies_manage-attach-detach.md).

## Mengimpor kebijakan terkelola yang ada
<a name="access_policies_create-copy"></a>

Cara mudah untuk membuat kebijakan baru adalah dengan mengimpor kebijakan terkelola yang ada di dalam akun Anda yang setidaknya memiliki beberapa izin yang Anda perlukan. Anda kemudian bisa mengubah kebijakan tersebut untuk menyesuaikannya dengan persyaratan baru Anda.

Anda tidak bisa mengimpor kebijakan inline. Untuk mempelajari perbedaan antara kebijakan terkelola dan kebijakan inline, lihat [Kebijakan terkelola dan kebijakan inline](access_policies_managed-vs-inline.md).

**Untuk mengimpor kebijakan terkelola yang sudah ada di editor visual**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi sebelah kiri, pilih **Kebijakan**. 

1. Pilih **Buat kebijakan**.

1. Di **editor Kebijakan**, pilih **Visual** dan kemudian di sisi kanan halaman, pilih **Tindakan** lalu pilih **Kebijakan impor**.

1. Di jendela **Kebijakan impor**, pilih kebijakan terkelola yang paling cocok dengan kebijakan yang ingin Anda sertakan dalam kebijakan baru Anda. Anda dapat menggunakan kotak pencarian di bagian atas untuk membatasi hasil dalam daftar kebijakan.

1. Pilih **kebijakan Impor**.

   Kebijakan yang diimpor ditambahkan pada blok izin baru di bagian bawah kebijakan Anda.

1. Gunakan **editor Visual** atau pilih **JSON** untuk menyesuaikan kebijakan Anda. Lalu pilih **Selanjutnya**.
**catatan**  
Anda dapat beralih antara opsi editor **Visual** dan **JSON** kapan saja. Namun, jika Anda melakukan perubahan atau memilih **Berikutnya** di editor **Visual**, IAM dapat merestrukturisasi kebijakan Anda untuk mengoptimalkannya bagi editor visual. Untuk informasi selengkapnya, lihat [Restrukturisasi kebijakan](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Pada halaman **Tinjau dan buat**, ketik **Nama Kebijakan** dan **Deskripsi** (opsional) untuk kebijakan yang Anda buat. Anda tidak bisa mengedit pengaturan kemudian. Tinjau **Izin yang ditentukan dalam kebijakan ini**, lalu pilih **Buat kebijakan** untuk menyimpan pekerjaan Anda.

**Untuk mengimpor kebijakan terkelola yang ada di editor **JSON****

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi sebelah kiri, pilih **Kebijakan**. 

1. Pilih **Buat kebijakan**.

1. Di bagian **Editor kebijakan**, pilih opsi **JSON**, lalu di sisi kanan halaman, pilih **Tindakan** lalu pilih **Kebijakan impor**.

1. Di jendela **Kebijakan impor**, pilih kebijakan terkelola yang paling cocok dengan kebijakan yang ingin Anda sertakan dalam kebijakan baru Anda. Anda dapat menggunakan kotak pencarian di bagian atas untuk membatasi hasil dalam daftar kebijakan.

1. Pilih **kebijakan Impor**.

   Pernyataan dari kebijakan yang diimpor ditambahkan di bagian bawah kebijakan JSON Anda.

1. Sesuaikan kebijakan Anda di JSON. Selesaikan peringatan keamanan, kesalahan, atau peringatan umum yang dihasilkan selama [validasi kebijakan](access_policies_policy-validator.md), lalu pilih **Berikutnya**. Sesuaikan kebijakan Anda di JSON, atau pilih **Visual editor** (Editor visual). Lalu pilih **Selanjutnya**.
**catatan**  
Anda dapat beralih antara opsi editor **Visual** dan **JSON** kapan saja. Namun, jika Anda melakukan perubahan atau memilih **Berikutnya** di editor **Visual**, IAM dapat merestrukturisasi kebijakan Anda untuk mengoptimalkannya bagi editor visual. Untuk informasi selengkapnya, lihat [Restrukturisasi kebijakan](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Pada halaman **Tinjau dan buat**, ketik **Nama Kebijakan** dan **Deskripsi** (opsional) untuk kebijakan yang Anda buat. Anda tidak bisa mengedit hal ini kemudian. Tinjau kebijakan **Izin yang ditentukan dalam kebijakan ini**, lalu pilih **Buat kebijakan** untuk menyimpan pekerjaan Anda.

Setelah Anda membuat kebijakan, Anda dapat melampirkannya ke grup, pengguna, atau peran Anda. Lihat informasi yang lebih lengkap di [Menambahkan dan menghapus izin identitas IAM](access_policies_manage-attach-detach.md).

# Buat kebijakan IAM ()AWS CLI
<a name="access_policies_create-cli"></a>

Sebuah[kebijakan](access_policies.md) adalah entitas yang, saat dilampirkan dengan sebuah identitas atau sumber daya, menjelaskan izinnya. Anda dapat menggunakan AWS CLI untuk membuat *kebijakan yang dikelola pelanggan* di IAM. Kebijakan yang dikelola pelanggan adalah kebijakan mandiri yang Anda kelola sendiri. Akun AWS Sebagai [praktik terbaik](best-practices.md), kami menyarankan Anda menggunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda guna memastikan izin yang aman dan fungsional. Dengan [memvalidasi kebijakan Anda](access_policies_policy-validator.md), Anda dapat mengatasi kesalahan atau rekomendasi apa pun sebelum Anda melampirkan kebijakan ke identitas (pengguna, grup, dan peran) di situs Anda. Akun AWS

Jumlah dan ukuran sumber daya IAM dalam AWS akun terbatas. Untuk informasi selengkapnya, lihat [IAM dan AWS STS kuota](reference_iam-quotas.md).

## Membuat kebijakan IAM ()AWS CLI
<a name="create-policies-cli-api"></a>

Anda dapat membuat kebijakan terkelola pelanggan IAM atau kebijakan inline menggunakan AWS Command Line Interface ()AWS CLI. 

**Untuk membuat kebijakan terkelola pelanggan (AWS CLI)**  
Gunakan perintah berikut ini:
+ [buat-kebijakan](https://docs.aws.amazon.com/cli/latest/reference/iam/create-policy.html)

**Untuk membuat kebijakan inline untuk identitas IAM (grup, pengguna, atau peran) ()AWS CLI**  
Gunakan salah satu perintah berikut:
+ [put-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-group-policy.html)
+ [put-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html)
+ [put-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-policy.html)

**catatan**  
Anda tidak dapat menggunakan IAM untuk menanamkan kebijakan yang selaras untuk *[peran terkait-layanan](id_roles.md#iam-term-service-linked-role)*.

**Untuk memvalidasi kebijakan terkelola pelanggan (AWS CLI)**  
Gunakan perintah IAM Access Analyzer berikut:
+ [validasi-kebijakan](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/validate-policy.html)

# Buat kebijakan IAM (AWS API)
<a name="access_policies_create-api"></a>

Sebuah[kebijakan](access_policies.md) adalah entitas yang, saat dilampirkan dengan sebuah identitas atau sumber daya, menjelaskan izinnya. Anda dapat menggunakan AWS API untuk membuat *kebijakan terkelola pelanggan* di IAM. Kebijakan yang dikelola pelanggan adalah kebijakan mandiri yang Anda kelola sendiri. Akun AWS Sebagai [praktik terbaik](best-practices.md), kami menyarankan Anda menggunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda guna memastikan izin yang aman dan fungsional. Dengan [memvalidasi kebijakan Anda](access_policies_policy-validator.md), Anda dapat mengatasi kesalahan atau rekomendasi apa pun sebelum Anda melampirkan kebijakan ke identitas (pengguna, grup, dan peran) di situs Anda. Akun AWS

Jumlah dan ukuran sumber daya IAM dalam AWS akun terbatas. Untuk informasi selengkapnya, lihat [IAM dan AWS STS kuota](reference_iam-quotas.md).

## Membuat kebijakan IAM (AWS API)
<a name="create-policies-api"></a>

Anda dapat membuat kebijakan terkelola pelanggan IAM atau kebijakan inline menggunakan API. AWS 

**Untuk membuat kebijakan terkelola pelanggan (AWS API)**  
Hubungi operasi berikut ini:
+ [CreatePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreatePolicy.html)

**Untuk membuat kebijakan inline untuk identitas IAM (grup, pengguna, atau peran) (AWS API)**  
Panggil salah satu operasi berikut ini:
+ [PutGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutGroupPolicy.html)
+ [PutRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePolicy.html)
+ [PutUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPolicy.html)

**catatan**  
Anda tidak dapat menggunakan IAM untuk menanamkan kebijakan yang selaras untuk *[peran terkait-layanan](id_roles.md#iam-term-service-linked-role)*.

**Untuk memvalidasi kebijakan terkelola pelanggan (AWS API)**  
Hubungi operasi IAM Access Analyzer berikut:
+ [ValidatePolicy](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ValidatePolicy.html)

# Validasi kebijakan IAM
<a name="access_policies_policy-validator"></a>

Kebijakan [adalah](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies_overview.html) dokumen JSON yang menggunakan [tata bahasa kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies-grammar.html). Saat Anda melampirkan kebijakan pada entitas IAM, seperti pengguna, grup, atau peran, ia mengizinkan entitas tersebut.

Saat Anda membuat atau mengedit kebijakan kontrol akses IAM menggunakan Konsol Manajemen AWS, secara AWS otomatis memeriksanya untuk memastikan bahwa kebijakan tersebut mematuhi tata bahasa kebijakan IAM. Jika AWS menentukan sebuah kebijakan tidak sesuai dengan tata bahasa, ia akan meminta Anda memperbaiki kebijakan tersebut.

IAM Access Analyzer menyediakan pemeriksaan kebijakan tambahan dengan rekomendasi untuk membantu Anda menyempurnakan kebijakan lebih lanjut. Untuk mempelajari selengkapnya tentang pemeriksaan kebijakan IAM Access Analyzer dan rekomendasi yang dapat ditindaklanjuti, lihat validasi kebijakan [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) Access Analyzer. Untuk melihat daftar peringatan, kesalahan, dan saran yang ditampilkan oleh IAM Access Analyzer, lihat referensi pemeriksaan kebijakan [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html).

**Cakupan validasi**  
AWS memeriksa sintaks kebijakan JSON dan tata bahasa. Ini juga memverifikasi bahwa Anda ARNs diformat dengan benar dan nama tindakan dan kunci kondisi sudah benar.

**Mengakses validasi kebijakan**  
Kebijakan divalidasi secara otomatis saat Anda membuat kebijakan JSON atau mengedit kebijakan yang ada di. Konsol Manajemen AWS Jika sintaks kebijakan tidak valid, Anda menerima notifikasi dan harus memperbaiki masalahnya sebelum bisa melanjutkan. Temuan dari validasi kebijakan IAM Access Analyzer secara otomatis dikembalikan dalam Konsol Manajemen AWS jika Anda memiliki izin untuk. `access-analyzer:ValidatePolicy` Anda juga dapat memvalidasi kebijakan menggunakan AWS API atau AWS CLI.

**Kebijakan yang sudah Ada**  
Anda mungkin memiliki kebijakan yang sudah ada yang tidak valid karena dibuat atau terakhir disimpan sebelum pembaruan terbaru ke mesin kebijakan. Sebagai [praktik terbaik](best-practices.md), kami menyarankan Anda menggunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda guna memastikan izin yang aman dan fungsional. Kami menyarankan Anda membuka kebijakan yang ada dan meninjau hasil validasi kebijakan yang dihasilkan. Anda tidak dapat mengedit dan menyimpan kebijakan yang sudah ada tanpa memperbaiki kesalahan sintaks kebijakan apa pun.

# Pengujian kebijakan IAM dengan simulator kebijakan IAM
<a name="access_policies_testing-policies"></a>

Untuk informasi lebih lanjut tentang bagaimana dan mengapa menggunakan kebijakan IAM, lihat [Kebijakan dan izin di AWS Identity and Access Management](access_policies.md).

**[Anda dapat mengakses Konsol Simulator Kebijakan IAM di:/https://policysim.aws.amazon.com](https://policysim.aws.amazon.com/)**

**penting**  
Hasil simulator kebijakan dapat berbeda dari AWS lingkungan hidup Anda. Kami menyarankan Anda memeriksa kebijakan Anda terhadap AWS lingkungan hidup Anda setelah pengujian menggunakan simulator kebijakan untuk mengonfirmasi bahwa Anda memiliki hasil yang diinginkan. Untuk informasi selengkapnya, lihat [Bagaimana simulator kebijakan IAM bekerja](#policies_policy-simulator-how-it-works).

 

Dengan simulator kebijakan IAM, Anda dapat menguji dan memecahkan masalah kebijakan berbasis identitas dan batas izin IAM. Berikut adalah beberapa hal umum yang bisa Anda lakukan dengan simulator kebijakan:
+ Uji kebijakan berbasis identitas yang dilampirkan ke pengguna IAM, grup IAM, atau peran dalam Anda. Akun AWS Jika lebih dari satu kebijakan terlampir ke pengguna, grup pengguna, atau peran, Anda bisa menguji semua kebijakan, atau memilih kebijakan tertentu untuk diuji. Anda bisa menguji tindakan mana yang diizinkan atau ditolak oleh kebijakan terpilih untuk sumber daya tertentu.
+ Menguji dan memecahkan masalah efek [batasan izin](access_policies_boundaries.md) pada entitas IAM. Anda hanya dapat mensimulasikan satu batas izin pada satu waktu.
+ Uji efek kebijakan berbasis sumber daya pada pengguna IAM yang dilampirkan ke AWS sumber daya, seperti bucket Amazon S3, antrian Amazon SQS, topik Amazon SNS, atau brankas Amazon Glacier. Untuk menggunakan kebijakan berbasis sumber daya dalam simulator kebijakan untuk pengguna IAM, Anda harus menyertakan sumber daya dalam simulasi. Anda juga harus memilih kotak centang untuk menyertakan kebijakan sumber daya tersebut dalam simulasi.
**catatan**  
Simulasi kebijakan berbasis sumber daya tidak didukung untuk peran IAM.
+ Jika Anda Akun AWS adalah anggota organisasi di [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/), maka Anda dapat menguji dampak kebijakan kontrol layanan (SCPs) pada kebijakan berbasis identitas Anda.
**catatan**  
Simulator kebijakan tidak mengevaluasi SCPs yang memiliki kondisi apa pun.
+ Uji kebijakan berbasis identitas baru yang belum dilampirkan ke pengguna, grup pengguna, atau peran dengan mengetikkan atau menyalinnya ke dalam simulator kebijakan. Semua ini hanya digunakan dalam simulasi dan tidak disimpan. Anda tidak dapat mengetik atau menyalin kebijakan berbasis sumber daya di simulator kebijakan.
+ Uji kebijakan berbasis identitas dengan layanan, tindakan, dan sumber daya yang dipilih. Misalnya, Anda bisa menguji untuk memastikan kebijakan Anda mengizinkan entitas untuk melakukan `ListAllMyBuckets`, `CreateBucket`, dan `DeleteBucket` tindakan di layanan Amazon S3 di bucket tertentu.
+ Simulasikan skenario dunia nyata dengan menyediakan kunci konteks, misalnya alamat IP atau tanggal, yang disertakan ke`Condition` elemn dalam kebijakan yang diuji.
**catatan**  
Simulator kebijakan tidak mensimulasikan tag yang disediakan sebagai input jika kebijakan berbasis identitas dalam simulasi tidak memiliki `Condition` elemen yang secara eksplisit memeriksa tag.
+ Identifikasi pernyataan spesifik mana dalam kebijakan berbasis identitas yang menghasilkan mengizinkan atau menolak akses ke sumber daya atau tindakan tertentu. 

**Topics**
+ [

## Bagaimana simulator kebijakan IAM bekerja
](#policies_policy-simulator-how-it-works)
+ [

## Izin diperlukan untuk menggunakan simulator kebijakan IAM
](#permissions-required_policy-simulator)
+ [

## Menggunakan simulator kebijakan IAM (konsol)
](#policies_policy-simulator-using)
+ [

## Menggunakan simulator kebijakan IAM (AWS CLI dan AWS API)
](#policies-simulator-using-api)

## Bagaimana simulator kebijakan IAM bekerja
<a name="policies_policy-simulator-how-it-works"></a>

Simulator kebijakan mengevaluasi pernyataan dalam kebijakan berbasis identitas dan masukan yang Anda berikan selama simulasi. Hasil simulator kebijakan dapat berbeda dari AWS lingkungan hidup Anda. Kami menyarankan Anda memeriksa kebijakan Anda terhadap AWS lingkungan hidup Anda setelah pengujian menggunakan simulator kebijakan untuk mengonfirmasi bahwa Anda memiliki hasil yang diinginkan.

Simulator kebijakan berbeda dari AWS lingkungan hidup dengan cara berikut: 
+ Simulator kebijakan tidak membuat permintaan AWS layanan yang sebenarnya, sehingga Anda dapat menguji permintaan dengan aman yang mungkin membuat perubahan yang tidak diinginkan pada AWS lingkungan hidup Anda. Simulator kebijakan tidak mempertimbangkan nilai kunci konteks nyata dalam produksi.
+ Karena simulator kebijakan tidak mensimulasikan menjalankan tindakan yang dipilih, simulator kebijakan tidak dapat melaporkan respons apa pun terhadap permintaan yang disimulasikan. Satu-satunya hasil yang dikembalikan adalah apakah tindakan yang diminta akan diizinkan atau ditolak.
+ Jika Anda mengedit kebijakan di simulator kebijakan, perubahan ini hanya memengaruhi simulator kebijakan. Kebijakan terkait di Anda Akun AWS tetap tidak berubah.
+ Anda tidak dapat menguji kebijakan kontrol layanan (SCPs) dengan kondisi apa pun.
+ Simulator kebijakan tidak mendukung simulasi untuk kebijakan kontrol sumber daya (RCPs).
+ Simulator kebijakan tidak mendukung simulasi untuk peran IAM dan pengguna untuk akses lintas akun.

**catatan**  
Simulator kebijakan IAM tidak menentukan layanan mana yang mendukung [kunci kondisi global](reference_policies_condition-keys.md) untuk otorisasi. Misalnya, simulator kebijakan tidak mengidentifikasi bahwa layanan tidak mendukung [`aws:TagKeys`](reference_policies_condition-keys.md#condition-keys-tagkeys).

## Izin diperlukan untuk menggunakan simulator kebijakan IAM
<a name="permissions-required_policy-simulator"></a>

Anda bisa menggunakan konsol simulator kebijakan atau API simulator kebijakan untuk menguji kebijakan. Secara default, pengguna konsol dapat menguji kebijakan yang belum dilampirkan ke pengguna, grup pengguna, atau peran dengan mengetik atau menyalin kebijakan tersebut ke dalam simulator kebijakan. Kebijakan ini hanya dipakai dalam simulasi dan tidak mengungkap informasi sensitif. Pengguna API harus berizin untuk menguji kebijakan yang belum dilampirkan. Anda dapat mengizinkan pengguna konsol atau API untuk menguji kebijakan yang dilampirkan ke pengguna IAM, grup IAM, atau peran dalam Anda. Akun AWS Untuk melakukannya, Anda harus mengizinkan pengambilan kebijakan tersebut. Guna menguji kebijakan berbasis sumber daya, pengguna harus berizin untuk mengambil kebijakan sumber daya tersebut.

Untuk contoh kebijakan konsol dan API yang memungkinkan pengguna menyimulasikan kebijakan, lihat [Contoh kebijakan: AWS Identity and Access Management (IAM)](access_policies_examples.md#policy_library_IAM).

### Izin diperlukan untuk menggunakan konsol simulator kebijakan
<a name="permissions-required_policy-simulator-console"></a>

Anda dapat mengizinkan pengguna untuk menguji kebijakan yang dilampirkan ke pengguna IAM, grup IAM, atau peran dalam Anda. Akun AWS Untuk melakukannya, Anda harus mengizinkan pengguna Anda untuk mengambil kebijakan tersebut. Guna menguji kebijakan berbasis-sumber daya, pengguna harus berizin untuk mengambil kebijakan sumber daya tersebut.

Untuk melihat kebijakan contoh yang mengizinkan penggunaan konsol simulator kebijakan untuk kebijakan yang melekat ke pengguna, grup pengguna, atau peran, lihat [IAM: Akses konsol simulator kebijakan](reference_policies_examples_iam_policy-sim-console.md). 

Untuk melihat kebijakan contoh yang memungkinkan penggunaan konsol simulator kebijakan hanya untuk pengguna dengan jalur tertentu, lihat [IAM: Akses konsol simulator kebijakan berdasarkan jalur pengguna](reference_policies_examples_iam_policy-sim-path-console.md).

Untuk membuat kebijakan yang memungkinkan penggunaan konsol simulator kebijakan hanya untuk satu tipe entitas, gunakan prosedur berikut.

**Untuk memungkinkan pengguna konsol mensimulasikan kebijakan bagi pengguna**  
Sertakan tindakan berikut dalam kebijakan Anda:
+ `iam:GetGroupPolicy`
+ `iam:GetPolicy`
+ `iam:GetPolicyVersion`
+ `iam:GetUser`
+ `iam:GetUserPolicy`
+ `iam:ListAttachedUserPolicies`
+ `iam:ListGroupsForUser`
+ `iam:ListGroupPolicies`
+ `iam:ListUserPolicies`
+ `iam:ListUsers`

**Untuk memungkinkan pengguna konsol mensimulasikan kebijakan untuk grup IAM**  
Sertakan tindakan berikut dalam kebijakan Anda:
+ `iam:GetGroup`
+ `iam:GetGroupPolicy`
+ `iam:GetPolicy`
+ `iam:GetPolicyVersion`
+ `iam:ListAttachedGroupPolicies`
+ `iam:ListGroupPolicies`
+ `iam:ListGroups`

**Untuk memungkinkan pengguna konsol mensimulasikan kebijakan untuk peran**  
Sertakan tindakan berikut dalam kebijakan Anda:
+ `iam:GetPolicy`
+ `iam:GetPolicyVersion`
+ `iam:GetRole`
+ `iam:GetRolePolicy`
+ `iam:ListAttachedRolePolicies`
+ `iam:ListRolePolicies`
+ `iam:ListRoles`

Untuk menguji kebijakan berbasis-sumber daya, pengguna harus berizin untuk mengambil kebijakan sumber daya tersebut.

**Untuk memungkinkan pengguna konsol menguji kebijakan berbasis sumber daya di bucket Amazon S3**  
Sertakan tindakan berikut dalam kebijakan Anda:
+ `s3:GetBucketPolicy`

Misalnya, kebijakan berikut memakai tindakan ini untuk memungkinkan pengguna konsol mensimulasikan kebijakan berbasis sumber daya dalam bucket Amazon S3 tertentu.

------
#### [ JSON ]

****  

```
{
        "Version":"2012-10-17",		 	 	 
        "Statement": [
          {
            "Effect": "Allow",
            "Action": "s3:GetBucketPolicy",
            "Resource":"arn:aws:s3:::bucket-name/*"
          }
        ]
      }
```

------

### Izin diperlukan untuk menggunakan API simulator kebijakan
<a name="permissions-required_policy-simulator-api"></a>

Operasi API simulator kebijakan [GetContextKeyForCustomPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeyForCustomPolicy.html)dan [SimulateCustomPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulateCustomPolicy.html)memungkinkan Anda menguji kebijakan yang belum dilampirkan ke pengguna, grup pengguna, atau peran. Untuk menguji kebijakan tersebut, Anda meneruskan kebijakan sebagai string ke API. Kebijakan ini hanya dipakai dalam simulasi dan tidak mengungkap informasi sensitif. Anda juga dapat menggunakan API untuk menguji kebijakan yang dilampirkan ke pengguna IAM, grup IAM, atau peran dalam Anda. Akun AWS Untuk melakukan itu, Anda harus memberi pengguna izin untuk menelepon [GetContextKeyForPrincipalPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeyForPrincipalPolicy.html)dan [SimulatePrincipalPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html).

Untuk melihat contoh kebijakan yang memungkinkan penggunaan API simulator kebijakan untuk kebijakan terlampir dan tidak terikat saat ini Akun AWS, lihat[IAM: Akses API simulator kebijakan](reference_policies_examples_iam_policy-sim.md). 

Untuk membuat kebijakan yang memungkinkan penggunaan konsol API simulator kebijakan hanya untuk satu tipe kebijakan, gunakan prosedur berikut.

**Untuk memungkinkan pengguna API menyimulasikan kebijakan yang diteruskan secara langsung ke API sebagai string**  
Sertakan tindakan berikut dalam kebijakan Anda:
+ `iam:GetContextKeysForCustomPolicy`
+ `iam:SimulateCustomPolicy`

**Untuk memungkinkan pengguna API mensimulasikan kebijakan yang dilampirkan ke pengguna IAM, grup IAM, peran, atau sumber daya**  
Sertakan tindakan berikut dalam kebijakan Anda:
+ `iam:GetContextKeysForPrincipalPolicy`
+ `iam:SimulatePrincipalPolicy`

Misalnya, untuk memberi pengguna bernama Bob izin menyimulasikan kebijakan yang ditetapkan untuk pengguna bernama Alice, beri Bob akses ke sumber daya berikut ini: `arn:aws:iam::777788889999:user/alice`. 

Untuk melihat kebijakan contoh yang memungkinkan penggunaan API simulator kebijakan hanya untuk pengguna dengan jalur tertentu, lihat [IAM: Akses API simulator kebijakan berdasarkan jalur pengguna](reference_policies_examples_iam_policy-sim-path.md).

## Menggunakan simulator kebijakan IAM (konsol)
<a name="policies_policy-simulator-using"></a>

Secara default, pengguna konsol dapat menguji kebijakan yang belum dilampirkan ke pengguna, grup pengguna, atau peran dengan mengetik atau menyalin kebijakan tersebut ke konsol simulator kebijakan. Kebijakan ini hanya dipakai dalam simulasi dan tidak mengungkap informasi sensitif. 

**Untuk menguji kebijakan yang tidak melekat ke pengguna, grup pengguna, atau peran (konsole)**

1. Buka konsol simulator kebijakan IAM di: [https://policysim.aws.amazon.com/](https://policysim.aws.amazon.com/).

1. Di menu **Mode:** pada bagian atas halaman, pilih **Kebijakan Baru**.

1. Di **Policy Sandbox**, pilih **Buat Kebijakan Baru**.

1. Ketik atau salin kebijakan ke dalam simulator kebijakan, dan gunakan simulator kebijakan seperti yang dijelaskan dalam langkah-langkah berikut.

Setelah memiliki izin untuk menggunakan Konsol Simulator Kebijakan IAM, Anda dapat menggunakan simulator kebijakan untuk menguji kebijakan pengguna, grup pengguna, peran, atau sumber daya IAM.

**Untuk menguji kebijakan yang melekat ke pengguna, grup pengguna, atau peran (konsole)**

1. Buka konsol simulator kebijakan IAM di [ https://policysim.aws.amazon.com/](https://policysim.aws.amazon.com/). 
**catatan**  
Untuk masuk ke simulator kebijakan sebagai pengguna IAM, gunakan URL login unik Anda untuk masuk ke. Konsol Manajemen AWS Lalu pergi ke [https://policysim.aws.amazon.com/](https://policysim.aws.amazon.com/). Untuk informasi lebih lanjut mengenai masuk sebagai pengguna IAM, lihat [Cara pengguna IAM masuk AWS](id_users_sign-in.md).

   Simulator kebijakan terbuka dalam mode **Kebijakan yang Ada** dan mencantumkan pengguna IAM di akun Anda di bawah **Pengguna, Grup, dan Peran**.

1. <a name="polsimstep-selectid"></a>Pilih opsi yang sesuai dengan tugas Anda:  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/access_policies_testing-policies.html)
**Kiat**  
**Untuk menguji kebijakan yang dilampirkan ke grup pengguna, Anda dapat meluncurkan simulator kebijakan IAM langsung dari [konsol IAM](https://console.aws.amazon.com/iam/): Di panel navigasi, pilih Grup pengguna.** Pilih nama grup yang dimana Anda ingin menguji kebijakan, dan kemudian pilih tab**Izin**. Pilih **Simulasi**.  
Untuk menguji kebijakan yang dikelola pelanggan yang terlampir pada pengguna: Di panel navigasi, pilih **Pengguna**. Pilih nama pengguna dengan siapa Anda ingin menguji kebijakan. Lalu pilih tab**Izin** dan perluas kebijakan yang ingin Anda uji. Di ujung kanan, pilih **Simulasikan kebijakan**. **Simulator Kebijakan IAM** terbuka di jendela baru dan menampilkan kebijakan terpilih di panel**Kebijakan**.

1. (Opsional) Jika akun Anda adalah anggota organisasi [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/), pilih kotak centang di samping **AWS Organizations SCPs**untuk menyertakan SCPs dalam evaluasi simulasi Anda. SCPsadalah kebijakan JSON yang menentukan izin maksimum untuk organisasi atau unit organisasi (OU). SCP membatasi izin untuk entitas di akun anggota. Jika SCP memblokir layanan atau tindakan, maka tidak ada entitas pada akun tersebut yang bisa mengakses layanan itu atau serta tidak bisa melakukan tindakan tersebut. Hal ini juga berlaku bahkan jika administrator dengan tegas mengizinkan layanan atau tindakan tersebut melalui IAM atau kebijakan sumber daya. 

   Jika akun Anda bukan anggota organisasi, maka kotak centang tidak muncul.

1. (Opsional) Anda dapat menguji kebijakan yang ditetapkan sebagai [batas izin](access_policies_boundaries.md) untuk entitas IAM (pengguna atau peran), tetapi tidak untuk grup IAM. Jika kebijakan batasan izin saat ini diatur untuk entitas, ia muncul dalam **panel** Kebijakan. Anda hanya bisa mengatur satu batasan izin untuk sebuah entitas. Untuk menguji batasan izin yang berbeda, Anda bisa membuat batasan izin khusus. Untuk melakukannya, pilih **Buat Kebijakan Baru**. Panel **Kebijakan** baru akan terbuka. Di menu, pilih **Kebijakan Batasan Izin IAM Khusus**. Masukkan nama untuk kebijakan baru dan ketik atau salin kebijakan ke ruang di bawah ini. Pilih **Terapkan** untuk menyimpan kebijakan tersebut. Selanjutnya, pilih **Kembali** untuk kembali ke panel **Kebijakan** awal. Kemudian pilih kotak centang di sebelah batas izin yang ingin Anda gunakan untuk simulasi. 

1. <a name="polsimstep-polsubset"></a>(Opsional) Anda hanya bisa menguji subset kebijakan yang melekat pada pengguna, grup pengguna, atau peran. Untuk melakukannya, di panel **Kebijakan**, kosongkan kotak centang di samping setiap kebijakan yang ingin Anda kecualikan.

1. <a name="polsimstep-service"></a>Di bawah **Simulator Kebijakan**, pilih **Pilih layanan** lalu pilih layanan yang ingin diuji. Lalu pilih **Pilih tindakan** dan pilih satu atau lebih tindakan untuk diuji. Walaupun menu menunjukkan pilihan yang tersedia hanya untuk satu layanan pada satu waktu, semua layanan dan tindakan yang telah Anda pilih muncul di **Pengaturan Tindakan dan Hasil**. 

1. (Opsional) Jika salah satu kebijakan yang Anda pilih [Step 2](#polsimstep-selectid) dan [Step 5](#polsimstep-polsubset) menyertakan kondisi dengan [*kunci kondisi AWS global*](reference_policies_condition-keys.md), berikan nilai untuk kunci tersebut. Anda melakukan hal ini dengan memperluas bagian**Pengaturan Global** dan mengetikkan nilai untuk nama utama yang ditampilkan di sana.
**Awas**  
Jika Anda membiarkan nilai untuk kunci kondisi kosong, maka kunci tersebut akan diabaikan selama simulasi. Pada beberapa kasus, hal ini menghasilkan kesalahan, dan simulasi gagal untuk dijalankan. Pada kasus lain, simulasi berjalan, namun hasilnya mungkin tidak bisa diandalkan. Pada kasus tersebut, simulasi tidak sesuai dengan kondisi dunia nyata yang mencakup nilai untuk kunci kondisi atau variabel.

1. (Opsional) Setiap tindakan terpilih muncul di daftar**Pengaturan Tindakan dan Hasil** dengan**Tidak disimulasikan** muncul di kolom**Izin** sampai Anda benar-benar menjalankan simulasi tersebut. Sebelum menjalankan simulasi, Anda bisa mengonfigurasi setiap tindakan dengan sumber daya. Untuk mengonfigurasi tindakan individu untuk skenario tertentu, pilih panah untuk memperluas baris tindakan. Bila tindakan mendukung izin tingkat-sumber daya, Anda bisa mengetik [Amazon Resource Name (ARN)](reference_identifiers.md#identifiers-arns) dari sumber daya tertentu yang aksesnya ingin Anda uji. Secara default, setiap sumber daya diatur sebagai wildcard (\$1). Anda juga bisa menentukan nilai tertentu untuk [kunci konteks kondisi mana pun](reference_policies_actions-resources-contextkeys.html). Seperti disebut sebelumnya, kunci dengan nilai kosong diabaikan, yang bisa menimbulkan kegagalan simulasi atau hasil yang tidak bisa diandalkan.

   1. Pilih panah di samping nama tindakan untuk memperluas setiap baris dan mengonfigurasi tambahan informasi yang diperlukan untuk secara akurat menyimulasikan tindakan pada skenario Anda. Bila tindakan tersebut membutuhkan izin tingkat-sumber daya, Anda bisa mengetik [Amazon Resource Name (ARN)](reference_identifiers.md#identifiers-arns) dari sumber daya tertentu yang Anda ingin simulasikan aksesnya. Secara default, setiap sumber daya diatur sebagai wildcard (\$1).

   1. Bila tindakan tersebut mendukung izin tingkat sumber daya namun tidak memerlukannya, maka Anda bisa memilih **Tambah Sumber Daya** untuk memilih tipe sumber daya yang ingin Anda tambahkan ke simulasi. 

   1. Jika salah satu kebijakan terpilih mencakup `Condition` elemen yang merujuk ke kunci konteks untuk layanan tindakan ini, maka nama kunci tersebut akan muncul di bawah tindakan. Anda dapat menetapkan nilai yang akan dipakai selama simulasi tindakan tersebut untuk sumber daya yang ditentukan.
<a name="resource-scenarios"></a>
**Tindakan yang memerlukan grup tipe sumber daya berbeda**  
Beberapa tindakan memerlukan tipe sumber daya yang berbeda dengan keadaan berbeda. Setiap grup tipe sumber daya terkait dengan sebuah skenario. Jika salah satu dari ini berlaku untuk simulasi Anda, pilih dan simulator kebijakan memerlukan jenis sumber daya yang sesuai untuk skenario itu. Daftar berikut menunjukkan setiap opsi skenario yang didukung dan sumber daya yang harus Anda tentukan untuk menjalankan simulasi tersebut.

   Masing-masing skenario Amazon EC2 berikut ini mengharuskan Anda untuk menentukan `instance`, `image`, dan `security-group` sumber daya. Jika skenario Anda mencakup volume EBS, maka Anda harus menjelaskannya `volume` sebagai sumber daya. Jika skenario Amazon EC2 mencakup Virtual Private Cloud (VPC) maka Anda harus memasok `network-interface` sumber dayanya. Jika termasuk IP subnet, maka Anda harus menentukan `subnet` sumber dayanya. Untuk informasi lebih lanjut tentang opsi skenario Amazon EC2, lihat [Platform yang Didukung](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-supported-platforms.html) di *Panduan Pengguna Amazon EC2 *.
   + **EC2-VPC- InstanceStore**

     instance, image, security-group, network-interface
   + **EC2-VPC- -Subnet InstanceStore**

     instance, image, security-group, network-interface, subnet
   + **EC2-VPC-EBS**

     instance, image, security-group, network-interface, volume
   + **EC2-VPC-EBS-Subnet**

     instance, image, security-group, network-interface, subnet, volume

1. <a name="polsimstep-respol"></a>(Opsional) Jika Anda ingin memasukkan kebijakan berbasis sumber daya dalam simulasi Anda, maka terlebih dahulu Anda harus memilih tindakan yang ingin Anda simulasikan pada sumber daya tersebut dalam [Step 6](#polsimstep-service). Perluas baris untuk tindakan terpilih, dan ketik ARN sumber daya tersebut dengan kebijakan yang ingin Anda simulasikan. Lalu pilih **Sertakan Kebijakan Sumber Daya** di samping **kotak teks** ARN. Simulator kebijakan IAM saat ini mendukung kebijakan berbasis sumber daya hanya dari layanan berikut: Amazon S3 (hanya kebijakan berbasis sumber daya; saat ini tidak didukung ACLs ), Amazon SQS, Amazon SNS, dan brankas Amazon Glacier yang tidak terkunci (brankas terkunci saat ini tidak didukung).

1. Pilih **Jalankan Simulasi** di sudut kanan atas.

   Izin **kolom** di setiap baris **Pengaturan Tindakan dan Hasil** menampilkan hasil simulasi dari tindakan tersebut di sumber daya yang ditentukan.

1. Untuk melihat pernyataan mana dalam kebijakan yang secara eksplisit mengizinkan atau menolak tindakan, pilih tautan **pernyataan *N* yang cocok di kolom **Izin**** untuk memperluas baris. Lalu pilih tautan**Tampilkan pernyataan**. Panel **Kebijakan** menunjukkan kebijakan yang relevan dengan pernyataan yang memengaruhi hasil simulasi yang disoroti.
**catatan**  
Jika sebuah tindakan *secara implisit* ditolak—yaitu, jika tindakan tersebut ditolak hanya karena tidak secara eskplisit diizinkan—opsi **Daftar** dan **Tampilkan pernyataan** tidak ditampilkan.

### Pemecahan masalah pesan konsol simulator kebijakan IAM
<a name="iam-policy-simulator-messages"></a>

Tabel berikut mencantumkan pesan informasi dan peringatan yang mungkin Anda jumpai saat menggunakan simulator kebijakan IAM. Tabel ini juga memberikan langkah-langkah yang bisa Anda ambil untuk menyelesaikannya. 


****  

| Pesan | Langkah-langkah untuk menyelesaikan | 
| --- | --- | 
| Kebijakan ini telah diedit Perubahan tidak akan disimpan ke akun Anda.  |   **Tidak ada tindakan yang diperlukan.**  Pesan ini bersifat informatif Jika Anda mengedit kebijakan yang ada di simulator kebijakan IAM, perubahan Anda tidak akan memengaruhi kebijakan Anda Akun AWS. Simulator kebijakan memungkinkan Anda membuat perubahan pada kebijakan hanya untuk tujuan pengujian.  | 
| Tidak bisa mengambil kebijakan sumber daya. Alasan: detailed error message | Simulator kebijakan tidak dapat mengakses kebijakan berbasis sumber daya yang diminta. Pastikan ARN sumber daya yang ditentukan sudah benar dan pengguna yang menjalankan simulasi memiliki izin untuk membaca kebijakan sumber daya. | 
| Satu atau lebih kebijakan memerlukan nilai dalam pengaturan simulasi. Simulasi bisa gagal tanpa nilai ini.  |  Pesan ini muncul jika kebijakan yang sedang Anda uji berisi kunci kondisi atau variabel namun Anda tidak memberi nilai apa pun untuk kunci atau variabel tersebut di**Pengaturan Simulasi**. Untuk mengabaikan pesan ini, pilih **Pengaturan Simulasi**, Lalu masukkan nilai untuk setiap kunci kondisi atau variabel.  | 
| Anda telah mengubah kebijakan. Hasil ini tidak lagi valid.  |  Pesan ini muncul jika Anda telah mengubah kebijakan yang dipilih ketika hasil ditampilkan di panel**Hasil**. Hasil yang ditampilkan di panel **Hasil** tidak diperbarui secara dinamis. Untuk mengabaikan pesan ini, pilih **Jalankan Simulasi** lagi untuk menampilkan hasil simulasi baru berdasarkan perubahan yang dibuat di panel**Kebijakan**.  | 
| Sumber daya yang Anda ketikkan untuk simulasi ini tidak cocok dengan layanan ini.  |  Pesan ini muncul jika Anda sudah mengetikkan Amazon Resource Name (ARN) di panel**Pengaturan Simulasi** yang tidak cocok dengan layanan yang Anda pilih untuk simulasi saat ini. Misalnya, pesan ini muncul jika Anda menentukan ARN untuk sumber daya Amazon DynamoDB tetapi Anda memilih Amazon Redshift sebagai layanan yang akan disimulasikan. Untuk mengabaikan pesan ini, lakukan salah satu hal berikut:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/access_policies_testing-policies.html)  | 
| Tindakan ini termasuk dalam layanan yang mendukung mekanisme kontrol akses khusus selain kebijakan berbasis sumber daya, seperti kebijakan Amazon S3 atau ACLs Amazon Glacier vault lock. Simulator kebijakan tidak mendukung mekanisme ini, sehingga hasilnya bisa berbeda dari lingkungan produksi Anda.  |   **Tidak ada tindakan yang diperlukan.**  Pesan ini bersifat informatif Dalam versi saat ini, simulator kebijakan mengevaluasi kebijakan yang dilampirkan ke pengguna dan grup IAM, dan dapat mengevaluasi kebijakan berbasis sumber daya untuk Amazon S3, Amazon SQS, Amazon SNS, dan Amazon Glacier. Simulator kebijakan tidak mendukung semua mekanisme kendali akses yang didukung oleh layanan AWS lainnya.  | 
| DynamoDB FGAC saat ini tidak didukung.  |   **Tidak ada tindakan yang diperlukan.**  Pesan informatif ini merujuk ke *kendali akses fine-grained*. Kontrol akses berbutir halus adalah kemampuan untuk menggunakan kondisi kebijakan IAM untuk menentukan siapa yang dapat mengakses item dan atribut data individual dalam tabel dan indeks DynamoDB. Juga merujuk ke tindakan yang bisa dilakukan pada tabel dan indeks ini. Versi simulator terkini dari simulator kebijakan IAM tidak mendukung tipe kondisi kebijakan semacam ini. [Untuk informasi selengkapnya tentang kontrol akses berbutir halus DynamoDB, lihat Kontrol Akses Berbutir Baik untuk DynamoDB.](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/FGAC_DDB.html)  | 
| Anda memiliki kebijakan yang tidak mematuhi sintaksis kebijakan. Anda dapat menggunakan validasi kebijakan untuk meninjau pembaruan yang disarankan bagi kebijakan Anda.  |  Pesan ini muncul di bagian atas daftar kebijakan jika Anda memiliki kebijakan yang tidak mematuhi tata bahasa kebijakan IAM. Untuk menyimulasikan kebijakan ini, tinjau opsi validasi kebijakan di [Validasi kebijakan IAM](access_policies_policy-validator.md) untuk mengidentifikasi dan memperbaiki kebijakan ini.  | 
|  Kebijakan ini harus diperbarui agar mematuhi aturan sintaksis kebijakan terbaru.  |  Pesan ini muncul jika Anda memiliki kebijakan yang tidak mematuhi tata bahasa kebijakan IAM. Untuk menyimulasikan kebijakan ini, tinjau opsi validasi kebijakan di [Validasi kebijakan IAM](access_policies_policy-validator.md) untuk mengidentifikasi dan memperbaiki kebijakan ini.  | 

## Menggunakan simulator kebijakan IAM (AWS CLI dan AWS API)
<a name="policies-simulator-using-api"></a>

Perintah simulator kebijakan biasanya butuh memanggil operasi API untuk melakukan dua hal:

1. Mengevaluasi kebijakan dan mengembalikan daftar kunci konteks yang mereka referensikan. Anda perlu tahu kunci konteks mana yang direferensikan sehingga Anda bisa memasok nilai bagi mereka di langkah berikutnya.

1. Simulasikan kebijakan, berikan daftar tindakan, sumber daya, dan kunci konteks yang digunakan selama simulasi.

Untuk alasan keamanan, operasi API telah dibagi menjadi dua grup:
+ Operasi API yang menyimulasikan hanya kebijakan yang diteruskan secara langsung ke API sebagai string. Set ini termasuk [GetContextKeysForCustomPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForCustomPolicy.html) dan [SimulateCustomPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulateCustomPolicy.html).
+ Operasi API yang mensimulasikan kebijakan yang dilampirkan ke pengguna, grup pengguna, peran, atau sumber daya IAM tertentu. Karena operasi API ini dapat mengungkap rincian izin yang diberikan ke entitas IAM lainnya, Anda harus mempertimbangkan pembatasan akses ke operasi API ini. Set ini termasuk [GetContextKeysForPrincipalPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForPrincipalPolicy.html) dan [SimulatePrincipalPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html). Untuk informasi lebih lanjut tentang pembatasan akses ke operasi API, lihat [Contoh kebijakan: AWS Identity and Access Management (IAM)](access_policies_examples.md#policy_library_IAM).

Di kedua kasus tersebut, operasi API menyimulasikan efek dari satu atau lebih kebijakan dari daftar tindakan dan sumber daya. Setiap tindakan dipasangkan dengan setiap sumber daya dan simulasi menentukan apakah kebijakan itu mengizinkan atau menolak tindakan untuk sumber daya tersebut. Anda juga bisa memberi nilai bagi setiap kunci konteks yang menjadi referensi kebijakan Anda. Anda bisa mendapatkan daftar kunci konteks yang referensi kebijakan dengan terlebih dahulu memanggil [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForCustomPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForCustomPolicy.html) atau [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForPrincipalPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForPrincipalPolicy.html). Jika Anda tidak memberikan nilai untuk kunci konteks, simulasi masih berjalan. Tetapi hasilnya mungkin tidak dapat diandalkan karena simulator kebijakan tidak dapat memasukkan kunci konteks itu dalam evaluasi.

**Untuk mendapatkan daftar kunci konteks (AWS CLI, AWS API)**  
Gunakan hal berikut untuk mengevaluasi daftar kebijakan dan mengembalikan daftar kunci konteks yang dipakai dalam kebijakan.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/get-context-keys-for-custom-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-context-keys-for-custom-policy.html) dan [https://docs.aws.amazon.com/cli/latest/reference/iam/get-context-keys-for-principal-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-context-keys-for-principal-policy.html)
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForCustomPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForCustomPolicy.html)dan [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForPrincipalPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForPrincipalPolicy.html)

**Untuk mensimulasikan kebijakan IAM (AWS CLI, AWS API)**  
Gunakan hal berikut untuk menyimulasikan kebijakan IAM untuk menentukan izin efektif pengguna.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/simulate-custom-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/simulate-custom-policy.html) dan [https://docs.aws.amazon.com/cli/latest/reference/iam/simulate-principal-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/simulate-principal-policy.html)
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulateCustomPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulateCustomPolicy.html)dan [https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html)

# Menambahkan dan menghapus izin identitas IAM
<a name="access_policies_manage-attach-detach"></a>

Anda menggunakan kebijakan untuk menentukan izin bagi identitas (pengguna, grup pengguna, atau peran). Anda dapat menambah dan menghapus izin dengan melampirkan dan melepaskan kebijakan IAM untuk identitas menggunakan, AWS Command Line Interface (AWS CLI) Konsol Manajemen AWS, atau API. AWS Anda juga dapat menggunakan kebijakan untuk menetapkan [batas izin](access_policies_boundaries.md) hanya untuk entitas (pengguna atau peran) yang menggunakan metode yang sama. Batas izin adalah AWS fitur lanjutan yang mengontrol izin maksimum yang dapat dimiliki entitas.

**Topics**
+ [

## Terminologi
](#attach-detach-etc-terminology)
+ [

## Lihat aktivitas identitas
](#attach-detach_prerequisites)
+ [

## Menambahkan izin identitas IAM (konsol)
](#add-policies-console)
+ [

## Menghapus izin identitas IAM (konsol)
](#remove-policies-console)
+ [

## Menambahkan kebijakan IAM ()AWS CLI
](#add-policy-cli)
+ [

## Menghapus kebijakan IAM ()AWS CLI
](#remove-policy-cli)
+ [

## Menambahkan kebijakan IAM (AWS API)
](#add-policy-api)
+ [

## Menghapus kebijakan IAM (AWS API)
](#remove-policy-api)

## Terminologi
<a name="attach-detach-etc-terminology"></a>

Saat Anda mengaitkan kebijakan izin dengan identitas (pengguna IAM, grup IAM, dan peran IAM), terminologi dan prosedur bervariasi tergantung pada apakah Anda bekerja dengan kebijakan terkelola atau sebaris:
+ **Pasang** – Dipakai dengan kebijakan terkelola. Anda melampirkan kebijakan terkelola ke identitas (pengguna, grup pengguna, atau peran). Melampirkan kebijakan menerapkan izin dari kebijakan ke identitas.
+ **Lepas** – Dipakai dengan kebijakan terkelola. Anda melepaskan kebijakan terkelola dari identitas IAM (pengguna, grup pengguna, atau peran). Melepas kebijakan menghapus izinnya dari identitas.
+ **Ditanamkan** – Dipakai dengan kebijakan yang selaras. Anda menyematkan kebijakan inline pada sebuah identitas (pengguna, grup pengguna, atau peran). Menanamkan kebijakan berarti menerapkan izin kebijakan ke identitas. Karena kebijakan inline disimpan di identitas, ia disematkan dan bukan ditempelkan, walau hasilnya serupa.
**catatan**  
Anda bisa menanamkan kebijakan inline *[peran terkait layanan](id_roles.md#iam-term-service-linked-role)* hanya dalam layanan yang bergantung pada peran tersebut. Lihat [dokumentasi AWS](https://docs.aws.amazon.com/) dari layanan Anda untuk melihat apakah ia mendukung fitur ini.
+ **Hapus** – Dipakai dengan kebijakan yang selaras. Anda menghapus kebijakan sebaris dari identitas IAM (pengguna, grup pengguna, atau peran). Menghapus kebijakan akan menghapus izinnya dari identitas.
**catatan**  
Anda bisa menghapus kebijakan inline untuk*[peran terkait layanan](id_roles.md#iam-term-service-linked-role)* hanya dalam layanan yang bergantung pada peran tersebut. Lihat [dokumentasi AWS](https://docs.aws.amazon.com/) dari layanan Anda untuk melihat apakah ia mendukung fitur ini.

Anda dapat menggunakan konsol, AWS CLI, atau AWS API untuk melakukan salah satu tindakan ini.

### Informasi selengkapnya
<a name="terminology-more-info-roles-policies"></a>
+ Untuk informasi lebih lanjut tentang perbedaan antara kebijakan terkelola dan inline, lihat [Kebijakan terkelola dan kebijakan inline](access_policies_managed-vs-inline.md). 
+ Untuk informasi lebih lanjut tentang batasan izin, lihat [Batas izin untuk entitas IAM](access_policies_boundaries.md).
+ Untuk informasi umum tentang kebijakan IAM, lihat [Kebijakan dan izin di AWS Identity and Access Management](access_policies.md).
+ Untuk informasi tentang memvalidasi kebijakan IAM, lihat. [Validasi kebijakan IAM](access_policies_policy-validator.md)
+ Jumlah dan ukuran sumber daya IAM dalam AWS akun terbatas. Untuk informasi selengkapnya, lihat [IAM dan AWS STS kuota](reference_iam-quotas.md).

## Lihat aktivitas identitas
<a name="attach-detach_prerequisites"></a>

Sebelum mengubah izin untuk identitas (pengguna, grup pengguna, atau peran), Anda harus melihat aktivitas tingkat layanan mereka yang terkini. Ini penting karena Anda tidak ingin menghapus akses dari suatu prinsipal (orang atau aplikasi) yang menggunakannya. Untuk informasi selengkapnya tentang melihat informasi yang terakhir diakses, lihat [Memperbaiki izin dalam AWS menggunakan informasi yang terakhir diakses](access_policies_last-accessed.md).

## Menambahkan izin identitas IAM (konsol)
<a name="add-policies-console"></a>

Anda dapat menggunakan Konsol Manajemen AWS untuk menambahkan izin ke identitas (pengguna, grup pengguna, atau peran). Untuk melakukan hal ini, tempelkan kebijakan terkelola yang mengendalikan izin, atau tentukan kebijakan yang berfungsi sebagai [batasan perizinan](access_policies_boundaries.md). Anda juga bisa menyematkan kebijakan inline.<a name="access_policies_manage-attach-detach-console"></a>

**Untuk menggunakan kebijakan terkelola sebagai kebijakan izin untuk identitas (konsol)**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Kebijakan**. 

1. Dalam daftar kebijakan, pilih tombol radio di sebelah nama kebijakan yang akan dilampirkan. Anda dapat menggunakan kotak pencarian untuk menyaring daftar kebijakan.

1. Pilih **Tindakan**, lalu pilih **Lampirkan**.

1. Pilih satu atau lebih identitas untuk melampirkan kebijakan. Anda bisa memakai kotak pencarian untuk memfilter daftar entitas penanggung jawab. Setelah memilih identitas, pilih **Lampirkan kebijakan**.<a name="set-managed-policy-boundary-console"></a>

**Untuk menggunakan kebijakan terkelola untuk menetapkan batasan izin (konsol)**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Kebijakan**. 

1. Dari daftar kebijakan, pilih nama kebijakan yang ingin diatur. Anda dapat menggunakan kotak pencarian untuk memfilter daftar kebijakan.

1. Pada halaman detail kebijakan, pilih tab **Entitas yang dilampirkan**, lalu, jika perlu, buka bagian **Terlampir sebagai batas izin** dan pilih **Tetapkan kebijakan ini sebagai batas izin**.

1. Pilih satu atau lebih pengguna atau peran untuk menggunakan kebijakan sebagai batasan izin. Anda bisa memakai kotak pencarian untuk memfilter daftar entitas penanggung jawab. Setelah memilih prinsipal, pilih **Setel** batas izin.<a name="embed-inline-policy-console"></a>

**Untuk menyematkan kebijakan inline bagi pengguna atau peran (konsole)**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Pengguna** atau **Peran**.

1. Dari daftar, pilih nama pengguna atau peran untuk menanamkan kebijakan ke dalamnya.

1. Pilih tab **Izin**. 

1. Pilih **Tambahkan izin**, lalu pilih **Buat kebijakan sebaris**.

    
**catatan**  
Anda tidak menanam kebijakan yang selaras pada*[peran terkait-layanan](id_roles.md#iam-term-service-linked-role)* di IAM. Karena layanan terkait menentukan apakah Anda bisa mengubah izin peran tersebut, Anda mungkin bisa menambah kebijakan tambahan dari konsol layanan, API, atau AWS CLI. Untuk melihat dokumentasi peran terkait-layanan untuk layanan, lihat [AWS layanan yang bekerja dengan IAM](reference_aws-services-that-work-with-iam.md) dan pilih **Ya** pada kolom **Peran Terkait Layanan** untuk layanan Anda.

1. Pilih dari metode berikut untuk melihat langkah-langkah yang diperlukan untuk membuat kebijakan Anda:
   + [Mengimpor kebijakan terkelola yang ada](access_policies_create-console.md#access_policies_create-copy) – Anda bisa mengimpor kebijakan yang dikelola di dalam akun Anda dan lalu mengedit kebijakan itu untuk menyesuaikan dengan kebutuhan khusus Anda. Kebijakan terkelola dapat berupa kebijakan AWS terkelola atau kebijakan terkelola pelanggan yang Anda buat sebelumnya.
   + [Membuat kebijakan dengan editor visual](access_policies_create-console.md#access_policies_create-visual-editor) – Anda bisa membuat kebijakan baru dari nol di editor visual. Jika Anda memakai editor visual, Anda tidak harus memahami sintaksis JSON.
   + [Membuat kebijakan menggunakan editor JSON](access_policies_create-console.md#access_policies_create-json-editor)— Dalam opsi editor **JSON**, Anda dapat menggunakan sintaks JSON untuk membuat kebijakan. Anda bisa mengetik dokumen kebijakan JSON yang baru atau menempelkan satu[contoh kebijakan](access_policies_examples.md).

1. Setelah Anda membuat kebijakan inline, ia akan secara otomatis tertanam di pengguna atau peran Anda.

**Untuk menanam kebijakan inline bagi grup pengguna (konsol)**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **User groups** (Grup pengguna).

1. Dari daftar, pilih nama pengguna dari grup pengguna untuk menyematkan kebijakan ke dalamnya.

1. Pilih tab **Permissions** (Izin), pilih **Add permissions** (Tambahkan izin), lalu pilih **Create inline policy** (Membuat kebijakan inline).

1. Lakukan salah satu tindakan berikut:
   + Pilih opsi **Visual** untuk membuat kebijakan. Untuk informasi selengkapnya, lihat [Membuat kebijakan dengan editor visual](access_policies_create-console.md#access_policies_create-visual-editor).
   + Pilih opsi **JSON** untuk membuat kebijakan. Untuk informasi selengkapnya, lihat [Membuat kebijakan menggunakan editor JSON](access_policies_create-console.md#access_policies_create-json-editor).

1. Jika Anda puas dengan kebijakan ini, pilih **Create policy** (Buat kebijakan).<a name="replace-managed-policy-boundary-console"></a>

**Untuk mengubah batasan izin untuk satu atau lebih entitas (konsol)**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Kebijakan**. 

1. Dari daftar kebijakan, pilih nama kebijakan yang ingin diatur. Anda dapat menggunakan kotak pencarian untuk memfilter daftar kebijakan.

1. Pada halaman detail kebijakan, pilih tab **Entitas yang dilampirkan**, lalu, jika perlu, buka bagian **Terlampir sebagai batas izin**. Pilih kotak centang di sebelah pengguna atau peran yang batasnya ingin Anda ubah, lalu pilih **Ubah**.

1. Pilih kebijakan yang akan dipakai sebagai batasan izin. Anda dapat menggunakan kotak pencarian untuk memfilter daftar kebijakan. Setelah memilih kebijakan, pilih **Setel batas izin**.

## Menghapus izin identitas IAM (konsol)
<a name="remove-policies-console"></a>

Anda dapat menggunakan Konsol Manajemen AWS untuk menghapus izin dari identitas (pengguna, grup pengguna, atau peran). Untuk melakukan hal ini, lepaskan kebijakan terkelola yang mengendalikan izin, atau hapus kebijakan yang berfungsi sebagai [batasan perizinan](access_policies_boundaries.md). Anda juga bisa menghapus kebijakan inline.<a name="detach-managed-policy-console"></a>

**Untuk melepas kebijakan terkelola yang digunakan sebagai kebijakan perizinan (konsol)**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Kebijakan**. 

1. Dalam daftar kebijakan, pilih tombol radio di sebelah nama kebijakan yang akan dilepas. Anda dapat menggunakan kotak pencarian untuk memfilter daftar kebijakan.

1. Pilih **Actions** (Tindakan), lalu pilih **Detach** (Lepas).

1. Pilih identitas yang ingin dilepas kebijakannya. Anda bisa memakai kotak pencarian untuk memfilter daftar identitas. Setelah memilih identitas, pilih **Lepaskan kebijakan**.<a name="remove-managed-policy-boundary-console"></a>

**Untuk menghapus batasan perizinan (konsol)**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Kebijakan**. 

1. Dari daftar kebijakan, pilih nama kebijakan yang ingin diatur. Anda dapat menggunakan kotak pencarian untuk memfilter daftar kebijakan.

1. Pada halaman ringkasan kebijakan, pilih tab **Entitas yang dilampirkan**, lalu, jika perlu, buka bagian **Terlampir sebagai batas izin** dan pilih entitas untuk menghapus batas izin. Kemudian pilih **Hapus batas**.

1. Konfirmasikan bahwa Anda ingin menghapus batas dan memilih **Hapus** batas.<a name="delete-inline-policy-console"></a>

**Untuk menghapus kebijakan inline (konsol)**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Grup pengguna**, **Pengguna**, atau**Peran**.

1. Dari daftar, pilih nama grup pengguna, pengguna, atau peran yang memiliki kebijakan yang ingin Anda hapus.

1. Pilih tab **Izin**.

1. Pilih kotak centang di samping kebijakan dan pilih **Hapus**.

1. Pilih **Hapus** di kotak konfirmasi.

## Menambahkan kebijakan IAM ()AWS CLI
<a name="add-policy-cli"></a>

Anda dapat menggunakan AWS CLI untuk menambahkan izin ke identitas (pengguna, grup pengguna, atau peran). Untuk melakukan hal ini, tempelkan kebijakan terkelola yang mengendalikan izin, atau tentukan kebijakan yang berfungsi sebagai [batasan perizinan](access_policies_boundaries.md). Anda juga bisa menyematkan kebijakan inline.

**Untuk menggunakan kebijakan terkelola sebagai kebijakan izin untuk entitas (AWS CLI)**

1. (Opsional) Untuk melihat informasi tentang kebijakan yang dikelola, jalankan perintah berikut: 
   + Untuk mencantumkan kebijakan terkelola: [aws iam daftar-kebijakan](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
   + Untuk mengambil informasi rinci tentang kebijakan yang dikelola: [ambil-kebijakan](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html)

1. Untuk melampirkan kebijakan terkelola ke identitas (pengguna, grup pengguna, atau peran), gunakan salah satu perintah berikut: 
   + [aws iam attach-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-user-policy.html)
   + [aws iam attach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html)
   + [aws iam attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)

**Untuk menggunakan kebijakan terkelola untuk menetapkan batasan perizinan (AWS CLI)**

1. (Opsional) Untuk melihat informasi tentang kebijakan yang dikelola, jalankan perintah berikut: 
   + Untuk mencantumkan kebijakan terkelola: [aws iam daftar-kebijakan](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
   + Untuk mengambil informasi rinci tentang kebijakan yang dikelola: [aws-iam ambil-kebijakan](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html)

1. Untuk memakai kebijakan yang dikelola pada pengaturan batasan izin untuk entitas (pengguna atau peran), gunakan salah satu perintah berikut: 
   + [aws iam put-user-permissions-boundary](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-permissions-boundary.html)
   + [aws iam put-role-permissions-boundary](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-permissions-boundary.html)

**Untuk menyematkan kebijakan inline (AWS CLI)**  
Untuk menanamkan kebijakan inline untuk identitas (pengguna, grup pengguna, atau peran yang bukan *[peran terkait layanan](id_roles.md#iam-term-service-linked-role)*), gunakan salah satu perintah berikut: 
+ [aws iam put-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-policy.html)
+ [aws iam put-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-group-policy.html)
+ [aws iam put-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html)

## Menghapus kebijakan IAM ()AWS CLI
<a name="remove-policy-cli"></a>

Anda dapat menggunakan AWS CLI untuk melepaskan kebijakan terkelola yang mengontrol izin, atau menghapus kebijakan yang berfungsi sebagai batas [izin](access_policies_boundaries.md). Anda juga bisa menghapus kebijakan inline.

**Untuk melepas kebijakan terkelola yang digunakan sebagai kebijakan perizinan (AWS CLI)**

1. (Opsional) Untuk melihat informasi tentang kebijakan, jalankan perintah berikut:
   + Untuk mencantumkan kebijakan terkelola: [aws iam daftar-kebijakan](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
   + Untuk mengambil informasi rinci tentang kebijakan yang dikelola: [aws-iam ambil-kebijakan](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html) 

1. (Opsional) Untuk mengetahui hubungan antara kebijakan dan identitas, jalankan perintah berikut:
   + Untuk mencantumkan identitas (pengguna IAM, grup IAM, dan peran IAM) yang dilampirkan kebijakan terkelola: 
     + [aws iam list-entities-for-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/list-entities-for-policy.html)
   + Untuk mendaftar kebijakan terkelola yang menempel pada identitas (pengguna, grup pengguna, atau peran), gunakan salah satu perintah berikut:
     + [aws iam list-attached-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-user-policies.html)
     + [aws iam list-attached-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-group-policies.html)
     + [aws iam list-attached-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-role-policies.html)

1. Untuk melepas kebijakan terkelola dari identitas (pengguna, grup pengguna, atau peran), gunakan salah satu perintah berikut:
   + [aws iam detach-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html)
   + [aws iam detach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-group-policy.html)
   + [aws iam detach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-role-policy.html)

**Untuk menghapus batasan perizinan (AWS CLI)**

1. (Opsional) Untuk melihat kebijakan terkelola mana yang saat ini dipakai untuk mengatur batasan izin bagi pengguna atau peran, jalankan perintah berikut:
   + [aws iam dapatkan-pengguna](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user.html)
   +  [aws iam mendapatkan peran](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html) 

1. (Opsional) Untuk melihat pengguna atau peran dimana kebijakan terkelola dipakai untuk batasan izin, jalankan perintah berikut:
   + [aws iam list-entities-for-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/list-entities-for-policy.html)

1. (Opsional) Untuk melihat informasi tentang kebijakan yang dikelola, jalankan perintah berikut:
   + Untuk mencantumkan kebijakan terkelola: [aws iam daftar-kebijakan](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
   + Untuk mengambil informasi rinci tentang kebijakan yang dikelola: [aws-iam ambil-kebijakan](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html) 

1. Untuk menghapus batasan izin dari pengguna atau peran, gunakan salah satu perintah berikut:
   + [aws iam delete-user-permissions-boundary](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html)
   + [aws iam delete-role-permissions-boundary](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-permissions-boundary.html)

**Untuk menghapus kebijakan inline (AWS CLI)**

1. (Opsional) Untuk mendaftar seluruh kebijakan inline yang dilampirkan pada identitas (pengguna, grup pengguna, atau peran), gunakan salah satu perintah berikut:
   + [aws iam list-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-user-policies.html)
   + [aws iam list-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-group-policies.html)
   + [aws iam list-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-role-policies.html)

1. (Opsional) Untuk mengambil dokumen kebijakan inline yang disematkan di identitas (pengguna, grup pengguna, atau peran), gunakan salah satu perintah berikut:
   + [aws iam get-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user-policy.html)
   + [aws iam get-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group-policy.html)
   + [aws iam get-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role-policy.html)

1. Untuk menghapus kebijakan inline dari identitas (pengguna, grup pengguna, atau peran yang bukan *[peran terkait layanan](id_roles.md#iam-term-service-linked-role)*), gunakan salah satu perintah berikut:
   + [aws iam delete-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-user-policy.html)
   + [aws iam delete-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-group-policy.html)
   + [aws iam delete-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html)

## Menambahkan kebijakan IAM (AWS API)
<a name="add-policy-api"></a>

Anda dapat menggunakan AWS API untuk melampirkan kebijakan terkelola yang mengontrol izin atau menentukan kebijakan yang berfungsi sebagai batas [izin](access_policies_boundaries.md). Anda juga bisa menyematkan kebijakan inline.

**Untuk menggunakan kebijakan terkelola sebagai kebijakan izin untuk entitas (AWS API)**

1. (Opsional) Untuk melihat informasi mengenai kebijakan, hubungi layanan berikut: 
   + Untuk mencantumkan kebijakan terkelola: [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html) 
   + Untuk memperoleh kembali informasi detail tentang kebijakan yang dikelola: [GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)

1. Untuk melampirkan kebijakan terkelola pada sebuah identitas (pengguna, grup pengguna, atau peran), hubungi salah satu layanan berikut:
   + [AttachUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachUserPolicy.html)
   + [AttachGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachGroupPolicy.html)
   + [AttachRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachRolePolicy.html)

**Untuk menggunakan kebijakan terkelola untuk menetapkan batas izin (API)AWS**

1. (Opsional) Untuk melihat informasi tentang kebijakan yang dikelola, hubungi layanan berikut: 
   + Untuk mencantumkan kebijakan terkelola: [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)
   + Untuk memperoleh kembali informasi detail tentang kebijakan yang dikelola: [GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)

1. Untuk menggunakan kebijakan terkelola pada penetapan batas perizinan bagi suatu entitas (pengguna atau peran), hubungi salah satu layanan berikut: 
   + [PutUserPermissionsBoundary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPermissionsBoundary.html)
   + [PutRolePermissionsBoundary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePermissionsBoundary.html)

**Untuk menyematkan kebijakan inline (API)AWS**  
Untuk menyimpan kebijakan inline dalam suatu identitas (pengguna, grup pengguna, atau peran yang bukan *[peran terkait layanan](id_roles.md#iam-term-service-linked-role)*), hubungi salah satu layanan berikut:
+ [PutUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPolicy.html)
+ [PutGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutGroupPolicy.html)
+ [PutRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePolicy.html)

## Menghapus kebijakan IAM (AWS API)
<a name="remove-policy-api"></a>

Anda dapat menggunakan AWS API untuk melepaskan kebijakan terkelola yang mengontrol izin atau menghapus kebijakan yang berfungsi sebagai batas [izin](access_policies_boundaries.md). Anda juga bisa menghapus kebijakan inline.

**Untuk melepaskan kebijakan terkelola yang digunakan sebagai kebijakan izin (API)AWS**

1. (Opsional) Untuk melihat informasi mengenai kebijakan, hubungi layanan berikut:
   + Untuk mencantumkan kebijakan terkelola: [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)
   + Untuk memperoleh kembali informasi detail tentang kebijakan yang dikelola: [GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)

1. (Opsional) Untuk mengetahui perihal hubungan antara kebijakan dan identitas, hubungi layanan berikut:
   + Untuk mencantumkan identitas (pengguna IAM, grup IAM, dan peran IAM) yang dilampirkan kebijakan terkelola:
     + [ListEntitiesForPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListEntitiesForPolicy.html)
   + Untuk mencantumkan kebijakan terkelola pada suatu identitas (pengguna, grup pengguna, atau peran), panggil salah satu operasi berikut:
     + [ListAttachedUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html)
     + [ListAttachedGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedGroupPolicies.html)
     + [ListAttachedRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedRolePolicies.html)

1. Untuk melepas kebijakan terkelola dari suatu identitas (pengguna, grup pengguna, atau peran), panggil salah satu operasi berikut:
   + [DetachUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachUserPolicy.html)
   + [DetachGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachGroupPolicy.html)
   + [DetachRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachRolePolicy.html)

**Untuk menghapus batas izin (API)AWS**

1. Untuk melihat kebijakan terkelola yang sedang digunakan pada penetapan batas perizinan bagi seorang pengguna atau peran, hubungi salah satu layanan berikut:
   + [GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)
   + [GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)

1. (Opsional) Untuk melihat pengguna atau peran yang menggunakan kebijakan terkelola pada batas perizinan, hubungi layanan berikut:
   + [ListEntitiesForPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListEntitiesForPolicy.html)

1. (Opsional) Untuk melihat informasi tentang kebijakan yang dikelola, hubungi layanan berikut:
   + Untuk mencantumkan kebijakan terkelola: [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)
   + Untuk memperoleh informasi detail tentang kebijakan yang dikelola: [GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)

1. Untuk menghilangkan batas perizinan dari pengguna atau peran, hubungi salah satu layanan berikut:
   + [DeleteUserPermissionsBoundary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPermissionsBoundary.html)
   + [DeleteRolePermissionsBoundary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteRolePermissionsBoundary.html)

**Untuk menghapus kebijakan inline (AWS API)**

1. (Opsional) Untuk mendaftar seluruh kebijakan inline yang dilampirkan pada identitas (pengguna, grup pengguna, atau peran), hubungi salah satu layanan berikut:
   + [ListUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html)
   + [ListGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupPolicies.html)
   + [ListRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListRolePolicies.html)

1. (Opsional) Untuk memperoleh dokumen kebijakan inline yang disematkan di identitas (pengguna, grup pengguna, atau peran), hubungi salah satu layanan berikut:
   + [GetUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUserPolicy.html)
   + [GetGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetGroupPolicy.html)
   + [GetRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRolePolicy.html)

1. Untuk menghapus kebijakan inline dari suatu identitas (pengguna, grup pengguna, atau peran yang bukan *[peran terkait layanan](id_roles.md#iam-term-service-linked-role)*), hubungi salah satu layanan berikut:
   + [DeleteUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPolicy.html)
   + [DeleteGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteGroupPolicy.html)
   + [DeleteRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteRolePolicy.html)

# Peningkatan versi IAM
<a name="access_policies_managed-versioning"></a>

Saat Anda membuat perubahan pada kebijakan terkelola pelanggan IAM, dan saat AWS membuat perubahan pada kebijakan AWS terkelola, kebijakan yang diubah tidak akan menimpa kebijakan yang ada. Sebaliknya, IAM membuat *versi* baru dari kebijakan terkelola. IAM menyimpan sampai dengan lima versi kebijakan terkelola pelanggan Anda. IAM tidak mendukung peningkatan versi untuk kebijakan selaras. 

Diagram berikut mengilustrasikan versioning untuk kebijakan terkelola pelanggan. Dalam contoh ini, versi 1-4 disimpan. Anda dapat menyimpan hingga lima versi kebijakan terkelola ke IAM. Saat mengedit kebijakan yang akan membuat versi tersimpan keenam, Anda dapat memilih versi lama yang tidak akan disimpan lagi. Anda dapat kembali ke salah satu dari empat versi tersimpan lainnya kapan saja.

![\[Perubahan kebijakan terkelola menjadi versi baru kebijakan tersebut\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/policies-managed-policies-versions-overview.diagram.png)


Versi kebijakan berbeda dengan `Version` elemen kebijakan. Elemen kebijakan `Version` digunakan dalam kebijakan dan menentukan versi bahasa kebijakan. Untuk mempelajari lebih lanjut tentang `Version` elemen kebijakan lihat [Elemen kebijakan IAM JSON: Version](reference_policies_elements_version.md).

Anda dapat menggunakan beberapa versi untuk melacak perubahan pada kebijakan terkelola. Misalnya, Anda mungkin melakukan perubahan pada kebijakan terkelola dan kemudian menemukan bahwa perubahan tersebut memiliki efek yang tak diinginkan. Dalam kejadian ini, Anda dapat kembali ke kebijakan terkelola versi sebelumnya dengan mengatur versi sebelumnya sebagai versi *default*. 

Topik berikut menjelaskan bagaimana Anda dapat menggunakan pembuatan versi untuk kebijakan terkelola.

**Topics**
+ [

## Pembatasan versi
](#version-limits)
+ [

## Gunakan versi untuk memutar kembali perubahan
](#versions-roll-back)
+ [

## Izin untuk mengatur versi default kebijakan
](#policy-version-permissions)
+ [

## Mengatur versi default kebijakan terkelola pelanggan
](#default-version)

## Pembatasan versi
<a name="version-limits"></a>

Kebijakan terkelola dapat memiliki sampai dengan lima versi. Jika Anda perlu membuat perubahan pada kebijakan terkelola di luar lima versi dari AWS Command Line Interface, atau AWS API, Anda harus menghapus satu atau beberapa versi yang sudah ada terlebih dahulu. Jika Anda menggunakan Konsol Manajemen AWS, Anda tidak perlu menghapus versi sebelum mengedit kebijakan Anda. Ketika Anda menyimpan versi keenam, muncul kotak dialog yang menyarankan Anda menghapus satu atau beberapa versi non-default kebijakan Anda. Anda dapat melihat berkas kebijakan JSON untuk setiap versi untuk membantu Anda mengambil keputusan. Untuk detail tentang kotak dialog ini, lihat [Edit kebijakan IAM](access_policies_manage-edit.md).

Anda dapat menghapus versi kebijakan terkelola apa pun yang Anda inginkan, kecuali versi default. Ketika Anda menghapus suatu versi, pengidentifikasi versi untuk sisanya tidak berubah. Hasilnya, pengidentifikasi versi mungkin tak berurutan. Sebagai contoh, apabila Anda menghapus kebijakan terkelola versi v2 dan v4 dan menambahkan dua versi baru, pengidentifikasi versi lainnya mungkin adalah v1, v3, v5, v6, dan v7. 

## Gunakan versi untuk memutar kembali perubahan
<a name="versions-roll-back"></a>

Anda dapat mengatur versi default kebijakan terkelola pelanggan untuk mengembalikan perubahan Anda. Sebagai contoh, pertimbangkan alur perencanaan berikut ini:

Anda membuat kebijakan terkelola pelanggan yang memungkinkan pengguna mengelola bucket Amazon S3 tertentu menggunakan. Konsol Manajemen AWS Setelah pembuatan, kebijakan terkelola pelanggan Anda hanya memiliki satu versi, yang diidentifikasi sebagai v1, sehingga versi tersebut secara otomatis diatur sebagai default. Kebijakan ini bekerja sebagaimana mestinya. 

Kemudian, Anda memperbaharui kebijakan untuk menambahkan izin mengelola bucket Amazon S3 kedua. IAM membuat versi baru kebijakan, yang diidentifikasi sebagai v2, berisikan perubahan Anda. Anda mengatur versi v2 sebagai standar, dan tidak lama kemudian pengguna Anda melaporkan bahwa mereka tidak memiliki izin untuk menggunakan konsol Amazon S3. Dalam hal ini, Anda dapat kembali ke kebijakan versi v1, yang Anda tahu bekerja sebagaimana mestinya. Untuk melakukannya, Anda menetapkan versi v1 sebagai versi standar. Pengguna Anda sekarang dapat menggunakan konsol Amazon S3 untuk mengelola bucket asli. 

Kemudian, setelah Anda menentukan kesalahan dalam kebijakan versi v2, Anda memperbaharui kebijakannya lagi untuk menambahkan izin mengelola bucket Amazon S3 yang kedua. IAM membuat versi baru kebijakan lainnya, yang diidentifikasi sebagai v3. Anda mengatur versi v3 sebagai standar, dan versi ini berjalan sebagaimana mestinya. Pada tahap ini, Anda menghapus versi v2 kebijakan.

## Izin untuk mengatur versi default kebijakan
<a name="policy-version-permissions"></a>

Izin yang diperlukan untuk mengatur versi default kebijakan sesuai dengan operasi API AWS untuk tugas tersebut. Anda dapat menggunakan operasi API `CreatePolicyVersion` atau `SetDefaultPolicyVersion` untuk mengatur versi default kebijakan. Untuk memperbolehkan seseorang mengatur versi kebijakan default dari kebijakan yang ada, Anda dapat mengizinkan akses untuk tindakan `iam:CreatePolicyVersion` atau tindakan `iam:SetDefaultPolicyVersion`. Tindakan `iam:CreatePolicyVersion` memungkinkan mereka membuat kebijakan versi baru dan mengatur versi tersebut sebagai default. Tindakan `iam:SetDefaultPolicyVersion` memungkinkan mereka mengatur versi kebijakan yang ada sebagai kebijakan default.

**penting**  
Untuk mencegah pengguna membuat perubahan pada versi default kebijakan, Anda harus menolak keduanya `iam:CreatePolicyVersion` dan`iam:SetDefaultPolicyVersion`.

Anda dapat menggunakan kebijakan berikut untuk menolak akses pengguna untuk mengubah kebijakan terkelola pelanggan yang sudah ada:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "iam:CreatePolicyVersion",
                "iam:SetDefaultPolicyVersion"
            ],
            "Resource": "arn:aws:iam::*:policy/POLICY-NAME"
        }
    ]
}
```

------

## Mengatur versi default kebijakan terkelola pelanggan
<a name="default-version"></a>

Salah satu versi kebijakan terkelola ditetapkan sebagai versi *default*. Versi default kebijakan adalah versi operatif—yaitu versi yang berlaku untuk semua entitas utama (pengguna IAM, grup IAM, dan peran IAM) tempat kebijakan terkelola dilampirkan. 

Ketika Anda membuat kebijakan terkelola pelanggan, kebijakan tersebut dimulai versi tunggal yang diidentifikasi sebagai v1. Untuk kebijakan terkelola dengan versi tunggal saja, versi tersebut secara otomatis diatur sebagai default. Untuk kebijakan terkelola pelanggan dengan lebih dari satu versi, Anda memilih versi mana yang akan ditetapkan sebagai default. Untuk kebijakan AWS terkelola, versi default ditetapkan oleh AWS. Diagram berikut mengilustrasikan hal ini. 

![\[Kebijakan terkelola dengan versi tunggal saja, yang merupakan versi default\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/policies-managed-policies-versions-default-one.diagram.png)




![\[Kebijakan terkelola pelanggan tiga versi, dengan versi v2 yang merupakan versi default.\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/policies-managed-policies-versions-default-multiple.diagram.png)


Anda dapat menyetel versi default kebijakan terkelola pelanggan untuk menerapkan versi tersebut ke setiap identitas IAM (pengguna, grup pengguna, dan peran) tempat kebijakan dilampirkan. Anda tidak dapat menyetel versi default untuk kebijakan AWS terkelola atau kebijakan sebaris.

**Untuk mengatur versi default kebijakan terkelola pelanggan (konsol)**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Kebijakan**.

1. Dari daftar kebijakan, pilih nama kebijakan untuk diatur menjadi versi default. Anda dapat menggunakan kotak pencarian untuk memfilter daftar kebijakan.

1. Pilih tab **Versi kebijakan**. Pilih kotak centang di samping versi yang ingin Anda tetapkan sebagai versi default, lalu pilih **Set as default**.

Untuk mempelajari cara menyetel versi default kebijakan terkelola pelanggan dari AWS Command Line Interface atau AWS API, lihat[Edit kebijakan IAM ()AWS CLI](access_policies_manage-edit-cli.md). 

# Edit kebijakan IAM
<a name="access_policies_manage-edit"></a>

Sebuah[kebijakan](access_policies.md) adalah entitas yang, saat dilampirkan dengan sebuah identitas atau sumber daya, menjelaskan izinnya. Kebijakan disimpan AWS sebagai dokumen JSON dan dilampirkan pada prinsipal sebagai kebijakan berbasis *identitas* di IAM. Anda dapat melampirkan kebijakan berbasis identitas ke prinsipal (atau identitas), seperti grup pengguna IAM, pengguna, atau peran. [Kebijakan berbasis identitas mencakup kebijakan terkelola, kebijakan yang AWS dikelola pelanggan, dan kebijakan inline.](access_policies_managed-vs-inline.md) Anda dapat mengedit kebijakan terkelola pelanggan dan kebijakan inline di IAM. AWS kebijakan terkelola tidak dapat diedit. Jumlah dan ukuran sumber daya IAM dalam AWS akun terbatas. Untuk informasi selengkapnya, lihat [IAM dan AWS STS kuota](reference_iam-quotas.md).

Umumnya lebih baik menggunakan kebijakan yang dikelola pelanggan daripada kebijakan inline atau kebijakan AWS terkelola. AWS kebijakan terkelola biasanya memberikan izin administratif atau hanya-baca yang luas. Kebijakan inline tidak dapat digunakan kembali pada identitas lain atau dikelola di luar identitas di mana mereka ada. Untuk keamanan terbesar, [berikan hak istimewa paling sedikit](best-practices.md#grant-least-privilege), yang berarti hanya memberikan izin yang diperlukan untuk melakukan tugas pekerjaan tertentu.

Ketika Anda membuat atau mengedit kebijakan IAM, AWS dapat secara otomatis melakukan validasi kebijakan untuk membantu Anda membuat kebijakan yang efektif dengan hak istimewa paling sedikit dalam pikiran. Dalam Konsol Manajemen AWS, IAM mengidentifikasi kesalahan sintaks JSON, sementara IAM Access Analyzer menyediakan pemeriksaan kebijakan tambahan dengan rekomendasi untuk membantu Anda menyempurnakan kebijakan Anda lebih lanjut. Untuk mempelajari selengkapnya tentang validasi kebijakan, lihat [Validasi kebijakan IAM](access_policies_policy-validator.md). Untuk mempelajari selengkapnya tentang pemeriksaan kebijakan IAM Access Analyzer dan rekomendasi yang dapat ditindaklanjuti, lihat validasi kebijakan [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) Access Analyzer.

Anda dapat menggunakan Konsol Manajemen AWS, AWS CLI, atau AWS API untuk mengedit kebijakan terkelola pelanggan dan kebijakan inline di IAM. Untuk informasi selengkapnya tentang menggunakan CloudFormation templat untuk menambah atau memperbarui kebijakan, lihat [referensi jenis AWS Identity and Access Management sumber daya](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) di *Panduan CloudFormation Pengguna*.

**Topics**
+ [

# Edit kebijakan IAM (konsol)
](access_policies_manage-edit-console.md)
+ [

# Edit kebijakan IAM ()AWS CLI
](access_policies_manage-edit-cli.md)
+ [

# Edit kebijakan IAM (AWS API)
](access_policies_manage-edit-api.md)

# Edit kebijakan IAM (konsol)
<a name="access_policies_manage-edit-console"></a>

Sebuah[kebijakan](access_policies.md) adalah entitas yang, saat dilampirkan dengan sebuah identitas atau sumber daya, menjelaskan izinnya. Anda dapat menggunakan Konsol Manajemen AWS untuk mengedit *kebijakan terkelola pelanggan dan kebijakan* *inline* di IAM. AWS kebijakan terkelola tidak dapat diedit. Jumlah dan ukuran sumber daya IAM dalam AWS akun terbatas. Untuk informasi selengkapnya, lihat [IAM dan AWS STS kuota](reference_iam-quotas.md).

Untuk informasi selengkapnya tentang struktur dan sintaks, lihat [Kebijakan dan izin di AWS Identity and Access Management](access_policies.md) dan [Referensi elemen kebijakan IAM JSON](reference_policies_elements.md).

## Prasyarat
<a name="edit-customer-managed-policy-console-prerequisites"></a>

Sebelum Anda mengubah izin untuk suatu kebijakan, Anda harus meninjau aktivitas tingkat layanannya yang terbaru. Ini penting karena Anda tidak ingin menghapus akses dari suatu prinsipal (orang atau aplikasi) yang menggunakannya. Untuk informasi selengkapnya perihal melihat informasi yang terakhir diakses, lihat [Memperbaiki izin dalam AWS menggunakan informasi yang terakhir diakses](access_policies_last-accessed.md).

## Menyunting kebijakan terkelola pelanggan (konsol)
<a name="edit-customer-managed-policy-console"></a>

Anda dapat mengedit kebijakan terkelola pelanggan untuk mengubah izin yang ditentukan dalam kebijakan dari Konsol Manajemen AWS. Kebijakan terkelola pelanggan dapat memiliki sampai dengan lima versi. Hal ini penting karena apabila Anda melakukan perubahan pada kebijakan terkelola lebih dari lima versi, Konsol Manajemen AWS akan menyarankan agar Anda memutuskan versi mana yang akan dihapus. Anda juga dapat mengubah versi default atau menghapus suatu versi kebijakan sebelum Anda menyuntingnya untuk menghindari anjuran. Untuk mempelajari lebih lanjut tentang versi, lihat [Peningkatan versi IAM](access_policies_managed-versioning.md).

------
#### [ Console ]

**Untuk mengedit kebijakan terkelola pelanggan**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Kebijakan**.

1. Dari daftar kebijakan, pilih nama kebijakan untuk disunting. Anda dapat menggunakan kotak pencarian untuk memfilter daftar kebijakan.

1. Pilih tab **Izin**, lalu pilih **Edit**. 

1. Lakukan salah satu tindakan berikut:
   + Pilih opsi **Visual** untuk mengubah kebijakan Anda tanpa memahami sintaks JSON. Anda dapat membuat perubahan pada layanan, tindakan, sumber daya, atau kondisi opsional untuk setiap blokir izin dalam kebijakan Anda. Anda juga dapat mengimpor kebijakan untuk menambahkan izin tambahan ke bawah kebijakan Anda. Setelah selesai melakukan perubahan, pilih **Berikutnya** untuk melanjutkan.
   + Pilih opsi **JSON** untuk mengubah kebijakan Anda dengan mengetik atau menempelkan teks di kotak teks JSON. Anda juga dapat mengimpor kebijakan untuk menambahkan izin tambahan ke bawah kebijakan Anda. Selesaikan peringatan keamanan, kesalahan, atau peringatan umum yang dihasilkan selama [validasi kebijakan](access_policies_policy-validator.md), lalu pilih **Berikutnya**. 
**catatan**  
Anda dapat beralih antara opsi editor **Visual** dan **JSON** kapan saja. Namun, jika Anda melakukan perubahan atau memilih **Berikutnya** di editor **Visual**, IAM dapat merestrukturisasi kebijakan Anda untuk mengoptimalkannya bagi editor visual. Untuk informasi selengkapnya, lihat [Restrukturisasi kebijakan](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Pada halaman **Tinjau dan simpan**, tinjau **Izin yang ditentukan dalam kebijakan ini**, lalu pilih **Simpan perubahan** untuk menyimpan pekerjaan Anda.

1. Jika kebijakan terkelola sudah memiliki maksimal lima versi, memilih **Simpan perubahan** akan menampilkan kotak dialog. Untuk menyimpan versi baru Anda, versi kebijakan non-default tertua akan dihapus dan diganti dengan versi baru ini. Secara opsional, Anda dapat mengatur versi baru sebagai versi kebijakan default.

   Pilih **Simpan perubahan** untuk menyimpan versi kebijakan baru Anda.

------

## Menyetel versi default kebijakan terkelola pelanggan (konsol)
<a name="edit-customer-managed-policy-console-set-default-policy-version"></a>

Anda dapat menyetel versi default kebijakan terkelola pelanggan dari Konsol Manajemen AWS. Anda dapat menggunakan kebijakan ini untuk membuat konfigurasi dasar yang konsisten untuk izin di seluruh organisasi Anda. Semua lampiran baru kebijakan akan menggunakan set izin standar ini.

------
#### [  Console  ]

**Untuk mengatur versi default kebijakan terkelola pelanggan (konsol)**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Kebijakan**.

1. Dari daftar kebijakan, pilih nama kebijakan untuk diatur menjadi versi default. Anda dapat menggunakan kotak pencarian untuk memfilter daftar kebijakan.

1. Pilih tab **Versi kebijakan**. Centang kotak di samping versi yang ingin Anda tetapkan sebagai versi default, lalu pilih **Atur sebagai default**.

------

## Menghapus versi kebijakan terkelola pelanggan (konsol)
<a name="edit-customer-managed-policy-console-delete-policy-version"></a>

Anda mungkin perlu menghapus versi kebijakan yang dikelola pelanggan untuk menghapus izin yang sudah ketinggalan zaman atau salah yang tidak lagi diperlukan atau menimbulkan potensi risiko keamanan. Dengan hanya mempertahankan versi yang diperlukan, Anda dapat membantu memastikan bahwa Anda tetap berada dalam batas lima versi kebijakan terkelola, sehingga memungkinkan ruang untuk pembaruan dan penyempurnaan di masa mendatang. Anda dapat menghapus versi kebijakan yang dikelola pelanggan dari Konsol Manajemen AWS.

------
#### [ Console ]

**Untuk menghapus versi kebijakan terkelola pelanggan**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Kebijakan**.

1. Pilih nama kebijakan terkelola pelanggan dengan versi yang ingin Anda hapus. Anda dapat menggunakan kotak pencarian untuk memfilter daftar kebijakan.

1. Pilih tab **Versi kebijakan**. Centang kotak di samping versi yang ingin Anda hapus. Kemudian pilih **Hapus**.

1. Konfirmasi bahwa Anda ingin menghapus versi tersebut, lalu pilih **Hapus**.

------

## Mengedit kebijakan inline (konsol)
<a name="edit-inline-policy-console"></a>

Anda mungkin perlu mengedit kebijakan terkelola pelanggan untuk memperbarui atau menyempurnakan izin yang diberikan, memastikan mereka tetap selaras dengan persyaratan keamanan organisasi Anda yang terus berkembang dan kebutuhan kontrol akses. Pengeditan memungkinkan Anda menyesuaikan dokumen JSON kebijakan, menambahkan, memodifikasi, atau menghapus tindakan, sumber daya, atau kondisi tertentu untuk mempertahankan prinsip hak istimewa yang paling rendah dan beradaptasi dengan perubahan di lingkungan atau proses Anda. Anda dapat mengedit kebijakan inline dari Konsol Manajemen AWS.

------
#### [ Console ]

**Untuk mengedit kebijakan inline untuk pengguna, grup pengguna, atau peran**

1. Di panel navigasi, pilih **Pengguna**, **Grup Pengguna**, atau**Peran**.

1. Dari daftar, pilih nama pengguna, grup pengguna, atau peran dengan kebijakan yang ingin Anda modifikasi. Lalu pilih tab**Perizinan** dan kembangkan kebijakan.

1. Untuk mengedit kebijakan inline, pilih **Edit Policy** (Edit Kebijakan). 

1. Lakukan salah satu tindakan berikut:
   + Pilih opsi **Visual** untuk mengubah kebijakan Anda tanpa memahami sintaks JSON. Anda dapat membuat perubahan pada layanan, tindakan, sumber daya, atau kondisi opsional untuk setiap blokir izin dalam kebijakan Anda. Anda juga dapat mengimpor kebijakan untuk menambahkan izin tambahan ke bawah kebijakan Anda. Setelah selesai melakukan perubahan, pilih **Berikutnya** untuk melanjutkan.
   + Pilih opsi **JSON** untuk mengubah kebijakan Anda dengan mengetik atau menempelkan teks di kotak teks JSON. Anda juga dapat mengimpor kebijakan untuk menambahkan izin tambahan ke bawah kebijakan Anda. Selesaikan peringatan keamanan, kesalahan, atau peringatan umum yang dihasilkan selama [validasi kebijakan](access_policies_policy-validator.md), lalu pilih **Berikutnya**. Untuk menyimpan perubahan Anda tanpa memengaruhi entitas yang terlampir sekarang, kosongkan kotak centang untuk **Simpan sebagai versi standar**.
**catatan**  
Anda dapat beralih antara opsi editor **Visual** dan **JSON** kapan saja. Namun, jika Anda melakukan perubahan atau memilih **Berikutnya** di editor **Visual**, IAM dapat merestrukturisasi kebijakan Anda untuk mengoptimalkannya bagi editor visual. Untuk informasi selengkapnya, lihat [Restrukturisasi kebijakan](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Pada halaman **Tinjauan**, tinjau ringkasan kebijakan, lalu pilih **Simpan perubahan** untuk menyimpan pekerjaan Anda.

------

# Edit kebijakan IAM ()AWS CLI
<a name="access_policies_manage-edit-cli"></a>

Sebuah[kebijakan](access_policies.md) adalah entitas yang, saat dilampirkan dengan sebuah identitas atau sumber daya, menjelaskan izinnya. Anda dapat menggunakan AWS Command Line Interface (AWS CLI) untuk mengedit *kebijakan terkelola pelanggan dan kebijakan* *inline* di IAM. AWS kebijakan terkelola tidak dapat diedit. Jumlah dan ukuran sumber daya IAM dalam AWS akun terbatas. Untuk informasi selengkapnya, lihat [IAM dan AWS STS kuota](reference_iam-quotas.md).

Untuk informasi selengkapnya tentang struktur dan sintaks, lihat [Kebijakan dan izin di AWS Identity and Access Management](access_policies.md) dan [Referensi elemen kebijakan IAM JSON](reference_policies_elements.md).

## Prasyarat
<a name="edit-customer-managed-policy-cli-prerequisites"></a>

Sebelum Anda mengubah izin untuk suatu kebijakan, Anda harus meninjau aktivitas tingkat layanannya yang terbaru. Ini penting karena Anda tidak ingin menghapus akses dari suatu prinsipal (orang atau aplikasi) yang menggunakannya. Untuk informasi selengkapnya perihal melihat informasi yang terakhir diakses, lihat [Memperbaiki izin dalam AWS menggunakan informasi yang terakhir diakses](access_policies_last-accessed.md).

## Mengedit kebijakan terkelola pelanggan (AWS CLI)
<a name="edit-customer-managed-policy-cli"></a>

Anda dapat mengedit kebijakan yang dikelola pelanggan dari AWS CLI.

**catatan**  
Kebijakan terkelola dapat memiliki hingga lima versi. Apabila Anda perlu melakukan perubahan pada kebijakan terkelola pelanggan lebih dari lima versi, Anda harus terlebih dahulu menghapus satu atau beberapa versi yang ada.

**Untuk mengedit kebijakan terkelola pelanggan (AWS CLI)**

1. (Opsional) Untuk melihat informasi tentang suatu kebijakan, jalankan perintah berikut:
   + Untuk mencantumkan kebijakan terkelola: [daftar-kebijakan](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
   + Untuk memperoleh informasi terperinci tentang kebijakan terkelola: [dapatkan-kebijakan](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html)

1. (Opsional) Untuk mengetahui tentang hubungan antara kebijakan dan identitas, jalankan perintah berikut:
   + Untuk mencantumkan identitas (pengguna IAM, grup IAM, dan peran IAM) yang dilampirkan kebijakan terkelola: 
     + [list-entities-for-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/list-entities-for-policy.html)
   + Untuk membuat daftar kebijakan terkelola yang terlampir pada identitas (pengguna, grup pengguna, atau peran):
     + [list-attached-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-user-policies.html)
     + [list-attached-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-group-policies.html)
     + [list-attached-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-role-policies.html)

1. Untuk menyunting kebijakan terkelola pelanggan, jalankan perintah berikut:
   + [create-policy-version](https://docs.aws.amazon.com/cli/latest/reference/iam/create-policy-version.html)

1. (Opsional) Untuk memvalidasi kebijakan terkelola pelanggan, jalankan perintah IAM Access Analyzer berikut:
   + [validasi-kebijakan](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/validate-policy.html)

## Menyetel versi default kebijakan terkelola pelanggan (AWS CLI)
<a name="edit-customer-managed-policy-cli-set-default-policy-version"></a>

Anda dapat menyetel versi default kebijakan terkelola pelanggan dari AWS CLI.

**Untuk mengatur versi default kebijakan terkelola pelanggan (AWS CLI)**

1. (Opsional) Untuk membuat daftar kebijakan terkelola, jalankan perintah berikut:
   + [daftar-kebijakan](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)

1. Untuk mengatur versi default kebijakan terkelola pelanggan, jalankan perintah berikut:
   + [set-default-policy-version](https://docs.aws.amazon.com/cli/latest/reference/iam/set-default-policy-version.html)

## Menghapus versi kebijakan terkelola pelanggan ()AWS CLI
<a name="edit-customer-managed-policy-cli-delete-policy-version"></a>

Anda dapat menghapus versi kebijakan yang dikelola pelanggan dari AWS CLI.

**Untuk menghapus versi kebijakan terkelola pelanggan (AWS CLI)**

1. (Opsional) Untuk membuat daftar kebijakan terkelola, jalankan perintah berikut:
   + [daftar-kebijakan](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)

1. Untuk menghapus kebijakan terkelola pelanggan, jalankan perintah berikut:
   + [delete-policy-version](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-policy-version.html)

## Mengedit kebijakan sebaris ()AWS CLI
<a name="edit-inline-policy-cli"></a>

Anda dapat mengedit kebijakan inline dari AWS CLI.

**Untuk mengedit kebijakan inline ()AWS CLI**

1. (Opsional) Untuk melihat informasi tentang suatu kebijakan, jalankan perintah berikut:
   + Untuk mencantumkan kebijakan sebaris yang terkait dengan identitas (pengguna, grup pengguna, atau peran): 
     + [list-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-user-policies.html)
     + [list-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-role-policies.html)
     + [list-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-group-policies.html)
   + Untuk mengambil informasi rinci tentang kebijakan inline: 
     + [get-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user-policy.html)
     + [get-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role-policy.html)
     + [get-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group-policy.html)

1. Untuk mengedit kebijakan inline, jalankan perintah berikut:
   + [put-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-policy.html)
   + [put-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html)
   + [put-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-group-policy.html)

1. (Opsional) Untuk memvalidasi kebijakan inline, jalankan perintah IAM Access Analyzer berikut:
   + [validasi-kebijakan](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/validate-policy.html)

# Edit kebijakan IAM (AWS API)
<a name="access_policies_manage-edit-api"></a>

Sebuah[kebijakan](access_policies.md) adalah entitas yang, saat dilampirkan dengan sebuah identitas atau sumber daya, menjelaskan izinnya. Anda dapat menggunakan AWS API untuk mengedit *kebijakan terkelola pelanggan dan kebijakan* *inline* di IAM. AWS kebijakan terkelola tidak dapat diedit. Jumlah dan ukuran sumber daya IAM dalam AWS akun terbatas. Untuk informasi selengkapnya, lihat [IAM dan AWS STS kuota](reference_iam-quotas.md).

Untuk informasi selengkapnya tentang struktur dan sintaks, lihat [Kebijakan dan izin di AWS Identity and Access Management](access_policies.md) dan [Referensi elemen kebijakan IAM JSON](reference_policies_elements.md).

## Prasyarat
<a name="edit-customer-managed-policy-api-prerequisites"></a>

Sebelum Anda mengubah izin untuk suatu kebijakan, Anda harus meninjau aktivitas tingkat layanannya yang terbaru. Ini penting karena Anda tidak ingin menghapus akses dari suatu prinsipal (orang atau aplikasi) yang menggunakannya. Untuk informasi selengkapnya perihal melihat informasi yang terakhir diakses, lihat [Memperbaiki izin dalam AWS menggunakan informasi yang terakhir diakses](access_policies_last-accessed.md).

## Mengedit kebijakan terkelola pelanggan (AWS API)
<a name="edit-customer-managed-policy-api"></a>

Anda dapat mengedit kebijakan yang dikelola pelanggan menggunakan AWS API.

**catatan**  
Kebijakan terkelola dapat memiliki hingga lima versi. Apabila Anda perlu melakukan perubahan pada kebijakan terkelola pelanggan lebih dari lima versi, Anda harus terlebih dahulu menghapus satu atau beberapa versi yang ada.

**Untuk mengedit kebijakan terkelola pelanggan (AWS API)**

1. (Opsional) Untuk melihat informasi mengenai kebijakan, hubungi layanan berikut:
   + Untuk mencantumkan kebijakan terkelola: [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)
   + Untuk memperoleh kembali informasi detail tentang kebijakan yang dikelola: [GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)

1. (Opsional) Untuk mengetahui perihal hubungan antara kebijakan dan identitas, hubungi layanan berikut:
   + Untuk mencantumkan identitas (pengguna IAM, grup IAM, dan peran IAM) yang dilampirkan kebijakan terkelola: 
     + [ListEntitiesForPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListEntitiesForPolicy.html)
   + Untuk membuat daftar kebijakan terkelola yang terlampir pada identitas (pengguna, grup pengguna, atau peran):
     + [ListAttachedUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html)
     + [ListAttachedGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedGroupPolicies.html)
     + [ListAttachedRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedRolePolicies.html)

1. Untuk menyunting kebijakan terkelola pelanggan, hubungi layanan berikut:
   + [CreatePolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreatePolicyVersion.html)

1. (Opsional) Untuk memvalidasi kebijakan terkelola pelanggan, hubungi operasi IAM Access Analyzer berikut:
   + [ValidatePolicy](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ValidatePolicy.html)

## Menyetel versi default dari kebijakan terkelola pelanggan (AWS API)
<a name="edit-customer-managed-policy-api-set-default-policy-version"></a>

Anda dapat menyetel versi default kebijakan terkelola pelanggan dari AWS API.

**Untuk menyetel versi default kebijakan terkelola pelanggan (AWS API)**

1. (Opsional) Untuk membuat daftar kebijakan terkelola, hubungi layanan berikut:
   + [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)

1. Untuk mengatur versi standar kebijakan terkelola pelanggan, hubungi layanan berikut:
   + [SetDefaultPolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SetDefaultPolicyVersion.html)

## Menghapus versi kebijakan terkelola pelanggan (AWS API)
<a name="edit-customer-managed-policy-api-delete-policy-version"></a>

Anda dapat menghapus versi kebijakan yang dikelola pelanggan dari AWS API.

**Untuk menghapus versi kebijakan terkelola pelanggan (AWS API)**

1. (Opsional) Untuk membuat daftar kebijakan terkelola, hubungi layanan berikut:
   + [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)

1. Untuk menghapus kebijakan terkelola pelanggan, hubungi layanan berikut:
   + [DeletePolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeletePolicyVersion.html)

## Mengedit kebijakan sebaris (AWS API)
<a name="edit-inline-policy-api"></a>

Anda dapat mengedit kebijakan inline dari AWS API.

**Untuk mengedit kebijakan inline (AWS API)**

1. (Opsional) Untuk melihat informasi tentang kebijakan sebaris, jalankan operasi berikut:
   + Untuk mencantumkan kebijakan sebaris yang terkait dengan identitas (pengguna, grup pengguna, atau peran): 
     + [ListUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html)
     + [ListRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListRolePolicies.html)
     + [ListGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupPolicies.html)
   + Untuk mengambil informasi rinci tentang kebijakan inline: 
     + [GetUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUserPolicy.html)
     + [GetRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRolePolicy.html)
     + [GetGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetGroupPolicy.html)

1. Untuk mengedit kebijakan inline, jalankan operasi berikut:
   + [PutUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPolicy.html)
   + [PutRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePolicy.html)
   + [PutGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutGroupPolicy.html)

1. (Opsional) Untuk memvalidasi kebijakan inline, jalankan operasi IAM Access Analyzer berikut:
   + [ValidatePolicy](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ValidatePolicy.html)

# Hapus kebijakan IAM
<a name="access_policies_manage-delete"></a>

Anda dapat menghapus kebijakan IAM menggunakan Konsol Manajemen AWS, AWS Command Line Interface (AWS CLI), atau AWS API.

**catatan**  
Penghapusan kebijakan IAM bersifat permanen. Setelah kebijakan dihapus, kebijakan tersebut tidak dapat dipulihkan.

Untuk informasi selengkapnya tentang struktur dan sintaks kebijakan IAM, lihat [Kebijakan dan izin di AWS Identity and Access Management](access_policies.md) dan. [Referensi elemen kebijakan IAM JSON](reference_policies_elements.md)

Untuk informasi lebih lanjut tentang perbedaan antara kebijakan terkelola dan kebijakan inline, lihat [Kebijakan terkelola dan kebijakan inline](access_policies_managed-vs-inline.md). 

Jumlah dan ukuran sumber daya IAM dalam AWS akun terbatas. Lihat informasi yang lebih lengkap di [IAM dan AWS STS kuota](reference_iam-quotas.md).

**Topics**
+ [

# Hapus kebijakan IAM (konsol)
](access_policies_manage-delete-console.md)
+ [

# Hapus kebijakan IAM ()AWS CLI
](access_policies_manage-delete-cli.md)
+ [

# Hapus kebijakan IAM (AWS API)
](access_policies_manage-delete-api.md)

# Hapus kebijakan IAM (konsol)
<a name="access_policies_manage-delete-console"></a>

Anda dapat menggunakan Konsol Manajemen AWS untuk menghapus *kebijakan terkelola pelanggan dan kebijakan* *inline* di IAM. Jumlah dan ukuran sumber daya IAM dalam AWS akun terbatas. Untuk informasi selengkapnya, lihat [IAM dan AWS STS kuota](reference_iam-quotas.md).

**catatan**  
Penghapusan kebijakan IAM bersifat permanen. Setelah kebijakan dihapus, kebijakan tidak dapat dipulihkan.

Untuk informasi selengkapnya tentang struktur dan sintaks kebijakan IAM, lihat [Kebijakan dan izin di AWS Identity and Access Management](access_policies.md) dan. [Referensi elemen kebijakan IAM JSON](reference_policies_elements.md)

Untuk informasi lebih lanjut tentang perbedaan antara kebijakan terkelola dan kebijakan inline, lihat [Kebijakan terkelola dan kebijakan inline](access_policies_managed-vs-inline.md). 

## Prasyarat
<a name="delete-policy-prerequisites-console"></a>

Sebelum menghapus suatu kebijakan, Anda harus meninjau aktivitas tingkat-layanan terakhirnya. Ini penting karena Anda tidak ingin menghapus akses dari (orang atau aplikasi) utama yang menggunakannya. Untuk informasi selengkapnya perihal melihat informasi yang terakhir diakses, lihat [Memperbaiki izin dalam AWS menggunakan informasi yang terakhir diakses](access_policies_last-accessed.md).

## Menghapus kebijakan IAM (konsol)
<a name="delete-customer-managed-policy-console"></a>

Anda mungkin perlu menghapus kebijakan terkelola pelanggan ketika sudah usang atau tidak lagi selaras dengan persyaratan keamanan organisasi dan kebutuhan kontrol akses. Dengan menghapus kebijakan yang tidak perlu, Anda mengurangi potensi risiko keamanan yang terkait dengan kebijakan yang sudah ketinggalan zaman atau tidak terpakai. Anda dapat menghapus kebijakan yang dikelola pelanggan untuk menghapusnya dari kebijakan Anda Akun AWS. Anda tidak dapat menghapus kebijakan AWS terkelola.

------
#### [ Console ]

**Untuk menghapus kebijakan terkelola pelanggan**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Kebijakan**.

1. Pilih tombol radio di sebelah kebijakan yang dikelola pelanggan untuk dihapus. Anda dapat menggunakan kotak pencarian untuk memfilter daftar kebijakan.

1. Pilih **Tindakan**, lalu pilih **Hapus**.

1. Ikuti petunjuk untuk mengonfirmasi bahwa Anda ingin menghapus kebijakan, lalu pilih **Hapus**.

------

## Menghapus kebijakan sebaris (konsol)
<a name="delete-inline-policy-console"></a>

Anda mungkin perlu menghapus kebijakan sebaris ketika izin khusus yang diberikannya tidak lagi diperlukan untuk pengguna, grup, atau peran IAM yang dilampirkan langsung. Menghapus kebijakan inline yang tidak perlu membantu mengurangi risiko akses yang tidak diinginkan, terutama karena kebijakan inline tidak dapat digunakan kembali atau dibagikan di beberapa identitas seperti kebijakan terkelola. Anda dapat menghapus kebijakan inline untuk menghapusnya dari kebijakan Anda Akun AWS. Anda tidak dapat menghapus kebijakan terkelola AWS .

------
#### [ Console ]

**Untuk menghapus kebijakan inline untuk pengguna, grup, atau peran IAM**

1. Di panel navigasi, pilih **User groups** (Grup pengguna), **Users** (Pengguna), atau **Roles** (Peran).

1. Pilih nama grup pengguna, pengguna, atau peran dengan kebijakan yang ingin Anda hapus. Kemudian pilih tab **Perizinan**.

1. Pilih kotak centang di samping kebijakan yang akan dihapus dan pilih **Hapus**. Kemudian, dalam dialog konfirmasi, konfirmasikan penghapusan dan penghapusan kebijakan.
   + Untuk menghapus kebijakan sebaris di **Pengguna** atau **Peran**, pilih **Hapus** untuk mengonfirmasi penghapusan.
   + Jika Anda menghapus kebijakan inline tunggal di **User groups** (Pengguna grup), ketik nama kebijakan dan pilih **Delete** (Hapus). Jika Anda menghapus beberapa kebijakan inline di**Pengguna grup**, ketik jumlah kebijakan yang Anda hapus diikuti oleh **inline policies**, lalu pilih **Delete** (Hapus). Sebagai contoh, jika Anda menghapus tiga kebijakan inline, ketik **3 inline policies**.

------

# Hapus kebijakan IAM ()AWS CLI
<a name="access_policies_manage-delete-cli"></a>

Anda dapat menggunakan AWS Command Line Interface (AWS CLI) untuk menghapus *kebijakan terkelola pelanggan dan kebijakan* *inline* di IAM. Jumlah dan ukuran sumber daya IAM dalam AWS akun terbatas. Untuk informasi selengkapnya, lihat [IAM dan AWS STS kuota](reference_iam-quotas.md).

**catatan**  
Penghapusan kebijakan IAM bersifat permanen. Setelah kebijakan dihapus, kebijakan tersebut tidak dapat dipulihkan.

Untuk informasi selengkapnya tentang struktur dan sintaks kebijakan IAM, lihat [Kebijakan dan izin di AWS Identity and Access Management](access_policies.md) dan. [Referensi elemen kebijakan IAM JSON](reference_policies_elements.md)

Untuk informasi lebih lanjut tentang perbedaan antara kebijakan terkelola dan kebijakan inline, lihat [Kebijakan terkelola dan kebijakan inline](access_policies_managed-vs-inline.md). 

## Prasyarat
<a name="delete-policy-prerequisites-cli"></a>

Sebelum menghapus suatu kebijakan, Anda harus meninjau aktivitas tingkat-layanan terakhirnya. Ini penting karena Anda tidak ingin menghapus akses dari (orang atau aplikasi) utama yang menggunakannya. Untuk informasi selengkapnya perihal melihat informasi yang terakhir diakses, lihat [Memperbaiki izin dalam AWS menggunakan informasi yang terakhir diakses](access_policies_last-accessed.md).

## Menghapus kebijakan terkelola pelanggan ()AWS CLI
<a name="delete-customer-managed-policy-cli"></a>

Anda dapat menghapus kebijakan terkelola pelanggan dari AWS Command Line Interface.

**Untuk menghapus kebijakan terkelola pelanggan (AWS CLI)**

1. (Opsional) Untuk melihat informasi tentang suatu kebijakan, jalankan perintah berikut:
   + Untuk mencantumkan kebijakan terkelola: [daftar-kebijakan](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
   + Untuk memperoleh informasi terperinci tentang kebijakan terkelola: [dapatkan-kebijakan](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html)

1. (Opsional) Untuk mengetahui tentang hubungan antara kebijakan dan identitas, jalankan perintah berikut:
   + Untuk mencantumkan identitas (pengguna IAM, grup IAM, dan peran IAM) tempat kebijakan terkelola dilampirkan, jalankan perintah berikut: 
     + [list-entities-for-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/list-entities-for-policy.html)
   + Untuk mencantumkan kebijakan terkelola yang terlampir pada sebuah identitas (pengguna, grup pengguna, atau peran), jalankan salah satu perintah berikut:
     + [list-attached-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-user-policies.html)
     + [list-attached-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-group-policies.html)
     + [list-attached-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-role-policies.html)

1. Untuk menghapus kebijakan terkelola pelanggan, jalankan perintah berikut:
   + [menghapus-kebijakan](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-policy.html)

## Menghapus kebijakan inline ()AWS CLI
<a name="delete-inline-policy-cli"></a>

Anda dapat menghapus kebijakan inline dari. AWS CLI

**Untuk menghapus kebijakan inline (AWS CLI)**

1. (Opsional) Untuk mendaftar seluruh kebijakan inline yang dilampirkan pada identitas (pengguna, grup pengguna, atau peran), gunakan salah satu perintah berikut:
   + [aws iam list-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-user-policies.html)
   + [aws iam list-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-group-policies.html)
   + [aws iam list-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-role-policies.html)

1. (Opsional) Untuk mengambil dokumen kebijakan inline yang disematkan di identitas (pengguna, grup pengguna, atau peran), gunakan salah satu perintah berikut:
   + [aws iam get-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user-policy.html)
   + [aws iam get-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group-policy.html)
   + [aws iam get-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role-policy.html)

1. Untuk menghapus kebijakan inline dari identitas (pengguna, grup pengguna, atau peran yang bukan *[peran terkait layanan](id_roles.md#iam-term-service-linked-role)*), gunakan salah satu perintah berikut:
   + [aws iam delete-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-user-policy.html)
   + [aws iam delete-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-group-policy.html)
   + [aws iam delete-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html)

# Hapus kebijakan IAM (AWS API)
<a name="access_policies_manage-delete-api"></a>

Anda dapat menggunakan AWS API untuk menghapus *kebijakan terkelola pelanggan dan kebijakan* *inline* di IAM. Jumlah dan ukuran sumber daya IAM dalam AWS akun terbatas. Untuk informasi selengkapnya, lihat [IAM dan AWS STS kuota](reference_iam-quotas.md).

**catatan**  
Penghapusan kebijakan IAM bersifat permanen. Setelah kebijakan dihapus, kebijakan tersebut tidak dapat dipulihkan.

Untuk informasi selengkapnya tentang struktur dan sintaks kebijakan IAM, lihat [Kebijakan dan izin di AWS Identity and Access Management](access_policies.md) dan. [Referensi elemen kebijakan IAM JSON](reference_policies_elements.md)

Untuk informasi lebih lanjut tentang perbedaan antara kebijakan terkelola dan kebijakan inline, lihat [Kebijakan terkelola dan kebijakan inline](access_policies_managed-vs-inline.md). 

## Prasyarat
<a name="delete-policy-prerequisites-api"></a>

Sebelum menghapus suatu kebijakan, Anda harus meninjau aktivitas tingkat-layanan terakhirnya. Ini penting karena Anda tidak ingin menghapus akses dari (orang atau aplikasi) utama yang menggunakannya. Untuk informasi selengkapnya perihal melihat informasi yang terakhir diakses, lihat [Memperbaiki izin dalam AWS menggunakan informasi yang terakhir diakses](access_policies_last-accessed.md).

## Menghapus kebijakan terkelola pelanggan (AWS API)
<a name="delete-customer-managed-policy-api"></a>

Anda dapat menghapus kebijakan terkelola pelanggan menggunakan AWS API.

**Untuk menghapus kebijakan terkelola pelanggan (AWS API)**

1. (Opsional) Untuk melihat informasi mengenai kebijakan, hubungi layanan berikut:
   + Untuk mencantumkan kebijakan terkelola: [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)
   + Untuk memperoleh kembali informasi detail tentang kebijakan yang dikelola: [GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)

1. (Opsional) Untuk mengetahui perihal hubungan antara kebijakan dan identitas, hubungi layanan berikut:
   + Untuk mencantumkan identitas (pengguna IAM, grup IAM, dan peran IAM) yang dilampirkan kebijakan terkelola, panggil operasi berikut: 
     + [ListEntitiesForPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListEntitiesForPolicy.html)
   + Untuk mencantumkan kebijakan terkelola pada suatu identitas (pengguna, grup pengguna, atau peran), panggil salah satu operasi berikut:
     + [ListAttachedUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html)
     + [ListAttachedGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedGroupPolicies.html)
     + [ListAttachedRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedRolePolicies.html)

1. Untuk menghapus kebijakan terkelola pelanggan, hubungi layanan berikut:
   + [DeletePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeletePolicy.html)

## Menghapus kebijakan inline (API)AWS
<a name="delete-inline-policy-api"></a>

Anda dapat menghapus kebijakan inline menggunakan AWS API.

**Untuk menghapus kebijakan inline (AWS API)**

1. (Opsional) Untuk mendaftar seluruh kebijakan inline yang dilampirkan pada identitas (pengguna, grup pengguna, atau peran), hubungi salah satu layanan berikut:
   + [ListUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html)
   + [ListGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupPolicies.html)
   + [ListRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListRolePolicies.html)

1. (Opsional) Untuk memperoleh dokumen kebijakan inline yang disematkan di identitas (pengguna, grup pengguna, atau peran), hubungi salah satu layanan berikut:
   + [GetUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUserPolicy.html)
   + [GetGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetGroupPolicy.html)
   + [GetRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRolePolicy.html)

1. Untuk menghapus kebijakan inline dari suatu identitas (pengguna, grup pengguna, atau peran yang bukan *[peran terkait layanan](id_roles.md#iam-term-service-linked-role)*), hubungi salah satu layanan berikut:
   + [DeleteUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPolicy.html)
   + [DeleteGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteGroupPolicy.html)
   + [DeleteRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteRolePolicy.html)

# Memperbaiki izin dalam AWS menggunakan informasi yang terakhir diakses
<a name="access_policies_last-accessed"></a>

Sebagai administrator, Anda dapat memberikan izin ke sumber daya IAM (peran, pengguna, grup pengguna, atau kebijakan) di luar yang mereka butuhkan. IAM menyediakan informasi yang terakhir diakses untuk membantu Anda mengidentifikasi izin yang tidak digunakan sehingga Anda dapat menghapusnya. Anda dapat menggunakan informasi yang diakses terakhir untuk menyempurnakan kebijakan Anda dan mengizinkan akses hanya ke layanan dan tindakan yang digunakan identitas dan kebijakan IAM Anda. Ini membantu Anda untuk lebih menganut [praktik terbaik dengan privilese paling sedikit](best-practices.md#grant-least-privilege). Anda dapat melihat informasi yang terakhir diakses untuk identitas atau kebijakan yang ada di IAM atau. AWS Organizations

Anda dapat terus memantau informasi yang diakses terakhir dengan penganalisis akses yang tidak digunakan. Untuk informasi selengkapnya, lihat [Temuan untuk akses eksternal dan tidak terpakai](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-findings.html).

**Topics**
+ [

## Jenis informasi yang terakhir diakses untuk IAM
](#access_policies_last-accessed-data-types)
+ [

## Informasi terakhir yang diakses untuk AWS Organizations
](#access_policies_last-accessed-orgs)
+ [

## Hal yang perlu diketahui tentang informasi yang terakhir diakses
](#access_policies_last-accessed-know)
+ [

## Izin diperlukan
](#access_policies_last-accessed-permissions)
+ [

## Memecahkan masalah aktivitas untuk IAM dan entitas AWS Organizations
](#access_policies_last-accessed-troubleshooting)
+ [

## Tempat AWS melacak informasi terakhir yang diakses
](#last-accessed_tracking-period)
+ [

# Lihat informasi yang terakhir diakses untuk IAM
](access_policies_last-accessed-view-data.md)
+ [

# Lihat informasi yang terakhir diakses untuk AWS Organizations
](access_policies_last-accessed-view-data-orgs.md)
+ [

# Contoh alur perencanaan untuk menggunakan informasi yang terakhir diakses
](access_policies_last-accessed-example-scenarios.md)
+ [

# Tindakan IAM terakhir mengakses layanan dan tindakan informasi
](access_policies_last-accessed-action-last-accessed.md)

## Jenis informasi yang terakhir diakses untuk IAM
<a name="access_policies_last-accessed-data-types"></a>

Anda dapat melihat dua jenis informasi terakhir yang diakses untuk identitas IAM: informasi AWS layanan yang diizinkan dan informasi tindakan yang diizinkan. Informasi tersebut mencakup tanggal dan waktu ketika upaya untuk mengakses AWS API dilakukan. Untuk tindakan, informasi yang terakhir diakses melaporkan tindakan manajemen layanan. Tindakan manajemen meliputi pembuatan, penghapusan, dan tindakan modifikasi. Untuk mempelajari lebih lanjut tentang cara melihat informasi yang terakhir diakses untuk IAM, lihat [Lihat informasi yang terakhir diakses untuk IAM](access_policies_last-accessed-view-data.md).

Misalnya skenario untuk menggunakan informasi yang diakses terakhir untuk membuat keputusan tentang izin yang Anda berikan ke identitas IAM Anda, lihat. [Contoh alur perencanaan untuk menggunakan informasi yang terakhir diakses](access_policies_last-accessed-example-scenarios.md)

Untuk mempelajari lebih lanjut tentang bagaimana tersedianya informasi untuk tindakan manajemen, lihat [Hal yang perlu diketahui tentang informasi yang terakhir diakses](#access_policies_last-accessed-know).

## Informasi terakhir yang diakses untuk AWS Organizations
<a name="access_policies_last-accessed-orgs"></a>

Jika Anda masuk menggunakan kredensi akun manajemen, Anda dapat melihat informasi layanan yang terakhir diakses untuk AWS Organizations entitas atau kebijakan di organisasi Anda. AWS Organizations entitas termasuk akar organisasi, unit organisasi (OUs), atau akun. Informasi terakhir yang diakses untuk AWS Organizations mencakup informasi tentang layanan yang diizinkan oleh kebijakan kontrol layanan (SCP). Informasi menunjukkan prinsip mana (pengguna root, pengguna IAM, atau peran) dalam organisasi atau akun yang terakhir mencoba mengakses layanan dan kapan. Untuk mempelajari lebih lanjut tentang laporan dan cara melihat informasi yang terakhir diakses AWS Organizations, lihat[Lihat informasi yang terakhir diakses untuk AWS Organizations](access_policies_last-accessed-view-data-orgs.md).

Misalnya skenario untuk menggunakan informasi yang diakses terakhir untuk membuat keputusan tentang izin yang Anda berikan kepada AWS Organizations entitas Anda, lihat[Contoh alur perencanaan untuk menggunakan informasi yang terakhir diakses](access_policies_last-accessed-example-scenarios.md).

## Hal yang perlu diketahui tentang informasi yang terakhir diakses
<a name="access_policies_last-accessed-know"></a>

Sebelum Anda menggunakan informasi yang terakhir diakses dari laporan untuk mengubah izin identitas atau AWS Organizations entitas IAM, tinjau detail berikut tentang informasi tersebut.
+ **Periode pelacakan** - Aktivitas terbaru muncul di konsol IAM dalam waktu empat jam. Periode pelacakan untuk informasi layanan setidaknya 400 hari tergantung pada kapan layanan mulai melacak informasi tindakan. Periode pelacakan untuk informasi tindakan Amazon S3 dimulai pada 12 April 2020. Periode pelacakan untuk tindakan Amazon EC2, IAM, dan Lambda dimulai pada 7 April 2021. Periode pelacakan untuk semua layanan lainnya dimulai pada 23 Mei 2023. Untuk daftar layanan yang informasi terakhir diakses tindakan yang tersedia, lihat[Tindakan IAM terakhir mengakses layanan dan tindakan informasi](access_policies_last-accessed-action-last-accessed.md). Untuk informasi selengkapnya tentang tindakan Wilayah mana yang terakhir diakses informasi tersedia, lihat[Tempat AWS melacak informasi terakhir yang diakses](#last-accessed_tracking-period).
+ **Upaya dilaporkan** — Data layanan yang terakhir diakses mencakup semua upaya untuk mengakses AWS API, bukan hanya upaya yang berhasil. Ini termasuk semua upaya yang dilakukan menggunakan Konsol Manajemen AWS, AWS API melalui salah satu SDKs, atau salah satu alat baris perintah. Entri tak terduga dalam layanan data terakhir yang diakses tidak berarti akun Anda telah disusupi, karena permintaan tersebut mungkin ditolak. Lihat CloudTrail log Anda sebagai sumber otoritatif untuk informasi tentang semua panggilan API dan apakah mereka berhasil atau ditolak aksesnya.
+ **PassRole**— `iam:PassRole` Tindakan tidak dilacak dan tidak termasuk dalam tindakan IAM informasi terakhir diakses.
+ **Action last access information** — Action last access information tersedia untuk tindakan manajemen layanan yang diakses oleh identitas IAM. Lihat [daftar layanan dan tindakan mereka untuk tindakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_last-accessed-action-last-accessed.html#access_policies_last-accessed-action-last-accessed-supported-actions) yang terakhir diakses melaporkan informasi.
**catatan**  
Informasi tindakan yang terakhir diakses tidak tersedia untuk peristiwa pesawat data apa pun.
+ **Peristiwa manajemen** - IAM menyediakan informasi tindakan untuk peristiwa manajemen layanan yang dicatat oleh CloudTrail. Terkadang, peristiwa manajemen CloudTrail juga disebut operasi kontrol pesawat atau peristiwa kontrol pesawat. Acara manajemen memberikan visibilitas ke dalam operasi administratif yang dilakukan pada sumber daya di Anda Akun AWS. Untuk mempelajari selengkapnya tentang peristiwa manajemen di CloudTrail, lihat [peristiwa pengelolaan log](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html) di *Panduan AWS CloudTrail Pengguna*.
+ **Laporkan pemilik** – Hanya penanggung jawab yang membuat laporan yang dapat melihat detail laporan. Ini berarti bahwa ketika Anda melihat informasi di Konsol Manajemen AWS, Anda mungkin harus menunggu untuk menghasilkan dan memuat. Jika Anda menggunakan AWS API AWS CLI atau untuk mendapatkan detail laporan, kredensional Anda harus sesuai dengan kredensi prinsipal yang menghasilkan laporan. Jika Anda menggunakan kredensi sementara untuk peran atau prinsipal pengguna AWS STS gabungan, Anda harus membuat dan mengambil laporan selama sesi yang sama. Untuk informasi lebih lanjut tentang penanggung jawab sesi peran yang diasumsikan, lihat [AWS Elemen kebijakan JSON: Principal](reference_policies_elements_principal.md).
+ **Sumber daya IAM** — Informasi terakhir yang diakses untuk IAM mencakup sumber daya IAM (peran, pengguna, grup IAM, dan kebijakan) di akun Anda. Informasi yang terakhir diakses untuk AWS Organizations menyertakan prinsipal (pengguna IAM, peran IAM, atau Pengguna root akun AWS) dalam entitas yang ditentukan. AWS Organizations Informasi terakhir yang diakses tidak termasuk upaya yang tidak diautentikasi.
+ **Jenis kebijakan IAM** — Informasi terakhir yang diakses untuk IAM mencakup layanan yang diizinkan oleh kebijakan identitas IAM. Ini merupakan kebijakan yang melekat pada suatu peran atau terlampir pada pengguna secara langsung atau melalui grup. Akses yang diperbolehkan oleh jenis kebijakan lain tidak termasuk dalam laporan Anda. Jenis kebijakan yang dikecualikan mencakup kebijakan berbasis sumber daya, daftar kontrol akses, batas izin IAM AWS Organizations SCPs, dan kebijakan sesi. Izin yang diberikan oleh peran yang terkait dengan layanan ditentukan oleh layanan yang terkait dan tidak dapat dimodifikasi di IAM. Untuk mempelajari lebih lanjut tentang peran yang berkaitan dengan layanan, lihat [Buat peran tertaut layanan](id_roles_create-service-linked-role.md) Untuk mempelajari cara jenis kebijakan yang berbeda dievaluasi untuk memungkinkan atau menolak akses, lihat [Logika evaluasi kebijakan](reference_policies_evaluation-logic.md).
+ **AWS Organizations Jenis kebijakan** — Informasi untuk hanya AWS Organizations mencakup layanan yang diizinkan oleh kebijakan kontrol layanan warisan AWS Organizations entitas (SCPs). SCPs adalah kebijakan yang dilampirkan ke root, OU, atau akun. Akses yang diperbolehkan oleh jenis kebijakan lain tidak termasuk dalam laporan Anda. Jenis kebijakan yang dikecualikan meliputi kebijakan berbasis identitas, kebijakan berbasis sumber daya, access control list, batasan izin IAM, dan kebijakan sesi. Untuk mempelajari cara berbagai jenis kebijakan dievaluasi untuk memungkinkan atau menolak akses, lihat [Logika evaluasi kebijakan](reference_policies_evaluation-logic.md).
+ **Menentukan ID kebijakan** — Saat Anda menggunakan AWS CLI atau AWS API untuk membuat laporan untuk informasi yang terakhir diakses AWS Organizations, Anda dapat menentukan ID kebijakan secara opsional. Laporan yang dihasilkan mencakup informasi untuk layanan yang diperbolehkan hanya oleh kebijakan tersebut. Informasi tersebut mencakup aktivitas akun terbaru di AWS Organizations entitas tertentu atau anak entitas. Untuk informasi selengkapnya, lihat [aws iam generate-organizations-access-report](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-organizations-access-report.html) atau [GenerateOrganizationsAccessReport](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateOrganizationsAccessReport.html).
+ **AWS Organizations akun manajemen** — Anda harus masuk ke akun manajemen organisasi Anda untuk melihat informasi layanan yang terakhir diakses. Anda dapat memilih untuk melihat informasi untuk akun manajemen menggunakan konsol IAM, API AWS CLI, atau AWS API. Laporan yang dihasilkan mencantumkan semua AWS layanan, karena akun manajemen tidak dibatasi oleh SCPs. Jika Anda menentukan ID kebijakan di CLI atau API, kebijakan tersebut akan diabaikan. Untuk setiap layanan, laporan mencakup informasi hanya untuk akun manajemen. Namun, laporan untuk AWS Organizations entitas lain tidak mengembalikan informasi untuk aktivitas di akun manajemen.
+ **AWS Organizations pengaturan** — Administrator harus [mengaktifkan SCPs di root organisasi Anda](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html#enable_policies_on_root) sebelum Anda dapat menghasilkan data untuk AWS Organizations.

## Izin diperlukan
<a name="access_policies_last-accessed-permissions"></a>

Untuk melihat informasi yang terakhir diakses di Konsol Manajemen AWS, Anda harus memiliki kebijakan yang memberikan izin yang diperlukan.

### Izin untuk informasi IAM
<a name="access_policies_last-accessed-permissions-iam"></a>

Untuk menggunakan konsol IAM guna melihat informasi terakhir yang diakses pengguna, peran, atau kebijakan IAM, Anda harus memiliki kebijakan yang mencakup tindakan berikut:
+ `iam:GenerateServiceLastAccessedDetails`
+ `iam:Get*`
+ `iam:List*`

Izin ini memungkinkan pengguna melihat hal berikut:
+ Pengguna, kelompok, atau peran yang dilampirkan pada [kebijakan terkelola](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html#managed_policy)
+ Layanan yang dapat diakses pengguna atau peran
+ Terakhir kali mereka mengakses layanan
+ Terakhir kali mereka mencoba menggunakan tindakan Amazon EC2, IAM, Lambda, atau Amazon S3 tertentu

Untuk menggunakan AWS API AWS CLI atau untuk melihat informasi terakhir yang diakses untuk IAM, Anda harus memiliki izin yang cocok dengan operasi yang ingin Anda gunakan:
+ `iam:GenerateServiceLastAccessedDetails`
+ `iam:GetServiceLastAccessedDetails`
+ `iam:GetServiceLastAccessedDetailsWithEntities`
+ `iam:ListPoliciesGrantingServiceAccess`

Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan berbasis identitas yang memungkinkan melihat informasi terakhir yang diakses IAM. Selain itu, ini memungkinkan akses baca-saja ke seluruh IAM. Kebijakan ini menetapkan izin untuk akses terprogram dan konsol. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:GenerateServiceLastAccessedDetails",
            "iam:Get*",
            "iam:List*"
        ],
        "Resource": "*"
    }
}
```

------

### Izin untuk informasi AWS Organizations
<a name="access_policies_last-accessed-permissions-orgs"></a>

Untuk menggunakan konsol IAM untuk melihat laporan untuk entitas root, OU, atau akun di AWS Organizations, Anda harus memiliki kebijakan yang mencakup tindakan berikut:
+ `iam:GenerateOrganizationsAccessReport`
+ `iam:GetOrganizationsAccessReport`
+ `organizations:DescribeAccount`
+ `organizations:DescribeOrganization`
+ `organizations:DescribeOrganizationalUnit`
+ `organizations:DescribePolicy`
+ `organizations:ListChildren`
+ `organizations:ListParents`
+ `organizations:ListPoliciesForTarget`
+ `organizations:ListRoots`
+ `organizations:ListTargetsForPolicy`

Untuk menggunakan AWS CLI atau AWS API untuk melihat layanan informasi yang terakhir diakses AWS Organizations, Anda harus memiliki kebijakan yang mencakup tindakan berikut:
+ `iam:GenerateOrganizationsAccessReport`
+ `iam:GetOrganizationsAccessReport`
+ `organizations:DescribePolicy`
+ `organizations:ListChildren`
+ `organizations:ListParents`
+ `organizations:ListPoliciesForTarget`
+ `organizations:ListRoots`
+ `organizations:ListTargetsForPolicy`

Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan berbasis identitas yang memungkinkan layanan melihat informasi yang terakhir diakses. AWS Organizations Selain itu, ini memungkinkan akses hanya-baca ke semua. AWS Organizations Kebijakan ini menetapkan izin untuk akses terprogram dan konsol. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:GenerateOrganizationsAccessReport",
            "iam:GetOrganizationsAccessReport",
            "organizations:Describe*",
            "organizations:List*"
        ],
        "Resource": "*"
    }
}
```

------

Anda juga dapat menggunakan kunci OrganizationsPolicyId kondisi [iam:](reference_policies_iam-condition-keys.md#ck_OrganizationsPolicyId) untuk memungkinkan pembuatan laporan hanya untuk AWS Organizations kebijakan tertentu. Untuk contoh kebijakan, lihat [IAM: Lihat informasi layanan yang terakhir diakses untuk kebijakan AWS Organizations](reference_policies_examples_iam_service-accessed-data-orgs.md).

## Memecahkan masalah aktivitas untuk IAM dan entitas AWS Organizations
<a name="access_policies_last-accessed-troubleshooting"></a>

Dalam beberapa kasus, tabel informasi Konsol Manajemen AWS terakhir Anda yang diakses mungkin kosong. Atau mungkin permintaan Anda AWS CLI atau AWS API mengembalikan kumpulan informasi kosong atau bidang nol. Dalam kejadian ini, tinjau masalah berikut:
+ Untuk informasi tindakan yang terakhir kali diakses, tindakan yang Anda harapkan untuk dilihat mungkin tidak akan dikembalikan dalam daftar. Hal ini dapat terjadi baik karena identitas IAM tidak memiliki izin untuk tindakan, atau AWS belum melacak tindakan untuk informasi yang terakhir diakses.
+ Untuk pengguna IAM, pastikan bahwa pengguna memiliki sekurangnya satu kebijakan selaras atau terkelola terlampir, baik langsung atau melalui keanggotaan grup.
+ Untuk grup IAM, verifikasi bahwa grup tersebut memiliki sekurangnya satu kebijakan selaras atau terkelola terlampir.
+ Untuk grup IAM, laporan hanya mengembalikan informasi layanan yang terakhir diakses bagi anggota yang menggunakan kebijakan grup tersebut untuk mengakses layanan. Untuk mempelajari apakah anggota menggunakan kebijakan lain, tinjau informasi yang terakhir diakses untuk pengguna tersebut.
+ Untuk peran IAM, verifikasi bahwa grup tersebut memiliki sekurangnya satu kebijakan selaras atau terkelola terlampir.
+ Untuk entitas IAM (pengguna atau peran), tinjau jenis kebijakan lain yang mungkin memengaruhi izin entitas tersebut. Ini termasuk kebijakan berbasis sumber daya, daftar kontrol akses, kebijakan, batas izin IAM, atau AWS Organizations kebijakan sesi. Untuk informasi selengkapnya, lihat [Jenis kebijakan](access_policies.md#access_policy-types) atau [Evaluasi kebijakan untuk permintaan dalam satu akun](reference_policies_evaluation-logic_policy-eval-basics.md).
+ Untuk kebijakan IAM, pastikan kebijakan pengelolaan yang ditentukan dilampirkan pada setidaknya suatu pengguna, grup dengan anggota, atau peran.
+ Untuk AWS Organizations entitas (root, OU, atau akun), pastikan Anda ditandatangani menggunakan kredensi akun AWS Organizations manajemen.
+ Verifikasi bahwa [SCPs aktif di root organisasi Anda](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html#enable_policies_on_root).
+ Informasi tindakan yang terakhir diakses hanya tersedia untuk tindakan yang tercantum dalam[Tindakan IAM terakhir mengakses layanan dan tindakan informasi](access_policies_last-accessed-action-last-accessed.md).

Saat Anda membuat perubahan, tunggu setidaknya empat jam agar aktivitas muncul di laporan konsol IAM Anda. Jika Anda menggunakan AWS API AWS CLI atau, Anda harus membuat laporan baru untuk melihat informasi yang diperbarui.

## Tempat AWS melacak informasi terakhir yang diakses
<a name="last-accessed_tracking-period"></a>

AWS mengumpulkan informasi yang terakhir diakses untuk AWS Wilayah standar. Saat AWS menambahkan Wilayah tambahan, Wilayah tersebut ditambahkan ke tabel berikut, termasuk tanggal yang AWS mulai melacak informasi di setiap Wilayah.
+ **Informasi layanan** — Periode pelacakan untuk layanan setidaknya 400 hari, atau kurang jika Wilayah Anda mulai melacak fitur ini dalam 400 hari terakhir.
+ **Informasi tindakan** – Periode pelacakan untuk tindakan manajemen Amazon S3 dimulai pada 12 April 2020. Periode pelacakan untuk tindakan manajemen Amazon EC2, IAM, dan Lambda dimulai pada 7 April 2021. Periode pelacakan untuk tindakan manajemen semua layanan lainnya dimulai pada 23 Mei 2023. Jika tanggal pelacakan suatu Wilayah lebih lambat dari 23 Mei 2023, maka tindakan yang terakhir diakses informasi dari Wilayah tersebut akan dimulai di kemudian hari.


| Nama wilayah | Region | Tanggal mulai pelacakan | 
| --- | --- | --- | 
| AS Timur (Ohio) | as-timur-2 | 27 Oktober 2017 | 
| AS Timur (Virginia Utara) | as-timur-1 | 1 Oktober 2015 | 
| AS Barat (California Utara) | as-barat-1 | 1 Oktober 2015 | 
| AS Barat (Oregon) | as-barat-2 | 1 Oktober 2015 | 
| Africa (Cape Town) | af-selatan-1 | 22 April 2020 | 
| Asia Pasifik (Hong Kong) | ap-timur-1 | 24 April 2019 | 
| Asia Pasifik (Hyderabad) | ap-south-2 | 22 November 2022 | 
| Asia Pasifik (Jakarta) | ap-southeast-3 | 13 Desember 2021 | 
| Asia Pacific (Melbourne) | ap-southeast-4 | 23 Januari 2023 | 
| Asia Pasifik (Mumbai) | ap-selatan-1 | 27 Juni 2016 | 
| Asia Pacific (Osaka) | ap-northeast-3 | Februari 11, 2018 | 
| Asia Pasifik (Seoul) | ap-timur laut-2 | 6 Januari 2016 | 
| Asia Pasifik (Singapura) | ap-tenggara-1 | 1 Oktober 2015 | 
| Asia Pasifik (Sydney) | ap-tenggara-2 | 1 Oktober 2015 | 
| Asia Pasifik (Tokyo) | ap-timur laut-1 | 1 Oktober 2015 | 
| Kanada (Pusat) | ca-sentral-1 | 28 Oktober 2017 | 
| Eropa (Frankfurt) | eu-sentral-1 | 1 Oktober 2015 | 
| Eropa (Irlandia) | eu-barat-1 | 1 Oktober 2015 | 
| Eropa (London) | eu-barat-2 | 28 Oktober 2017 | 
| Eropa (Milan) | eu-selatan-1 | 28 April 2020 | 
| Eropa (Paris) | eu-barat-3 | 18 Desember 2017 | 
| Eropa (Spanyol) | eu-south-2 | 15 November 2022 | 
| Eropa (Stockholm) | eu-utara-1 | 12 Desember 2018 | 
| Europe (Zurich) | eu-central-2 | 8 November 2022 | 
| Israel (Tel Aviv) | il-central-1 | 1 Agustus 2023 | 
| Timur Tengah (Bahrain) | me-selatan-1 | 29 Juli 2019 | 
| Timur Tengah (UAE) | me-central-1 | 30 Agustus 2022 | 
| Amerika Selatan (Sao Paulo) | sa-timur-1 | 11 Desember 2015 | 
| AWS GovCloud (AS-Timur) | us-gov-east-1 | Juli 1, 2023 | 
| AWS GovCloud (AS-Barat) | us-gov-west-1 | Juli 1, 2023 | 

Jika region tidak tercantum dalam tabel sebelumnya, maka region tersebut belum memberikan informasi yang terakhir diakses.

 AWS Wilayah adalah kumpulan AWS sumber daya di wilayah geografis. Region-region dikelompokkan menjadi beberapa bagian. Region standar adalah region yang termasuk ke bagian `aws`. Untuk informasi selengkapnya tentang partisi yang berbeda, lihat [Format Nama Sumber Daya Amazon (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arns-syntax) di. Referensi Umum AWS Untuk informasi selengkapnya tentang Wilayah, lihat [Tentang AWS Wilayah](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#region-what-is) juga di Referensi Umum AWS. 

# Lihat informasi yang terakhir diakses untuk IAM
<a name="access_policies_last-accessed-view-data"></a>

Anda dapat melihat informasi terakhir yang diakses untuk IAM menggunakan Konsol Manajemen AWS, AWS CLI, atau AWS API. Lihat [daftar layanan dan tindakan mereka](access_policies_last-accessed-action-last-accessed.md) yang informasi terakhir diakses ditampilkan. Untuk informasi selengkapnya perihal melihat informasi yang terakhir diakses, lihat [Memperbaiki izin dalam AWS menggunakan informasi yang terakhir diakses](access_policies_last-accessed.md). 

Anda dapat melihat informasi untuk jenis sumber daya berikut di IAM. Dalam setiap kejadian, informasi tersebut mencakup layanan yang diizinkan untuk periode pelaporan tertentu:
+ **Pengguna** — Lihat terakhir kali pengguna mencoba mengakses setiap layanan yang diizinkan.
+ **Grup pengguna** — Melihat informasi tentang terakhir kali anggota grup pengguna mencoba mengakses setiap layanan yang diizinkan. Laporan ini juga mencakup jumlah total anggota yang mencoba mengaksesnya.
+ **Peran** – Lihat terakhir kali seseorang menggunakan peran tersebut dalam upaya mengakses setiap layanan yang diizinkan.
+ **Kebijakan** – Melihat informasi terakhir kali pengguna atau peran mencoba mengakses setiap layanan yang diizinkan. Laporan ini juga mencakup jumlah total entitas yang mencoba mengaksesnya.

**catatan**  
Sebelum Anda melihat informasi akses untuk sumber daya di IAM, pastikan Anda memahami periode pelaporan, entitas yang dilaporkan, dan jenis kebijakan yang dievaluasi untuk informasi Anda. Untuk lebih detailnya, lihat [Hal yang perlu diketahui tentang informasi yang terakhir diakses](access_policies_last-accessed.md#access_policies_last-accessed-know).

## Melihat informasi untuk IAM (konsol)
<a name="access_policies_last-accessed-viewing"></a>

Anda dapat melihat informasi terakhir yang diakses untuk IAM pada tab **Terakhir Diakses** di konsol IAM.

**Melihat informasi untuk IAM (konsol)**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Grup pengguna**, **Pengguna**, **Peran**, atau **Kebijakan**.

1. Pilih nama pengguna, grup pengguna, peran, atau kebijakan apa pun untuk membuka halaman **Ringkasannya** dan pilih tab **Terakhir Diakses**. Lihat informasi berikut, berdasarkan sumber daya yang Anda pilih:
   + **Grup pengguna** - Lihat daftar layanan yang dapat diakses oleh anggota grup pengguna. Anda juga dapat melihat kapan anggota terakhir mengakses layanan, kebijakan grup pengguna apa yang mereka gunakan, dan anggota grup pengguna mana yang membuat permintaan. Pilih nama kebijakan untuk dipelajari baik merupakan kebijakan terkelola atau kebijakan grup pengguna inline. Pilih nama anggota grup pengguna untuk melihat semua anggota grup pengguna dan kapan mereka terakhir kali mengakses layanan.
   + **Pengguna** – Lihat daftar layanan yang dapat diakses pengguna. Anda juga dapat melihat kapan mereka terakhir mengakses layanan, dan kebijakan apa yang saat ini terkait dengan pengguna. Pilih nama kebijakan untuk dipelajari baik ia merupakan kebijakan terkelola, kebijakan pengguna inline, atau kebijakan inline untuk grup pengguna.
   + **Peran** – Lihat daftar layanan yang dapat diakses oleh peran, kapan peran terakhir mengakses layanan, dan kebijakan apa yang digunakan. Pilih nama kebijakan untuk dipelajari baik ia merupakan kebijakan terkelola atau kebijakan peran selaras.
   + **Kebijakan** – Lihat daftar layanan dengan tindakan yang diperbolehkan dalam kebijakan. Anda juga dapat melihat kapan kebijakan terakhir digunakan untuk mengakses layanan, dan entitas (pengguna atau peran) mana yang menggunakan kebijakan tersebut. Tanggal **Terakhir diakses** juga mencakup kapan akses diberikan ke kebijakan ini melalui kebijakan lain. Pilih nama entitas untuk dipelajari yang sudah terlampirkan dengan kebijakan ini dan kapan terakhir kali mereka mengakses layanan.

1. Di kolom **Layanan** tabel, pilih nama [salah satu layanan yang menyertakan informasi tindakan yang terakhir diakses](access_policies_last-accessed-action-last-accessed.md) untuk melihat daftar tindakan manajemen yang telah dicoba diakses oleh entitas IAM. Anda dapat melihat Wilayah AWS dan stempel waktu yang menunjukkan kapan seseorang terakhir mencoba melakukan tindakan.

1. Kolom **Terakhir diakses** ditampilkan untuk layanan dan tindakan manajemen [layanan yang menyertakan informasi tindakan yang terakhir diakses](access_policies_last-accessed-action-last-accessed.md). Tinjau hasil-hasil berikut yang kemungkinan muncul dalam kolom ini. Hasil ini bervariasi tergantung pada apakah layanan atau tindakan diizinkan, diakses, dan apakah itu dilacak oleh AWS untuk informasi yang terakhir diakses.   
**<jumlah> hari yang lalu**  
Jumlah hari sejak layanan atau tindakan digunakan dalam periode pelacakan. Periode pelacakan layanan adalah selama 400 hari terakhir. Periode pelacakan untuk tindakan Amazon S3 dimulai pada 12 April 2020. Periode pelacakan untuk tindakan Amazon EC2, IAM, dan Lambda dimulai pada 7 April 2021. Periode pelacakan untuk semua layanan lainnya dimulai pada 23 Mei 2023. Untuk mempelajari selengkapnya tentang melacak tanggal mulai untuk masing-masing Wilayah AWS, lihat[Tempat AWS melacak informasi terakhir yang diakses](access_policies_last-accessed.md#last-accessed_tracking-period).  
**Tidak diakses dalam periode pelacakan**  
Layanan atau tindakan yang dilacak belum digunakan oleh entitas dalam periode pelacakan.

   Anda dapat memiliki izin untuk tindakan yang tidak muncul dalam daftar. Ini dapat terjadi jika informasi pelacakan untuk tindakan saat ini tidak disertakan oleh AWS. Anda tidak diperkenankan mengambil keputusan izin hanya berdasarkan ketiadaan informasi pelacakan. Alih-alih, kami menyarankan agar Anda menggunakan informasi ini untuk menginformasikan dan mendukung strategi Anda secara keseluruhan untuk memberikan privilese paling sedikit. Periksa kebijakan Anda untuk mengonfirmasi bahwa tingkat akses sesuai.

## Melihat informasi untuk IAM ()AWS CLI
<a name="access_policies_last-accessed-viewing-cli"></a>

Anda dapat menggunakan AWS CLI untuk mengambil informasi tentang terakhir kali sumber daya IAM digunakan untuk mencoba mengakses AWS layanan dan tindakan Amazon S3, Amazon EC2, IAM, dan Lambda. Sumber daya IAM dapat berupa pengguna, grup pengguna, peran, atau kebijakan.

**Untuk melihat informasi untuk IAM ()AWS CLI**

1. Buat laporan. Permintaan harus menyertakan ARN sumber daya IAM (pengguna, grup pengguna, peran, atau kebijakan) yang Anda inginkan laporannya. Anda dapat menentukan tingkat perincian yang ingin Anda buat dalam laporan untuk melihat detail akses baik untuk layanan maupun layanan beserta tindakan. Permintaan tersebut menghasilkan `job-id` yang kemudian dapat Anda gunakan di operasi `get-service-last-accessed-details` dan `get-service-last-accessed-details-with-entities` untuk memonitor `job-status` hingga pekerjaan selesai.
   + [aws iam generate-service-last-accessed -detail](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-service-last-accessed-details.html)

1. Dapatkan detail laporan menggunakan parameter `job-id` dari langkah sebelumnya.
   + [aws iam get-service-last-accessed -detail](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-last-accessed-details.html)

   Operasi ini menghasilkan informasi berikut, berdasarkan jenis sumber daya dan tingkat IT yang Anda minta di `generate-service-last-accessed-details` operasi:
   + **Pengguna** – Menghasilkan daftar layanan yang dapat diakses oleh pengguna tertentu. Untuk setiap layanan, operasi menyatakan tanggal dan waktu upaya terakhir pengguna dan ARN pengguna.
   + **Grup pengguna** — Mengembalikan daftar layanan yang dapat diakses oleh anggota grup pengguna tertentu menggunakan kebijakan yang dilampirkan ke grup pengguna. Untuk setiap layanan, operasi menyatakan tanggal dan waktu percobaan terakhir yang dilakukan oleh anggota grup pengguna mana pun. Ia juga menyatakan ARN pengguna tersebut dan jumlah total anggota grup pengguna yang telah mencoba mengakses layanan. Gunakan [GetServiceLastAccessedDetailsWithEntities](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetailsWithEntities.html) untuk memperoleh daftar semua anggota.
   + **Peran** – Menghasilkan daftar layanan yang dapat diakses oleh peran tertentu. Untuk setiap layanan, operasi menyatakan tanggal dan waktu upaya terakhir peran dan ARN peran.
   + **Kebijakan** – Menghasilkan daftar layanan yang dapat diakses oleh kebijakan tertentu. Untuk setiap layanan, operasi menyatakan tanggal dan waktu percobaan terakhir entitas (pengguna atau peran) untuk mengakses layanan menggunakan kebijakan. Ia juga menyatakan ARN dari entitas tersebut dan jumlah total entitas yang mencoba mengakses.

1. Pelajari lebih lanjut tentang entitas yang menggunakan izin grup pengguna atau kebijakan dalam upaya mengakses layanan tertentu. Operasi ini menghasilkan daftar entitas setiap ARN, ID, nama, jalur, jenis (pengguna atau peran), dan kapan mereka terakhir kali mencoba mengakses layanan. Anda juga dapat menggunakan operasi ini untuk pengguna dan peran, tetapi ia hanya menyatakan informasi tentang entitas tersebut.
   + [aws iam get-service-last-accessed - details-with-entities](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-last-accessed-details-with-entities.html)

1. Pelajari lebih lanjut tentang kebijakan berbasis identitas yang digunakan oleh suatu identitas (pengguna, grup pengguna, atau peran) dalam upaya mengakses layanan tertentu. Saat Anda menetapkan identitas dan layanan, operasi ini menghasilkan daftar kebijakan izin yang dapat digunakan oleh identitas tersebut untuk mengakses layanan tertentu. Operasi ini memberikan status kebijakan terkini dan tidak bergantung pada laporan yang dihasilkan. Ini juga tidak menampilkan jenis kebijakan lain, seperti kebijakan berbasis sumber daya, daftar kontrol akses, kebijakan, batas izin IAM, atau AWS Organizations kebijakan sesi. Untuk informasi selengkapnya, lihat [Jenis kebijakan](access_policies.md#access_policy-types) atau [Evaluasi kebijakan untuk permintaan dalam satu akun](reference_policies_evaluation-logic_policy-eval-basics.md).
   + [aws iam list-policies-granting-service -akses](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies-granting-service-access.html)

## Melihat informasi untuk IAM (AWS API)
<a name="access_policies_last-accessed-viewing-api"></a>

Anda dapat menggunakan AWS API untuk mengambil informasi tentang terakhir kali sumber daya IAM digunakan untuk mencoba mengakses AWS layanan dan tindakan Amazon S3, Amazon EC2, IAM, dan Lambda. Sumber daya IAM dapat berupa pengguna, grup pengguna, peran, atau kebijakan. Anda dapat menentukan tingkat perincian yang ingin Anda buat dalam laporan untuk melihat baik layanan maupun layanan beserta tindakan. 

**Untuk melihat informasi untuk IAM (AWS API)**

1. Buat laporan. Permintaan harus menyertakan ARN sumber daya IAM (pengguna, grup pengguna, peran, atau kebijakan) yang Anda inginkan laporannya. Ia menghasilkan `JobId` yang kemudian dapat Anda gunakan di operasi `GetServiceLastAccessedDetails` dan `GetServiceLastAccessedDetailsWithEntities` untuk memonitor `JobStatus` hingga pekerjaan selesai.
   + [GenerateServiceLastAccessedDetails](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateServiceLastAccessedDetails.html)

1. Dapatkan detail laporan menggunakan parameter `JobId` dari langkah sebelumnya.
   + [GetServiceLastAccessedDetails](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetails.html)

   Operasi ini menghasilkan informasi berikut, berdasarkan jenis sumber daya dan tingkat IT yang Anda minta di `GenerateServiceLastAccessedDetails` operasi:
   + **Pengguna** – Menghasilkan daftar layanan yang dapat diakses oleh pengguna tertentu. Untuk setiap layanan, operasi menyatakan tanggal dan waktu upaya terakhir pengguna dan ARN pengguna.
   + **Grup pengguna** — Mengembalikan daftar layanan yang dapat diakses oleh anggota grup pengguna tertentu menggunakan kebijakan yang dilampirkan ke grup pengguna. Untuk setiap layanan, operasi menyatakan tanggal dan waktu percobaan terakhir yang dilakukan oleh anggota grup pengguna mana pun. Ia juga menyatakan ARN pengguna tersebut dan jumlah total anggota grup pengguna yang telah mencoba mengakses layanan. Gunakan [GetServiceLastAccessedDetailsWithEntities](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetailsWithEntities.html) untuk memperoleh daftar semua anggota.
   + **Peran** – Menghasilkan daftar layanan yang dapat diakses oleh peran tertentu. Untuk setiap layanan, operasi menyatakan tanggal dan waktu upaya terakhir peran dan ARN peran.
   + **Kebijakan** – Menghasilkan daftar layanan yang dapat diakses oleh kebijakan tertentu. Untuk setiap layanan, operasi menyatakan tanggal dan waktu percobaan terakhir entitas (pengguna atau peran) untuk mengakses layanan menggunakan kebijakan. Ia juga menyatakan ARN dari entitas tersebut dan jumlah total entitas yang mencoba mengakses.

1. Pelajari lebih lanjut tentang entitas yang menggunakan izin grup pengguna atau kebijakan dalam upaya mengakses layanan tertentu. Operasi ini menghasilkan daftar entitas setiap ARN, ID, nama, jalur, jenis (pengguna atau peran), dan kapan mereka terakhir kali mencoba mengakses layanan. Anda juga dapat menggunakan operasi ini untuk pengguna dan peran, tetapi ia hanya menyatakan informasi tentang entitas tersebut.
   + [GetServiceLastAccessedDetailsWithEntities](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetailsWithEntities.html)

1. Pelajari lebih lanjut tentang kebijakan berbasis identitas yang digunakan oleh suatu identitas (pengguna, grup pengguna, atau peran) dalam upaya mengakses layanan tertentu. Saat Anda menetapkan identitas dan layanan, operasi ini menghasilkan daftar kebijakan izin yang dapat digunakan oleh identitas tersebut untuk mengakses layanan tertentu. Operasi ini memberikan status kebijakan terkini dan tidak bergantung pada laporan yang dihasilkan. Ini juga tidak menampilkan jenis kebijakan lain, seperti kebijakan berbasis sumber daya, daftar kontrol akses, kebijakan, batas izin IAM, atau AWS Organizations kebijakan sesi. Untuk informasi selengkapnya, lihat [Jenis kebijakan](access_policies.md#access_policy-types) atau [Evaluasi kebijakan untuk permintaan dalam satu akun](reference_policies_evaluation-logic_policy-eval-basics.md).
   + [ListPoliciesGrantingServiceAccess](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPoliciesGrantingServiceAccess.html)

# Lihat informasi yang terakhir diakses untuk AWS Organizations
<a name="access_policies_last-accessed-view-data-orgs"></a>

Anda dapat melihat informasi layanan yang terakhir diakses untuk AWS Organizations menggunakan konsol IAM, AWS CLI, atau AWS API. Untuk informasi penting tentang data, izin yan diperlukan, pemecahan masalah, dan region yang didukung lihat [Memperbaiki izin dalam AWS menggunakan informasi yang terakhir diakses](access_policies_last-accessed.md).

Saat masuk ke konsol IAM menggunakan kredenal akun AWS Organizations manajemen, Anda dapat melihat informasi untuk entitas apa pun di organisasi Anda. AWS Organizations entitas termasuk akar organisasi, unit organisasi (OUs), dan akun. Anda juga dapat menggunakan konsol IAM untuk melihat informasi kebijakan kontrol layanan (SCPs) apa pun di organisasi Anda. IAM menunjukkan daftar layanan yang diizinkan oleh siapa pun SCPs yang berlaku untuk entitas. Untuk setiap layanan, Anda dapat melihat informasi aktivitas akun terbaru untuk AWS Organizations entitas yang dipilih atau turunan entitas.

Bila Anda menggunakan AWS CLI atau AWS API dengan kredensi akun manajemen, Anda dapat membuat laporan untuk entitas atau kebijakan apa pun di organisasi Anda. Laporan terprogram untuk entitas mencakup daftar layanan yang diizinkan oleh siapa pun SCPs yang berlaku untuk entitas. Untuk setiap layanannya, laporan ini mencakup aktivitas terbaru akun di entitas AWS Organizations yang spesifik atau cabang dari entitas tersebut.

Saat membuat laporan terprogram untuk kebijakan, Anda harus menentukan AWS Organizations entitas. Laporan ini mencakup daftar layanan yang diizinkan oleh SCP tertentu. Untuk setiap layanan, ia mencakup aktivitas akun terbaru dalam entitas atau anak entitas yang diberikan izin oleh kebijakan tersebut. Untuk informasi selengkapnya, lihat [aws iam generate-organizations-access-report](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-organizations-access-report.html) atau [GenerateOrganizationsAccessReport](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateOrganizationsAccessReport.html).

Sebelum melihat laporan, pastikan bahwa Anda memahami persyaratan dan informasi akun manajemen, periode pelaporan, entitas yang dilaporkan, dan jenis kebijakan yang dievaluasi. Untuk lebih detailnya, lihat [Hal yang perlu diketahui tentang informasi yang terakhir diakses](access_policies_last-accessed.md#access_policies_last-accessed-know).

## Memahami jalur AWS Organizations entitas
<a name="access_policies_last-accessed-viewing-orgs-entity-path"></a>

Saat Anda menggunakan AWS CLI atau AWS API untuk membuat laporan AWS Organizations akses, Anda harus menentukan jalur entitas. Jalur adalah representasi teks dari struktur entitas AWS Organizations .

Anda dapat membangun jalur entitas menggunakan struktur Organisasi Anda yang sudah Anda pahami. Misalnya, asumsikan bahwa Anda memiliki struktur organisasi berikut AWS Organizations.

![\[Struktur jalur organisasi\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/ou-path-diagram.png)


Jalur untuk **Manajer Dev** OU dibangun menggunakan organisasi, root, dan semua OUs di jalur ke dan termasuk OU. IDs 

```
o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/
```

Jalur masuk ke akun di **Produksi** OU dibangun menggunakan IDs dari Organisasi, root, OU, dan nomor rekening. 

```
o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-abc0-awsaaaaa/111111111111/
```

**catatan**  
Organisasi IDs secara global unik tetapi OU IDs dan root IDs hanya unik dalam suatu organisasi. Ini berarti bahwa tidak ada dua organisasi yang memiliki ID organisasi yang sama. Namun, organisasi lain mungkin memiliki OU atau root dengan ID yang sama seperti milik Anda. Kami merekomendasikan agar Anda selalu menyertakan ID organisasi saat menentukan OU atau root.

## Melihat informasi untuk AWS Organizations (konsol)
<a name="access_policies_last-accessed-viewing-orgs"></a>

Anda dapat menggunakan konsol IAM untuk melihat informasi yang terakhir diakses untuk root, OU, akun, atau kebijakan Anda.

**Untuk melihat informasi root (konsol)**

1. Masuk ke Konsol Manajemen AWS menggunakan kredensi akun AWS Organizations manajemen, dan buka konsol IAM di. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Di panel navigasi di bawah bagian **Mengakses laporan**, pilih **Aktivitas organisasi**.

1. Di halaman **Aktivitas organisasi**, pilih **Akar**.

1. Di tab **Detail dan aktivitas**, lihat bagian **Laporan akses layanan**. Informasi tersebut mencakup daftar layanan yang diizinkan oleh kebijakan yang dilampirkan secara langsung pada akar. Informasi tersebut menunjukkan kepada Anda akun mana yang terakhir diakses dan kapan. Untuk detail lebih lanjut tentang penanggung jawab yang mengakses layanan, masuk sebagai administrator di akun tersebut, dan [lihat informasi akses terakhir layanan IAM](access_policies_last-accessed-view-data.md).

1. Pilih SCPs tab **Terlampir** untuk melihat daftar kebijakan kontrol layanan (SCPs) yang dilampirkan ke root. IAM menunjukkan jumlah entitas target yang tertera entitas pada masing-masing kebijakan. Anda dapat menggunakan informasi ini untuk memutuskan SCP mana yang akan ditinjau.

1. Pilih nama SCP untuk melihat semua layanan yang diizinkan kebijakan tersebut. Untuk setiap layanan, lihat dari akun mana layanan tersebut terakhir diakses, dan kapan.

1. Pilih **Edit AWS Organizations** untuk melihat detail tambahan dan mengedit SCP di AWS Organizations konsol. Untuk informasi selengkapnya, lihat [Memperbarui SCP](https://docs.aws.amazon.com/organizations/latest/userguide/create-policy.html#update_policy) di *Panduan AWS Organizations Pengguna*.

**Untuk melihat informasi untuk OU atau akun (konsol)**

1. Masuk ke Konsol Manajemen AWS menggunakan kredensi akun AWS Organizations manajemen, dan buka konsol IAM di. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Di panel navigasi di bawah bagian **Mengakses laporan**, pilih **Aktivitas organisasi**.

1. Di **Aktivitas organisasi**, buka lebih jauh ke struktur organisasi Anda. Kemudian pilih nama OU atau akun apa pun yang ingin Anda lihat kecuali akun manajemen.

1. Di tab **Detail dan aktivitas**, lihat bagian **Laporan akses layanan**. Informasi tersebut mencakup daftar layanan yang diizinkan oleh SCPs terlampir pada OU atau akun *dan* semua orang tuanya. Informasi tersebut menunjukkan kepada Anda akun mana yang terakhir diakses dan kapan. Untuk detail lebih lanjut tentang penanggung jawab yang mengakses layanan, masuk sebagai administrator di akun tersebut, dan [lihat informasi akses terakhir layanan IAM](access_policies_last-accessed-view-data.md).

1. Pilih SCPs tab **Terlampir** untuk melihat daftar kebijakan kontrol layanan (SCPs) yang dilampirkan langsung ke OU atau akun. IAM menunjukkan jumlah entitas target yang tertera entitas pada masing-masing kebijakan. Anda dapat menggunakan informasi ini untuk memutuskan SCP mana yang akan ditinjau.

1. Pilih nama SCP untuk melihat semua layanan yang diizinkan kebijakan tersebut. Untuk setiap layanan, lihat dari akun mana layanan tersebut terakhir diakses, dan kapan.

1. Pilih **Edit AWS Organizations** untuk melihat detail tambahan dan mengedit SCP di AWS Organizations konsol. Untuk informasi selengkapnya, lihat [Memperbarui SCP](https://docs.aws.amazon.com/organizations/latest/userguide/create-policy.html#update_policy) di *Panduan AWS Organizations Pengguna*.

**Untuk melihat informasi akun manajemen (konsol)**

1. Masuk ke Konsol Manajemen AWS menggunakan kredensi akun AWS Organizations manajemen, dan buka konsol IAM di. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Di panel navigasi di bawah bagian **Mengakses laporan**, pilih **Aktivitas organisasi**.

1. Di halaman **Aktivitas organisasi** buka lebih lanjut struktur organisasi Anda dan pilih nama akun manajemen Anda.

1. Di tab **Detail dan aktivitas**, lihat bagian **Laporan akses layanan**. Informasi ini mencakup daftar semua layanan AWS . Akun manajemen tidak dibatasi oleh SCPs. Informasi tersebut menunjukkan kepada Anda apakah akun terakhir mengakses layanan dan waktunya. Untuk detail lebih lanjut tentang penanggung jawab yang mengakses layanan, masuk sebagai administrator di akun tersebut, dan [lihat informasi akses terakhir layanan IAM](access_policies_last-accessed-view-data.md).

1. Pilih SCPs tab **Terlampir** untuk mengonfirmasi bahwa tidak ada yang terlampir SCPs karena akun tersebut adalah akun manajemen.

**Untuk melihat informasi untuk kebijakan (konsol)**

1. Masuk ke Konsol Manajemen AWS menggunakan kredensi akun AWS Organizations manajemen, dan buka konsol IAM di. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Di panel navigasi di bawah bagian **Laporan akses**, pilih **Kebijakan kontrol layanan (SCPs)**.

1. Pada halaman **Kebijakan kontrol layanan (SCPs)**, lihat daftar kebijakan di organisasi Anda. IAM menunjukkan jumlah entitas target yang terlampirkan dengan masing-masing kebijakan.

1. Pilih nama SCP untuk melihat semua layanan yang diizinkan kebijakan tersebut. Untuk setiap layanan, lihat dari akun mana layanan tersebut terakhir diakses, dan kapan.

1. Pilih **Edit AWS Organizations** untuk melihat detail tambahan dan mengedit SCP di AWS Organizations konsol. Untuk informasi selengkapnya, lihat [Memperbarui SCP](https://docs.aws.amazon.com/organizations/latest/userguide/create-policy.html#update_policy) di *Panduan AWS Organizations Pengguna*.

## Melihat informasi untuk AWS Organizations (AWS CLI)
<a name="access_policies_last-accessed-viewing-orgs-cli"></a>

Anda dapat menggunakan AWS CLI untuk mengambil layanan informasi yang terakhir diakses untuk AWS Organizations root, OU, akun, atau kebijakan Anda.

**Untuk melihat AWS Organizations layanan informasi yang terakhir diakses (AWS CLI)**

1. Gunakan kredensi akun AWS Organizations manajemen Anda dengan IAM dan AWS Organizations izin yang diperlukan, dan konfirmasikan bahwa telah SCPs diaktifkan untuk root Anda. Untuk informasi selengkapnya, lihat [Hal yang perlu diketahui tentang informasi yang terakhir diakses](access_policies_last-accessed.md#access_policies_last-accessed-know). 

1. Buat laporan. Permintaan harus menyertakan jalur AWS Organizations entitas (root, OU, atau akun) yang Anda inginkan laporannya. Anda secara opsional dapat menyertakan parameter `organization-policy-id` untuk melihat laporan kebijakan tertentu. Perintah menyatakan `job-id` yang kemudian dapat Anda gunakan di `get-organizations-access-report` perintah untuk memonitor `job-status` hingga pekerjaan selesai.
   + [aws iam generate-organizations-access-report](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-organizations-access-report.html)

1. Dapatkan detail laporan menggunakan parameter `job-id` dari langkah sebelumnya.
   + [aws iam get-organizations-access-report](https://docs.aws.amazon.com/cli/latest/reference/iam/get-organizations-access-report.html)

   Perintah ini menghasilkan daftar layanan yang dapat diakses oleh anggota entitas. Untuk setiap layanan, perintah menyatakan tanggal dan waktu upaya terakhir anggota akun dan alur entitas akun. Ia juga menyatakan jumlah total layanan yang tersedia untuk diakses dan jumlah layanan yang tidak diakses. Jika Anda menentukan pilihan `organizations-policy-id` parameter, maka layanan yang tersedia untuk diakses adalah layanan yang diizinkan oleh kebijakan tertentu.

## Melihat informasi untuk AWS Organizations (AWS API)
<a name="access_policies_last-accessed-viewing-orgs-api"></a>

Anda dapat menggunakan AWS API untuk mengambil layanan informasi yang terakhir diakses untuk AWS Organizations root, OU, akun, atau kebijakan Anda.

**Untuk melihat AWS Organizations layanan informasi yang terakhir diakses (AWS API)**

1. Gunakan kredensi akun AWS Organizations manajemen Anda dengan IAM dan AWS Organizations izin yang diperlukan, dan konfirmasikan bahwa telah SCPs diaktifkan untuk root Anda. Untuk informasi selengkapnya, lihat [Hal yang perlu diketahui tentang informasi yang terakhir diakses](access_policies_last-accessed.md#access_policies_last-accessed-know). 

1. Buat laporan. Permintaan harus menyertakan jalur AWS Organizations entitas (root, OU, atau akun) yang Anda inginkan laporannya. Anda secara opsional dapat menyertakan parameter `OrganizationsPolicyId` untuk melihat laporan kebijakan tertentu. Operasi menghasilkan `JobId` yang kemudian dapat Anda gunakan di `GetOrganizationsAccessReport` operasi untuk memonitor `JobStatus` hingga pekerjaan selesai.
   + [GenerateOrganizationsAccessReport](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateOrganizationsAccessReport.html)

1. Dapatkan detail laporan menggunakan parameter `JobId` dari langkah sebelumnya.
   + [GetOrganizationsAccessReport](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetOrganizationsAccessReport.html)

   Operasi ini menyatakan daftar layanan yang dapat diakses oleh anggota entitas. Untuk setiap layanan, perintah menyatakan tanggal dan waktu upaya terakhir anggota akun dan alur entitas akun. Ia juga menyatakan jumlah total layanan yang tersedia untuk diakses, dan jumlah layanan yang tidak diakses. Jika Anda menentukan pilihan `OrganizationsPolicyId` parameter, maka layanan yang tersedia untuk diakses adalah layanan yang diizinkan oleh kebijakan tertentu.

# Contoh alur perencanaan untuk menggunakan informasi yang terakhir diakses
<a name="access_policies_last-accessed-example-scenarios"></a>

Anda dapat menggunakan informasi yang diakses terakhir untuk membuat keputusan tentang izin yang Anda berikan kepada entitas atau AWS Organizations entitas IAM Anda. Untuk informasi selengkapnya, lihat [Memperbaiki izin dalam AWS menggunakan informasi yang terakhir diakses](access_policies_last-accessed.md). 

**catatan**  
Sebelum Anda melihat informasi akses untuk entitas atau kebijakan di IAM atau AWS Organizations, pastikan Anda memahami periode pelaporan, entitas yang dilaporkan, dan jenis kebijakan yang dievaluasi untuk data Anda. Untuk lebih detailnya, lihat [Hal yang perlu diketahui tentang informasi yang terakhir diakses](access_policies_last-accessed.md#access_policies_last-accessed-know).

Sebagai administrator Anda bebas untuk menyeimbangkan ketersediaan akses dan hak istimewa terkecil untuk perusahaan Anda. 

## Menggunakan informasi untuk mengurangi izin bagi grup IAM
<a name="last-accessed-sample-reduce-permissions-group"></a>

Anda dapat menggunakan informasi yang terakhir diakses untuk mengurangi izin grup IAM hanya untuk menyertakan layanan yang dibutuhkan pengguna Anda. Metode ini merupakan langkah penting dalam [memberikan hak istimewa terkecil](best-practices.md#grant-least-privilege) pada tingkat layanan.

Sebagai contoh, Paulo Santos adalah administrator yang bertanggung jawab untuk mendefinisikan izin AWS pengguna untuk Contoh Corp. Perusahaan ini baru saja mulai menggunakan AWS, dan tim pengembangan perangkat lunak belum menentukan layanan apa yang AWS akan mereka gunakan. Paulo ingin memberikan izin kepada tim untuk hanya mengakses layanan yang mereka butuhkan, tetapi karena itu belum ditentukan, dia sementara memberikan izin penggunaan daya. Kemudian dia menggunakan informasi yang diakses terakhir untuk mengurangi izin kelompok.

Paulo membuat kebijakan terkelola bernama `ExampleDevelopment` menggunakan teks JSON berikut. Lalu ia melampirkannya ke kelompok bernama `Development` dan menambahkan semua developer ke kelompok.

**catatan**  
Pengguna daya Paulo mungkin membutuhkan izin `iam:CreateServiceLinkedRole` untuk menggunakan beberapa layanan dan fitur. Dia mengerti bahwa dia menambahkan izin ini memungkinkan pengguna membuat peran terkait layanan apa pun. Dia menerima risiko ini untuk pengguna dayanya.

------
#### [ JSON ]

****  

```
{

    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "FullAccessToAllServicesExceptPeopleManagement",
            "Effect": "Allow",
            "NotAction": [
                "iam:*",
                "organizations:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "RequiredIamAndOrgsActions",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole",
                "iam:ListRoles",
                "organizations:DescribeOrganization"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Paulo memutuskan untuk menunggu selama 90 hari sebelum [melihat informasi yang terakhir diakses](access_policies_last-accessed-view-data.md#access_policies_last-accessed-viewing) untuk `Development` menggunakan Konsol Manajemen AWS. Dia melihat daftar layanan yang diakses anggota grup. Dia mengetahui bahwa pengguna mengakses lima layanan dalam seminggu terakhir: AWS CloudTrail, Amazon CloudWatch Logs, Amazon EC2 AWS KMS,, dan Amazon S3. Mereka mengakses beberapa layanan lain ketika mereka pertama kali mengevaluasi AWS, tetapi tidak sejak saat itu.

Paulo memutuskan untuk mengurangi izin kebijakan untuk memasukkan hanya lima layanan tersebut dan IAM serta tindakan yang diperlukan. AWS Organizations Dia menyunting `ExampleDevelopment` menggunakan teks JSON berikut.

**catatan**  
Pengguna daya Paulo mungkin membutuhkan izin `iam:CreateServiceLinkedRole` untuk menggunakan beberapa layanan dan fitur. Dia mengerti bahwa dia menambahkan izin ini memungkinkan pengguna membuat peran terkait layanan apa pun. Dia menerima risiko ini untuk pengguna dayanya.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "FullAccessToListedServices",
            "Effect": "Allow",
            "Action": [
                "s3:*",
                "kms:*",
                "cloudtrail:*",
                "logs:*",
                "ec2:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "RequiredIamAndOrgsActions",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole",
                "iam:ListRoles",
                "organizations:DescribeOrganization"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Untuk lebih mengurangi izin, Paulo dapat melihat kegiatan akun di AWS CloudTrail **Riwayat peristiwa**. Di sana, ia dapat melihat informasi kegiatan terperinci yang dapat ia gunakan untuk mengurangi izin kebijakan untuk hanya mencakup tindakan dan sumber daya yang dibutuhkan oleh developer. Untuk informasi selengkapnya, lihat [Melihat CloudTrail Acara di CloudTrail Konsol](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html) di *Panduan AWS CloudTrail Pengguna*.

## Menggunakan informasi untuk mengurangi izin bagi pengguna IAM
<a name="access_policies_last-accessed-reduce-permissions-users"></a>

Anda dapat menggunakan informasi yang diakses terakhir untuk mengurangi izin bagi pengguna IAM secara individu.

Misalnya, Martha Rivera adalah administrator TI yang bertanggung jawab untuk memastikan bahwa orang-orang di perusahaannya tidak memiliki izin berlebih AWS . Sebagai bagian dari pemeriksaan keamanan berkala, dia meninjau izin semua pengguna IAM. Salah satu pengguna ini adalah developer aplikasi bernama Nikhil Jayashankar, yang sebelumnya telah memegang peran sebagai teknisi IT Karena perubahan dalam persyaratan pekerjaan, Nikhil adalah anggota baik grup `app-dev` maupun grup `security-team`. Grup `app-dev` sebagai pekerjaan barunya memberikan izin untuk beberapa layanan termasuk Amazon EC2 Amazon EBS Auto Scaling Amazon S3 Route 53, dan Elastic Transcoder. Grup `security-team` sebagai pekerjaan lama memberikan izin untuk IAM dan CloudTrail.

**Sebagai administrator, Martha masuk ke konsol IAM dan memilih **Pengguna**, memilih nama`nikhilj`, dan kemudian memilih tab Terakhir Diakses.**

Martha meninjau kolom **Terakhir Diakses** dan pemberitahuan bahwa Nikhil belum mengakses IAM,, Route 53 CloudTrail, Amazon Elastic Transcoder, dan sejumlah layanan lainnya. AWS Nikhil telah mengakses Amazon S3. Martha memilih **S3** dari daftar layanan dan mengetahui bahwa Nikhil telah melakukan beberapa tindakan Amazon S3 dalam dua minggu terakhir. `List` Di dalam perusahaannya, Martha menegaskan bahwa Nikhil tidak memiliki kebutuhan bisnis untuk mengakses IAM dan CloudTrail lagi karena dia tidak lagi menjadi anggota tim keamanan internal. 

Martha sekarang siap bertindak atas layanan tersebut dan tindakan informasi yang terakhir diakses. Namun, tidak seperti grup pada contoh sebelumnya, pengguna IAM seperti `nikhilj` mungkin tunduk pada beberapa kebijakan dan menjadi anggota dari beberapa kelompok. Martha harus berhati-hati agar tidak mengganggu akses `nikhilj` atau anggota grup lainnya. Sebagai tambahan dalam hal untuk mempelajari apa akses yang harus dimiliki Nikhil, ia harus menentukan *cara* dia menerima izin ini. 

Martha memilih tab **Izin**, tempatnya melihat kebijakan mana yang terkait secara langsung ke `nikhilj` dan yang terlampir di grup. Ia membuka lebih lanjut setiap kebijakan dan melihat ringkasan kebijakan untuk mempelajari kebijakan yang memungkinkan akses ke layanan yang tidak digunakan oleh Nikhil:
+ IAM — Kebijakan `IAMFullAccess` AWS terkelola dilampirkan langsung ke `nikhilj` dan dilampirkan ke `security-team` grup.
+ CloudTrail — Kebijakan `AWS CloudTrailReadOnlyAccess` AWS terkelola dilampirkan pada `security-team` grup.
+ Route 53 – Kebijakan terkelola pelanggan `App-Dev-Route53` dilampirkan pada grup `app-dev`.
+ Transkoder Elastis – Kebijakan terkelola pelanggan `App-Dev-ElasticTranscoder` terlampir pada grup `app-dev`.

Martha memutuskan untuk menghapus kebijakan `IAMFullAccess` AWS terkelola yang dilampirkan `nikhilj` langsung. Dia juga menghapus keanggotaan Nikhil ke grup `security-team`. Kedua tindakan ini menghapus akses yang tidak perlu ke IAM dan CloudTrail. 

Izin Nikhil untuk mengakses Route 53 dan Transkoder Elastis diberikan oleh grup `app-dev`. Meskipun Nikhil tidak menggunakan layanan tersebut, anggota lain kelompok tersebut mungkin saja demikian. Martha meninjau informasi yang terakhir diakses untuk grup `app-dev` dan mempelajari bahwa beberapa anggota mengakses Route 53 dan Amazon S3 baru-baru ini. Namun, tidak ada anggota kelompok yang telah mengakses Transkoder Elastis tahun lalu. Dia menghapus kebijakan pengelolaan pelanggan `App-Dev-ElasticTranscoder` dari grup.

Martha kemudian meninjau informasi yang terakhir diakses untuk `App-Dev-ElasticTranscoder` kebijakan terkelola pelanggan. Dia belajar bahwa kebijakan tersebut tidak terkait dengan identitas IAM lainnya. Ia menginvestigasi dalam perusahaannya untuk memastikan bahwa kebijakan tersebut tidak diperlukan di waktu yang akan datang, kemudian ia menghapusnya.

## Menggunakan informasi sebelum menghapus sumber daya IAM
<a name="last-accessed-sample-delete-resources"></a>

Anda dapat menggunakan informasi yang terakhir diakses sebelum Anda menghapus sumber daya IAM untuk memastikan bahwa sudah sekian lama sejak seseorang terakhir menggunakan sumber daya tersebut. Ini berlaku untuk pengguna, grup, peran, dan kebijakan. Untuk mempelajari lebih lanjut tentang tindakan ini, lihat topik berikut:
+ **Pengguna IAM** — [Hapus atau nonaktifkan pengguna IAM](id_users_remove.md)
+ **Grup** - [Hapus grup IAM](id_groups_manage_delete.md)
+ **Peran** - [Hapus peran atau profil contoh](id_roles_manage_delete.md)
+ **Kebijakan** — [Hapus kebijakan IAM (ini juga memisahkan kebijakan dari identitas](access_policies_manage-delete.md))

## Menggunakan informasi sebelum menyunting kebijakan IAM
<a name="last-accessed-sample-edit-policies"></a>

Anda dapat meninjau informasi terakhir yang diakses untuk identitas IAM (pengguna, grup, atau peran), atau untuk kebijakan IAM sebelum menyunting kebijakan yang memengaruhi sumber daya tersebut. Ini penting karena Anda tidak ingin menghapus akses untuk orang yang menggunakannya.

Misalnya, Arnav Desai adalah pengembang dan AWS administrator untuk Example Corp. Ketika timnya mulai menggunakan AWS, mereka memberi semua pengembang akses power-user yang memungkinkan mereka akses penuh ke semua layanan kecuali IAM dan. AWS Organizations Sebagai langkah pertama untuk memberikan [hak istimewa paling rendah](best-practices.md#grant-least-privilege), Arnav ingin menggunakan AWS CLI untuk meninjau kebijakan yang dikelola dalam akunnya. 

Untuk melakukannya, Arnav terlebih dahulu mencantumkan kebijakan izin yang dikelola pelanggan di akunnya yang terlampir ke suatu identitas, menggunakan perintah berikut:

```
aws iam list-policies --scope Local --only-attached --policy-usage-filter PermissionsPolicy
```

Dari respons tersebut, dia mengambil ARN untuk setiap kebijakan. Arnav membuat laporan untuk informasi yang terakhir diakses bagi setiap kebijakan dengan menggunakan perintah berikut.

```
aws iam generate-service-last-accessed-details --arn arn:aws:iam::123456789012:policy/ExamplePolicy1
```

Dari respons tersebut, dia mengambil ID dari laporan yang dihasilkan dari bidang `JobId`. Arnav kemudian melakukan jajak pendapat perintah berikut sampai bidang `JobStatus` menghasilkan nilai `COMPLETED` atau `FAILED`. Jika tugas gagal, ia akan menangkap kesalahan.

```
aws iam get-service-last-accessed-details --job-id 98a765b4-3cde-2101-2345-example678f9
```

Saat pekerjaan memiliki status `COMPLETED`, Arnav mengurai isi dari himpunan format JSON `ServicesLastAccessed`.

```
 "ServicesLastAccessed": [
        {
            "TotalAuthenticatedEntities": 1,
            "LastAuthenticated": 2018-11-01T21:24:33.222Z,
            "ServiceNamespace": "dynamodb",
            "LastAuthenticatedEntity": "arn:aws:iam::123456789012:user/IAMExampleUser",
            "ServiceName": "Amazon DynamoDB"
        },

        {
            "TotalAuthenticatedEntities": 0,
            "ServiceNamespace": "ec2",
            "ServiceName": "Amazon EC2"
        },

        {
            "TotalAuthenticatedEntities": 3,
            "LastAuthenticated": 2018-08-25T15:29:51.156Z,
            "ServiceNamespace": "s3",
            "LastAuthenticatedEntity": "arn:aws:iam::123456789012:role/IAMExampleRole",
            "ServiceName": "Amazon S3"
        }
    ]
```

Dari informasi ini, Arnav mengetahui bahwa `ExamplePolicy1` kebijakan tersebut memungkinkan akses ke tiga layanan, Amazon DynamoDB, Amazon S3, dan Amazon EC2. Pengguna IAM bernama `IAMExampleUser` terakhir mencoba mengakses DynamoDB pada 1 November, dan seseorang menggunakan `IAMExampleRole` peran tersebut untuk mencoba mengakses Amazon S3 pada 25 Agustus. Ada pula dua entitas lagi yang mencoba mengakses Amazon S3 tahun lalu. Namun, tidak ada yang telah mencoba mengakses Amazon EC2 tahun lalu.

Ini berarti bahwa Arnav dapat dengan aman menghapus tindakan Amazon EC2 dari kebijakan. Arnav ingin meninjau berkas JSON saat ini untuk kebijakan tersebut. Pertama, ia harus menentukan nomor versi kebijakan menggunakan perintah berikut.

```
aws iam list-policy-versions --policy-arn arn:aws:iam::123456789012:policy/ExamplePolicy1
```

Dari respons tersebut, Arnav mengumpulkan nomor versi default saat ini dari himpunan `Versions`. Kemudian dia menggunakan nomor versi tersebut (`v2`) meminta berkas kebijakan JSON dengan menggunakan perintah berikut.

```
aws iam get-policy-version --policy-arn arn:aws:iam::123456789012:policy/ExamplePolicy1 --version-id v2
```

Arnav menyimpan dokumen kebijakan JSON yang dikembalikan di `Document` bidang himpunan `PolicyVersion`. Dalam dokumen kebijakan, Arnav mencari tindakan yang dalam namespace `ec2`. Jika tidak ada tindakan dari namespace lain yang tersisa dalam kebijakan, maka dia memisahkan kebijakan dari identitas yang terdampak (pengguna, grup, dan peran). Kemudian, dia menghapus kebijakan tersebut. Dalam hal ini, kebijakan tersebut mencakup layanan Amazon DynamoDB dan Amazon S3. Jadi Arnav menghapus tindakan Amazon EC2 dari dokumen dan menyimpan perubahannya. Kemudian, ia menggunakan perintah berikut untuk memperbarui kebijakan dengan menggunakan versi baru berkas tersebut dan menetapkan versi tersebut sebagai versi kebijakan standar.

```
aws iam create-policy-version --policy-arn arn:aws:iam::123456789012:policy/ExamplePolicy1 --policy-document file://UpdatedPolicy.json --set-as-default
```

`ExamplePolicy1` kebijakan ini diperbarui untuk menghapus akses ke layanan Amazon EC2 yang tidak perlu.

## Skenario IAM lainnya
<a name="last-accessed-scenarios-other"></a>

Informasi tentang ketika sumber daya IAM (pengguna, grup, peran, atau kebijakan) yang terakhir kali diupayakan untuk mengakses layanan dapat membantu Anda setelah menyelesaikan tugas berikut:
+ **Kebijakan** – [Menyunting kebijakan yang dikelola pelanggan atau kebijakan selaras yang sudah ada untuk menghapus izin](access_policies_manage-edit.md)
+ **Kebijakan** – [Mengonversi kebijakan selaras ke kebijakan terkelola dan kemudian menghapusnya](access_policies-convert-inline-to-managed.md)
+ **Kebijakan** – [Menambahkan penolakan secara eksplisit ke kebijakan yang sudah ada](reference_policies_evaluation-logic_AccessPolicyLanguage_Interplay.md)
+ **Policies** – [Melepas kebijakan terkelola dari suatu identitas (pengguna, grup, atau peran)](access_policies_manage-attach-detach.md#detach-managed-policy-console)
+ **Entitas** – [Atur batas izin untuk mengendalikan perizinan maksimum yang dapat dimiliki oleh entitas (pengguna atau peran)](access_policies_manage-attach-detach.md)
+ **Kelompok** – [Menghapus pengguna dari grup](id_groups_manage_add-remove-users.md)

## Menggunakan informasi untuk memperbaiki izin unit organisasi.
<a name="access_policies_last-accessed-reduce-permissions-orgs"></a>

Anda dapat menggunakan informasi yang diakses terakhir untuk memperbaiki izin unit organisasi (OU) di AWS Organizations.

Misalnya, John Stiles adalah seorang AWS Organizations administrator. Dia bertanggung jawab untuk memastikan bahwa orang-orang di perusahaan Akun AWS tidak memiliki izin berlebih. Sebagai bagian dari audit keamanan berkala, ia meninjau izin dari organisasinya. OU `Development`-nya berisikan akun yang sering digunakan untuk menguji layanan AWS baru. John memutuskan untuk secara berkala meninjau laporan bagi layanan yang belum diakses dalam lebih dari 180 hari. Kemudian, ia menghapus izin bagi anggota OU untuk mengakses layanan tersebut. 

John masuk ke konsol IAM menggunakan kredensial akun manajemennya. Di konsol IAM, ia menemukan AWS Organizations data untuk OU. `Development` Dia meninjau tabel **laporan akses Layanan** dan melihat dua AWS layanan yang belum diakses lebih dari periode yang diinginkannya selama 180 hari. Dia ingat menambahkan izin untuk tim pengembangan untuk mengakses Amazon Lex dan. AWS Database Migration Service John menghubungi tim pengembangan dan mengonfirmasi bahwa mereka tidak lagi memiliki kepentingan bisnis untuk menguji layanan ini.

John sekarang siap bertindak atas informasi yang terakhir diakses. Dia memilih **Edit di AWS Organizations** dan diingatkan bahwa SCP melekat pada beberapa entitas. Dia memilih **Lanjutkan**. Pada tahun AWS Organizations, ia meninjau target untuk mempelajari AWS Organizations entitas mana yang dilampirkan SCP. Semua entitas berada dalam OU `Development`.

John memutuskan untuk menolak akses ke Amazon Lex dan AWS Database Migration Service tindakan di `NewServiceTest` SCP. Tindakan ini menghapus akses yang tidak perlu ke layanan.

# Tindakan IAM terakhir mengakses layanan dan tindakan informasi
<a name="access_policies_last-accessed-action-last-accessed"></a>

Tabel berikut mencantumkan AWS layanan untuk [tindakan IAM yang terakhir diakses informasi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_last-accessed.html) ditampilkan. Untuk daftar tindakan di setiap layanan, lihat [Tindakan, sumber daya, dan kunci kondisi untuk AWS layanan](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) di Referensi Otorisasi Layanan.

AWS menyediakan informasi tindakan yang terakhir diakses dalam format JSON untuk merampingkan otomatisasi alur kerja manajemen kebijakan. Dengan informasi referensi layanan, Anda dapat mengakses informasi tindakan yang terakhir diakses di Layanan AWS seberang file yang dapat dibaca mesin. Untuk informasi selengkapnya, lihat [Layanan AWS Informasi yang disederhanakan untuk akses terprogram di Referensi](https://docs.aws.amazon.com/service-authorization/latest/reference/service-reference.html) Otorisasi Layanan.


|  **Layanan**  |  **Awalan layanan**  | 
| --- | --- | 
|  [AWS Identity and Access Management dan Access Analyzer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamaccessanalyzer.html)  | akses-analyzer | 
|  [AWS Account Management](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsaccountmanagement.html)  | akun | 
|  [AWS Certificate Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscertificatemanager.html)  | acm | 
|  [Alur Kerja Terkelola Amazon untuk Apache Airflow](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedworkflowsforapacheairflow.html)  | aliran udara | 
|  [AWS Amplify](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsamplify.html)  | amplify | 
|  [AWS Amplify Pembuat UI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsamplifyuibuilder.html)  | amplifyuibuilder | 
|  [Amazon AppIntegrations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonappintegrations.html)  | integrasi aplikasi | 
|  [AWS AppConfig](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsappconfig.html)  | appconfig | 
|  [Amazon AppFlow](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonappflow.html)  | Appflow | 
|  [AWS Profiler Biaya Aplikasi](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapplicationcostprofilerservice.html)  | application-cost-profiler | 
|  [Wawasan CloudWatch Aplikasi Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchapplicationinsights.html)  | wawasan aplikasi | 
|  [AWS App Mesh](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsappmesh.html)  | appmesh | 
|  [ WorkSpaces Aplikasi Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonappstream2.0.html)  | appstream | 
|  [AWS AppSync](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsappsync.html)  | appsync | 
|  [Layanan Terkelola Amazon untuk Prometheus](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedserviceforprometheus.html)  | aps | 
|  [Amazon Athena](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonathena.html)  | athena | 
|  [AWS Audit Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsauditmanager.html)  | Pengelola Audit | 
|  [AWS Auto Scaling](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsautoscaling.html)  | penskalaan otomatis | 
|  [AWS Marketplace](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsmarketplace.html)  | aws-marketplace | 
|  [AWS Backup](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html)  | pencadangan | 
|  [AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html)  | batch | 
|  [Amazon Braket](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbraket.html)  | braket | 
|  [AWS Budgets](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbudgetservice.html)  | anggaran | 
|  [AWS Cloud9](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloud9.html)  | awan9 | 
|  [AWS CloudFormation](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudformation.html)  | pembentukan awan | 
|  [Amazon CloudFront](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudfront.html)  | cloudfront | 
|  [AWS CloudHSM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudhsm.html)  | cloudhsm | 
|  [Amazon CloudSearch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudsearch.html)  | cloudsearch | 
|  [AWS CloudTrail](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudtrail.html)  | cloudtrail | 
|  [Amazon CloudWatch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatch.html)  | cloudwatch | 
|  [AWS CodeArtifact](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscodeartifact.html)  | kodeartefak | 
|  [AWS CodeDeploy](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscodedeploy.html)  | penyebaran kode | 
|  [Amazon CodeGuru Profiler](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncodeguruprofiler.html)  | codeguru-profiler | 
|  [ CodeGuru Peninjau Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncodegurureviewer.html)  | pengulas codeguru | 
|  [AWS CodePipeline](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscodepipeline.html)  | codepipeline | 
|  [AWS CodeStar](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscodestar.html)  | bintang kode | 
|  [AWS CodeStar Pemberitahuan](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscodestarnotifications.html)  | pemberitahuan bintang kode | 
|  [Identitas Amazon Cognito](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncognitoidentity.html)  | kognito-identitas | 
|  [Kumpulan pengguna Amazon Cognito](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncognitouserpools.html)  | cognito-idp | 
|  [Sinkronisasi Amazon Cognito](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncognitosync.html)  | sinkronisasi kognito | 
|  [Amazon Comprehend Medical](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncomprehendmedical.html)  | memahami-medis | 
|  [AWS Compute Optimizer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscomputeoptimizer.html)  | pengoptimal komputasi | 
|  [AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html)  | config | 
|  [Amazon Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnect.html)  | hubungkan | 
|  [AWS Cost and Usage Report](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscostandusagereport.html)  | cur | 
|  [AWS Glue DataBrew](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsgluedatabrew.html)  | databrew | 
|  [AWS Data Exchange](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdataexchange.html)  | pertukaran data | 
|  [AWS Data Pipeline](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdatapipeline.html)  | datapipeline | 
|  [DynamoDB Accelerator](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondynamodbacceleratordax.html)  | dax | 
|  [AWS Device Farm](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdevicefarm.html)  | devicefarm | 
|  [ DevOpsGuru Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondevopsguru.html)  | devops-guru | 
|  [AWS Direct Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdirectconnect.html)  | DirectConnect | 
|  [Amazon Data Lifecycle Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondatalifecyclemanager.html)  | dlm | 
|  [AWS Database Migration Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdatabasemigrationservice.html)  | dms | 
|  [Cluster Elastis Amazon DocumentDB](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondocumentdbelasticclusters.html)  | docdb-elastis | 
|  [Amazon DynamoDB](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondynamodb.html)  | dynamodb | 
|  [Amazon Elastic Block Store](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticblockstore.html)  | ebs | 
|  [Amazon Elastic Compute Cloud](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html)  | ec2 | 
|  [Amazon Elastic Container Registry](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerregistry.html)  | ecr | 
|  [Amazon Elastic Container Registry Publik](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerregistrypublic.html)  | ecr-publik | 
|  [Layanan Kontainer Elastis Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerservice.html)  | ecs | 
|  [Layanan Amazon Elastic Kubernetes](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelastickubernetesservice.html)  | eks | 
|  [Amazon ElastiCache](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticache.html)  | elasticache | 
|  [AWS Elastic Beanstalk](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselasticbeanstalk.html)  | tangkai kacang elastis | 
|  [Sistem File Elastis Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticfilesystem.html)  | sistem file elastis | 
|  [Elastic Load Balancing](https://docs.aws.amazon.com/service-authorization/latest/reference/list_elasticloadbalancing.html)  | elasticloadbalancing | 
|  [Amazon Elastic Transcoder](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelastictranscoder.html)  | elastictranscoder | 
|  [Amazon EMR di EKS (Wadah EMR)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonemroneksemrcontainers.html)  | kontainer emr | 
|  [Amazon EMR Tanpa Server](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonemrserverless.html)  | emr-tanpa server | 
|  [ OpenSearch Layanan Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonopensearchservice.html)  | es | 
|  [Amazon EventBridge](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoneventbridge.html)  | acara | 
|  [Amazon CloudWatch Terbukti](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchevidently.html)  | ternyata | 
|  [Amazon FinSpace](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfinspace.html)  | finspace | 
|  [Amazon Data Firehose](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisfirehose.html)  | firehose | 
|  [AWS Fault Injection Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfaultinjectionsimulator.html)  | fis | 
|  [AWS Firewall Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html)  | fms | 
|  [Amazon Fraud Detector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfrauddetector)  | detektor penipuan | 
|  [Amazon FSx](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx)  | fsx | 
|  [ GameLift Server Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazongamelift)  | gamelift | 
|  [Amazon Location Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlocation.html)  | geo | 
|  [Amazon Glacier](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3glacier.html)  | gletser | 
|  [Amazon Managed Grafana](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedgrafana.html)  | grafana | 
|  [AWS IoT Greengrass](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotgreengrass.html)  | greengrass | 
|  [AWS Ground Station](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsgroundstation.html)  | stasiun tanah | 
|  [Amazon GuardDuty](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html)  | tugas jaga | 
|  [AWS HealthLake](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonhealthlake.html)  | healthlake | 
|  [Honeycode Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonhoneycode.html)  | kode madu | 
|  [AWS Identity and Access Management](https://docs.aws.amazon.com/service-authorization/latest/reference/list_identityandaccessmanagement.html)  | iam | 
|  [AWS Toko Identitas](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsidentitystore.html)  | toko identitas | 
|  [EC2 Image Builder](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2imagebuilder.html)  | imagebuilder | 
|  [Amazon Inspector Klasik](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector.html)  | inspektur | 
|  [Amazon Inspector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html)  | inspektor2 | 
|  [AWS IoT](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiot.html)  | iot | 
|  [AWS IoT Analytics](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotanalytics.html)  | iotanalitik | 
|  [AWS IoT Core Device Advisor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotcoredeviceadvisor.html)  | iotdeviceadvisor | 
|  [AWS IoT Events](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotevents.html)  | iotevents | 
|  [AWS IoT Fleet Hub](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotfleethubfordevicemanagement.html)  | iotfleethub | 
|  [AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html)  | iotsitewise | 
|  [AWS IoT TwinMaker](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiottwinmaker.html)  | pembuat iottwinmaker | 
|  [AWS IoT Wireless](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotwireless.html)  | iotwireless | 
|  [Layanan Video Interaktif Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninteractivevideoservice.html)  | ivs | 
|  [Obrolan Layanan Video Interaktif Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninteractivevideoservicechat.html)  | ivschat | 
|  [Amazon Managed Streaming for Apache Kafka](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedstreamingforapachekafka.html)  | kafka | 
|  [Amazon Managed Streaming for Kafka Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedstreamingforkafkaconnect.html)  | kafkaconnect | 
|  [Amazon Kendra](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkendra.html)  | kendra | 
|  [Amazon Kinesis](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesis.html)  | kinesis | 
|  [Amazon Kinesis Analytics V2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisanalyticsv2.html)  | kinesisanalitik | 
|  [AWS Key Management Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html)  | km | 
|  [AWS Lambda](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awslambda.html)  | lambda | 
|  [Amazon Lex](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlexv2.html)  | lex | 
|  [AWS License Manager Manajer Langganan Linux](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awslicensemanagerlinuxsubscriptionsmanager.html)  | license-manager-linux-subscriptions | 
|  [Amazon Lightsail](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlightsail.html)  | lightsail | 
|  [ CloudWatch Log Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchlogs.html)  | log | 
|  [Amazon Lookout for Equipment](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlookoutforequipment.html)  | peralatan pencarian | 
|  [Amazon Lookout for Metrics](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlookoutformetrics.html)  | lookoutmetrics | 
|  [Amazon Lookout for Vision](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlookoutforvision.html)  | lookoutvision | 
|  [AWS Mainframe Modernization](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsmainframemodernizationservice.html)  | m2 | 
|  [Blockchain yang Dikelola Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedblockchain.html)  | terkelolablockchain | 
|  [AWS Elemental MediaConnect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmediaconnect.html)  | mediaconnect | 
|  [AWS Elemental MediaConvert](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmediaconvert.html)  | mediaconvert | 
|  [AWS Elemental MediaLive](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmedialive.html)  | medialive | 
|  [AWS Elemental MediaStore](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmediastore.html)  | mediastore | 
|  [AWS Elemental MediaTailor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmediatailor.html)  | mediatailor | 
|  [Amazon MemoryDB](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmemorydb.html)  | memorydb | 
|  [AWS Application Migration Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapplicationmigrationservice.html)  | mgn | 
|  [AWS Migration Hub](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsmigrationhub.html)  | mgh | 
|  [AWS Rekomendasi Strategi Migrasi Hub](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsmigrationhubstrategyrecommendations.html)  | Migrationhub-strategi | 
|  [Amazon Pinpoint](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpinpoint.html)  | penargetan seluler | 
|  [Amazon MQ](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmq.html)  | mq | 
|  [AWS Network Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsnetworkmanager.html)  | manajer jaringan | 
|  [Studio Amazon Nimble](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonnimblestudio.html)  | gesit | 
|  [AWS HealthOmics](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthomics.html)  | omics | 
|  [AWS OpsWorks](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsopsworks.html)  | opsworks | 
|  [AWS OpsWorks CM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsopsworksconfigurationmanagement)  | opsworks-cm | 
|  [AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html)  | pos terdepan | 
|  [AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html)  | organisasi | 
|  [AWS Panorama](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awspanorama.html)  | panorama | 
|  [AWS Performance Insights](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsperformanceinsights.html)  | pi | 
|  [ EventBridgePipa Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoneventbridgepipes.html)  | pipa | 
|  [Amazon Polly](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpolly.html)  | polly | 
|  [Profil Pelanggan Amazon Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnectcustomerprofiles.html)  | profile | 
|  [Amazon QLDB](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonqldb.html)  | qldb | 
|  [AWS Resource Access Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceaccessmanager.html)  | ram | 
|  [AWS Tempat Sampah Daur Ulang](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsrecyclebin.html)  | rbin | 
|  [Amazon Relational Database Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonrds.html)  | rds | 
|  [Amazon Redshift](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonredshift.html)  | redshift | 
|  [API Data Pergeseran Merah Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonredshiftdataapi.html)  | data pergeseran merah | 
|  [AWS Migration Hub Refactor Spaces](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsmigrationhubrefactorspaces.html)  | ruang refaktor | 
|  [Amazon Rekognition](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonrekognition.html)  | rekognisi | 
|  [AWS Resilience Hub](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresiliencehub.html)  | resiliencehub | 
|  [Penjelajah Sumber Daya AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html)  | sumber daya-penjelajah-2 | 
|  [AWS Resource Groups](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourcegroups.html)  | kelompok sumber daya | 
|  [AWS RoboMaker](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsrobomaker.html)  | robomaker | 
|  [AWS Identity and Access Management Peran Di Mana Saja](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsidentityandaccessmanagementrolesanywhere.html)  | peranandi mana saja | 
|  [Rute Amazon 53](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53.html)  | route53 | 
|  [Amazon Route 53 Kontrol Pemulihan](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html)  | rute53- recovery-control-config | 
|  [Kesiapan Pemulihan Amazon Route 53](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoveryreadiness.html)  | route53-pemulihan-kesiapan | 
|  [Amazon Route 53 Resolver](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53resolver.html)  | route53resolver | 
|  [AWS CloudWatchRUM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudwatchrum.html)  | rum | 
|  [Layanan Penyimpanan Sederhana Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html)  | s3 | 
|  [Amazon S3 on Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3onoutposts.html)  | pos terdepan s3 | 
|  [Kemampuan geospasial Amazon SageMaker AI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemakergeospatialcapabilities.html)  | sagemaker-geospasial | 
|  [Savings Plans](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssavingsplans.html)  | savingsplans | 
|  [ EventBridgeSkema Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoneventbridgeschemas.html)  | skema | 
|  [Amazon SimpleDB](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsimpledb.html)  | sdb | 
|  [AWS Secrets Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecretsmanager.html)  | manajer rahasia | 
|  [AWS Security Hub CSPM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html)  | securityhub | 
|  [Amazon Security Lake](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsecuritylake.html)  | Securitylake | 
|  [AWS Serverless Application Repository](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsserverlessapplicationrepository.html)  | repo tanpa server | 
|  [AWS Service Catalog](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsservicecatalog.html)  | servicecatalog | 
|  [AWS Cloud Map](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudmap.html)  | servicediscovery | 
|  [Service Quotas](https://docs.aws.amazon.com/service-authorization/latest/reference/list_servicequotas.html)  | servicequotas | 
|  [Layanan Email Amazon Sederhana](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonses.html)  | ses | 
|  [AWS Shield](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html)  | melindungi | 
|  [AWS Signer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssigner.html)  | penandatangan | 
|  [AWS SimSpace Weaver](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssimspaceweaver.html)  | simspaceweaver | 
|  [AWS Server Migration Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsservermigrationservice.html)  | sms | 
|  [Amazon Pinpoint SMS dan Layanan Suara](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpinpointsmsandvoiceservice.html)  | sms-suara | 
|  [AWS Snowball Edge](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssnowball.html)  | bola salju | 
|  [Amazon Simple Queue Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsqs.html)  | sqs | 
|  [AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html)  | ssm | 
|  [Manajer Insiden AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanagerincidentmanager.html)  | insiden ssm | 
|  [Manajer Sistem AWS untuk SAP](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanagerforsap.html)  | ssm-sap | 
|  [AWS Step Functions](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsstepfunctions.html)  | negara | 
|  [AWS Security Token Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecuritytokenservice.html)  | sts | 
|  [Layanan Alur Kerja Sederhana Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsimpleworkflowservice.html)  | swf | 
|  [Amazon CloudWatch Synthetics](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchsynthetics.html)  | sintetis | 
|  [AWS Resource Groups Tagging API](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonresourcegrouptaggingapi.html)  | tanda | 
|  [Amazon Texttract](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontextract.html)  | textract | 
|  [Amazon Timestream](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontimestream.html)  | aliran waktu | 
|  [AWS Pembangun Jaringan Telco](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstelconetworkbuilder.html)  | tnb | 
|  [Amazon Transcribe](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontranscribe.html)  | mentranskripsikan | 
|  [AWS Transfer Family](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstransferfamily.html)  | transfer | 
|  [Amazon Translate](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontranslate.html)  | menerjemahkan | 
|  [ID Suara Amazon Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnectvoiceid.html)  | voiceid | 
|  [Kisi VPC Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonvpclattice.html)  | vpc-kisi | 
|  [AWS WAFV2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html)  | wafv2 | 
|  [AWS Well-Architected Tool](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswell-architectedtool.html)  | wellarchitected | 
|  [Kebijaksanaan Amazon Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnectwisdom.html)  | kebijaksanaan | 
|  [Amazon WorkLink](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonworklink.html)  | tautan kerja | 
|  [Amazon WorkSpaces](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonworkspaces.html)  | ruang kerja | 
|  [AWS X-Ray](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsx-ray.html)  | xray | 

## Tindakan untuk tindakan informasi yang terakhir diakses
<a name="access_policies_last-accessed-action-last-accessed-supported-actions"></a>

Tabel berikut mencantumkan tindakan untuk tindakan yang terakhir diakses informasi yang tersedia.

**penting**  
`iam:UpdateAccountName`Tindakan tersebut akan dihentikan pada 22 April 2026. Setelah 22 April 2026, hanya `[account:PutAccountName](https://docs.aws.amazon.com/accounts/latest/reference/API_PutAccountName.html)` izin yang akan mengontrol akses pembaruan nama akun. Kami sangat menyarankan agar Anda memperbarui [kebijakan kontrol layanan (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) yang mengontrol pembaruan nama akun untuk menggunakan `account:PutAccountName` izin.


|  **Awalan layanan**  |  **Tindakan**  | 
| --- | --- | 
| akses-analyzer |  akses-analyzer: ApplyArchiveRule akses-analyzer: CancelPolicyGeneration akses-analyzer: CheckAccessNotGranted akses-analyzer: CheckNoNewAccess akses-analyzer: CheckNoPublicAccess akses-analyzer: CreateAccessPreview akses-analyzer: CreateAnalyzer akses-analyzer: CreateArchiveRule akses-analyzer: DeleteAnalyzer akses-analyzer: DeleteArchiveRule akses-analyzer: GenerateFindingRecommendation akses-analyzer: GetAccessPreview akses-analyzer: GetAnalyzedResource akses-analyzer: GetAnalyzer akses-analyzer: GetArchiveRule akses-analyzer: GetFinding akses-analyzer: GetFindingRecommendation akses-analyzer: GetFindingsStatistics akses-analyzer: GetGeneratedPolicy akses-analyzer: ListAccessPreviewFindings akses-analyzer: ListAccessPreviews akses-analyzer: ListAnalyzedResources akses-analyzer: ListAnalyzers akses-analyzer: ListArchiveRules akses-analyzer: ListFindings akses-analyzer: ListPolicyGenerations akses-analyzer: StartPolicyGeneration akses-analyzer: StartResourceScan akses-analyzer: UpdateAnalyzer akses-analyzer: UpdateArchiveRule akses-analyzer: UpdateFindings akses-analyzer: ValidatePolicy  | 
| akun |  akun: AcceptPrimaryEmailUpdate akun: DeleteAlternateContact akun: DisableRegion akun: EnableRegion akun: GetAccountInformation akun: GetAlternateContact akun: GetContactInformation akun: GetGovCloudAccountInformation akun: GetPrimaryEmail akun: GetRegionOptStatus akun: ListRegions akun: PutAccountName akun: PutAlternateContact akun: PutContactInformation akun: StartPrimaryEmailUpdate  | 
| acm |  ACM: DeleteCertificate ACM: DescribeCertificate ACM: ExportCertificate ACM: GetAccountConfiguration ACM: GetCertificate ACM: ImportCertificate ACM: ListCertificates ACM: PutAccountConfiguration ACM: RenewCertificate ACM: RequestCertificate ACM: ResendValidationEmail ACM: UpdateCertificateOptions  | 
| aliran udara |  aliran udara: CreateCliToken aliran udara: CreateEnvironment aliran udara: CreateWebLoginToken aliran udara: DeleteEnvironment aliran udara: GetEnvironment aliran udara: ListEnvironments aliran udara: PublishMetrics aliran udara: UpdateEnvironment  | 
| amplify |  memperkuat: CreateApp memperkuat: CreateBackendEnvironment memperkuat: CreateBranch memperkuat: CreateDeployment memperkuat: CreateDomainAssociation memperkuat: CreateWebHook memperkuat: DeleteApp memperkuat: DeleteBackendEnvironment memperkuat: DeleteBranch memperkuat: DeleteDomainAssociation memperkuat: DeleteJob memperkuat: DeleteWebHook memperkuat: GenerateAccessLogs memperkuat: GetApp memperkuat: GetArtifactUrl memperkuat: GetBackendEnvironment memperkuat: GetBranch memperkuat: GetDomainAssociation memperkuat: GetJob memperkuat: GetWebHook memperkuat: ListApps memperkuat: ListArtifacts memperkuat: ListBackendEnvironments memperkuat: ListBranches memperkuat: ListDomainAssociations memperkuat: ListJobs memperkuat: ListWebHooks memperkuat: StartDeployment memperkuat: StartJob memperkuat: StopJob memperkuat: UpdateApp memperkuat: UpdateBranch memperkuat: UpdateDomainAssociation memperkuat: UpdateWebHook  | 
| amplifyuibuilder |  amplifyuibuilder: CreateComponent amplifyuibuilder: CreateForm amplifyuibuilder: CreateTheme amplifyuibuilder: DeleteComponent amplifyuibuilder: DeleteForm amplifyuibuilder: DeleteTheme amplifyuibuilder: ExportComponents amplifyuibuilder: ExportThemes amplifyuibuilder: GetCodegenJob amplifyuibuilder: ListCodegenJobs amplifyuibuilder: ListComponents amplifyuibuilder: ListForms amplifyuibuilder: ListThemes amplifyuibuilder: ResetMetadataFlag amplifyuibuilder: StartCodegenJob amplifyuibuilder: UpdateComponent amplifyuibuilder: UpdateForm amplifyuibuilder: UpdateTheme  | 
| integrasi aplikasi |  integrasi aplikasi: CreateApplication integrasi aplikasi: CreateDataIntegration integrasi aplikasi: CreateDataIntegrationAssociation integrasi aplikasi: CreateEventIntegration integrasi aplikasi: DeleteApplication integrasi aplikasi: DeleteDataIntegration integrasi aplikasi: DeleteEventIntegration integrasi aplikasi: GetApplication integrasi aplikasi: GetDataIntegration integrasi aplikasi: GetEventIntegration integrasi aplikasi: ListApplicationAssociations integrasi aplikasi: ListApplications integrasi aplikasi: ListDataIntegrationAssociations integrasi aplikasi: ListDataIntegrations integrasi aplikasi: ListEventIntegrationAssociations integrasi aplikasi: ListEventIntegrations integrasi aplikasi: UpdateApplication integrasi aplikasi: UpdateDataIntegration integrasi aplikasi: UpdateDataIntegrationAssociation integrasi aplikasi: UpdateEventIntegration  | 
| appconfig |  appconfig: CreateApplication appconfig: CreateConfigurationProfile appconfig: CreateDeploymentStrategy appconfig: CreateEnvironment appconfig: CreateExtension appconfig: CreateExtensionAssociation appconfig: CreateHostedConfigurationVersion appconfig: DeleteApplication appconfig: DeleteConfigurationProfile appconfig: DeleteDeploymentStrategy appconfig: DeleteEnvironment appconfig: DeleteExtension appconfig: DeleteExtensionAssociation appconfig: DeleteHostedConfigurationVersion appconfig: GetAccountSettings appconfig: GetApplication appconfig: GetConfiguration appconfig: GetConfigurationProfile appconfig: GetDeployment appconfig: GetDeploymentStrategy appconfig: GetEnvironment appconfig: GetExtension appconfig: GetExtensionAssociation appconfig: GetHostedConfigurationVersion appconfig: ListApplications appconfig: ListConfigurationProfiles appconfig: ListDeploymentStrategies appconfig: ListDeployments appconfig: ListEnvironments appconfig: ListExtensionAssociations appconfig: ListExtensions appconfig: ListHostedConfigurationVersions appconfig: StartDeployment appconfig: StopDeployment appconfig: UpdateAccountSettings appconfig: UpdateApplication appconfig: UpdateConfigurationProfile appconfig: UpdateDeploymentStrategy appconfig: UpdateEnvironment appconfig: UpdateExtension appconfig: UpdateExtensionAssociation appconfig: ValidateConfiguration  | 
| Appflow |  Appflow: CancelFlowExecutions Appflow: CreateConnectorProfile Appflow: CreateFlow Appflow: DeleteConnectorProfile Appflow: DeleteFlow Appflow: DescribeConnector Appflow: DescribeConnectorEntity Appflow: DescribeConnectorProfiles Appflow: DescribeConnectors Appflow: DescribeFlow Appflow: DescribeFlowExecutionRecords Appflow: ListConnectorEntities Appflow: ListConnectors Appflow: ListFlows Appflow: RegisterConnector Appflow: ResetConnectorMetadataCache Appflow: StartFlow Appflow: StopFlow Appflow: UnRegisterConnector Appflow: UpdateConnectorProfile Appflow: UpdateConnectorRegistration Appflow: UpdateFlow  | 
| wawasan aplikasi |  wawasan aplikasi: AddWorkload wawasan aplikasi: CreateApplication wawasan aplikasi: CreateComponent wawasan aplikasi: CreateLogPattern wawasan aplikasi: DeleteApplication wawasan aplikasi: DeleteComponent wawasan aplikasi: DeleteLogPattern wawasan aplikasi: DescribeApplication wawasan aplikasi: DescribeComponent wawasan aplikasi: DescribeComponentConfiguration wawasan aplikasi: DescribeComponentConfigurationRecommendation wawasan aplikasi: DescribeLogPattern wawasan aplikasi: DescribeObservation wawasan aplikasi: DescribeProblem wawasan aplikasi: DescribeProblemObservations wawasan aplikasi: DescribeWorkload wawasan aplikasi: ListApplications wawasan aplikasi: ListComponents wawasan aplikasi: ListConfigurationHistory wawasan aplikasi: ListLogPatternSets wawasan aplikasi: ListLogPatterns wawasan aplikasi: ListProblems wawasan aplikasi: ListWorkloads wawasan aplikasi: RemoveWorkload wawasan aplikasi: UpdateApplication wawasan aplikasi: UpdateComponent wawasan aplikasi: UpdateComponentConfiguration wawasan aplikasi: UpdateLogPattern wawasan aplikasi: UpdateWorkload  | 
| appmesh |  appmesh: CreateGatewayRoute appmesh: CreateMesh appmesh: CreateRoute appmesh: CreateVirtualGateway appmesh: CreateVirtualNode appmesh: CreateVirtualRouter appmesh: CreateVirtualService appmesh: DeleteGatewayRoute appmesh: DeleteMesh appmesh: DeleteRoute appmesh: DeleteVirtualGateway appmesh: DeleteVirtualNode appmesh: DeleteVirtualRouter appmesh: DeleteVirtualService appmesh: DescribeGatewayRoute appmesh: DescribeMesh appmesh: DescribeRoute appmesh: DescribeVirtualGateway appmesh: DescribeVirtualNode appmesh: DescribeVirtualRouter appmesh: DescribeVirtualService appmesh: ListGatewayRoutes appmesh: ListMeshes appmesh: ListRoutes appmesh: ListVirtualGateways appmesh: ListVirtualNodes appmesh: ListVirtualRouters appmesh: ListVirtualServices appmesh: StreamAggregatedResources appmesh: UpdateGatewayRoute appmesh: UpdateMesh appmesh: UpdateRoute appmesh: UpdateVirtualGateway appmesh: UpdateVirtualNode appmesh: UpdateVirtualRouter appmesh: UpdateVirtualService  | 
| appstream |  appstream: AssociateAppBlockBuilderAppBlock appstream: AssociateApplicationFleet appstream: AssociateApplicationToEntitlement appstream: AssociateFleet appstream: AssociateSoftwareToImageBuilder appstream: BatchAssociateUserStack appstream: BatchDisassociateUserStack appstream: CopyImage appstream: CreateAppBlock appstream: CreateAppBlockBuilder appstream: URL CreateAppBlockBuilderStreaming appstream: CreateApplication appstream: CreateDirectoryConfig appstream: CreateEntitlement appstream: CreateFleet appstream: CreateImageBuilder appstream: URL CreateImageBuilderStreaming appstream: CreateStack appstream: URL CreateStreaming appstream: CreateThemeForStack appstream: CreateUpdatedImage appstream: CreateUsageReportSubscription appstream: CreateUser appstream: DeleteAppBlock appstream: DeleteAppBlockBuilder appstream: DeleteApplication appstream: DeleteDirectoryConfig appstream: DeleteEntitlement appstream: DeleteFleet appstream: DeleteImage appstream: DeleteImageBuilder appstream: DeleteImagePermissions appstream: DeleteStack appstream: DeleteThemeForStack appstream: DeleteUsageReportSubscription appstream: DeleteUser appstream: DescribeAppBlockBuilderAppBlockAssociations appstream: DescribeAppBlockBuilders appstream: DescribeAppBlocks appstream: DescribeAppLicenseUsage appstream: DescribeApplicationFleetAssociations appstream: DescribeApplications appstream: DescribeDirectoryConfigs appstream: DescribeEntitlements appstream: DescribeFleets appstream: DescribeImageBuilders appstream: DescribeImagePermissions appstream: DescribeImages appstream: DescribeSessions appstream: DescribeStacks appstream: DescribeThemeForStack appstream: DescribeUsageReportSubscriptions appstream: DescribeUserStackAssociations appstream: DescribeUsers appstream: DisableUser appstream: DisassociateAppBlockBuilderAppBlock appstream: DisassociateApplicationFleet appstream: DisassociateApplicationFromEntitlement appstream: DisassociateFleet appstream: DisassociateSoftwareFromImageBuilder appstream: EnableUser appstream: ExpireSession appstream: GetExportImageTask appstream: ListAssociatedFleets appstream: ListAssociatedStacks appstream: ListEntitledApplications appstream: ListExportImageTasks appstream: StartAppBlockBuilder appstream: StartFleet appstream: StartImageBuilder appstream: StartSoftwareDeploymentToImageBuilder appstream: StopAppBlockBuilder appstream: StopFleet appstream: StopImageBuilder appstream: UpdateAppBlockBuilder appstream: UpdateApplication appstream: UpdateDirectoryConfig appstream: UpdateEntitlement appstream: UpdateFleet appstream: UpdateImagePermissions appstream: UpdateStack appstream: UpdateThemeForStack  | 
| appsync |  appsync: AssociateApi appsync: AssociateMergedGraphqlApi appsync: AssociateSourceGraphqlApi appsync: ACL AssociateWeb appsync: CreateApi appsync: CreateApiCache appsync: CreateApiKey appsync: CreateChannelNamespace appsync: CreateDataSource appsync: CreateDomainName appsync: CreateFunction appsync: CreateGraphqlApi appsync: CreateResolver appsync: CreateType appsync: DeleteApi appsync: DeleteApiCache appsync: DeleteApiKey appsync: DeleteChannelNamespace appsync: DeleteDataSource appsync: DeleteDomainName appsync: DeleteFunction appsync: DeleteGraphqlApi appsync: DeleteResolver appsync: DeleteType appsync: DisassociateApi appsync: DisassociateMergedGraphqlApi appsync: DisassociateSourceGraphqlApi appsync: ACL DisassociateWeb appsync: EvaluateCode appsync: EvaluateMappingTemplate appsync: FlushApiCache appsync: GetApi appsync: GetApiAssociation appsync: GetApiCache appsync: GetChannelNamespace appsync: GetDataSource appsync: GetDataSourceIntrospection appsync: GetDomainName appsync: GetFunction appsync: GetGraphqlApi appsync: GetGraphqlApiEnvironmentVariables appsync: GetIntrospectionSchema appsync: GetResolver appsync: GetSchemaCreationStatus appsync: GetSourceApiAssociation appsync: GetType appsync: Sumber daya GetWeb ACLFor appsync: ListApiKeys appsync: ListApis appsync: ListChannelNamespaces appsync: ListDataSources appsync: ListDomainNames appsync: ListFunctions appsync: ListGraphqlApis appsync: ListResolvers appsync: ListResolversByFunction appsync: ACL ListResourcesForWeb appsync: ListSourceApiAssociations appsync: ListTypes appsync: ListTypesByAssociation appsync: PutGraphqlApiEnvironmentVariables appsync: StartDataSourceIntrospection appsync: StartSchemaCreation appsync: StartSchemaMerge appsync: UpdateApi appsync: UpdateApiCache appsync: UpdateApiKey appsync: UpdateChannelNamespace appsync: UpdateDataSource appsync: UpdateDomainName appsync: UpdateFunction appsync: UpdateGraphqlApi appsync: UpdateResolver appsync: UpdateSourceApiAssociation appsync: UpdateType  | 
| aps |  aps: CreateAlertManagerDefinition aps: CreateAnomalyDetector aps: CreateLoggingConfiguration aps: CreateQueryLoggingConfiguration aps: CreateRuleGroupsNamespace aps: CreateWorkspace aps: DeleteAlertManagerDefinition aps: DeleteAnomalyDetector aps: DeleteLoggingConfiguration aps: DeleteQueryLoggingConfiguration aps: DeleteResourcePolicy aps: DeleteRuleGroupsNamespace aps: DeleteScraper aps: DeleteScraperLoggingConfiguration aps: DeleteWorkspace aps: DescribeAlertManagerDefinition aps: DescribeAnomalyDetector aps: DescribeLoggingConfiguration aps: DescribeQueryLoggingConfiguration aps: DescribeResourcePolicy aps: DescribeRuleGroupsNamespace aps: DescribeScraper aps: DescribeScraperLoggingConfiguration aps: DescribeWorkspace aps: DescribeWorkspaceConfiguration aps: GetDefaultScraperConfiguration aps: ListAnomalyDetectors aps: ListRuleGroupsNamespaces aps: ListScrapers aps: ListWorkspaces aps: PutAlertManagerDefinition aps: PutAnomalyDetector aps: PutResourcePolicy aps: PutRuleGroupsNamespace aps: UpdateLoggingConfiguration aps: UpdateQueryLoggingConfiguration aps: UpdateScraper aps: UpdateScraperLoggingConfiguration aps: UpdateWorkspaceAlias aps: UpdateWorkspaceConfiguration  | 
| athena |  Athena: BatchGetNamedQuery Athena: BatchGetPreparedStatement Athena: BatchGetQueryExecution Athena: CancelCapacityReservation Athena: CreateCapacityReservation Athena: CreateDataCatalog Athena: CreateNamedQuery Athena: CreateNotebook Athena: CreatePreparedStatement Athena: CreatePresignedNotebookUrl Athena: CreateWorkGroup Athena: DeleteCapacityReservation Athena: DeleteDataCatalog Athena: DeleteNamedQuery Athena: DeleteNotebook Athena: DeletePreparedStatement Athena: DeleteWorkGroup Athena: ExportNotebook Athena: GetCalculationExecution Athena: GetCalculationExecutionCode Athena: GetCalculationExecutionStatus Athena: GetCapacityAssignmentConfiguration Athena: GetCapacityReservation Athena: GetDataCatalog Athena: GetDatabase Athena: GetNamedQuery Athena: GetNotebookMetadata Athena: GetPreparedStatement Athena: GetQueryExecution Athena: GetQueryResults Athena: GetQueryResultsStream Athena: GetQueryRuntimeStatistics Athena: GetResourceDashboard Athena: GetSession Athena: GetSessionEndpoint Athena: GetSessionStatus Athena: GetTableMetadata Athena: GetWorkGroup Athena: ImportNotebook Athena: ListApplication DPUSizes Athena: ListCalculationExecutions Athena: ListCapacityReservations Athena: ListDataCatalogs Athena: ListDatabases Athena: ListEngineVersions Athena: ListExecutors Athena: ListNamedQueries Athena: ListNotebookMetadata Athena: ListNotebookSessions Athena: ListPreparedStatements Athena: ListQueryExecutions Athena: ListSessions Athena: ListTableMetadata Athena: ListWorkGroups Athena: PutCapacityAssignmentConfiguration Athena: StartCalculationExecution Athena: StartQueryExecution Athena: StartSession Athena: StopCalculationExecution Athena: StopQueryExecution Athena: TerminateSession Athena: UpdateCapacityReservation Athena: UpdateDataCatalog Athena: UpdateNamedQuery Athena: UpdateNotebook Athena: UpdateNotebookMetadata Athena: UpdatePreparedStatement Athena: UpdateWorkGroup  | 
| Pengelola Audit |  Manajer Audit: AssociateAssessmentReportEvidenceFolder Manajer Audit: BatchAssociateAssessmentReportEvidence Manajer Audit: BatchCreateDelegationByAssessment Manajer Audit: BatchDeleteDelegationByAssessment Manajer Audit: BatchDisassociateAssessmentReportEvidence Manajer Audit: BatchImportEvidenceToAssessmentControl Manajer Audit: CreateAssessment Manajer Audit: CreateAssessmentFramework Manajer Audit: CreateAssessmentReport Manajer Audit: CreateControl Manajer Audit: DeleteAssessment Manajer Audit: DeleteAssessmentFramework Manajer Audit: DeleteAssessmentFrameworkShare Manajer Audit: DeleteAssessmentReport Manajer Audit: DeleteControl Manajer Audit: DeregisterAccount Manajer Audit: DeregisterOrganizationAdminAccount Manajer Audit: DisassociateAssessmentReportEvidenceFolder Manajer Audit: GetAccountStatus Manajer Audit: GetAssessment Manajer Audit: GetAssessmentFramework Manajer Audit: GetAssessmentReportUrl Manajer Audit: GetChangeLogs Manajer Audit: GetControl Manajer Audit: GetDelegations Manajer Audit: GetEvidence Manajer Audit: GetEvidenceByEvidenceFolder Manajer Audit: GetEvidenceFileUploadUrl Manajer Audit: GetEvidenceFolder Manajer Audit: GetEvidenceFoldersByAssessment Manajer Audit: GetEvidenceFoldersByAssessmentControl Manajer Audit: GetInsights Manajer Audit: GetInsightsByAssessment Manajer Audit: GetOrganizationAdminAccount Manajer Audit: GetServicesInScope Manajer Audit: GetSettings Manajer Audit: ListAssessmentControlInsightsByControlDomain Manajer Audit: ListAssessmentFrameworkShareRequests Manajer Audit: ListAssessmentFrameworks Manajer Audit: ListAssessmentReports Manajer Audit: ListAssessments Manajer Audit: ListControlDomainInsights Manajer Audit: ListControlDomainInsightsByAssessment Manajer Audit: ListControlInsightsByControlDomain Manajer Audit: ListControls Manajer Audit: ListKeywordsForDataSource Manajer Audit: ListNotifications Manajer Audit: RegisterAccount Manajer Audit: RegisterOrganizationAdminAccount Manajer Audit: StartAssessmentFrameworkShare Manajer Audit: UpdateAssessment Manajer Audit: UpdateAssessmentControl Manajer Audit: UpdateAssessmentControlSetStatus Manajer Audit: UpdateAssessmentFramework Manajer Audit: UpdateAssessmentFrameworkShare Manajer Audit: UpdateAssessmentStatus Manajer Audit: UpdateControl Manajer Audit: UpdateSettings Manajer Audit: ValidateAssessmentReportIntegrity  | 
| penskalaan otomatis |  penskalaan otomatis: AttachInstances penskalaan otomatis: AttachLoadBalancerTargetGroups penskalaan otomatis: AttachLoadBalancers penskalaan otomatis: AttachTrafficSources penskalaan otomatis: BatchDeleteScheduledAction penskalaan otomatis: BatchPutScheduledUpdateGroupAction penskalaan otomatis: CancelInstanceRefresh penskalaan otomatis: CompleteLifecycleAction penskalaan otomatis: CreateAutoScalingGroup penskalaan otomatis: CreateLaunchConfiguration penskalaan otomatis: DeleteAutoScalingGroup penskalaan otomatis: DeleteLaunchConfiguration penskalaan otomatis: DeleteLifecycleHook penskalaan otomatis: DeleteNotificationConfiguration penskalaan otomatis: DeletePolicy penskalaan otomatis: DeleteScheduledAction penskalaan otomatis: DeleteWarmPool penskalaan otomatis: DescribeAccountLimits penskalaan otomatis: DescribeAdjustmentTypes penskalaan otomatis: DescribeAutoScalingGroups penskalaan otomatis: DescribeAutoScalingInstances penskalaan otomatis: DescribeAutoScalingNotificationTypes penskalaan otomatis: DescribeInstanceRefreshes penskalaan otomatis: DescribeLaunchConfigurations penskalaan otomatis: DescribeLifecycleHookTypes penskalaan otomatis: DescribeLifecycleHooks penskalaan otomatis: DescribeLoadBalancerTargetGroups penskalaan otomatis: DescribeLoadBalancers penskalaan otomatis: DescribeMetricCollectionTypes penskalaan otomatis: DescribeNotificationConfigurations penskalaan otomatis: DescribePolicies penskalaan otomatis: DescribeScalingActivities penskalaan otomatis: DescribeScalingProcessTypes penskalaan otomatis: DescribeScheduledActions penskalaan otomatis: DescribeTerminationPolicyTypes penskalaan otomatis: DescribeTrafficSources penskalaan otomatis: DescribeWarmPool penskalaan otomatis: DetachInstances penskalaan otomatis: DetachLoadBalancerTargetGroups penskalaan otomatis: DetachLoadBalancers penskalaan otomatis: DetachTrafficSources penskalaan otomatis: DisableMetricsCollection penskalaan otomatis: EnableMetricsCollection penskalaan otomatis: EnterStandby penskalaan otomatis: ExecutePolicy penskalaan otomatis: ExitStandby penskalaan otomatis: GetPredictiveScalingForecast penskalaan otomatis: PutLifecycleHook penskalaan otomatis: PutNotificationConfiguration penskalaan otomatis: PutScalingPolicy penskalaan otomatis: PutScheduledUpdateGroupAction penskalaan otomatis: PutWarmPool penskalaan otomatis: RecordLifecycleActionHeartbeat penskalaan otomatis: ResumeProcesses penskalaan otomatis: RollbackInstanceRefresh penskalaan otomatis: SetDesiredCapacity penskalaan otomatis: SetInstanceHealth penskalaan otomatis: SetInstanceProtection penskalaan otomatis: StartInstanceRefresh penskalaan otomatis: SuspendProcesses penskalaan otomatis: TerminateInstanceInAutoScalingGroup penskalaan otomatis: UpdateAutoScalingGroup  | 
| aws-marketplace |  aws-pasar: GetEntitlements  | 
| pencadangan |  cadangan: CancelLegalHold cadangan: CreateBackupPlan cadangan: CreateBackupSelection cadangan: CreateBackupVault cadangan: CreateFramework cadangan: CreateLegalHold cadangan: CreateLogicallyAirGappedBackupVault cadangan: CreateReportPlan cadangan: CreateRestoreAccessBackupVault cadangan: CreateRestoreTestingPlan cadangan: CreateRestoreTestingSelection cadangan: CreateTieringConfiguration cadangan: DeleteBackupPlan cadangan: DeleteBackupSelection cadangan: DeleteBackupVault cadangan: DeleteBackupVaultAccessPolicy cadangan: DeleteBackupVaultLockConfiguration cadangan: DeleteBackupVaultNotifications cadangan: DeleteFramework cadangan: DeleteRecoveryPoint cadangan: DeleteReportPlan cadangan: DeleteRestoreTestingPlan cadangan: DeleteRestoreTestingSelection cadangan: DeleteTieringConfiguration cadangan: DescribeBackupJob cadangan: DescribeBackupVault cadangan: DescribeCopyJob cadangan: DescribeFramework cadangan: DescribeGlobalSettings cadangan: DescribeProtectedResource cadangan: DescribeRecoveryPoint cadangan: DescribeRegionSettings cadangan: DescribeReportJob cadangan: DescribeReportPlan cadangan: DescribeRestoreJob cadangan: DescribeScanJob cadangan: DisassociateRecoveryPoint cadangan: DisassociateRecoveryPointFromParent cadangan: ExportBackupPlanTemplate cadangan: GetBackupPlan cadangan: GetBackupPlanFrom JSON cadangan: GetBackupPlanFromTemplate cadangan: GetBackupSelection cadangan: GetBackupVaultAccessPolicy cadangan: GetBackupVaultNotifications cadangan: GetLegalHold cadangan: GetRecoveryPointRestoreMetadata cadangan: GetRestoreJobMetadata cadangan: GetRestoreTestingInferredMetadata cadangan: GetRestoreTestingPlan cadangan: GetRestoreTestingSelection cadangan: GetSupportedResourceTypes cadangan: GetTieringConfiguration cadangan: ListBackupJobSummaries cadangan: ListBackupJobs cadangan: ListBackupPlanTemplates cadangan: ListBackupPlanVersions cadangan: ListBackupPlans cadangan: ListBackupSelections cadangan: ListBackupVaults cadangan: ListCopyJobSummaries cadangan: ListCopyJobs cadangan: ListFrameworks cadangan: ListIndexedRecoveryPoints cadangan: ListLegalHolds cadangan: ListProtectedResources cadangan: ListRecoveryPointsByBackupVault cadangan: ListRecoveryPointsByLegalHold cadangan: ListRecoveryPointsByResource cadangan: ListReportJobs cadangan: ListReportPlans cadangan: ListRestoreAccessBackupVaults cadangan: ListRestoreJobSummaries cadangan: ListRestoreJobs cadangan: ListRestoreJobsByProtectedResource cadangan: ListRestoreTestingPlans cadangan: ListRestoreTestingSelections cadangan: ListScanJobSummaries cadangan: ListScanJobs cadangan: ListTieringConfigurations cadangan: PutBackupVaultAccessPolicy cadangan: PutBackupVaultLockConfiguration cadangan: PutBackupVaultNotifications cadangan: PutRestoreValidationResult cadangan: StartBackupJob cadangan: StartCopyJob cadangan: StartReportJob cadangan: StartRestoreJob cadangan: StopBackupJob cadangan: UpdateBackupPlan cadangan: UpdateFramework cadangan: UpdateGlobalSettings cadangan: UpdateRecoveryPointLifecycle cadangan: UpdateRegionSettings cadangan: UpdateReportPlan cadangan: UpdateRestoreTestingPlan cadangan: UpdateRestoreTestingSelection cadangan: UpdateTieringConfiguration  | 
| batch |  batch: CancelJob batch: CreateComputeEnvironment batch: CreateConsumableResource batch: CreateJobQueue batch: CreateSchedulingPolicy batch: CreateServiceEnvironment batch: DeleteComputeEnvironment batch: DeleteConsumableResource batch: DeleteJobQueue batch: DeleteSchedulingPolicy batch: DeleteServiceEnvironment batch: DeregisterJobDefinition batch: DescribeComputeEnvironments batch: DescribeConsumableResource batch: DescribeJobDefinitions batch: DescribeJobQueues batch: DescribeJobs batch: DescribeSchedulingPolicies batch: DescribeServiceEnvironments batch: DescribeServiceJob batch: GetJobQueueSnapshot batch: ListConsumableResources batch: ListJobs batch: ListJobsByConsumableResource batch: ListSchedulingPolicies batch: ListServiceJobs batch: RegisterJobDefinition batch: SubmitJob batch: SubmitServiceJob batch: TerminateJob batch: TerminateServiceJob batch: UpdateComputeEnvironment batch: UpdateConsumableResource batch: UpdateJobQueue batch: UpdateSchedulingPolicy batch: UpdateServiceEnvironment  | 
| braket |  braket: CancelJob braket: CancelQuantumTask braket: CreateJob braket: CreateQuantumTask braket: CreateSpendingLimit braket: GetDevice braket: GetJob braket: GetQuantumTask braket: SearchDevices braket: SearchJobs braket: SearchQuantumTasks braket: SearchSpendingLimits  | 
| anggaran |  anggaran: CreateBudgetAction anggaran: DeleteBudgetAction anggaran: DescribeBudgetAction anggaran: DescribeBudgetActionHistories anggaran: DescribeBudgetActionsForAccount anggaran: DescribeBudgetActionsForBudget anggaran: ExecuteBudgetAction anggaran: ModifyBudget anggaran: UpdateBudgetAction anggaran: ViewBudget  | 
| awan9 |  awan9: CreateEnvironment EC2 awan9: CreateEnvironmentMembership awan9: DeleteEnvironment awan9: DeleteEnvironmentMembership awan9: DescribeEnvironmentMemberships awan9: DescribeEnvironmentStatus awan9: DescribeEnvironments awan9: ListEnvironments awan9: UpdateEnvironment awan9: UpdateEnvironmentMembership  | 
| pembentukan awan |  pembentukan awan: BatchDescribeTypeConfigurations pembentukan awan: CancelUpdateStack pembentukan awan: ContinueUpdateRollback pembentukan awan: CreateChangeSet pembentukan awan: CreateGeneratedTemplate pembentukan awan: CreateStack pembentukan awan: CreateStackInstances pembentukan awan: CreateStackSet pembentukan awan: DeactivateType pembentukan awan: DeleteChangeSet pembentukan awan: DeleteGeneratedTemplate pembentukan awan: DeleteStack pembentukan awan: DeleteStackInstances pembentukan awan: DeleteStackSet pembentukan awan: DeregisterType pembentukan awan: DescribeAccountLimits pembentukan awan: DescribeChangeSet pembentukan awan: DescribeChangeSetHooks pembentukan awan: DescribeEvents pembentukan awan: DescribeGeneratedTemplate pembentukan awan: DescribeOrganizationsAccess pembentukan awan: DescribePublisher pembentukan awan: DescribeResourceScan pembentukan awan: DescribeStackDriftDetectionStatus pembentukan awan: DescribeStackEvents pembentukan awan: DescribeStackInstance pembentukan awan: DescribeStackResource pembentukan awan: DescribeStackResourceDrifts pembentukan awan: DescribeStackResources pembentukan awan: DescribeStackSet pembentukan awan: DescribeStackSetOperation pembentukan awan: DescribeStacks pembentukan awan: DescribeType pembentukan awan: DescribeTypeRegistration pembentukan awan: DetectStackDrift pembentukan awan: DetectStackResourceDrift pembentukan awan: DetectStackSetDrift pembentukan awan: EstimateTemplateCost pembentukan awan: ExecuteChangeSet pembentukan awan: GetGeneratedTemplate pembentukan awan: GetHookResult pembentukan awan: GetStackPolicy pembentukan awan: GetTemplate pembentukan awan: GetTemplateSummary pembentukan awan: ImportStacksToStackSet pembentukan awan: ListChangeSets pembentukan awan: ListExports pembentukan awan: ListGeneratedTemplates pembentukan awan: ListHookResults pembentukan awan: ListImports pembentukan awan: ListResourceScanRelatedResources pembentukan awan: ListResourceScanResources pembentukan awan: ListResourceScans pembentukan awan: ListStackInstanceResourceDrifts pembentukan awan: ListStackInstances pembentukan awan: ListStackRefactors pembentukan awan: ListStackResources pembentukan awan: ListStackSetAutoDeploymentTargets pembentukan awan: ListStackSetOperationResults pembentukan awan: ListStackSetOperations pembentukan awan: ListStackSets pembentukan awan: ListTypeRegistrations pembentukan awan: ListTypeVersions pembentukan awan: ListTypes pembentukan awan: PublishType pembentukan awan: RecordHandlerProgress pembentukan awan: RegisterPublisher pembentukan awan: RegisterType pembentukan awan: RollbackStack pembentukan awan: SetStackPolicy pembentukan awan: SetTypeConfiguration pembentukan awan: SetTypeDefaultVersion pembentukan awan: SignalResource pembentukan awan: StartResourceScan pembentukan awan: StopStackSetOperation pembentukan awan: TestType pembentukan awan: UpdateGeneratedTemplate pembentukan awan: UpdateStack pembentukan awan: UpdateStackInstances pembentukan awan: UpdateStackSet pembentukan awan: UpdateTerminationProtection pembentukan awan: ValidateTemplate  | 
| cloudfront |  cloudfront: AssociateAlias depan awan: ACL AssociateDistributionTenantWeb depan awan: ACL AssociateDistributionWeb cloudfront: CreateCachePolicy cloudfront: CreateCloudFrontOriginAccessIdentity cloudfront: CreateConnectionFunction cloudfront: CreateContinuousDeploymentPolicy cloudfront: CreateDistributionTenant cloudfront: CreateFieldLevelEncryptionConfig cloudfront: CreateFieldLevelEncryptionProfile cloudfront: CreateFunction cloudfront: CreateInvalidation cloudfront: CreateKeyGroup cloudfront: CreateKeyValueStore cloudfront: CreateMonitoringSubscription cloudfront: CreateOriginAccessControl cloudfront: CreateOriginRequestPolicy cloudfront: CreatePublicKey cloudfront: CreateRealtimeLogConfig cloudfront: CreateResponseHeadersPolicy cloudfront: CreateTrustStore cloudfront: DeleteAnycastIpList cloudfront: DeleteCachePolicy cloudfront: DeleteCloudFrontOriginAccessIdentity cloudfront: DeleteConnectionFunction cloudfront: DeleteConnectionGroup cloudfront: DeleteContinuousDeploymentPolicy cloudfront: DeleteDistribution cloudfront: DeleteDistributionTenant cloudfront: DeleteFieldLevelEncryptionConfig cloudfront: DeleteFieldLevelEncryptionProfile cloudfront: DeleteFunction cloudfront: DeleteKeyGroup cloudfront: DeleteKeyValueStore cloudfront: DeleteMonitoringSubscription cloudfront: DeleteOriginAccessControl cloudfront: DeleteOriginRequestPolicy cloudfront: DeletePublicKey cloudfront: DeleteRealtimeLogConfig cloudfront: DeleteResponseHeadersPolicy cloudfront: DeleteStreamingDistribution cloudfront: DeleteTrustStore cloudfront: DeleteVpcOrigin cloudfront: DescribeFunction cloudfront: DescribeKeyValueStore depan awan: ACL DisassociateDistributionTenantWeb depan awan: ACL DisassociateDistributionWeb cloudfront: GetAnycastIpList cloudfront: GetCachePolicy cloudfront: GetCachePolicyConfig cloudfront: GetCloudFrontOriginAccessIdentity cloudfront: GetCloudFrontOriginAccessIdentityConfig cloudfront: GetContinuousDeploymentPolicy cloudfront: GetContinuousDeploymentPolicyConfig cloudfront: GetDistributionConfig cloudfront: GetFieldLevelEncryption cloudfront: GetFieldLevelEncryptionConfig cloudfront: GetFieldLevelEncryptionProfile cloudfront: GetFieldLevelEncryptionProfileConfig cloudfront: GetFunction cloudfront: GetInvalidation cloudfront: GetInvalidationForDistributionTenant cloudfront: GetKeyGroup cloudfront: GetKeyGroupConfig cloudfront: GetMonitoringSubscription cloudfront: GetOriginAccessControl cloudfront: GetOriginAccessControlConfig cloudfront: GetOriginRequestPolicy cloudfront: GetOriginRequestPolicyConfig cloudfront: GetPublicKey cloudfront: GetPublicKeyConfig cloudfront: GetRealtimeLogConfig cloudfront: GetResponseHeadersPolicy cloudfront: GetResponseHeadersPolicyConfig cloudfront: GetStreamingDistribution cloudfront: GetStreamingDistributionConfig cloudfront: GetVpcOrigin cloudfront: ListAnycastIpLists cloudfront: ListCachePolicies cloudfront: ListCloudFrontOriginAccessIdentities cloudfront: ListConflictingAliases cloudfront: ListConnectionFunctions cloudfront: ListConnectionGroups cloudfront: ListContinuousDeploymentPolicies cloudfront: ListDistributionTenants cloudfront: ListDistributionTenantsByCustomization cloudfront: ListDistributions cloudfront: ListDistributionsByAnycastIpListId cloudfront: ListDistributionsByCachePolicyId cloudfront: ListDistributionsByConnectionMode cloudfront: ListDistributionsByKeyGroup cloudfront: ListDistributionsByOriginRequestPolicyId cloudfront: ListDistributionsByRealtimeLogConfig cloudfront: ListDistributionsByResponseHeadersPolicyId cloudfront: ListDistributionsByVpcOriginId cloudfront: ListDistributionsByWeb ACLId cloudfront: ListFieldLevelEncryptionConfigs cloudfront: ListFieldLevelEncryptionProfiles cloudfront: ListFunctions cloudfront: ListInvalidations cloudfront: ListInvalidationsForDistributionTenant cloudfront: ListKeyGroups cloudfront: ListKeyValueStores cloudfront: ListOriginAccessControls cloudfront: ListOriginRequestPolicies cloudfront: ListPublicKeys cloudfront: ListRealtimeLogConfigs cloudfront: ListResponseHeadersPolicies cloudfront: ListStreamingDistributions cloudfront: ListTrustStores cloudfront: PublishConnectionFunction cloudfront: PublishFunction cloudfront: TestConnectionFunction cloudfront: TestFunction cloudfront: UpdateAnycastIpList cloudfront: UpdateCachePolicy cloudfront: UpdateCloudFrontOriginAccessIdentity cloudfront: UpdateConnectionFunction cloudfront: UpdateConnectionGroup cloudfront: UpdateContinuousDeploymentPolicy cloudfront: UpdateDistribution cloudfront: UpdateDistributionTenant cloudfront: UpdateFieldLevelEncryptionConfig cloudfront: UpdateFieldLevelEncryptionProfile cloudfront: UpdateFunction cloudfront: UpdateKeyGroup cloudfront: UpdateKeyValueStore cloudfront: UpdateOriginAccessControl cloudfront: UpdateOriginRequestPolicy cloudfront: UpdatePublicKey cloudfront: UpdateRealtimeLogConfig cloudfront: UpdateResponseHeadersPolicy cloudfront: UpdateTrustStore  | 
| cloudhsm |  cloudhsm: CreateHsm cloudhsm: DeleteBackup cloudhsm: DeleteHsm cloudhsm: DeleteResourcePolicy cloudhsm: DescribeBackups cloudhsm: DescribeClusters cloudhsm: GetResourcePolicy cloudhsm: InitializeCluster cloudhsm: ModifyBackupAttributes cloudhsm: ModifyCluster cloudhsm: PutResourcePolicy cloudhsm: RestoreBackup  | 
| cloudsearch |  cloudsearch: BuildSuggesters cloudsearch: CreateDomain cloudsearch: DefineAnalysisScheme cloudsearch: DefineExpression cloudsearch: DefineIndexField cloudsearch: DefineSuggester cloudsearch: DeleteAnalysisScheme cloudsearch: DeleteDomain cloudsearch: DeleteExpression cloudsearch: DeleteIndexField cloudsearch: DeleteSuggester cloudsearch: DescribeAnalysisSchemes cloudsearch: DescribeAvailabilityOptions cloudsearch: DescribeDomainEndpointOptions cloudsearch: DescribeDomains cloudsearch: DescribeExpressions cloudsearch: DescribeIndexFields cloudsearch: DescribeScalingParameters cloudsearch: DescribeServiceAccessPolicies cloudsearch: DescribeSuggesters cloudsearch: IndexDocuments cloudsearch: ListDomainNames cloudsearch: UpdateAvailabilityOptions cloudsearch: UpdateDomainEndpointOptions cloudsearch: UpdateScalingParameters cloudsearch: UpdateServiceAccessPolicies  | 
| cloudtrail |  cloudtrail: CancelQuery cloudtrail: CreateChannel cloudtrail: CreateDashboard cloudtrail: CreateEventDataStore cloudtrail: CreateTrail cloudtrail: DeleteChannel cloudtrail: DeleteDashboard cloudtrail: DeleteEventDataStore cloudtrail: DeleteResourcePolicy cloudtrail: DeleteTrail cloudtrail: DeregisterOrganizationDelegatedAdmin cloudtrail: DescribeQuery cloudtrail: DescribeTrails cloudtrail: DisableFederation cloudtrail: GenerateQuery cloudtrail: GetChannel cloudtrail: GetDashboard cloudtrail: GetEventConfiguration cloudtrail: GetEventDataStore cloudtrail: GetEventDataStoreData cloudtrail: GetEventSelectors cloudtrail: GetImport cloudtrail: GetInsightSelectors cloudtrail: GetResourcePolicy cloudtrail: GetTrail cloudtrail: GetTrailStatus cloudtrail: ListChannels cloudtrail: ListDashboards cloudtrail: ListEventDataStores cloudtrail: ListImportFailures cloudtrail: ListImports cloudtrail: ListInsightsData cloudtrail: ListPublicKeys cloudtrail: ListQueries cloudtrail: ListTrails cloudtrail: LookupEvents cloudtrail: PutEventConfiguration cloudtrail: PutEventSelectors cloudtrail: PutInsightSelectors cloudtrail: PutResourcePolicy cloudtrail: RegisterOrganizationDelegatedAdmin cloudtrail: RestoreEventDataStore cloudtrail: SearchSampleQueries cloudtrail: StartEventDataStoreIngestion cloudtrail: StartImport cloudtrail: StartLogging cloudtrail: StartQuery cloudtrail: StopEventDataStoreIngestion cloudtrail: StopImport cloudtrail: StopLogging cloudtrail: UpdateChannel cloudtrail: UpdateDashboard cloudtrail: UpdateEventDataStore cloudtrail: UpdateTrail  | 
| cloudwatch |  jam tangan awan: DeleteAlarms jam tangan awan: DeleteAnomalyDetector jam tangan awan: DeleteDashboards jam tangan awan: DeleteInsightRules jam tangan awan: DeleteMetricStream jam tangan awan: DescribeAlarmHistory jam tangan awan: DescribeAlarms jam tangan awan: DescribeAlarmsForMetric jam tangan awan: DescribeAnomalyDetectors jam tangan awan: DescribeInsightRules jam tangan awan: DisableAlarmActions jam tangan awan: DisableInsightRules jam tangan awan: EnableAlarmActions jam tangan awan: EnableInsightRules jam tangan awan: GetDashboard jam tangan awan: GetInsightRuleReport jam tangan awan: GetMetricStatistics jam tangan awan: GetMetricStream jam tangan awan: ListDashboards jam tangan awan: ListManagedInsightRules jam tangan awan: ListMetricStreams jam tangan awan: PutAnomalyDetector jam tangan awan: PutCompositeAlarm jam tangan awan: PutDashboard jam tangan awan: PutInsightRule jam tangan awan: PutManagedInsightRules jam tangan awan: PutMetricAlarm jam tangan awan: PutMetricStream jam tangan awan: SetAlarmState jam tangan awan: StartMetricStreams jam tangan awan: StopMetricStreams  | 
| kodeartefak |  codeartefak: AssociateExternalConnection codeartefak: CopyPackageVersions codeartefak: CreateDomain codeartefak: CreateRepository codeartefak: DeleteDomain codeartefak: DeleteDomainPermissionsPolicy codeartefak: DeletePackage codeartefak: DeletePackageVersions codeartefak: DeleteRepository codeartefak: DeleteRepositoryPermissionsPolicy codeartefak: DescribeDomain codeartefak: DescribePackage codeartefak: DescribePackageVersion codeartefak: DescribeRepository codeartefak: DisassociateExternalConnection codeartefak: DisposePackageVersions codeartefak: GetAssociatedPackageGroup codeartefak: GetAuthorizationToken codeartefak: GetDomainPermissionsPolicy codeartefak: GetPackageVersionAsset codeartefak: GetPackageVersionReadme codeartefak: GetRepositoryEndpoint codeartefak: GetRepositoryPermissionsPolicy codeartefak: ListDomains codeartefak: ListPackageGroups codeartefak: ListPackageVersionAssets codeartefak: ListPackageVersionDependencies codeartefak: ListPackageVersions codeartefak: ListPackages codeartefak: ListRepositories codeartefak: ListRepositoriesInDomain codeartefak: PublishPackageVersion codeartefak: PutDomainPermissionsPolicy codeartefak: PutPackageMetadata codeartefak: PutPackageOriginConfiguration codeartefak: PutRepositoryPermissionsPolicy codeartefak: ReadFromRepository codeartefak: UpdatePackageVersionsStatus codeartefak: UpdateRepository  | 
| penyebaran kode |  penyebaran kode: BatchGetApplicationRevisions penyebaran kode: BatchGetApplications penyebaran kode: BatchGetDeploymentGroups penyebaran kode: BatchGetDeploymentInstances penyebaran kode: BatchGetDeploymentTargets penyebaran kode: BatchGetDeployments penyebaran kode: BatchGetOnPremisesInstances penyebaran kode: ContinueDeployment penyebaran kode: CreateApplication penyebaran kode: CreateDeployment penyebaran kode: CreateDeploymentConfig penyebaran kode: CreateDeploymentGroup penyebaran kode: DeleteApplication penyebaran kode: DeleteDeploymentConfig penyebaran kode: DeleteDeploymentGroup penyebaran kode: DeleteGitHubAccountToken penyebaran kode: DeleteResourcesByExternalId penyebaran kode: DeregisterOnPremisesInstance penyebaran kode: GetApplication penyebaran kode: GetApplicationRevision penyebaran kode: GetDeployment penyebaran kode: GetDeploymentConfig penyebaran kode: GetDeploymentGroup penyebaran kode: GetDeploymentInstance penyebaran kode: GetDeploymentTarget penyebaran kode: GetOnPremisesInstance penyebaran kode: ListApplicationRevisions penyebaran kode: ListApplications penyebaran kode: ListDeploymentConfigs penyebaran kode: ListDeploymentGroups penyebaran kode: ListDeploymentInstances penyebaran kode: ListDeploymentTargets penyebaran kode: ListDeployments penyebaran kode: ListGitHubAccountTokenNames penyebaran kode: ListOnPremisesInstances penyebaran kode: PutLifecycleEventHookExecutionStatus penyebaran kode: RegisterApplicationRevision penyebaran kode: RegisterOnPremisesInstance penyebaran kode: SkipWaitTimeForInstanceTermination penyebaran kode: StopDeployment penyebaran kode: UpdateApplication penyebaran kode: UpdateDeploymentGroup  | 
| codeguru-profiler |  codeguru-profiler: AddNotificationChannels codeguru-profiler: BatchGetFrameMetricData codeguru-profiler: CreateProfilingGroup codeguru-profiler: DeleteProfilingGroup codeguru-profiler: DescribeProfilingGroup codeguru-profiler: GetFindingsReportAccountSummary codeguru-profiler: GetNotificationConfiguration codeguru-profiler: GetPolicy codeguru-profiler: GetProfile codeguru-profiler: GetRecommendations codeguru-profiler: ListFindingsReports codeguru-profiler: ListProfileTimes codeguru-profiler: ListProfilingGroups codeguru-profiler: PutPermission codeguru-profiler: RemoveNotificationChannel codeguru-profiler: RemovePermission codeguru-profiler: SubmitFeedback codeguru-profiler: UpdateProfilingGroup  | 
| pengulas codeguru |  pengulas codeguru: AssociateRepository pengulas codeguru: CreateCodeReview pengulas codeguru: DescribeCodeReview pengulas codeguru: DescribeRecommendationFeedback pengulas codeguru: DescribeRepositoryAssociation pengulas codeguru: DisassociateRepository pengulas codeguru: ListCodeReviews pengulas codeguru: ListRecommendationFeedback pengulas codeguru: ListRecommendations pengulas codeguru: ListRepositoryAssociations pengulas codeguru: PutRecommendationFeedback  | 
| codepipeline |  codepipeline: AcknowledgeJob codepipeline: AcknowledgeThirdPartyJob codepipeline: CreateCustomActionType codepipeline: CreatePipeline codepipeline: DeleteCustomActionType codepipeline: DeletePipeline codepipeline: DeleteWebhook codepipeline: DeregisterWebhookWithThirdParty codepipeline: GetActionType codepipeline: GetJobDetails codepipeline: GetPipeline codepipeline: GetPipelineExecution codepipeline: GetPipelineState codepipeline: GetThirdPartyJobDetails codepipeline: ListActionExecutions codepipeline: ListActionTypes codepipeline: ListPipelineExecutions codepipeline: ListPipelines codepipeline: ListRuleExecutions codepipeline: ListRuleTypes codepipeline: ListWebhooks codepipeline: OverrideStageCondition codepipeline: PollForJobs codepipeline: PollForThirdPartyJobs codepipeline: PutActionRevision codepipeline: PutApprovalResult codepipeline: PutJobFailureResult codepipeline: PutJobSuccessResult codepipeline: PutThirdPartyJobFailureResult codepipeline: PutThirdPartyJobSuccessResult codepipeline: PutWebhook codepipeline: RegisterWebhookWithThirdParty codepipeline: RollbackStage codepipeline: StartPipelineExecution codepipeline: StopPipelineExecution codepipeline: UpdateActionType codepipeline: UpdatePipeline  | 
| bintang kode |  bintang kode: AssociateTeamMember bintang kode: CreateProject bintang kode: CreateUserProfile bintang kode: DeleteProject bintang kode: DeleteUserProfile bintang kode: DescribeProject bintang kode: DescribeUserProfile bintang kode: DisassociateTeamMember bintang kode: ListProjects bintang kode: ListResources bintang kode: ListTeamMembers bintang kode: ListUserProfiles bintang kode: UpdateProject bintang kode: UpdateTeamMember bintang kode: UpdateUserProfile  | 
| pemberitahuan bintang kode |  pemberitahuan bintang kode: CreateNotificationRule pemberitahuan bintang kode: DeleteNotificationRule pemberitahuan bintang kode: DeleteTarget pemberitahuan bintang kode: DescribeNotificationRule pemberitahuan bintang kode: ListEventTypes pemberitahuan bintang kode: ListNotificationRules pemberitahuan bintang kode: ListTargets Codestar-notifikasi:Berlangganan Codestar-notifications:berhenti berlangganan pemberitahuan bintang kode: UpdateNotificationRule  | 
| kognito-identitas |  kognito-identitas: CreateIdentityPool kognito-identitas: DeleteIdentities kognito-identitas: DeleteIdentityPool kognito-identitas: DescribeIdentity kognito-identitas: DescribeIdentityPool kognito-identitas: GetIdentityPoolRoles kognito-identitas: ListIdentities kognito-identitas: ListIdentityPools kognito-identitas: LookupDeveloperIdentity kognito-identitas: MergeDeveloperIdentities kognito-identitas: SetIdentityPoolRoles kognito-identitas: UnlinkDeveloperIdentity kognito-identitas: UpdateIdentityPool  | 
| cognito-idp |  cognito-idp: AddCustomAttributes cognito-idp: AdminAddUserToGroup cognito-idp: AdminConfirmSignUp cognito-idp: AdminCreateUser cognito-idp: AdminDeleteUser cognito-idp: AdminDeleteUserAttributes cognito-idp: AdminDisableProviderForUser cognito-idp: AdminDisableUser cognito-idp: AdminEnableUser cognito-idp: AdminForgetDevice cognito-idp: AdminGetDevice cognito-idp: AdminGetUser cognito-idp: AdminInitiateAuth cognito-idp: AdminLinkProviderForUser cognito-idp: AdminListDevices cognito-idp: AdminListGroupsForUser cognito-idp: AdminListUserAuthEvents cognito-idp: AdminRemoveUserFromGroup cognito-idp: AdminResetUserPassword cognito-idp: AdminRespondToAuthChallenge cognito-idp: AdminSetUser MFAPreference cognito-idp: AdminSetUserPassword cognito-idp: AdminSetUserSettings cognito-idp: AdminUpdateAuthEventFeedback cognito-idp: AdminUpdateDeviceStatus cognito-idp: AdminUpdateUserAttributes cognito-idp: AdminUserGlobalSignOut cognito-idp: AssociateSoftwareToken cognito-idp: ChangePassword cognito-idp: ConfirmDevice cognito-idp: ConfirmForgotPassword cognito-idp: ConfirmSignUp cognito-idp: CreateGroup cognito-idp: CreateIdentityProvider cognito-idp: CreateManagedLoginBranding cognito-idp: CreateResourceServer cognito-idp: CreateTerms cognito-idp: CreateUserImportJob cognito-idp: CreateUserPool cognito-idp: CreateUserPoolClient cognito-idp: CreateUserPoolDomain cognito-idp: DeleteGroup cognito-idp: DeleteIdentityProvider cognito-idp: DeleteManagedLoginBranding cognito-idp: DeleteResourceServer cognito-idp: DeleteTerms cognito-idp: DeleteUser cognito-idp: DeleteUserAttributes cognito-idp: DeleteUserPool cognito-idp: DeleteUserPoolClient cognito-idp: DeleteUserPoolDomain cognito-idp: DescribeIdentityProvider cognito-idp: DescribeManagedLoginBranding cognito-idp: DescribeManagedLoginBrandingByClient cognito-idp: DescribeResourceServer cognito-idp: DescribeRiskConfiguration cognito-idp: DescribeTerms cognito-idp: DescribeUserImportJob cognito-idp: DescribeUserPool cognito-idp: DescribeUserPoolClient cognito-idp: DescribeUserPoolDomain cognito-idp: ForgetDevice cognito-idp: ForgotPassword Cognito-IDP:Dapatkan CSVHeader cognito-idp: GetDevice cognito-idp: GetGroup cognito-idp: GetIdentityProviderByIdentifier cognito-idp: GetLogDeliveryConfiguration cognito-idp: GetSigningCertificate Cognito-IDP:Dapatkan UICustomization cognito-idp: GetUser cognito-idp: GetUserAttributeVerificationCode cognito-idp: GetUserPoolMfaConfig cognito-idp: GlobalSignOut cognito-idp: InitiateAuth cognito-idp: ListDevices cognito-idp: ListGroups cognito-idp: ListIdentityProviders cognito-idp: ListResourceServers cognito-idp: ListTerms cognito-idp: ListUserImportJobs cognito-idp: ListUserPoolClients cognito-idp: ListUserPools cognito-idp: ListUsers cognito-idp: ListUsersInGroup cognito-idp: ResendConfirmationCode cognito-idp: RespondToAuthChallenge cognito-idp: RevokeToken cognito-idp: SetLogDeliveryConfiguration cognito-idp: SetRiskConfiguration Cognito-IDP:Set UICustomization cognito-idp: SetUser MFAPreference cognito-idp: SetUserPoolMfaConfig cognito-idp: SetUserSettings cognito-idp: SignUp cognito-idp: StartUserImportJob cognito-idp: StopUserImportJob cognito-idp: UpdateAuthEventFeedback cognito-idp: UpdateDeviceStatus cognito-idp: UpdateGroup cognito-idp: UpdateIdentityProvider cognito-idp: UpdateResourceServer cognito-idp: UpdateTerms cognito-idp: UpdateUserAttributes cognito-idp: UpdateUserPool cognito-idp: UpdateUserPoolClient cognito-idp: UpdateUserPoolDomain cognito-idp: VerifySoftwareToken cognito-idp: VerifyUserAttribute  | 
| sinkronisasi kognito |  sinkronisasi kognito: BulkPublish sinkronisasi kognito: DeleteDataset sinkronisasi kognito: DescribeDataset sinkronisasi kognito: DescribeIdentityPoolUsage sinkronisasi kognito: DescribeIdentityUsage sinkronisasi kognito: GetBulkPublishDetails sinkronisasi kognito: GetCognitoEvents sinkronisasi kognito: GetIdentityPoolConfiguration sinkronisasi kognito: ListDatasets sinkronisasi kognito: ListIdentityPoolUsage sinkronisasi kognito: ListRecords sinkronisasi kognito: RegisterDevice sinkronisasi kognito: SetCognitoEvents sinkronisasi kognito: SetIdentityPoolConfiguration sinkronisasi kognito: SubscribeToDataset sinkronisasi kognito: UnsubscribeFromDataset sinkronisasi kognito: UpdateRecords  | 
| memahami-medis |  memahami medis: V2Job DescribeEntitiesDetection ICD10CMInferenceComprehendMedical:Deskripsikan Job PHIDetectionComprehendMedical:Deskripsikan Job memahami medis: DescribeRxNormInferenceJob SNOMEDCTInferenceComprehendMedical:Deskripsikan Job memahami medis: V2 DetectEntities ComprehendMedical: DetectPHI MemahamkanMedis: Menyimpulkan CM ICD10 memahami medis: InferRxNorm ComprehendMedical: InfersnomeDCT memahami medis: V2Jobs ListEntitiesDetection ICD10CMInferenceComprehendMedical:Daftar Pekerjaan PHIDetectionComprehendMedical:Daftar Pekerjaan memahami medis: ListRxNormInferenceJobs SNOMEDCTInferenceComprehendMedical:Daftar Pekerjaan memahami medis: V2Job StartEntitiesDetection ICD10CMInferenceComprehendMedical:Start Job PHIDetectionComprehendMedical:Start Job memahami medis: StartRxNormInferenceJob SNOMEDCTInferenceComprehendMedical:Start Job memahami medis: V2Job StopEntitiesDetection ICD10CMInferenceComprehendMedical:Stop Job PHIDetectionComprehendMedical:Stop Job memahami medis: StopRxNormInferenceJob SNOMEDCTInferenceComprehendMedical:Stop Job  | 
| pengoptimal komputasi |  pengoptimal komputasi: DeleteRecommendationPreferences pengoptimal komputasi: DescribeRecommendationExportJobs pengoptimal komputasi: ExportAutoScalingGroupRecommendations Pengoptimal komputasiEBSVolume: Rekomendasi Ekspor Pengoptimal komputasi: Ekspor EC2 InstanceRecommendations Pengoptimal komputasiECSService: Rekomendasi Ekspor pengoptimal komputasi: ExportIdleRecommendations pengoptimal komputasi: ExportLambdaFunctionRecommendations pengoptimal komputasi: ExportLicenseRecommendations Pengoptimal komputasiRDSDatabase: Rekomendasi Ekspor Pengoptimal komputasi: Dapatkan EC2 RecommendationProjectedMetrics Pengoptimal komputasi: Dapatkan ECSService RecommendationProjectedMetrics pengoptimal komputasi: GetEffectiveRecommendationPreferences pengoptimal komputasi: GetEnrollmentStatus pengoptimal komputasi: GetEnrollmentStatusesForOrganization Pengoptimal komputasi: Dapatkan RDSDatabase RecommendationProjectedMetrics pengoptimal komputasi: GetRecommendationPreferences pengoptimal komputasi: GetRecommendationSummaries pengoptimal komputasi: PutRecommendationPreferences pengoptimal komputasi: UpdateEnrollmentStatus  | 
| config |  konfigurasi: BatchGetResourceConfig konfigurasi: DeleteAggregationAuthorization konfigurasi: DeleteConfigRule konfigurasi: DeleteConfigurationAggregator konfigurasi: DeleteConfigurationRecorder konfigurasi: DeleteConformancePack konfigurasi: DeleteDeliveryChannel konfigurasi: DeleteEvaluationResults konfigurasi: DeleteOrganizationConfigRule konfigurasi: DeleteOrganizationConformancePack konfigurasi: DeletePendingAggregationRequest konfigurasi: DeleteRemediationConfiguration konfigurasi: DeleteRemediationExceptions konfigurasi: DeleteResourceConfig konfigurasi: DeleteRetentionConfiguration konfigurasi: DeleteStoredQuery konfigurasi: DeliverConfigSnapshot konfigurasi: DescribeAggregateComplianceByConfigRules konfigurasi: DescribeAggregateComplianceByConformancePacks konfigurasi: DescribeAggregationAuthorizations konfigurasi: DescribeComplianceByConfigRule konfigurasi: DescribeComplianceByResource konfigurasi: DescribeConfigRuleEvaluationStatus konfigurasi: DescribeConfigRules konfigurasi: DescribeConfigurationAggregatorSourcesStatus konfigurasi: DescribeConfigurationAggregators konfigurasi: DescribeConfigurationRecorderStatus konfigurasi: DescribeConfigurationRecorders konfigurasi: DescribeConformancePackCompliance konfigurasi: DescribeConformancePackStatus konfigurasi: DescribeConformancePacks konfigurasi: DescribeDeliveryChannelStatus konfigurasi: DescribeDeliveryChannels konfigurasi: DescribeOrganizationConfigRuleStatuses konfigurasi: DescribeOrganizationConfigRules konfigurasi: DescribeOrganizationConformancePackStatuses konfigurasi: DescribeOrganizationConformancePacks konfigurasi: DescribePendingAggregationRequests konfigurasi: DescribeRemediationConfigurations konfigurasi: DescribeRemediationExceptions konfigurasi: DescribeRemediationExecutionStatus konfigurasi: DescribeRetentionConfigurations konfigurasi: GetComplianceDetailsByConfigRule konfigurasi: GetComplianceDetailsByResource konfigurasi: GetComplianceSummaryByConfigRule konfigurasi: GetComplianceSummaryByResourceType konfigurasi: GetConformancePackComplianceDetails konfigurasi: GetConformancePackComplianceSummary konfigurasi: GetCustomRulePolicy konfigurasi: GetDiscoveredResourceCounts konfigurasi: GetOrganizationConfigRuleDetailedStatus konfigurasi: GetOrganizationConformancePackDetailedStatus konfigurasi: GetOrganizationCustomRulePolicy konfigurasi: GetResourceConfigHistory konfigurasi: GetResourceEvaluationSummary konfigurasi: GetStoredQuery konfigurasi: ListConfigurationRecorders konfigurasi: ListConformancePackComplianceScores konfigurasi: ListDiscoveredResources konfigurasi: ListResourceEvaluations konfigurasi: ListStoredQueries konfigurasi: PutConfigRule konfigurasi: PutConfigurationAggregator konfigurasi: PutConfigurationRecorder konfigurasi: PutConformancePack konfigurasi: PutDeliveryChannel konfigurasi: PutEvaluations konfigurasi: PutExternalEvaluation konfigurasi: PutOrganizationConfigRule konfigurasi: PutOrganizationConformancePack konfigurasi: PutRemediationConfigurations konfigurasi: PutRemediationExceptions konfigurasi: PutResourceConfig konfigurasi: PutRetentionConfiguration konfigurasi: PutStoredQuery konfigurasi: SelectResourceConfig konfigurasi: StartConfigRulesEvaluation konfigurasi: StartConfigurationRecorder konfigurasi: StartRemediationExecution konfigurasi: StartResourceEvaluation konfigurasi: StopConfigurationRecorder  | 
| hubungkan |  menghubungkan: ActivateEvaluationForm menghubungkan: AssociateAnalyticsDataSet menghubungkan: AssociateApprovedOrigin menghubungkan: AssociateBot menghubungkan: AssociateContactWithUser menghubungkan: AssociateDefaultVocabulary menghubungkan: AssociateEmailAddressAlias menghubungkan: AssociateFlow menghubungkan: AssociateInstanceStorageConfig menghubungkan: AssociateLambdaFunction menghubungkan: AssociateLexBot menghubungkan: AssociatePhoneNumberContactFlow menghubungkan: AssociateQueueQuickConnects menghubungkan: AssociateRoutingProfileQueues menghubungkan: AssociateSecurityKey menghubungkan: AssociateUserProficiencies menghubungkan: BatchAssociateAnalyticsDataSet menghubungkan: BatchCreateDataTableValue menghubungkan: BatchDeleteDataTableValue menghubungkan: BatchDescribeDataTableValue menghubungkan: BatchDisassociateAnalyticsDataSet menghubungkan: BatchGetFlowAssociation menghubungkan: BatchPutContact menghubungkan: BatchUpdateDataTableValue menghubungkan: ClaimPhoneNumber menghubungkan: CreateAgentStatus menghubungkan: CreateContact menghubungkan: CreateContactFlow menghubungkan: CreateContactFlowModule menghubungkan: CreateContactFlowModuleAlias menghubungkan: CreateContactFlowModuleVersion menghubungkan: CreateContactFlowVersion menghubungkan: CreateDataTable menghubungkan: CreateDataTableAttribute menghubungkan: CreateEmailAddress menghubungkan: CreateEvaluationForm menghubungkan: CreateHoursOfOperation menghubungkan: CreateInstance menghubungkan: CreateIntegrationAssociation menghubungkan: CreateParticipant menghubungkan: CreatePersistentContactAssociation menghubungkan: CreatePredefinedAttribute menghubungkan: CreatePrompt menghubungkan: CreatePushNotificationRegistration menghubungkan: CreateQueue menghubungkan: CreateQuickConnect menghubungkan: CreateRoutingProfile menghubungkan: CreateRule menghubungkan: CreateSecurityProfile menghubungkan: CreateTaskTemplate menghubungkan: CreateTrafficDistributionGroup menghubungkan: CreateUseCase menghubungkan: CreateUser menghubungkan: CreateUserHierarchyGroup menghubungkan: CreateView menghubungkan: CreateViewVersion menghubungkan: CreateVocabulary menghubungkan: CreateWorkspace menghubungkan: DeactivateEvaluationForm menghubungkan: DeleteContactEvaluation menghubungkan: DeleteContactFlow menghubungkan: DeleteContactFlowModule menghubungkan: DeleteContactFlowModuleAlias menghubungkan: DeleteContactFlowModuleVersion menghubungkan: DeleteContactFlowVersion menghubungkan: DeleteDataTable menghubungkan: DeleteDataTableAttribute menghubungkan: DeleteEmailAddress menghubungkan: DeleteEvaluationForm menghubungkan: DeleteHoursOfOperation menghubungkan: DeleteHoursOfOperationOverride menghubungkan: DeleteInstance menghubungkan: DeleteIntegrationAssociation menghubungkan: DeletePredefinedAttribute menghubungkan: DeletePrompt menghubungkan: DeletePushNotificationRegistration menghubungkan: DeleteQueue menghubungkan: DeleteQuickConnect menghubungkan: DeleteRoutingProfile menghubungkan: DeleteRule menghubungkan: DeleteSecurityProfile menghubungkan: DeleteTaskTemplate menghubungkan: DeleteTrafficDistributionGroup menghubungkan: DeleteUseCase menghubungkan: DeleteUser menghubungkan: DeleteUserHierarchyGroup menghubungkan: DeleteView menghubungkan: DeleteVocabulary menghubungkan: DeleteWorkspace menghubungkan: DeleteWorkspaceMedia menghubungkan: DescribeAuthenticationProfile menghubungkan: DescribeContactFlowModuleAlias menghubungkan: DescribeDataTableAttribute menghubungkan: DescribeHoursOfOperationOverride menghubungkan: DescribeInstanceAttribute menghubungkan: DescribeInstanceStorageConfig menghubungkan: DescribePhoneNumber menghubungkan: DescribeRule menghubungkan: DescribeTrafficDistributionGroup menghubungkan: DescribeUserHierarchyStructure menghubungkan: DescribeVocabulary menghubungkan: DisassociateAnalyticsDataSet menghubungkan: DisassociateApprovedOrigin menghubungkan: DisassociateBot menghubungkan: DisassociateEmailAddressAlias menghubungkan: DisassociateFlow menghubungkan: DisassociateInstanceStorageConfig menghubungkan: DisassociateLambdaFunction menghubungkan: DisassociateLexBot menghubungkan: DisassociatePhoneNumberContactFlow menghubungkan: DisassociateQueueQuickConnects menghubungkan: DisassociateRoutingProfileQueues menghubungkan: DisassociateSecurityKey menghubungkan: DisassociateUserProficiencies menghubungkan: DismissUserContact menghubungkan: EvaluateDataTableValues menghubungkan: GetContactAttributes menghubungkan: GetContactMetrics menghubungkan: GetCurrentMetricData menghubungkan: GetCurrentUserData menghubungkan: GetEffectiveHoursOfOperations menghubungkan: GetFederationToken menghubungkan: GetFlowAssociation menghubungkan: GetMetricData menghubungkan: GetMetricData V2 menghubungkan: GetPromptFile menghubungkan: GetTaskTemplate menghubungkan: GetTrafficDistribution menghubungkan: ImportPhoneNumber menghubungkan: ImportWorkspaceMedia menghubungkan: ListAnalyticsDataAssociations menghubungkan: ListAnalyticsDataLakeDataSets menghubungkan: ListApprovedOrigins menghubungkan: ListAssociatedContacts menghubungkan: ListAuthenticationProfiles menghubungkan: ListBots menghubungkan: ListContactEvaluations menghubungkan: ListContactFlowModuleAliases menghubungkan: ListContactFlowModuleVersions menghubungkan: ListContactFlowModules menghubungkan: ListContactFlowVersions menghubungkan: ListContactFlows menghubungkan: ListContactReferences menghubungkan: ListDataTableAttributes menghubungkan: ListDataTablePrimaryValues menghubungkan: ListDataTableValues menghubungkan: ListDataTables menghubungkan: ListDefaultVocabularies menghubungkan: ListEvaluationFormVersions menghubungkan: ListEvaluationForms menghubungkan: ListFlowAssociations menghubungkan: ListHoursOfOperations menghubungkan: ListInstanceAttributes menghubungkan: ListInstanceStorageConfigs menghubungkan: ListIntegrationAssociations menghubungkan: ListLambdaFunctions menghubungkan: ListLexBots menghubungkan: ListPhoneNumbers menghubungkan: ListPhoneNumbers V2 menghubungkan: ListPredefinedAttributes menghubungkan: ListPrompts menghubungkan: ListQueueQuickConnects menghubungkan: ListQueues menghubungkan: ListQuickConnects menghubungkan: ListRealtimeContactAnalysisSegments V2 menghubungkan: ListRoutingProfileManualAssignmentQueues menghubungkan: ListRoutingProfileQueues menghubungkan: ListRoutingProfiles menghubungkan: ListRules menghubungkan: ListSecurityKeys menghubungkan: ListSecurityProfileApplications menghubungkan: ListSecurityProfileFlowModules menghubungkan: ListSecurityProfilePermissions menghubungkan: ListSecurityProfiles menghubungkan: ListTaskTemplates menghubungkan: ListTrafficDistributionGroups menghubungkan: ListUseCases menghubungkan: ListUserHierarchyGroups menghubungkan: ListUsers menghubungkan: ListViewVersions menghubungkan: ListViews menghubungkan: ListWorkspaceMedia menghubungkan: ListWorkspacePages menghubungkan: ListWorkspaces menghubungkan: MonitorContact menghubungkan: PauseContact menghubungkan: PutUserStatus menghubungkan: ReleasePhoneNumber menghubungkan: ReplicateInstance menghubungkan: ResumeContact menghubungkan: ResumeContactRecording menghubungkan: SearchAgentStatuses menghubungkan: SearchAvailablePhoneNumbers menghubungkan: SearchContactEvaluations menghubungkan: SearchContactFlowModules menghubungkan: SearchContactFlows menghubungkan: SearchContacts menghubungkan: SearchDataTables menghubungkan: SearchEmailAddresses menghubungkan: SearchEvaluationForms menghubungkan: SearchHoursOfOperations menghubungkan: SearchPredefinedAttributes menghubungkan: SearchPrompts menghubungkan: SearchQueues menghubungkan: SearchQuickConnects menghubungkan: SearchRoutingProfiles menghubungkan: SearchSecurityProfiles menghubungkan: SearchUserHierarchyGroups menghubungkan: SearchViews menghubungkan: SearchVocabularies menghubungkan: SearchWorkspaceAssociations menghubungkan: SearchWorkspaces menghubungkan: SendChatIntegrationEvent menghubungkan: SendOutboundEmail menghubungkan: StartChatContact menghubungkan: StartContactEvaluation menghubungkan: StartContactMediaProcessing menghubungkan: StartContactRecording menghubungkan: StartContactStreaming menghubungkan: StartEmailContact menghubungkan: StartOutboundChatContact menghubungkan: StartOutboundEmailContact menghubungkan: StartOutboundVoiceContact menghubungkan: StartScreenSharing menghubungkan: StartTaskContact menghubungkan: StartWeb RTCContact menghubungkan: StopContact menghubungkan: StopContactMediaProcessing menghubungkan: StopContactRecording menghubungkan: StopContactStreaming menghubungkan: SubmitContactEvaluation menghubungkan: SuspendContactRecording menghubungkan: TransferContact menghubungkan: UpdateAgentStatus menghubungkan: UpdateAuthenticationProfile menghubungkan: UpdateContact menghubungkan: UpdateContactAttributes menghubungkan: UpdateContactEvaluation menghubungkan: UpdateContactFlowContent menghubungkan: UpdateContactFlowMetadata menghubungkan: UpdateContactFlowModuleAlias menghubungkan: UpdateContactFlowModuleContent menghubungkan: UpdateContactFlowModuleMetadata menghubungkan: UpdateContactFlowName menghubungkan: UpdateContactRoutingData menghubungkan: UpdateContactSchedule menghubungkan: UpdateDataTableAttribute menghubungkan: UpdateDataTableMetadata menghubungkan: UpdateDataTablePrimaryValues menghubungkan: UpdateEmailAddressMetadata menghubungkan: UpdateEvaluationForm menghubungkan: UpdateHoursOfOperation menghubungkan: UpdateHoursOfOperationOverride menghubungkan: UpdateInstanceAttribute menghubungkan: UpdateInstanceStorageConfig menghubungkan: UpdateParticipantAuthentication menghubungkan: UpdateParticipantRoleConfig menghubungkan: UpdatePhoneNumber menghubungkan: UpdatePhoneNumberMetadata menghubungkan: UpdatePredefinedAttribute menghubungkan: UpdatePrompt menghubungkan: UpdateQueueHoursOfOperation menghubungkan: UpdateQueueMaxContacts menghubungkan: UpdateQueueName menghubungkan: UpdateQueueOutboundCallerConfig menghubungkan: UpdateQueueOutboundEmailConfig menghubungkan: UpdateQueueStatus menghubungkan: UpdateQuickConnectConfig menghubungkan: UpdateQuickConnectName menghubungkan: UpdateRoutingProfileAgentAvailabilityTimer menghubungkan: UpdateRoutingProfileConcurrency menghubungkan: UpdateRoutingProfileDefaultOutboundQueue menghubungkan: UpdateRoutingProfileName menghubungkan: UpdateRoutingProfileQueues menghubungkan: UpdateRule menghubungkan: UpdateSecurityProfile menghubungkan: UpdateTaskTemplate menghubungkan: UpdateTrafficDistribution menghubungkan: UpdateUserHierarchy menghubungkan: UpdateUserHierarchyGroupName menghubungkan: UpdateUserHierarchyStructure menghubungkan: UpdateUserIdentityInfo menghubungkan: UpdateUserPhoneConfig menghubungkan: UpdateUserProficiencies menghubungkan: UpdateUserRoutingProfile menghubungkan: UpdateUserSecurityProfiles menghubungkan: UpdateViewContent menghubungkan: UpdateViewMetadata menghubungkan: UpdateWorkspaceMetadata menghubungkan: UpdateWorkspaceTheme menghubungkan: UpdateWorkspaceVisibility  | 
| cur |  kelebar: DeleteReportDefinition kelebar: DescribeReportDefinitions kelebar: ModifyReportDefinition kelebar: PutReportDefinition  | 
| databrew |  Databrew: BatchDeleteRecipeVersion Databrew: CreateDataset Databrew: CreateProfileJob Databrew: CreateProject Databrew: CreateRecipe Databrew: CreateRecipeJob Databrew: CreateRuleset Databrew: CreateSchedule Databrew: DeleteDataset Databrew: DeleteJob Databrew: DeleteProject Databrew: DeleteRecipeVersion Databrew: DeleteRuleset Databrew: DeleteSchedule Databrew: DescribeDataset Databrew: DescribeJob Databrew: DescribeJobRun Databrew: DescribeProject Databrew: DescribeRecipe Databrew: DescribeRuleset Databrew: DescribeSchedule Databrew: ListDatasets Databrew: ListJobRuns Databrew: ListJobs Databrew: ListProjects Databrew: ListRecipeVersions Databrew: ListRecipes Databrew: ListRulesets Databrew: ListSchedules Databrew: PublishRecipe Databrew: SendProjectSessionAction Databrew: StartJobRun Databrew: StartProjectSession Databrew: StopJobRun Databrew: UpdateDataset Databrew: UpdateProfileJob Databrew: UpdateProject Databrew: UpdateRecipe Databrew: UpdateRecipeJob Databrew: UpdateRuleset Databrew: UpdateSchedule  | 
| pertukaran data |  pertukaran data: AcceptDataGrant pertukaran data: CancelJob pertukaran data: CreateDataGrant pertukaran data: CreateDataSet pertukaran data: CreateEventAction pertukaran data: CreateJob pertukaran data: CreateRevision pertukaran data: DeleteAsset pertukaran data: DeleteDataGrant pertukaran data: DeleteEventAction pertukaran data: DeleteRevision pertukaran data: GetDataGrant pertukaran data: GetEventAction pertukaran data: GetJob pertukaran data: GetReceivedDataGrant pertukaran data: ListDataGrants pertukaran data: ListDataSetRevisions pertukaran data: ListDataSets pertukaran data: ListEventActions pertukaran data: ListJobs pertukaran data: ListReceivedDataGrants pertukaran data: ListRevisionAssets pertukaran data: RevokeRevision pertukaran data: SendDataSetNotification pertukaran data: StartJob pertukaran data: UpdateAsset pertukaran data: UpdateDataSet pertukaran data: UpdateEventAction pertukaran data: UpdateRevision  | 
| datapipeline |  datapipeline: ActivatePipeline datapipeline: CreatePipeline datapipeline: DeactivatePipeline datapipeline: DeletePipeline datapipeline: DescribeObjects datapipeline: DescribePipelines datapipeline: EvaluateExpression datapipeline: GetPipelineDefinition datapipeline: ListPipelines datapipeline: PollForTask datapipeline: PutPipelineDefinition datapipeline: QueryObjects datapipeline: ReportTaskProgress datapipeline: ReportTaskRunnerHeartbeat datapipeline: SetStatus datapipeline: SetTaskStatus datapipeline: ValidatePipelineDefinition  | 
| dax |  dax: CreateCluster dax: DecreaseReplicationFactor dax: DeleteCluster dax: DeleteParameterGroup dax: DeleteSubnetGroup dax: DescribeClusters dax: DescribeDefaultParameters dax: DescribeEvents dax: DescribeParameterGroups dax: DescribeParameters dax: DescribeSubnetGroups dax: IncreaseReplicationFactor dax: RebootNode dax: UpdateCluster dax: UpdateParameterGroup dax: UpdateSubnetGroup  | 
| devicefarm |  devicefarm: CreateDevicePool devicefarm: CreateInstanceProfile devicefarm: CreateNetworkProfile devicefarm: CreateProject devicefarm: CreateRemoteAccessSession devicefarm: CreateTestGridProject devicefarm: CreateTestGridUrl devicefarm: CreateUpload DeviceFarm:Buat VPCEConfiguration devicefarm: DeleteDevicePool devicefarm: DeleteInstanceProfile devicefarm: DeleteNetworkProfile devicefarm: DeleteProject devicefarm: DeleteRemoteAccessSession devicefarm: DeleteRun devicefarm: DeleteTestGridProject devicefarm: DeleteUpload DeviceFarm:Hapus VPCEConfiguration devicefarm: GetAccountSettings devicefarm: GetDevice devicefarm: GetDeviceInstance devicefarm: GetDevicePool devicefarm: GetDevicePoolCompatibility devicefarm: GetInstanceProfile devicefarm: GetJob devicefarm: GetNetworkProfile devicefarm: GetOfferingStatus devicefarm: GetProject devicefarm: GetRemoteAccessSession devicefarm: GetRun devicefarm: GetSuite devicefarm: GetTest devicefarm: GetTestGridProject devicefarm: GetTestGridSession devicefarm: GetUpload DeviceFarm:Dapatkan VPCEConfiguration devicefarm: ListArtifacts devicefarm: ListDeviceInstances devicefarm: ListDevicePools devicefarm: ListDevices devicefarm: ListInstanceProfiles devicefarm: ListJobs devicefarm: ListNetworkProfiles devicefarm: ListOfferingPromotions devicefarm: ListOfferingTransactions devicefarm: ListOfferings devicefarm: ListProjects devicefarm: ListRemoteAccessSessions devicefarm: ListRuns devicefarm: ListSamples devicefarm: ListSuites devicefarm: ListTestGridProjects devicefarm: ListTestGridSessionActions devicefarm: ListTestGridSessionArtifacts devicefarm: ListTestGridSessions devicefarm: ListTests devicefarm: ListUniqueProblems devicefarm: ListUploads DeviceFarm:Daftar VPCEConfigurations devicefarm: PurchaseOffering devicefarm: RenewOffering devicefarm: ScheduleRun devicefarm: StopJob devicefarm: StopRemoteAccessSession devicefarm: StopRun devicefarm: UpdateDeviceInstance devicefarm: UpdateDevicePool devicefarm: UpdateInstanceProfile devicefarm: UpdateNetworkProfile devicefarm: UpdateProject devicefarm: UpdateTestGridProject devicefarm: UpdateUpload DeviceFarm:Perbarui VPCEConfiguration  | 
| devops-guru |  devops-guru: AddNotificationChannel devops-guru: DeleteInsight devops-guru: DescribeAccountHealth devops-guru: DescribeAccountOverview devops-guru: DescribeAnomaly devops-guru: DescribeEventSourcesConfig devops-guru: DescribeFeedback devops-guru: DescribeInsight devops-guru: DescribeOrganizationHealth devops-guru: DescribeOrganizationOverview devops-guru: DescribeOrganizationResourceCollectionHealth devops-guru: DescribeResourceCollectionHealth devops-guru: DescribeServiceIntegration devops-guru: GetCostEstimation devops-guru: GetResourceCollection devops-guru: ListAnomaliesForInsight devops-guru: ListAnomalousLogGroups devops-guru: ListEvents devops-guru: ListInsights devops-guru: ListMonitoredResources devops-guru: ListNotificationChannels devops-guru: ListOrganizationInsights devops-guru: ListRecommendations devops-guru: PutFeedback devops-guru: RemoveNotificationChannel devops-guru: SearchInsights devops-guru: SearchOrganizationInsights devops-guru: StartCostEstimation devops-guru: UpdateEventSourcesConfig devops-guru: UpdateResourceCollection devops-guru: UpdateServiceIntegration  | 
| DirectConnect |  directconnect: AcceptDirectConnectGatewayAssociationProposal directconnect: AllocateConnectionOnInterconnect directconnect: AllocateHostedConnection directconnect: AllocatePrivateVirtualInterface directconnect: AllocatePublicVirtualInterface directconnect: AllocateTransitVirtualInterface directconnect: AssociateConnectionWithLag directconnect: AssociateHostedConnection directconnect: AssociateMacSecKey directconnect: AssociateVirtualInterface directconnect: ConfirmConnection directconnect: ConfirmCustomerAgreement directconnect: ConfirmPrivateVirtualInterface directconnect: ConfirmPublicVirtualInterface directconnect: ConfirmTransitVirtualInterface DirectConnect:Buat BGPPeer directconnect: CreateConnection directconnect: CreateDirectConnectGateway directconnect: CreateDirectConnectGatewayAssociation directconnect: CreateDirectConnectGatewayAssociationProposal directconnect: CreateInterconnect directconnect: CreateLag directconnect: CreatePrivateVirtualInterface directconnect: CreatePublicVirtualInterface directconnect: CreateTransitVirtualInterface DirectConnect:Hapus BGPPeer directconnect: DeleteConnection directconnect: DeleteDirectConnectGateway directconnect: DeleteDirectConnectGatewayAssociation directconnect: DeleteDirectConnectGatewayAssociationProposal directconnect: DeleteInterconnect directconnect: DeleteLag directconnect: DeleteVirtualInterface directconnect: DescribeConnectionLoa directconnect: DescribeConnections directconnect: DescribeConnectionsOnInterconnect directconnect: DescribeCustomerMetadata directconnect: DescribeDirectConnectGatewayAssociationProposals directconnect: DescribeDirectConnectGatewayAssociations directconnect: DescribeDirectConnectGatewayAttachments directconnect: DescribeDirectConnectGateways directconnect: DescribeHostedConnections directconnect: DescribeInterconnectLoa directconnect: DescribeInterconnects directconnect: DescribeLags directconnect: DescribeLoa directconnect: DescribeLocations directconnect: DescribeRouterConfiguration directconnect: DescribeVirtualGateways directconnect: DescribeVirtualInterfaces directconnect: DisassociateConnectionFromLag directconnect: DisassociateMacSecKey directconnect: ListVirtualInterfaceTestHistory directconnect: StartBgpFailoverTest directconnect: StopBgpFailoverTest directconnect: UpdateConnection directconnect: UpdateDirectConnectGateway directconnect: UpdateDirectConnectGatewayAssociation directconnect: UpdateLag directconnect: UpdateVirtualInterfaceAttributes  | 
| dlm |  dlm: CreateLifecyclePolicy dlm: DeleteLifecyclePolicy dlm: GetLifecyclePolicies dlm: GetLifecyclePolicy dlm: UpdateLifecyclePolicy  | 
| dms |  dms: ApplyPendingMaintenanceAction dms: AssociateExtensionPack dms: BatchStartRecommendations dms: CancelMetadataModelCreation dms: CancelReplicationTaskAssessmentRun dms: CreateDataProvider dms: CreateEndpoint dms: CreateEventSubscription dms: CreateInstanceProfile dms: CreateMigrationProject dms: CreateReplicationConfig dms: CreateReplicationInstance dms: CreateReplicationSubnetGroup dms: CreateReplicationTask dms: DeleteCertificate dms: DeleteConnection dms: DeleteDataMigration dms: DeleteDataProvider dms: DeleteEndpoint dms: DeleteEventSubscription dms: DeleteFleetAdvisorCollector dms: DeleteFleetAdvisorDatabases dms: DeleteInstanceProfile dms: DeleteMigrationProject dms: DeleteReplicationConfig dms: DeleteReplicationInstance dms: DeleteReplicationSubnetGroup dms: DeleteReplicationTask dms: DeleteReplicationTaskAssessmentRun dms: DescribeAccountAttributes dms: DescribeApplicableIndividualAssessments dms: DescribeCertificates dms: DescribeConnections dms: DescribeDataMigrations dms: DescribeEndpointSettings dms: DescribeEndpointTypes dms: DescribeEndpoints dms: DescribeEngineVersions dms: DescribeEventCategories dms: DescribeEventSubscriptions dms: DescribeEvents dms: DescribeFleetAdvisorCollectors dms: DescribeFleetAdvisorDatabases dms: DescribeFleetAdvisorLsaAnalysis dms: DescribeFleetAdvisorSchemaObjectSummary dms: DescribeFleetAdvisorSchemas dms: DescribeMetadataModel dms: DescribeMetadataModelChildren dms: DescribeMetadataModelCreations dms: DescribeMetadataModelImports dms: DescribeOrderableReplicationInstances dms: DescribePendingMaintenanceActions dms: DescribeRecommendationLimitations dms: DescribeRecommendations dms: DescribeRefreshSchemasStatus dms: DescribeReplicationConfigs dms: DescribeReplicationInstanceTaskLogs dms: DescribeReplicationInstances dms: DescribeReplicationSubnetGroups dms: DescribeReplicationTableStatistics dms: DescribeReplicationTaskAssessmentResults dms: DescribeReplicationTaskAssessmentRuns dms: DescribeReplicationTaskIndividualAssessments dms: DescribeReplicationTasks dms: DescribeReplications dms: DescribeSchemas dms: DescribeTableStatistics dms: ExportMetadataModelAssessment dms: ImportCertificate dms: ListDataProviders dms: ListExtensionPacks dms: ListInstanceProfiles dms: ListMetadataModelAssessments dms: ListMetadataModelConversions dms: ListMetadataModelExports dms: ListMigrationProjects dms: ModifyDataMigration dms: ModifyEndpoint dms: ModifyEventSubscription dms: ModifyReplicationConfig dms: ModifyReplicationInstance dms: ModifyReplicationSubnetGroup dms: ModifyReplicationTask dms: MoveReplicationTask dms: RebootReplicationInstance dms: RefreshSchemas dms: ReloadReplicationTables dms: ReloadTables dms: RunFleetAdvisorLsaAnalysis dms: StartMetadataModelAssessment dms: StartMetadataModelConversion dms: StartMetadataModelCreation dms: StartMetadataModelExportAsScripts dms: StartMetadataModelExportToTarget dms: StartRecommendations dms: StartReplication dms: StartReplicationTask dms: StartReplicationTaskAssessment dms: StopDataMigration dms: StopReplicationTask dms: TestConnection dms: UpdateConversionConfiguration dms: UpdateDataProvider dms: UpdateInstanceProfile dms: UpdateMigrationProject dms: UpdateSubscriptionsToEventBridge  | 
| docdb-elastis |  docdb-elastis: ApplyPendingMaintenanceAction docdb-elastis: CopyClusterSnapshot docdb-elastis: DeleteCluster docdb-elastis: DeleteClusterSnapshot docdb-elastis: GetCluster docdb-elastis: GetClusterSnapshot docdb-elastis: GetPendingMaintenanceAction docdb-elastis: ListClusterSnapshots docdb-elastis: ListClusters docdb-elastis: ListPendingMaintenanceActions docdb-elastis: RestoreClusterFromSnapshot docdb-elastis: StartCluster docdb-elastis: StopCluster docdb-elastis: UpdateCluster  | 
| dynamodb |  dinamodb: AssociateTableReplica dinamodb: CreateBackup dinamodb: CreateGlobalTable dinamodb: CreateTable dinamodb: DeleteBackup dinamodb: DeleteTable dinamodb: DescribeBackup dinamodb: DescribeContinuousBackups dinamodb: DescribeContributorInsights dinamodb: DescribeEndpoints dinamodb: DescribeExport dinamodb: DescribeGlobalTable dinamodb: DescribeGlobalTableSettings dinamodb: DescribeImport dinamodb: DescribeKinesisStreamingDestination dinamodb: DescribeLimits dinamodb: DescribeStream dinamodb: DescribeTable dinamodb: DescribeTableReplicaAutoScaling dinamodb: DescribeTimeToLive dinamodb: DisableKinesisStreamingDestination dinamodb: EnableKinesisStreamingDestination dinamodb: ExportTableToPointInTime dinamodb: GetResourcePolicy dinamodb: ImportTable dinamodb: ListBackups dinamodb: ListContributorInsights dinamodb: ListExports dinamodb: ListGlobalTables dinamodb: ListImports dinamodb: ListStreams dinamodb: ListTables dinamodb: ReadDataForReplication dinamodb: ReplicateSettings dinamodb: RestoreTableFromBackup dinamodb: RestoreTableToPointInTime dinamodb: UpdateContinuousBackups dinamodb: UpdateContributorInsights dinamodb: UpdateGlobalTable dinamodb: UpdateGlobalTableSettings dinamodb: UpdateKinesisStreamingDestination dinamodb: UpdateTable dinamodb: UpdateTableReplicaAutoScaling dinamodb: UpdateTimeToLive dinamodb: WriteDataForReplication  | 
| ebs |  ebs: CompleteSnapshot ebs: StartSnapshot  | 
| ec2 |  EC2: AcceptAddressTransfer EC2: AcceptCapacityReservationBillingOwnership EC2: AcceptReservedInstancesExchangeQuote EC2: AcceptTransitGatewayMulticastDomainAssociations EC2: AcceptTransitGatewayPeeringAttachment EC2: AcceptTransitGatewayVpcAttachment EC2: AcceptVpcEndpointConnections EC2: AcceptVpcPeeringConnection EC2: AdvertiseByoipCidr EC2: AllocateAddress EC2: AllocateHosts EC2: AllocateIpamPoolCidr EC2: ApplySecurityGroupsToClientVpnTargetNetwork ec2:6Alamat AssignIpv EC2: AssignPrivateIpAddresses EC2: AssignPrivateNatGatewayAddress EC2: AssociateAddress EC2: AssociateCapacityReservationBillingOwner EC2: AssociateClientVpnTargetNetwork EC2: AssociateDhcpOptions EC2: AssociateEnclaveCertificateIamRole EC2: AssociateIamInstanceProfile EC2: AssociateInstanceEventWindow EC2: AssociateIpamByoasn EC2: AssociateIpamResourceDiscovery EC2: AssociateNatGatewayAddress EC2: AssociateRouteServer EC2: AssociateRouteTable EC2: AssociateSecurityGroupVpc EC2: AssociateSubnetCidrBlock EC2: AssociateTransitGatewayMulticastDomain EC2: AssociateTransitGatewayPolicyTable EC2: AssociateTransitGatewayRouteTable EC2: AssociateTrunkInterface EC2: AssociateVpcCidrBlock EC2: AttachClassicLinkVpc EC2: AttachInternetGateway EC2: AttachNetworkInterface EC2: AttachVerifiedAccessTrustProvider EC2: AttachVolume EC2: AttachVpnGateway EC2: AuthorizeClientVpnIngress EC2: AuthorizeSecurityGroupEgress EC2: AuthorizeSecurityGroupIngress EC2: BundleInstance EC2: CancelBundleTask EC2: CancelCapacityReservation EC2: CancelCapacityReservationFleets EC2: CancelConversionTask EC2: CancelDeclarativePoliciesReport EC2: CancelExportTask EC2: CancelImageLaunchPermission EC2: CancelImportTask EC2: CancelReservedInstancesListing EC2: CancelSpotFleetRequests EC2: CancelSpotInstanceRequests EC2: ConfirmProductInstance EC2: CopyFpgaImage EC2: CopyImage EC2: CopySnapshot EC2: CopyVolumes EC2: CreateCapacityManagerDataExport EC2: CreateCapacityReservation EC2: CreateCapacityReservationBySplitting EC2: CreateCapacityReservationFleet EC2: CreateCarrierGateway EC2: CreateClientVpnEndpoint EC2: CreateClientVpnRoute EC2: CreateCoipCidr EC2: CreateCoipPool EC2: CreateCustomerGateway EC2: CreateDefaultSubnet EC2: CreateDefaultVpc EC2: CreateDelegateMacVolumeOwnershipTask EC2: CreateDhcpOptions EC2: CreateEgressOnlyInternetGateway EC2: CreateFleet EC2: CreateFlowLogs EC2: CreateFpgaImage EC2: CreateImage EC2: CreateImageUsageReport EC2: CreateInstanceConnectEndpoint EC2: CreateInstanceEventWindow EC2: CreateInstanceExportTask EC2: CreateInternetGateway EC2: CreateInterruptibleCapacityReservationAllocation EC2: CreateIpam EC2: CreateIpamExternalResourceVerificationToken EC2: CreateIpamPolicy EC2: CreateIpamPool EC2: CreateIpamPrefixListResolver EC2: CreateIpamPrefixListResolverTarget EC2: CreateIpamResourceDiscovery EC2: CreateIpamScope EC2: CreateKeyPair EC2: CreateLaunchTemplateVersion EC2: CreateLocalGatewayRoute EC2: CreateLocalGatewayRouteTable EC2: CreateLocalGatewayRouteTableVirtualInterfaceGroupAssociation EC2: CreateLocalGatewayRouteTableVpcAssociation EC2: CreateLocalGatewayVirtualInterface EC2: CreateLocalGatewayVirtualInterfaceGroup EC2: CreateMacSystemIntegrityProtectionModificationTask EC2: CreateManagedPrefixList EC2: CreateNatGateway EC2: CreateNetworkAcl EC2: CreateNetworkAclEntry EC2: CreateNetworkInsightsAccessScope EC2: CreateNetworkInsightsPath EC2: CreateNetworkInterface EC2: CreateNetworkInterfacePermission EC2: CreatePlacementGroup ec2:4Kolam CreatePublicIpv EC2: CreateReplaceRootVolumeTask EC2: CreateReservedInstancesListing EC2: CreateRestoreImageTask EC2: CreateRoute EC2: CreateRouteServer EC2: CreateRouteServerEndpoint EC2: CreateRouteServerPeer EC2: CreateRouteTable EC2: CreateSecurityGroup EC2: CreateSnapshots EC2: CreateSpotDatafeedSubscription EC2: CreateStoreImageTask EC2: CreateSubnet EC2: CreateSubnetCidrReservation EC2: CreateTrafficMirrorFilter EC2: CreateTrafficMirrorFilterRule EC2: CreateTrafficMirrorSession EC2: CreateTrafficMirrorTarget EC2: CreateTransitGateway EC2: CreateTransitGatewayConnect EC2: CreateTransitGatewayConnectPeer EC2: CreateTransitGatewayMeteringPolicy EC2: CreateTransitGatewayMeteringPolicyEntry EC2: CreateTransitGatewayMulticastDomain EC2: CreateTransitGatewayPeeringAttachment EC2: CreateTransitGatewayPolicyTable EC2: CreateTransitGatewayPrefixListReference EC2: CreateTransitGatewayRoute EC2: CreateTransitGatewayRouteTable EC2: CreateTransitGatewayRouteTableAnnouncement EC2: CreateTransitGatewayVpcAttachment EC2: CreateVerifiedAccessEndpoint EC2: CreateVerifiedAccessGroup EC2: CreateVerifiedAccessInstance EC2: CreateVerifiedAccessTrustProvider EC2: CreateVolume EC2: CreateVpc EC2: CreateVpcBlockPublicAccessExclusion EC2: CreateVpcEncryptionControl EC2: CreateVpcEndpoint EC2: CreateVpcEndpointConnectionNotification EC2: CreateVpcEndpointServiceConfiguration EC2: CreateVpcPeeringConnection EC2: CreateVpnConcentrator EC2: CreateVpnConnection EC2: CreateVpnConnectionRoute EC2: CreateVpnGateway EC2: DeleteCapacityManagerDataExport EC2: DeleteCarrierGateway EC2: DeleteClientVpnEndpoint EC2: DeleteClientVpnRoute EC2: DeleteCoipCidr EC2: DeleteCoipPool EC2: DeleteCustomerGateway EC2: DeleteDhcpOptions EC2: DeleteEgressOnlyInternetGateway EC2: DeleteFleets EC2: DeleteFlowLogs EC2: DeleteFpgaImage EC2: DeleteImageUsageReport EC2: DeleteInstanceConnectEndpoint EC2: DeleteInstanceEventWindow EC2: DeleteInternetGateway EC2: DeleteIpam EC2: DeleteIpamExternalResourceVerificationToken EC2: DeleteIpamPolicy EC2: DeleteIpamPool EC2: DeleteIpamPrefixListResolver EC2: DeleteIpamPrefixListResolverTarget EC2: DeleteIpamResourceDiscovery EC2: DeleteIpamScope EC2: DeleteKeyPair EC2: DeleteLaunchTemplate EC2: DeleteLaunchTemplateVersions EC2: DeleteLocalGatewayRoute EC2: DeleteLocalGatewayRouteTable EC2: DeleteLocalGatewayRouteTableVirtualInterfaceGroupAssociation EC2: DeleteLocalGatewayRouteTableVpcAssociation EC2: DeleteLocalGatewayVirtualInterface EC2: DeleteLocalGatewayVirtualInterfaceGroup EC2: DeleteManagedPrefixList EC2: DeleteNatGateway EC2: DeleteNetworkAcl EC2: DeleteNetworkAclEntry EC2: DeleteNetworkInsightsAccessScope EC2: DeleteNetworkInsightsAccessScopeAnalysis EC2: DeleteNetworkInsightsAnalysis EC2: DeleteNetworkInsightsPath EC2: DeleteNetworkInterface EC2: DeleteNetworkInterfacePermission EC2: DeletePlacementGroup ec2:4Kolam DeletePublicIpv EC2: DeleteQueuedReservedInstances EC2: DeleteRoute EC2: DeleteRouteServer EC2: DeleteRouteServerEndpoint EC2: DeleteRouteServerPeer EC2: DeleteRouteTable EC2: DeleteSecurityGroup EC2: DeleteSpotDatafeedSubscription EC2: DeleteSubnet EC2: DeleteSubnetCidrReservation EC2: DeleteTrafficMirrorFilter EC2: DeleteTrafficMirrorFilterRule EC2: DeleteTrafficMirrorSession EC2: DeleteTrafficMirrorTarget EC2: DeleteTransitGateway EC2: DeleteTransitGatewayConnect EC2: DeleteTransitGatewayConnectPeer EC2: DeleteTransitGatewayMeteringPolicy EC2: DeleteTransitGatewayMeteringPolicyEntry EC2: DeleteTransitGatewayMulticastDomain EC2: DeleteTransitGatewayPeeringAttachment EC2: DeleteTransitGatewayPolicyTable EC2: DeleteTransitGatewayPrefixListReference EC2: DeleteTransitGatewayRoute EC2: DeleteTransitGatewayRouteTable EC2: DeleteTransitGatewayRouteTableAnnouncement EC2: DeleteTransitGatewayVpcAttachment EC2: DeleteVerifiedAccessEndpoint EC2: DeleteVerifiedAccessGroup EC2: DeleteVerifiedAccessInstance EC2: DeleteVerifiedAccessTrustProvider EC2: DeleteVolume EC2: DeleteVpc EC2: DeleteVpcBlockPublicAccessExclusion EC2: DeleteVpcEncryptionControl EC2: DeleteVpcEndpointConnectionNotifications EC2: DeleteVpcEndpointServiceConfigurations EC2: DeleteVpcEndpoints EC2: DeleteVpcPeeringConnection EC2: DeleteVpnConcentrator EC2: DeleteVpnConnection EC2: DeleteVpnConnectionRoute EC2: DeleteVpnGateway EC2: DeprovisionByoipCidr EC2: DeprovisionIpamByoasn EC2: DeprovisionIpamPoolCidr ec2: DeprovisionPublicIpv 4 PoolCidr EC2: DeregisterImage EC2: DeregisterInstanceEventNotificationAttributes EC2: DeregisterTransitGatewayMulticastGroupMembers EC2: DeregisterTransitGatewayMulticastGroupSources EC2: DescribeAccountAttributes EC2: DescribeAddressTransfers EC2: DescribeAddresses EC2: DescribeAddressesAttribute EC2: DescribeAggregateIdFormat EC2: DescribeAvailabilityZones EC2: DescribeAwsNetworkPerformanceMetricSubscriptions EC2: DescribeBundleTasks EC2: DescribeByoipCidrs EC2: DescribeCapacityBlockExtensionHistory EC2: DescribeCapacityBlockExtensionOfferings EC2: DescribeCapacityBlockStatus EC2: DescribeCapacityBlocks EC2: DescribeCapacityManagerDataExports EC2: DescribeCapacityReservationBillingRequests EC2: DescribeCapacityReservationFleets EC2: DescribeCapacityReservationTopology EC2: DescribeCapacityReservations EC2: DescribeCarrierGateways EC2: DescribeClassicLinkInstances EC2: DescribeClientVpnAuthorizationRules EC2: DescribeClientVpnConnections EC2: DescribeClientVpnEndpoints EC2: DescribeClientVpnRoutes EC2: DescribeClientVpnTargetNetworks EC2: DescribeCoipPools EC2: DescribeConversionTasks EC2: DescribeCustomerGateways EC2: DescribeDeclarativePoliciesReports EC2: DescribeDhcpOptions EC2: DescribeEgressOnlyInternetGateways EC2: DescribeElasticGpus EC2: DescribeExportImageTasks EC2: DescribeExportTasks EC2: DescribeFastLaunchImages EC2: DescribeFastSnapshotRestores EC2: DescribeFleetHistory EC2: DescribeFleetInstances EC2: DescribeFleets EC2: DescribeFlowLogs EC2: DescribeFpgaImageAttribute EC2: DescribeFpgaImages EC2: DescribeHostReservationOfferings EC2: DescribeHostReservations EC2: DescribeHosts EC2: DescribeIamInstanceProfileAssociations EC2: DescribeIdFormat EC2: DescribeIdentityIdFormat EC2: DescribeImageAttribute EC2: DescribeImageReferences EC2: DescribeImageUsageReportEntries EC2: DescribeImageUsageReports EC2: DescribeImportImageTasks EC2: DescribeImportSnapshotTasks EC2: DescribeInstanceConnectEndpoints EC2: DescribeInstanceCreditSpecifications EC2: DescribeInstanceEventNotificationAttributes EC2: DescribeInstanceEventWindows EC2: DescribeInstanceImageMetadata EC2: DescribeInstanceSqlHaHistoryStates EC2: DescribeInstanceSqlHaStates EC2: DescribeInstanceTopology EC2: DescribeInstanceTypes EC2: DescribeInternetGateways EC2: DescribeIpamByoasn EC2: DescribeIpamExternalResourceVerificationTokens EC2: DescribeIpamPolicies EC2: DescribeIpamPools EC2: DescribeIpamPrefixListResolverTargets EC2: DescribeIpamPrefixListResolvers EC2: DescribeIpamResourceDiscoveries EC2: DescribeIpamResourceDiscoveryAssociations EC2: DescribeIpamScopes EC2: DescribeIpams ec2:6 Kolam DescribeIpv EC2: DescribeKeyPairs EC2: DescribeLocalGatewayRouteTableVirtualInterfaceGroupAssociations EC2: DescribeLocalGatewayRouteTableVpcAssociations EC2: DescribeLocalGatewayRouteTables EC2: DescribeLocalGatewayVirtualInterfaceGroups EC2: DescribeLocalGatewayVirtualInterfaces EC2: DescribeLocalGateways EC2: DescribeLockedSnapshots EC2: DescribeMacHosts EC2: DescribeMacModificationTasks EC2: DescribeManagedPrefixLists EC2: DescribeMovingAddresses EC2: DescribeNatGateways EC2: DescribeNetworkAcls EC2: DescribeNetworkInsightsAccessScopeAnalyses EC2: DescribeNetworkInsightsAccessScopes EC2: DescribeNetworkInsightsAnalyses EC2: DescribeNetworkInsightsPaths EC2: DescribeNetworkInterfaceAttribute EC2: DescribeNetworkInterfacePermissions EC2: DescribeNetworkInterfaces EC2: DescribeOutpostLags EC2: DescribePlacementGroups EC2: DescribePrefixLists EC2: DescribePrincipalIdFormat ec2:4Pools DescribePublicIpv EC2: DescribeRegions EC2: DescribeReplaceRootVolumeTasks EC2: DescribeReservedInstances EC2: DescribeReservedInstancesListings EC2: DescribeReservedInstancesModifications EC2: DescribeReservedInstancesOfferings EC2: DescribeRouteServerEndpoints EC2: DescribeRouteServerPeers EC2: DescribeRouteServers EC2: DescribeRouteTables EC2: DescribeScheduledInstanceAvailability EC2: DescribeScheduledInstances EC2: DescribeSecurityGroupReferences EC2: DescribeSecurityGroupRules EC2: DescribeSecurityGroupVpcAssociations EC2: DescribeSecurityGroups EC2: DescribeServiceLinkVirtualInterfaces EC2: DescribeSnapshotAttribute EC2: DescribeSnapshotTierStatus EC2: DescribeSpotDatafeedSubscription EC2: DescribeSpotFleetInstances EC2: DescribeSpotFleetRequestHistory EC2: DescribeSpotFleetRequests EC2: DescribeSpotInstanceRequests EC2: DescribeSpotPriceHistory EC2: DescribeStaleSecurityGroups EC2: DescribeStoreImageTasks EC2: DescribeTrafficMirrorFilterRules EC2: DescribeTrafficMirrorFilters EC2: DescribeTrafficMirrorSessions EC2: DescribeTrafficMirrorTargets EC2: DescribeTransitGatewayAttachments EC2: DescribeTransitGatewayConnectPeers EC2: DescribeTransitGatewayConnects EC2: DescribeTransitGatewayMeteringPolicies EC2: DescribeTransitGatewayMulticastDomains EC2: DescribeTransitGatewayPeeringAttachments EC2: DescribeTransitGatewayPolicyTables EC2: DescribeTransitGatewayRouteTableAnnouncements EC2: DescribeTransitGatewayRouteTables EC2: DescribeTransitGatewayVpcAttachments EC2: DescribeTransitGateways EC2: DescribeTrunkInterfaceAssociations EC2: DescribeVerifiedAccessEndpoints EC2: DescribeVerifiedAccessGroups EC2: DescribeVerifiedAccessInstanceLoggingConfigurations EC2: DescribeVerifiedAccessInstances EC2: DescribeVerifiedAccessTrustProviders EC2: DescribeVolumeAttribute EC2: DescribeVolumeStatus EC2: DescribeVolumes EC2: DescribeVolumesModifications EC2: DescribeVpcAttribute EC2: DescribeVpcBlockPublicAccessExclusions EC2: DescribeVpcBlockPublicAccessOptions EC2: DescribeVpcClassicLink EC2: DescribeVpcClassicLinkDnsSupport EC2: DescribeVpcEncryptionControls EC2: DescribeVpcEndpointAssociations EC2: DescribeVpcEndpointConnectionNotifications EC2: DescribeVpcEndpointConnections EC2: DescribeVpcEndpointServiceConfigurations EC2: DescribeVpcEndpointServicePermissions EC2: DescribeVpcEndpointServices EC2: DescribeVpcEndpoints EC2: DescribeVpcPeeringConnections EC2: DescribeVpcs EC2: DescribeVpnConcentrators EC2: DescribeVpnConnections EC2: DescribeVpnGateways EC2: DetachClassicLinkVpc EC2: DetachInternetGateway EC2: DetachNetworkInterface EC2: DetachVerifiedAccessTrustProvider EC2: DetachVolume EC2: DetachVpnGateway EC2: DisableAddressTransfer EC2: DisableAllowedImagesSettings EC2: DisableAwsNetworkPerformanceMetricSubscription EC2: DisableCapacityManager EC2: DisableEbsEncryptionByDefault EC2: DisableFastLaunch EC2: DisableFastSnapshotRestores EC2: DisableImage EC2: DisableImageBlockPublicAccess EC2: DisableImageDeprecation EC2: DisableImageDeregistrationProtection EC2: DisableInstanceSqlHaStandbyDetections EC2: DisableIpamOrganizationAdminAccount EC2: DisableIpamPolicy EC2: DisableRouteServerPropagation EC2: DisableSerialConsoleAccess EC2: DisableSnapshotBlockPublicAccess EC2: DisableTransitGatewayRouteTablePropagation EC2: DisableVgwRoutePropagation EC2: DisableVpcClassicLink EC2: DisableVpcClassicLinkDnsSupport EC2: DisassociateAddress EC2: DisassociateCapacityReservationBillingOwner EC2: DisassociateClientVpnTargetNetwork EC2: DisassociateEnclaveCertificateIamRole EC2: DisassociateIamInstanceProfile EC2: DisassociateInstanceEventWindow EC2: DisassociateIpamByoasn EC2: DisassociateIpamResourceDiscovery EC2: DisassociateNatGatewayAddress EC2: DisassociateRouteServer EC2: DisassociateRouteTable EC2: DisassociateSecurityGroupVpc EC2: DisassociateSubnetCidrBlock EC2: DisassociateTransitGatewayMulticastDomain EC2: DisassociateTransitGatewayPolicyTable EC2: DisassociateTransitGatewayRouteTable EC2: DisassociateTrunkInterface EC2: DisassociateVpcCidrBlock EC2: EnableAddressTransfer EC2: EnableAllowedImagesSettings EC2: EnableAwsNetworkPerformanceMetricSubscription EC2: EnableCapacityManager EC2: EnableEbsEncryptionByDefault EC2: EnableFastLaunch EC2: EnableFastSnapshotRestores EC2: EnableImage EC2: EnableImageBlockPublicAccess EC2: EnableImageDeprecation EC2: EnableImageDeregistrationProtection EC2: EnableInstanceSqlHaStandbyDetections EC2: EnableIpamOrganizationAdminAccount EC2: EnableIpamPolicy EC2: EnableReachabilityAnalyzerOrganizationSharing EC2: EnableRouteServerPropagation EC2: EnableSerialConsoleAccess EC2: EnableSnapshotBlockPublicAccess EC2: EnableTransitGatewayRouteTablePropagation EC2: EnableVgwRoutePropagation ec2: EnableVolume IO EC2: EnableVpcClassicLink EC2: EnableVpcClassicLinkDnsSupport EC2: ExportClientVpnClientCertificateRevocationList EC2: ExportClientVpnClientConfiguration EC2: ExportImage EC2: ExportTransitGatewayRoutes EC2: ExportVerifiedAccessInstanceClientConfiguration EC2: GetActiveVpnTunnelStatus EC2: GetAllowedImagesSettings EC2: GetAssociatedEnclaveCertificateIamRoles ec2:6 GetAssociatedIpv PoolCidrs EC2: GetAwsNetworkPerformanceData EC2: GetCapacityManagerAttributes EC2: GetCapacityManagerMetricData EC2: GetCapacityManagerMetricDimensions EC2: GetCapacityReservationUsage EC2: GetCoipPoolUsage EC2: GetConsoleOutput EC2: GetConsoleScreenshot EC2: GetDeclarativePoliciesReportSummary EC2: GetDefaultCreditSpecification EC2: GetEbsDefaultKmsKeyId EC2: GetEbsEncryptionByDefault EC2: GetEnabledIpamPolicy EC2: GetFlowLogsIntegrationTemplate EC2: GetGroupsForCapacityReservation EC2: GetHostReservationPurchasePreview EC2: GetImageAncestry EC2: GetImageBlockPublicAccessState EC2: GetInstanceMetadataDefaults EC2: GetInstanceTpmEkPub EC2: GetInstanceTypesFromInstanceRequirements EC2: GetInstanceUefiData EC2: GetIpamAddressHistory EC2: GetIpamDiscoveredAccounts EC2: GetIpamDiscoveredPublicAddresses EC2: GetIpamDiscoveredResourceCidrs EC2: GetIpamPolicyAllocationRules EC2: GetIpamPolicyOrganizationTargets EC2: GetIpamPoolAllocations EC2: GetIpamPoolCidrs EC2: GetIpamPrefixListResolverRules EC2: GetIpamPrefixListResolverVersionEntries EC2: GetIpamPrefixListResolverVersions EC2: GetIpamResourceCidrs EC2: GetLaunchTemplateData EC2: GetManagedPrefixListAssociations EC2: GetManagedPrefixListEntries EC2: GetNetworkInsightsAccessScopeAnalysisFindings EC2: GetNetworkInsightsAccessScopeContent EC2: GetPasswordData EC2: GetReservedInstancesExchangeQuote EC2: GetRouteServerAssociations EC2: GetRouteServerPropagations EC2: GetRouteServerRoutingDatabase EC2: GetSecurityGroupsForVpc EC2: GetSerialConsoleAccessStatus EC2: GetSnapshotBlockPublicAccessState EC2: GetSpotPlacementScores EC2: GetSubnetCidrReservations EC2: GetTransitGatewayAttachmentPropagations EC2: GetTransitGatewayMeteringPolicyEntries EC2: GetTransitGatewayMulticastDomainAssociations EC2: GetTransitGatewayPolicyTableAssociations EC2: GetTransitGatewayPolicyTableEntries EC2: GetTransitGatewayPrefixListReferences EC2: GetTransitGatewayRouteTableAssociations EC2: GetTransitGatewayRouteTablePropagations EC2: GetVerifiedAccessEndpointPolicy EC2: GetVerifiedAccessEndpointTargets EC2: GetVerifiedAccessGroupPolicy EC2: GetVpcResourcesBlockingEncryptionEnforcement EC2: GetVpnConnectionDeviceSampleConfiguration EC2: GetVpnConnectionDeviceTypes EC2: GetVpnTunnelReplacementStatus EC2: ImportClientVpnClientCertificateRevocationList EC2: ImportImage EC2: ImportInstance EC2: ImportKeyPair EC2: ImportSnapshot EC2: ImportVolume EC2: InjectVolume IOLatency EC2: ListImagesInRecycleBin EC2: ListSnapshotsInRecycleBin EC2: ListVolumesInRecycleBin EC2: LockSnapshot EC2: ModifyAddressAttribute EC2: ModifyAvailabilityZoneGroup EC2: ModifyCapacityReservation EC2: ModifyCapacityReservationFleet EC2: ModifyClientVpnEndpoint EC2: ModifyDefaultCreditSpecification EC2: ModifyEbsDefaultKmsKeyId EC2: ModifyFleet EC2: ModifyFpgaImageAttribute EC2: ModifyHosts EC2: ModifyIdFormat EC2: ModifyIdentityIdFormat EC2: ModifyImageAttribute EC2: ModifyInstanceAttribute EC2: ModifyInstanceCapacityReservationAttributes EC2: ModifyInstanceConnectEndpoint EC2: ModifyInstanceCpuOptions EC2: ModifyInstanceCreditSpecification EC2: ModifyInstanceEventStartTime EC2: ModifyInstanceEventWindow EC2: ModifyInstanceMaintenanceOptions EC2: ModifyInstanceMetadataDefaults EC2: ModifyInstanceMetadataOptions EC2: ModifyInstanceNetworkPerformanceOptions EC2: ModifyInstancePlacement EC2: ModifyIpam EC2: ModifyIpamPolicyAllocationRules EC2: ModifyIpamPool EC2: ModifyIpamPrefixListResolver EC2: ModifyIpamPrefixListResolverTarget EC2: ModifyIpamResourceCidr EC2: ModifyIpamResourceDiscovery EC2: ModifyIpamScope EC2: ModifyLaunchTemplate EC2: ModifyLocalGatewayRoute EC2: ModifyManagedPrefixList EC2: ModifyNetworkInterfaceAttribute EC2: ModifyPrivateDnsNameOptions EC2: ModifyPublicIpDnsNameOptions EC2: ModifyReservedInstances EC2: ModifyRouteServer EC2: ModifySecurityGroupRules EC2: ModifySnapshotAttribute EC2: ModifySnapshotTier EC2: ModifySpotFleetRequest EC2: ModifySubnetAttribute EC2: ModifyTrafficMirrorFilterNetworkServices EC2: ModifyTrafficMirrorFilterRule EC2: ModifyTrafficMirrorSession EC2: ModifyTransitGateway EC2: ModifyTransitGatewayMeteringPolicy EC2: ModifyTransitGatewayPrefixListReference EC2: ModifyTransitGatewayVpcAttachment EC2: ModifyVerifiedAccessEndpoint EC2: ModifyVerifiedAccessEndpointPolicy EC2: ModifyVerifiedAccessGroup EC2: ModifyVerifiedAccessGroupPolicy EC2: ModifyVerifiedAccessInstance EC2: ModifyVerifiedAccessInstanceLoggingConfiguration EC2: ModifyVerifiedAccessTrustProvider EC2: ModifyVolume EC2: ModifyVolumeAttribute EC2: ModifyVpcAttribute EC2: ModifyVpcBlockPublicAccessExclusion EC2: ModifyVpcBlockPublicAccessOptions EC2: ModifyVpcEncryptionControl EC2: ModifyVpcEndpoint EC2: ModifyVpcEndpointConnectionNotification EC2: ModifyVpcEndpointServiceConfiguration EC2: ModifyVpcEndpointServicePayerResponsibility EC2: ModifyVpcEndpointServicePermissions EC2: ModifyVpcPeeringConnectionOptions EC2: ModifyVpcTenancy EC2: ModifyVpnConnection EC2: ModifyVpnConnectionOptions EC2: ModifyVpnTunnelCertificate EC2: ModifyVpnTunnelOptions EC2: MonitorInstances EC2: MoveAddressToVpc EC2: MoveByoipCidrToIpam EC2: MoveCapacityReservationInstances EC2: ProvisionByoipCidr EC2: ProvisionIpamByoasn EC2: ProvisionIpamPoolCidr ec2: ProvisionPublicIpv 4 PoolCidr EC2: PurchaseCapacityBlockExtension EC2: PurchaseHostReservation EC2: PurchaseReservedInstancesOffering EC2: PurchaseScheduledInstances EC2: RebootInstances EC2: RegisterImage EC2: RegisterInstanceEventNotificationAttributes EC2: RegisterTransitGatewayMulticastGroupMembers EC2: RegisterTransitGatewayMulticastGroupSources EC2: RejectCapacityReservationBillingOwnership EC2: RejectTransitGatewayMulticastDomainAssociations EC2: RejectTransitGatewayPeeringAttachment EC2: RejectTransitGatewayVpcAttachment EC2: RejectVpcEndpointConnections EC2: RejectVpcPeeringConnection EC2: ReleaseAddress EC2: ReleaseHosts EC2: ReleaseIpamPoolAllocation EC2: ReplaceIamInstanceProfileAssociation EC2: ReplaceImageCriteriaInAllowedImagesSettings EC2: ReplaceNetworkAclAssociation EC2: ReplaceNetworkAclEntry EC2: ReplaceRoute EC2: ReplaceRouteTableAssociation EC2: ReplaceTransitGatewayRoute EC2: ReplaceVpnTunnel EC2: ReportInstanceStatus EC2: RequestSpotFleet EC2: RequestSpotInstances EC2: ResetAddressAttribute EC2: ResetEbsDefaultKmsKeyId EC2: ResetFpgaImageAttribute EC2: ResetImageAttribute EC2: ResetInstanceAttribute EC2: ResetNetworkInterfaceAttribute EC2: ResetSnapshotAttribute EC2: RestoreAddressToClassic EC2: RestoreImageFromRecycleBin EC2: RestoreManagedPrefixListVersion EC2: RestoreSnapshotFromRecycleBin EC2: RestoreSnapshotTier EC2: RestoreVolumeFromRecycleBin EC2: RevokeClientVpnIngress EC2: RevokeSecurityGroupEgress EC2: RevokeSecurityGroupIngress EC2: RunInstances EC2: RunScheduledInstances EC2: SearchLocalGatewayRoutes EC2: SearchTransitGatewayMulticastGroups EC2: SearchTransitGatewayRoutes EC2: SendDiagnosticInterrupt EC2: StartDeclarativePoliciesReport EC2: StartInstances EC2: StartNetworkInsightsAccessScopeAnalysis EC2: StartNetworkInsightsAnalysis EC2: StartVpcEndpointServicePrivateDnsVerification EC2: TerminateClientVpnConnections ec2:6Alamat UnassignIpv EC2: UnassignPrivateIpAddresses EC2: UnassignPrivateNatGatewayAddress EC2: UnlockSnapshot EC2: UnmonitorInstances EC2: UpdateCapacityManagerOrganizationsAccess EC2: UpdateInterruptibleCapacityReservationAllocation EC2: UpdateSecurityGroupRuleDescriptionsEgress EC2: UpdateSecurityGroupRuleDescriptionsIngress EC2: WithdrawByoipCidr  | 
| ecr |  ecr: BatchCheckLayerAvailability ecr: BatchDeleteImage ecr: BatchGetImage ecr: BatchGetRepositoryScanningConfiguration ecr: CompleteLayerUpload ecr: CreatePullThroughCacheRule ecr: CreateRepositoryCreationTemplate ecr: DeleteLifecyclePolicy ecr: DeletePullThroughCacheRule ecr: DeleteRegistryPolicy ecr: DeleteRepository ecr: DeleteRepositoryCreationTemplate ecr: DeleteRepositoryPolicy ecr: DeleteSigningConfiguration ecr: DescribeImageReplicationStatus ecr: DescribeImageScanFindings ecr: DescribeImages ecr: DescribePullThroughCacheRules ecr: DescribeRegistry ecr: DescribeRepositories ecr: DescribeRepositoryCreationTemplates ecr: GetAccountSetting ecr: GetAuthorizationToken ecr: GetDownloadUrlForLayer ecr: GetLifecyclePolicy ecr: GetLifecyclePolicyPreview ecr: GetRegistryPolicy ecr: GetRegistryScanningConfiguration ecr: GetRepositoryPolicy ecr: GetSigningConfiguration ecr: InitiateLayerUpload ecr: ListImages ecr: ListPullTimeUpdateExclusions ecr: PutAccountSetting ecr: PutImage ecr: PutImageScanningConfiguration ecr: PutRegistryPolicy ecr: PutRegistryScanningConfiguration ecr: PutReplicationConfiguration ecr: StartImageScan ecr: StartLifecyclePolicyPreview ecr: UpdatePullThroughCacheRule ecr: UpdateRepositoryCreationTemplate ecr: UploadLayerPart ecr: ValidatePullThroughCacheRule  | 
| ecr-publik |  ecr-publik: BatchCheckLayerAvailability ecr-publik: BatchDeleteImage ecr-publik: CompleteLayerUpload ecr-publik: CreateRepository ecr-publik: DeleteRepository ecr-publik: DeleteRepositoryPolicy ecr-publik: DescribeImages ecr-publik: DescribeRegistries ecr-publik: DescribeRepositories ecr-publik: GetAuthorizationToken ecr-publik: GetRegistryCatalogData ecr-publik: GetRepositoryCatalogData ecr-publik: GetRepositoryPolicy ecr-publik: InitiateLayerUpload ecr-publik: PutImage ecr-publik: PutRegistryCatalogData ecr-publik: PutRepositoryCatalogData ecr-publik: SetRepositoryPolicy ecr-publik: UploadLayerPart  | 
| ecs |  ecs: CreateCapacityProvider ecs: CreateCluster ecs: CreateService ecs: CreateTaskSet ecs: DeleteAccountSetting ecs: DeleteAttributes ecs: DeleteCapacityProvider ecs: DeleteCluster ecs: DeleteExpressGatewayService ecs: DeleteService ecs: DeleteTaskDefinitions ecs: DeleteTaskSet ecs: DeregisterContainerInstance ecs: DeregisterTaskDefinition ecs: DescribeCapacityProviders ecs: DescribeClusters ecs: DescribeContainerInstances ecs: DescribeExpressGatewayService ecs: DescribeServiceDeployments ecs: DescribeServiceRevisions ecs: DescribeServices ecs: DescribeTaskDefinition ecs: DescribeTaskSets ecs: DescribeTasks ecs: DiscoverPollEndpoint ecs: ExecuteCommand ecs: GetTaskProtection ecs: ListAccountSettings ecs: ListAttributes ecs: ListClusters ecs: ListContainerInstances ecs: ListServiceDeployments ecs: ListServices ecs: ListServicesByNamespace ecs: ListTaskDefinitionFamilies ecs: ListTaskDefinitions ecs: ListTasks ecs: PutAccountSetting ecs: PutAccountSettingDefault ecs: PutAttributes ecs: PutClusterCapacityProviders ecs: RegisterContainerInstance ecs: RunTask ecs: StartTask ecs: StopServiceDeployment ecs: StopTask ecs: SubmitAttachmentStateChanges ecs: SubmitContainerStateChange ecs: SubmitTaskStateChange ecs: UpdateCapacityProvider ecs: UpdateCluster ecs: UpdateClusterSettings ecs: UpdateContainerAgent ecs: UpdateContainerInstancesState ecs: UpdateExpressGatewayService ecs: UpdateService ecs: UpdateServicePrimaryTaskSet ecs: UpdateTaskProtection ecs: UpdateTaskSet  | 
| eks |  eks: AssociateAccessPolicy eks: AssociateEncryptionConfig eks: AssociateIdentityProviderConfig eks: CreateAccessEntry eks: CreateAddon eks: CreateCluster eks: CreateEksAnywhereSubscription eks: CreateFargateProfile eks: CreateNodegroup eks: DeleteAccessEntry eks: DeleteAddon eks: DeleteCapability eks: DeleteCluster eks: DeleteEksAnywhereSubscription eks: DeleteFargateProfile eks: DeleteNodegroup eks: DeletePodIdentityAssociation eks: DeregisterCluster eks: DescribeAccessEntry eks: DescribeAddon eks: DescribeAddonConfiguration eks: DescribeAddonVersions eks: DescribeCapability eks: DescribeCluster eks: DescribeClusterVersions eks: DescribeEksAnywhereSubscription eks: DescribeFargateProfile eks: DescribeIdentityProviderConfig eks: DescribeInsight eks: DescribeInsightsRefresh eks: DescribeNodegroup eks: DescribePodIdentityAssociation eks: DescribeUpdate eks: DisassociateAccessPolicy eks: DisassociateIdentityProviderConfig eks: ListAccessEntries eks: ListAccessPolicies eks: ListAddons eks: ListAssociatedAccessPolicies eks: ListCapabilities eks: ListClusters eks: ListEksAnywhereSubscriptions eks: ListFargateProfiles eks: ListIdentityProviderConfigs eks: ListInsights eks: ListNodegroups eks: ListPodIdentityAssociations eks: ListUpdates eks: RegisterCluster eks: StartInsightsRefresh eks: UpdateAccessEntry eks: UpdateAddon eks: UpdateCapability eks: UpdateClusterConfig eks: UpdateClusterVersion eks: UpdateEksAnywhereSubscription eks: UpdateNodegroupConfig eks: UpdateNodegroupVersion eks: UpdatePodIdentityAssociation  | 
| elasticache |  elastisakit: AuthorizeCacheSecurityGroupIngress elastisakit: BatchApplyUpdateAction elastisakit: BatchStopUpdateAction elastisakit: CompleteMigration elastisakit: CopyServerlessCacheSnapshot elastisakit: CopySnapshot elastisakit: CreateCacheCluster elastisakit: CreateCacheParameterGroup elastisakit: CreateCacheSecurityGroup elastisakit: CreateCacheSubnetGroup elastisakit: CreateGlobalReplicationGroup elastisakit: CreateReplicationGroup elastisakit: CreateServerlessCache elastisakit: CreateServerlessCacheSnapshot elastisakit: CreateSnapshot elastisakit: CreateUser elastisakit: CreateUserGroup elastisakit: DecreaseNodeGroupsInGlobalReplicationGroup elastisakit: DecreaseReplicaCount elastisakit: DeleteCacheCluster elastisakit: DeleteCacheParameterGroup elastisakit: DeleteCacheSecurityGroup elastisakit: DeleteCacheSubnetGroup elastisakit: DeleteGlobalReplicationGroup elastisakit: DeleteReplicationGroup elastisakit: DeleteServerlessCache elastisakit: DeleteServerlessCacheSnapshot elastisakit: DeleteSnapshot elastisakit: DeleteUser elastisakit: DeleteUserGroup elastisakit: DescribeCacheClusters elastisakit: DescribeCacheEngineVersions elastisakit: DescribeCacheParameterGroups elastisakit: DescribeCacheParameters elastisakit: DescribeCacheSecurityGroups elastisakit: DescribeCacheSubnetGroups elastisakit: DescribeEngineDefaultParameters elastisakit: DescribeEvents elastisakit: DescribeGlobalReplicationGroups elastisakit: DescribeReplicationGroups elastisakit: DescribeReservedCacheNodes elastisakit: DescribeReservedCacheNodesOfferings elastisakit: DescribeServerlessCacheSnapshots elastisakit: DescribeServerlessCaches elastisakit: DescribeServiceUpdates elastisakit: DescribeSnapshots elastisakit: DescribeUpdateActions elastisakit: DescribeUserGroups elastisakit: DescribeUsers elastisakit: DisassociateGlobalReplicationGroup elastisakit: ExportServerlessCacheSnapshot elastisakit: FailoverGlobalReplicationGroup elastisakit: IncreaseNodeGroupsInGlobalReplicationGroup elastisakit: IncreaseReplicaCount elastisakit: ListAllowedNodeTypeModifications elastisakit: ModifyCacheCluster elastisakit: ModifyCacheParameterGroup elastisakit: ModifyCacheSubnetGroup elastisakit: ModifyGlobalReplicationGroup elastisakit: ModifyReplicationGroup elastisakit: ModifyReplicationGroupShardConfiguration elastisakit: ModifyServerlessCache elastisakit: ModifyUser elastisakit: ModifyUserGroup elastisakit: PurchaseReservedCacheNodesOffering elastisakit: RebalanceSlotsInGlobalReplicationGroup elastisakit: RebootCacheCluster elastisakit: ResetCacheParameterGroup elastisakit: RevokeCacheSecurityGroupIngress elastisakit: StartMigration elastisakit: TestFailover elastisakit: TestMigration  | 
| tangkai kacang elastis |  tangkai elastis: AbortEnvironmentUpdate tangkai elastis: ApplyEnvironmentManagedAction tangkai elastis: AssociateEnvironmentOperationsRole ElasticBeanstalk:Periksa DNSAvailability tangkai elastis: ComposeEnvironments tangkai elastis: CreateApplication tangkai elastis: CreateApplicationVersion tangkai elastis: CreateConfigurationTemplate tangkai elastis: CreateEnvironment tangkai elastis: CreatePlatformVersion tangkai elastis: CreateStorageLocation tangkai elastis: DeleteApplication tangkai elastis: DeleteApplicationVersion tangkai elastis: DeleteConfigurationTemplate tangkai elastis: DeleteEnvironmentConfiguration tangkai elastis: DeletePlatformVersion tangkai elastis: DescribeAccountAttributes tangkai elastis: DescribeApplicationVersions tangkai elastis: DescribeApplications tangkai elastis: DescribeConfigurationOptions tangkai elastis: DescribeConfigurationSettings tangkai elastis: DescribeEnvironmentHealth tangkai elastis: DescribeEnvironmentManagedActionHistory tangkai elastis: DescribeEnvironmentManagedActions tangkai elastis: DescribeEnvironmentResources tangkai elastis: DescribeEnvironments tangkai elastis: DescribeEvents tangkai elastis: DescribeInstancesHealth tangkai elastis: DescribePlatformVersion tangkai elastis: DisassociateEnvironmentOperationsRole tangkai elastis: ListAvailableSolutionStacks tangkai elastis: ListPlatformBranches tangkai elastis: ListPlatformVersions tangkai elastis: RebuildEnvironment tangkai elastis: RequestEnvironmentInfo tangkai elastis: RestartAppServer tangkai elastis: RetrieveEnvironmentInfo tangkai elastis: SwapEnvironment CNAMEs tangkai elastis: TerminateEnvironment tangkai elastis: UpdateApplication tangkai elastis: UpdateApplicationResourceLifecycle tangkai elastis: UpdateApplicationVersion tangkai elastis: UpdateConfigurationTemplate tangkai elastis: UpdateEnvironment tangkai elastis: ValidateConfigurationSettings  | 
| sistem file elastis |  sistem file elastis: CreateAccessPoint sistem file elastis: CreateFileSystem sistem file elastis: CreateMountTarget sistem file elastis: CreateReplicationConfiguration sistem file elastis: DeleteAccessPoint sistem file elastis: DeleteFileSystem sistem file elastis: DeleteFileSystemPolicy sistem file elastis: DeleteMountTarget sistem file elastis: DeleteReplicationConfiguration sistem file elastis: DescribeAccessPoints sistem file elastis: DescribeAccountPreferences sistem file elastis: DescribeBackupPolicy sistem file elastis: DescribeFileSystemPolicy sistem file elastis: DescribeFileSystems sistem file elastis: DescribeLifecycleConfiguration sistem file elastis: DescribeMountTargetSecurityGroups sistem file elastis: DescribeMountTargets sistem file elastis: DescribeReplicationConfigurations sistem file elastis: ModifyMountTargetSecurityGroups sistem file elastis: PutAccountPreferences sistem file elastis: PutBackupPolicy sistem file elastis: PutFileSystemPolicy sistem file elastis: PutLifecycleConfiguration sistem file elastis: UpdateFileSystem sistem file elastis: UpdateFileSystemProtection  | 
| elasticloadbalancing |  elasticloadbalancing: AddListenerCertificates elasticloadbalancing: AddTrustStoreRevocations elasticloadbalancing: ApplySecurityGroupsToLoadBalancer elasticloadbalancing: AttachLoadBalancerToSubnets elasticloadbalancing: ConfigureHealthCheck elasticloadbalancing: CreateAppCookieStickinessPolicy ElasticLoadBalancing:Buat LBCookie StickinessPolicy elasticloadbalancing: CreateListener elasticloadbalancing: CreateLoadBalancer elasticloadbalancing: CreateLoadBalancerListeners elasticloadbalancing: CreateLoadBalancerPolicy elasticloadbalancing: CreateRule elasticloadbalancing: CreateTargetGroup elasticloadbalancing: CreateTrustStore elasticloadbalancing: CreateWeb ACLAssociation elasticloadbalancing: DeleteListener elasticloadbalancing: DeleteLoadBalancer elasticloadbalancing: DeleteLoadBalancerListeners elasticloadbalancing: DeleteLoadBalancerPolicy elasticloadbalancing: DeleteRule elasticloadbalancing: DeleteSharedTrustStoreAssociation elasticloadbalancing: DeleteTargetGroup elasticloadbalancing: DeleteTrustStore elasticloadbalancing: DeleteWeb ACLAssociation elasticloadbalancing: DeregisterInstancesFromLoadBalancer elasticloadbalancing: DeregisterTargets elasticloadbalancing: DescribeAccountLimits elasticloadbalancing: DescribeCapacityReservation elasticloadbalancing: DescribeInstanceHealth elasticloadbalancing: DescribeListenerAttributes elasticloadbalancing: DescribeListenerCertificates elasticloadbalancing: DescribeListeners elasticloadbalancing: DescribeLoadBalancerAttributes elasticloadbalancing: DescribeLoadBalancerPolicies elasticloadbalancing: DescribeLoadBalancerPolicyTypes elasticloadbalancing: DescribeLoadBalancers elasticloadbalancing: DescribeRules ElasticLoadBalancing:jelaskan SSLPolicies elasticloadbalancing: DescribeTargetGroupAttributes elasticloadbalancing: DescribeTargetGroups elasticloadbalancing: DescribeTargetHealth elasticloadbalancing: DescribeTrustStoreAssociations elasticloadbalancing: DescribeTrustStoreRevocations elasticloadbalancing: DescribeTrustStores elasticloadbalancing: DescribeWeb ACLAssociation elasticloadbalancing: DetachLoadBalancerFromSubnets elasticloadbalancing: DisableAvailabilityZonesForLoadBalancer elasticloadbalancing: EnableAvailabilityZonesForLoadBalancer elasticloadbalancing: ACL GetLoadBalancerWeb elasticloadbalancing: GetResourcePolicy elasticloadbalancing: GetTrustStoreCaCertificatesBundle elasticloadbalancing: GetTrustStoreRevocationContent elasticloadbalancing: ModifyCapacityReservation elasticloadbalancing: ModifyIpPools elasticloadbalancing: ModifyListener elasticloadbalancing: ModifyLoadBalancerAttributes elasticloadbalancing: ModifyRule elasticloadbalancing: ModifyTargetGroup elasticloadbalancing: ModifyTargetGroupAttributes elasticloadbalancing: ModifyTrustStore elasticloadbalancing: RegisterInstancesWithLoadBalancer elasticloadbalancing: RegisterTargets elasticloadbalancing: RemoveListenerCertificates elasticloadbalancing: RemoveTrustStoreRevocations elasticloadbalancing: SetIpAddressType elasticloadbalancing: SetLoadBalancerListener SSLCertificate elasticloadbalancing: SetLoadBalancerPoliciesForBackendServer elasticloadbalancing: SetLoadBalancerPoliciesOfListener elasticloadbalancing: SetRulePriorities elasticloadbalancing: SetSecurityGroups elasticloadbalancing: SetSubnets  | 
| elastictranscoder |  elastictranscoder: CancelJob elastictranscoder: CreateJob elastictranscoder: CreatePipeline elastictranscoder: CreatePreset elastictranscoder: DeletePipeline elastictranscoder: DeletePreset elastictranscoder: ListJobsByPipeline elastictranscoder: ListJobsByStatus elastictranscoder: ListPipelines elastictranscoder: ListPresets elastictranscoder: ReadJob elastictranscoder: ReadPipeline elastictranscoder: ReadPreset elastictranscoder: TestRole elastictranscoder: UpdatePipeline elastictranscoder: UpdatePipelineNotifications elastictranscoder: UpdatePipelineStatus  | 
| kontainer emr |  emr-kontainer: CancelJobRun emr-kontainer: CreateJobTemplate emr-kontainer: CreateManagedEndpoint emr-kontainer: CreateSecurityConfiguration emr-kontainer: CreateVirtualCluster emr-kontainer: DeleteJobTemplate emr-kontainer: DeleteManagedEndpoint emr-kontainer: DeleteVirtualCluster emr-kontainer: DescribeJobRun emr-kontainer: DescribeJobTemplate emr-kontainer: DescribeManagedEndpoint emr-kontainer: DescribeSecurityConfiguration emr-kontainer: DescribeVirtualCluster emr-kontainer: GetManagedEndpointSessionCredentials emr-kontainer: ListJobRuns emr-kontainer: ListJobTemplates emr-kontainer: ListManagedEndpoints emr-kontainer: ListSecurityConfigurations emr-kontainer: ListVirtualClusters emr-kontainer: StartJobRun  | 
| emr-tanpa server |  emr-tanpa server: CancelJobRun emr-tanpa server: CreateApplication emr-tanpa server: DeleteApplication emr-tanpa server: GetApplication emr-tanpa server: GetDashboardForJobRun emr-tanpa server: GetJobRun emr-tanpa server: ListApplications emr-tanpa server: ListJobRunAttempts emr-tanpa server: ListJobRuns emr-tanpa server: StartApplication emr-tanpa server: StartJobRun emr-tanpa server: StopApplication emr-tanpa server: UpdateApplication  | 
| es |  es: AcceptInboundConnection es: AcceptInboundCrossClusterSearchConnection es: AssociatePackage es: AuthorizeVpcEndpointAccess es: CancelElasticsearchServiceSoftwareUpdate es: CancelServiceSoftwareUpdate es: CreateDomain es: CreateElasticsearchDomain es: CreateIndex es: CreateOutboundConnection es: CreateOutboundCrossClusterSearchConnection es: CreatePackage es: CreateVpcEndpoint es: DeleteDomain es: DeleteElasticsearchDomain es: DeleteElasticsearchServiceRole es: DeleteInboundConnection es: DeleteInboundCrossClusterSearchConnection es: DeleteIndex es: DeleteOutboundConnection es: DeleteOutboundCrossClusterSearchConnection es: DeletePackage es: DeleteVpcEndpoint es: DescribeDomain es: DescribeDomainAutoTunes es: DescribeDomainChangeProgress es: DescribeDomainConfig es: DescribeDomainHealth es: DescribeDomainNodes es: DescribeDomains es: DescribeDryRunProgress es: DescribeElasticsearchDomain es: DescribeElasticsearchDomainConfig es: DescribeElasticsearchDomains es: DescribeElasticsearchInstanceTypeLimits es: DescribeInboundConnections es: DescribeInboundCrossClusterSearchConnections es: DescribeInstanceTypeLimits es: DescribeOutboundConnections es: DescribeOutboundCrossClusterSearchConnections es: DescribePackages es: DescribeReservedElasticsearchInstanceOfferings es: DescribeReservedElasticsearchInstances es: DescribeReservedInstanceOfferings es: DescribeReservedInstances es: DescribeVpcEndpoints es: DissociatePackage es: DissociatePackages es: GetCompatibleElasticsearchVersions es: GetCompatibleVersions es: GetDataSource es: GetDomainMaintenanceStatus es: GetPackageVersionHistory es: GetUpgradeHistory es: GetUpgradeStatus es: ListDataSources es: ListDomainNames es: ListDomainsForPackage es: ListElasticsearchInstanceTypes es: ListElasticsearchVersions es: ListInstanceTypeDetails es: ListPackagesForDomain es: ListScheduledActions es: ListVersions es: ListVpcEndpointAccess es: ListVpcEndpoints es: ListVpcEndpointsForDomain es: PurchaseReservedElasticsearchInstanceOffering es: PurchaseReservedInstanceOffering es: RejectInboundConnection es: RejectInboundCrossClusterSearchConnection es: RevokeVpcEndpointAccess es: StartDomainMaintenance es: StartElasticsearchServiceSoftwareUpdate es: StartServiceSoftwareUpdate es: UpdateDataSource es: UpdateDomainConfig es: UpdateElasticsearchDomainConfig es: UpdateIndex es: UpdatePackage es: UpdatePackageScope es: UpdateScheduledAction es: UpdateVpcEndpoint es: UpgradeDomain es: UpgradeElasticsearchDomain  | 
| acara |  peristiwa: ActivateEventSource peristiwa: CancelReplay peristiwa: CreateApiDestination peristiwa: CreateArchive peristiwa: CreateConnection peristiwa: CreateEndpoint peristiwa: CreateEventBus peristiwa: CreatePartnerEventSource peristiwa: DeactivateEventSource peristiwa: DeauthorizeConnection peristiwa: DeleteApiDestination peristiwa: DeleteArchive peristiwa: DeleteConnection peristiwa: DeleteEndpoint peristiwa: DeleteEventBus peristiwa: DeletePartnerEventSource peristiwa: DeleteRule peristiwa: DescribeApiDestination peristiwa: DescribeArchive peristiwa: DescribeConnection peristiwa: DescribeEndpoint peristiwa: DescribeEventBus peristiwa: DescribeEventSource peristiwa: DescribePartnerEventSource peristiwa: DescribeReplay peristiwa: DescribeRule peristiwa: DisableRule peristiwa: EnableRule peristiwa: ListApiDestinations peristiwa: ListArchives peristiwa: ListConnections peristiwa: ListEndpoints peristiwa: ListEventBuses peristiwa: ListEventSources peristiwa: ListPartnerEventSourceAccounts peristiwa: ListPartnerEventSources peristiwa: ListReplays peristiwa: ListRuleNamesByTarget peristiwa: ListRules peristiwa: ListTargetsByRule peristiwa: PutPermission peristiwa: PutRule peristiwa: PutTargets peristiwa: RemovePermission peristiwa: RemoveTargets peristiwa: StartReplay peristiwa: TestEventPattern peristiwa: UpdateApiDestination peristiwa: UpdateArchive peristiwa: UpdateConnection peristiwa: UpdateEndpoint peristiwa: UpdateEventBus  | 
| ternyata |  jelas: CreateExperiment jelas: CreateFeature jelas: CreateLaunch jelas: CreateProject jelas: CreateSegment jelas: DeleteExperiment jelas: DeleteFeature jelas: DeleteLaunch jelas: DeleteProject jelas: DeleteSegment jelas: GetExperiment jelas: GetExperimentResults jelas: GetFeature jelas: GetLaunch jelas: GetProject jelas: GetSegment jelas: ListExperiments jelas: ListFeatures jelas: ListLaunches jelas: ListProjects jelas: ListSegmentReferences jelas: ListSegments jelas: StartExperiment jelas: StartLaunch jelas: StopExperiment jelas: StopLaunch jelas: TestSegmentPattern jelas: UpdateExperiment jelas: UpdateFeature jelas: UpdateLaunch jelas: UpdateProject jelas: UpdateProjectDataDelivery  | 
| finspace |  ruang finspace: CreateEnvironment ruang finspace: CreateKxChangeset ruang finspace: CreateKxCluster ruang finspace: CreateKxDatabase ruang finspace: CreateKxDataview ruang finspace: CreateKxEnvironment ruang finspace: CreateKxScalingGroup ruang finspace: CreateKxUser ruang finspace: CreateKxVolume ruang finspace: CreateUser ruang finspace: DeleteEnvironment ruang finspace: DeleteKxCluster ruang finspace: DeleteKxClusterNode ruang finspace: DeleteKxDatabase ruang finspace: DeleteKxDataview ruang finspace: DeleteKxEnvironment ruang finspace: DeleteKxScalingGroup ruang finspace: DeleteKxUser ruang finspace: DeleteKxVolume ruang finspace: GetEnvironment ruang finspace: GetKxChangeset ruang finspace: GetKxCluster ruang finspace: GetKxConnectionString ruang finspace: GetKxDatabase ruang finspace: GetKxDataview ruang finspace: GetKxEnvironment ruang finspace: GetKxScalingGroup ruang finspace: GetKxUser ruang finspace: GetKxVolume ruang finspace: GetLoadSampleDataSetGroupIntoEnvironmentStatus ruang finspace: GetUser ruang finspace: ListEnvironments ruang finspace: ListKxChangesets ruang finspace: ListKxClusterNodes ruang finspace: ListKxClusters ruang finspace: ListKxDatabases ruang finspace: ListKxDataviews ruang finspace: ListKxEnvironments ruang finspace: ListKxScalingGroups ruang finspace: ListKxUsers ruang finspace: ListKxVolumes ruang finspace: ListUsers ruang finspace: LoadSampleDataSetGroupIntoEnvironment ruang finspace: ResetUserPassword ruang finspace: UpdateEnvironment ruang finspace: UpdateKxClusterCodeConfiguration ruang finspace: UpdateKxClusterDatabases ruang finspace: UpdateKxDatabase ruang finspace: UpdateKxDataview ruang finspace: UpdateKxEnvironment ruang finspace: UpdateKxEnvironmentNetwork ruang finspace: UpdateKxUser ruang finspace: UpdateKxVolume ruang finspace: UpdateUser  | 
| firehose |  selang api: CreateDeliveryStream selang api: DeleteDeliveryStream selang api: DescribeDeliveryStream selang api: ListDeliveryStreams selang api: StartDeliveryStreamEncryption selang api: StopDeliveryStreamEncryption selang api: UpdateDestination  | 
| fis |  fis: CreateExperimentTemplate fis: CreateTargetAccountConfiguration fis: DeleteExperimentTemplate fis: DeleteTargetAccountConfiguration fis: GetAction fis: GetExperiment fis: GetExperimentTargetAccountConfiguration fis: GetExperimentTemplate fis: GetSafetyLever fis: GetTargetAccountConfiguration fis: GetTargetResourceType fis: ListActions fis: ListExperimentResolvedTargets fis: ListExperimentTargetAccountConfigurations fis: ListExperimentTemplates fis: ListExperiments fis: ListTargetAccountConfigurations fis: ListTargetResourceTypes fis: StartExperiment fis: StopExperiment fis: UpdateExperimentTemplate fis: UpdateSafetyLeverState fis: UpdateTargetAccountConfiguration  | 
| fms |  fms: AssociateAdminAccount fms: AssociateThirdPartyFirewall fms: BatchAssociateResource fms: BatchDisassociateResource fms: DeleteAppsList fms: DeleteNotificationChannel fms: DeletePolicy fms: DeleteProtocolsList fms: DeleteResourceSet fms: DisassociateAdminAccount fms: DisassociateThirdPartyFirewall fms: GetAdminAccount fms: GetAdminScope fms: GetAppsList fms: GetComplianceDetail fms: GetNotificationChannel fms: GetPolicy fms: GetProtectionStatus fms: GetProtocolsList fms: GetResourceSet fms: GetThirdPartyFirewallAssociationStatus fms: GetViolationDetails fms: ListAdminAccountsForOrganization fms: ListAdminsManagingAccount fms: ListAppsLists fms: ListComplianceStatus fms: ListDiscoveredResources fms: ListMemberAccounts fms: ListPolicies fms: ListProtocolsLists fms: ListResourceSetResources fms: ListResourceSets fms: ListThirdPartyFirewallFirewallPolicies fms: PutAdminAccount fms: PutAppsList fms: PutNotificationChannel fms: PutPolicy fms: PutProtocolsList fms: PutResourceSet  | 
| detektor penipuan |  detektor penipuan: BatchCreateVariable detektor penipuan: BatchGetVariable detektor penipuan: CancelBatchImportJob detektor penipuan: CancelBatchPredictionJob detektor penipuan: CreateBatchImportJob detektor penipuan: CreateBatchPredictionJob detektor penipuan: CreateDetectorVersion detektor penipuan: CreateList detektor penipuan: CreateModel detektor penipuan: CreateModelVersion detektor penipuan: CreateRule detektor penipuan: CreateVariable detektor penipuan: DeleteBatchImportJob detektor penipuan: DeleteBatchPredictionJob detektor penipuan: DeleteDetector detektor penipuan: DeleteDetectorVersion detektor penipuan: DeleteEntityType detektor penipuan: DeleteEvent detektor penipuan: DeleteEventType detektor penipuan: DeleteEventsByEventType detektor penipuan: DeleteExternalModel detektor penipuan: DeleteLabel detektor penipuan: DeleteList detektor penipuan: DeleteModel detektor penipuan: DeleteModelVersion detektor penipuan: DeleteOutcome detektor penipuan: DeleteRule detektor penipuan: DeleteVariable detektor penipuan: DescribeDetector detektor penipuan: DescribeModelVersions detektor penipuan: GetBatchImportJobs detektor penipuan: GetBatchPredictionJobs detektor penipuan: GetDeleteEventsByEventTypeStatus detektor penipuan: GetDetectorVersion detektor penipuan: GetDetectors detektor penipuan: GetEntityTypes detektor penipuan: GetEvent detektor penipuan: GetEventPrediction detektor penipuan: GetEventPredictionMetadata detektor penipuan: GetEventTypes detektor penipuan: GetExternalModels Detektor Penipu:Dapatkan Kunci KMSEncryption detektor penipuan: GetLabels detektor penipuan: GetListElements detektor penipuan: GetListsMetadata detektor penipuan: GetModelVersion detektor penipuan: GetModels detektor penipuan: GetOutcomes detektor penipuan: GetRules detektor penipuan: GetVariables detektor penipuan: ListEventPredictions detektor penipuan: PutDetector detektor penipuan: PutEntityType detektor penipuan: PutEventType detektor penipuan: PutExternalModel Detektor Penipu:Masukkan Kunci KMSEncryption detektor penipuan: PutLabel detektor penipuan: PutOutcome detektor penipuan: SendEvent detektor penipuan: UpdateDetectorVersion detektor penipuan: UpdateDetectorVersionMetadata detektor penipuan: UpdateDetectorVersionStatus detektor penipuan: UpdateEventLabel detektor penipuan: UpdateList detektor penipuan: UpdateModel detektor penipuan: UpdateModelVersion detektor penipuan: UpdateModelVersionStatus detektor penipuan: UpdateRuleMetadata detektor penipuan: UpdateRuleVersion detektor penipuan: UpdateVariable  | 
| fsx |  fsx: AssociateFileSystemAliases fsx: CancelDataRepositoryTask fsx: CopyBackup fsx: CreateDataRepositoryTask fsx: CreateFileCache fsx: CreateFileSystem fsx: CreateFileSystemFromBackup fsx: CreateSnapshot fsx: CreateStorageVirtualMachine fsx: CreateVolume fsx: CreateVolumeFromBackup fsx: DeleteBackup fsx: DeleteFileCache fsx: DeleteFileSystem fsx: DeleteSnapshot fsx: DeleteStorageVirtualMachine fsx: DeleteVolume fsx: DescribeBackups fsx: DescribeDataRepositoryAssociations fsx: DescribeDataRepositoryTasks fsx: DescribeFileCaches fsx: DescribeFileSystemAliases fsx: DescribeFileSystems FSX: Describes3 AccessPointAttachments fsx: DescribeSharedVpcConfiguration fsx: DescribeSnapshots fsx: DescribeStorageVirtualMachines fsx: DescribeVolumes fsx: S3 DetachAndDelete AccessPoint fsx: DisassociateFileSystemAliases fsx: ReleaseFileSystemNfs V3Locks fsx: RestoreVolumeFromSnapshot fsx: StartMisconfiguredStateRecovery fsx: UpdateDataRepositoryAssociation fsx: UpdateFileCache fsx: UpdateFileSystem fsx: UpdateSharedVpcConfiguration fsx: UpdateSnapshot fsx: UpdateStorageVirtualMachine fsx: UpdateVolume  | 
| gamelift |  gamelift: AcceptMatch gamelift: ClaimGameServer gamelift: CreateAlias gamelift: CreateBuild gamelift: CreateContainerGroupDefinition gamelift: CreateFleet gamelift: CreateFleetLocations gamelift: CreateGameServerGroup gamelift: CreateGameSession gamelift: CreateGameSessionQueue gamelift: CreateLocation gamelift: CreateMatchmakingConfiguration gamelift: CreateMatchmakingRuleSet gamelift: CreatePlayerSession gamelift: CreatePlayerSessions gamelift: CreateScript gamelift: CreateVpcPeeringAuthorization gamelift: CreateVpcPeeringConnection gamelift: DeleteAlias gamelift: DeleteBuild gamelift: DeleteContainerGroupDefinition gamelift: DeleteFleet gamelift: DeleteFleetLocations gamelift: DeleteGameServerGroup gamelift: DeleteGameSessionQueue gamelift: DeleteLocation gamelift: DeleteMatchmakingConfiguration gamelift: DeleteMatchmakingRuleSet gamelift: DeleteScalingPolicy gamelift: DeleteScript gamelift: DeleteVpcPeeringAuthorization gamelift: DeleteVpcPeeringConnection gamelift: DeregisterCompute gamelift: DeregisterGameServer gamelift: DescribeAlias gamelift: DescribeBuild gamelift: DescribeCompute gamelift: DescribeContainerFleet gamelift: DescribeContainerGroupDefinition GameLift: jelaskan EC2 InstanceLimits gamelift: DescribeFleetAttributes gamelift: DescribeFleetCapacity gamelift: DescribeFleetEvents gamelift: DescribeFleetLocationAttributes gamelift: DescribeFleetLocationCapacity gamelift: DescribeFleetLocationUtilization gamelift: DescribeFleetPortSettings gamelift: DescribeFleetUtilization gamelift: DescribeGameServer gamelift: DescribeGameServerGroup gamelift: DescribeGameServerInstances gamelift: DescribeGameSessionDetails gamelift: DescribeGameSessionPlacement gamelift: DescribeGameSessionQueues gamelift: DescribeGameSessions gamelift: DescribeInstances gamelift: DescribeMatchmaking gamelift: DescribeMatchmakingConfigurations gamelift: DescribeMatchmakingRuleSets gamelift: DescribePlayerSessions gamelift: DescribeRuntimeConfiguration gamelift: DescribeScalingPolicies gamelift: DescribeScript gamelift: DescribeVpcPeeringAuthorizations gamelift: DescribeVpcPeeringConnections gamelift: GetComputeAccess gamelift: GetComputeAuthToken gamelift: GetGameSessionLogUrl gamelift: GetInstanceAccess gamelift: ListAliases gamelift: ListBuilds gamelift: ListCompute gamelift: ListContainerFleets gamelift: ListContainerGroupDefinitionVersions gamelift: ListContainerGroupDefinitions gamelift: ListFleetDeployments gamelift: ListFleets gamelift: ListGameServerGroups gamelift: ListGameServers gamelift: ListLocations gamelift: ListScripts gamelift: PutScalingPolicy gamelift: RegisterCompute gamelift: RegisterGameServer gamelift: RequestUploadCredentials gamelift: ResolveAlias gamelift: ResumeGameServerGroup gamelift: SearchGameSessions gamelift: StartFleetActions gamelift: StartGameSessionPlacement gamelift: StartMatchBackfill gamelift: StartMatchmaking gamelift: StopFleetActions gamelift: StopGameSessionPlacement gamelift: StopMatchmaking gamelift: SuspendGameServerGroup gamelift: TerminateGameSession gamelift: UpdateAlias gamelift: UpdateBuild gamelift: UpdateContainerGroupDefinition gamelift: UpdateFleetAttributes gamelift: UpdateFleetCapacity gamelift: UpdateFleetPortSettings gamelift: UpdateGameServer gamelift: UpdateGameServerGroup gamelift: UpdateGameSession gamelift: UpdateGameSessionQueue gamelift: UpdateMatchmakingConfiguration gamelift: UpdateRuntimeConfiguration gamelift: UpdateScript gamelift: ValidateMatchmakingRuleSet  | 
| geo |  geografis: AssociateTrackerConsumer geografis: BatchDeleteDevicePositionHistory geografis: BatchDeleteGeofence geografis: BatchEvaluateGeofences geografis: BatchGetDevicePosition geografis: BatchPutGeofence geografis: BatchUpdateDevicePosition geografis: CalculateRoute geografis: CalculateRouteMatrix geografis: CreateGeofenceCollection geografis: CreateMap geografis: CreatePlaceIndex geografis: CreateRouteCalculator geografis: CreateTracker geografis: DeleteGeofenceCollection geografis: DeleteKey geografis: DeleteMap geografis: DeletePlaceIndex geografis: DeleteRouteCalculator geografis: DeleteTracker geografis: DescribeGeofenceCollection geografis: DescribeKey geografis: DescribeMap geografis: DescribePlaceIndex geografis: DescribeRouteCalculator geografis: DescribeTracker geografis: DisassociateTrackerConsumer geografis: ForecastGeofenceEvents geografis: GetDevicePosition geografis: GetDevicePositionHistory geografis: GetGeofence geografis: GetMapGlyphs geografis: GetMapSprites geografis: GetMapStyleDescriptor geografis: GetMapTile geografis: GetPlace geografis: ListDevicePositions geografis: ListGeofenceCollections geografis: ListGeofences geografis: ListKeys geografis: ListMaps geografis: ListPlaceIndexes geografis: ListRouteCalculators geografis: ListTrackerConsumers geografis: ListTrackers geografis: PutGeofence geografis: SearchPlaceIndexForPosition geografis: SearchPlaceIndexForSuggestions geografis: SearchPlaceIndexForText geografis: UpdateGeofenceCollection geografis: UpdateKey geografis: UpdateMap geografis: UpdatePlaceIndex geografis: UpdateRouteCalculator geografis: UpdateTracker geografis: VerifyDevicePosition  | 
| gletser |  gletser: AbortMultipartUpload gletser: AbortVaultLock gletser: CompleteMultipartUpload gletser: CompleteVaultLock gletser: CreateVault gletser: DeleteArchive gletser: DeleteVault gletser: DeleteVaultAccessPolicy gletser: DeleteVaultNotifications gletser: DescribeJob gletser: DescribeVault gletser: GetDataRetrievalPolicy gletser: GetJobOutput gletser: GetVaultAccessPolicy gletser: GetVaultLock gletser: GetVaultNotifications gletser: InitiateJob gletser: InitiateMultipartUpload gletser: InitiateVaultLock gletser: ListJobs gletser: ListMultipartUploads gletser: ListParts gletser: ListProvisionedCapacity gletser: ListVaults gletser: PurchaseProvisionedCapacity gletser: SetDataRetrievalPolicy gletser: SetVaultAccessPolicy gletser: SetVaultNotifications gletser: UploadArchive gletser: UploadMultipartPart  | 
| grafana |  grafana: AssociateLicense grafana: CreateWorkspace grafana: CreateWorkspaceApiKey grafana: CreateWorkspaceServiceAccount grafana: CreateWorkspaceServiceAccountToken grafana: DeleteWorkspace grafana: DeleteWorkspaceApiKey grafana: DeleteWorkspaceServiceAccount grafana: DeleteWorkspaceServiceAccountToken grafana: DescribeWorkspace grafana: DescribeWorkspaceAuthentication grafana: DescribeWorkspaceConfiguration grafana: DisassociateLicense grafana: ListPermissions grafana: ListVersions grafana: ListWorkspaceServiceAccountTokens grafana: ListWorkspaceServiceAccounts grafana: ListWorkspaces grafana: UpdatePermissions grafana: UpdateWorkspace grafana: UpdateWorkspaceAuthentication grafana: UpdateWorkspaceConfiguration  | 
| greengrass |  greengrass: AssociateRoleToGroup greengrass: AssociateServiceRoleToAccount greengrass: BatchAssociateClientDeviceWithCoreDevice greengrass: BatchDisassociateClientDeviceFromCoreDevice greengrass: CancelDeployment greengrass: CreateComponentVersion greengrass: CreateConnectorDefinition greengrass: CreateConnectorDefinitionVersion greengrass: CreateCoreDefinition greengrass: CreateCoreDefinitionVersion greengrass: CreateDeployment greengrass: CreateDeviceDefinition greengrass: CreateDeviceDefinitionVersion greengrass: CreateFunctionDefinition greengrass: CreateFunctionDefinitionVersion greengrass: CreateGroup greengrass: CreateGroupCertificateAuthority greengrass: CreateGroupVersion greengrass: CreateLoggerDefinition greengrass: CreateLoggerDefinitionVersion greengrass: CreateResourceDefinition greengrass: CreateResourceDefinitionVersion greengrass: CreateSoftwareUpdateJob greengrass: CreateSubscriptionDefinition greengrass: CreateSubscriptionDefinitionVersion greengrass: DeleteComponent greengrass: DeleteConnectorDefinition greengrass: DeleteCoreDefinition greengrass: DeleteCoreDevice greengrass: DeleteDeployment greengrass: DeleteDeviceDefinition greengrass: DeleteFunctionDefinition greengrass: DeleteGroup greengrass: DeleteLoggerDefinition greengrass: DeleteResourceDefinition greengrass: DeleteSubscriptionDefinition greengrass: DescribeComponent greengrass: DisassociateRoleFromGroup greengrass: DisassociateServiceRoleFromAccount greengrass: GetAssociatedRole greengrass: GetBulkDeploymentStatus greengrass: GetComponent greengrass: GetComponentVersionArtifact greengrass: GetConnectivityInfo greengrass: GetConnectorDefinition greengrass: GetConnectorDefinitionVersion greengrass: GetCoreDefinition greengrass: GetCoreDefinitionVersion greengrass: GetCoreDevice greengrass: GetDeployment greengrass: GetDeploymentStatus greengrass: GetDeviceDefinition greengrass: GetDeviceDefinitionVersion greengrass: GetFunctionDefinition greengrass: GetFunctionDefinitionVersion greengrass: GetGroup greengrass: GetGroupCertificateAuthority greengrass: GetGroupCertificateConfiguration greengrass: GetGroupVersion greengrass: GetLoggerDefinition greengrass: GetLoggerDefinitionVersion greengrass: GetResourceDefinition greengrass: GetResourceDefinitionVersion greengrass: GetServiceRoleForAccount greengrass: GetSubscriptionDefinition greengrass: GetSubscriptionDefinitionVersion greengrass: GetThingRuntimeConfiguration greengrass: ListBulkDeploymentDetailedReports greengrass: ListBulkDeployments greengrass: ListClientDevicesAssociatedWithCoreDevice greengrass: ListComponentVersions greengrass: ListComponents greengrass: ListConnectorDefinitionVersions greengrass: ListConnectorDefinitions greengrass: ListCoreDefinitionVersions greengrass: ListCoreDefinitions greengrass: ListCoreDevices greengrass: ListDeployments greengrass: ListDeviceDefinitionVersions greengrass: ListDeviceDefinitions greengrass: ListEffectiveDeployments greengrass: ListFunctionDefinitionVersions greengrass: ListFunctionDefinitions greengrass: ListGroupCertificateAuthorities greengrass: ListGroupVersions greengrass: ListGroups greengrass: ListInstalledComponents greengrass: ListLoggerDefinitionVersions greengrass: ListLoggerDefinitions greengrass: ListResourceDefinitionVersions greengrass: ListResourceDefinitions greengrass: ListSubscriptionDefinitionVersions greengrass: ListSubscriptionDefinitions greengrass: ResetDeployments greengrass: StartBulkDeployment greengrass: StopBulkDeployment greengrass: UpdateConnectivityInfo greengrass: UpdateConnectorDefinition greengrass: UpdateCoreDefinition greengrass: UpdateDeviceDefinition greengrass: UpdateFunctionDefinition greengrass: UpdateGroup greengrass: UpdateGroupCertificateConfiguration greengrass: UpdateLoggerDefinition greengrass: UpdateResourceDefinition greengrass: UpdateSubscriptionDefinition greengrass: UpdateThingRuntimeConfiguration  | 
| stasiun tanah |  stasiun tanah: CancelContact stasiun tanah: CreateConfig stasiun tanah: CreateDataflowEndpointGroup stasiun tanah: V2 CreateDataflowEndpointGroup stasiun tanah: CreateEphemeris stasiun tanah: CreateMissionProfile stasiun tanah: DeleteConfig stasiun tanah: DeleteDataflowEndpointGroup stasiun tanah: DeleteEphemeris stasiun tanah: DeleteMissionProfile stasiun tanah: DescribeContact stasiun tanah: DescribeEphemeris stasiun tanah: GetConfig stasiun tanah: GetDataflowEndpointGroup stasiun tanah: GetMinuteUsage stasiun tanah: GetMissionProfile stasiun tanah: GetSatellite stasiun tanah: ListConfigs stasiun tanah: ListContacts stasiun tanah: ListDataflowEndpointGroups stasiun tanah: ListEphemerides stasiun tanah: ListGroundStations stasiun tanah: ListMissionProfiles stasiun tanah: ListSatellites stasiun tanah: RegisterAgent stasiun tanah: ReserveContact stasiun tanah: UpdateAgentStatus stasiun tanah: UpdateConfig stasiun tanah: UpdateEphemeris stasiun tanah: UpdateMissionProfile  | 
| tugas jaga |  tugas jaga: AcceptAdministratorInvitation tugas jaga: AcceptInvitation tugas jaga: ArchiveFindings tugas jaga: CreateDetector tugas jaga: CreateFilter GuardDuty:Buat IPSet tugas jaga: CreateMalwareProtectionPlan tugas jaga: CreateMembers tugas jaga: CreatePublishingDestination tugas jaga: CreateSampleFindings tugas jaga: CreateThreatEntitySet tugas jaga: CreateThreatIntelSet tugas jaga: CreateTrustedEntitySet tugas jaga: DeclineInvitations tugas jaga: DeleteDetector tugas jaga: DeleteFilter GuardDuty: hapus IPSet tugas jaga: DeleteInvitations tugas jaga: DeleteMalwareProtectionPlan tugas jaga: DeleteMembers tugas jaga: DeletePublishingDestination tugas jaga: DeleteThreatEntitySet tugas jaga: DeleteThreatIntelSet tugas jaga: DeleteTrustedEntitySet tugas jaga: DescribeMalwareScans tugas jaga: DescribeOrganizationConfiguration tugas jaga: DescribePublishingDestination tugas jaga: DisableOrganizationAdminAccount tugas jaga: DisassociateFromAdministratorAccount tugas jaga: DisassociateFromMasterAccount tugas jaga: DisassociateMembers tugas jaga: EnableOrganizationAdminAccount tugas jaga: GetAdministratorAccount tugas jaga: GetCoverageStatistics tugas jaga: GetDetector tugas jaga: GetFilter tugas jaga: GetFindings tugas jaga: GetFindingsStatistics GuardDuty: Dapatkan IPSet tugas jaga: GetInvitationsCount tugas jaga: GetMalwareProtectionPlan tugas jaga: GetMalwareScan tugas jaga: GetMalwareScanSettings tugas jaga: GetMasterAccount tugas jaga: GetMemberDetectors tugas jaga: GetMembers tugas jaga: GetOrganizationStatistics tugas jaga: GetRemainingFreeTrialDays tugas jaga: GetThreatEntitySet tugas jaga: GetThreatIntelSet tugas jaga: GetTrustedEntitySet tugas jaga: GetUsageStatistics tugas jaga: InviteMembers tugas jaga: ListCoverage tugas jaga: ListDetectors tugas jaga: ListFilters tugas jaga: ListFindings GuardDuty:Daftar IPSets tugas jaga: ListInvitations tugas jaga: ListMalwareProtectionPlans tugas jaga: ListMalwareScans tugas jaga: ListMembers tugas jaga: ListOrganizationAdminAccounts tugas jaga: ListPublishingDestinations tugas jaga: ListThreatEntitySets tugas jaga: ListThreatIntelSets tugas jaga: ListTrustedEntitySets tugas jaga: StartMalwareScan tugas jaga: StartMonitoringMembers tugas jaga: StopMonitoringMembers tugas jaga: UnarchiveFindings tugas jaga: UpdateDetector tugas jaga: UpdateFilter tugas jaga: UpdateFindingsFeedback GuardDuty: Perbarui IPSet tugas jaga: UpdateMalwareProtectionPlan tugas jaga: UpdateMalwareScanSettings tugas jaga: UpdateMemberDetectors tugas jaga: UpdateOrganizationConfiguration tugas jaga: UpdatePublishingDestination tugas jaga: UpdateThreatEntitySet tugas jaga: UpdateThreatIntelSet tugas jaga: UpdateTrustedEntitySet  | 
| healthlake |  Healthlake:batalkan FHIRExport JobWithDelete Healthlake:Buat FHIRDatastore Healthlake: CreateResource Healthlake:Hapus FHIRDatastore Healthlake: DeleteResource Healthlake:jelaskan FHIRDatastore FHIRExportHealthlake:Jelaskan Job Healthlake:jelaskan FHIRExport JobWithGet FHIRImportHealthlake:Jelaskan Job Healthlake: GetCapabilities Healthlake:daftar FHIRDatastores Healthlake:Daftar Pekerjaan FHIRExport Healthlake:Daftar Pekerjaan FHIRImport Healthlake: ReadResource Healthlake: SearchEverything Healthlake: SearchWithGet Healthlake: SearchWithPost FHIRExportHealthlake:Mulai Job Healthlake:Mulai FHIRExport JobWithPost FHIRImportHealthlake:Mulai Job Healthlake: UpdateResource  | 
| kode madu |  kode madu: BatchCreateTableRows kode madu: BatchDeleteTableRows kode madu: BatchUpdateTableRows kode madu: BatchUpsertTableRows kode madu: DescribeTableDataImportJob kode madu: GetScreenData kode madu: InvokeScreenAutomation kode madu: ListTableColumns kode madu: ListTableRows kode madu: ListTables kode madu: QueryTableRows kode madu: StartTableDataImportJob  | 
| iam |  iam: Penyedia AddClient IDTo Terbuka IDConnect saya: AddRoleToInstanceProfile saya: AddUserToGroup saya: AttachGroupPolicy saya: AttachRolePolicy saya: AttachUserPolicy saya: ChangePassword saya: CreateAccessKey saya: CreateAccountAlias saya: CreateGroup saya: CreateInstanceProfile saya: CreateLoginProfile iam: Penyedia CreateOpen IDConnect saya: CreatePolicy saya: CreatePolicyVersion saya: CreateRole IAM:Buat SAMLProvider saya: CreateServiceLinkedRole saya: CreateServiceSpecificCredential saya: CreateUser saya: CreateVirtual MFADevice iam:Nonaktifkan MFADevice saya: DeleteAccessKey saya: DeleteAccountAlias saya: DeleteAccountPasswordPolicy saya: DeleteCloudFrontPublicKey saya: DeleteGroup saya: DeleteGroupPolicy saya: DeleteInstanceProfile saya: DeleteLoginProfile iam: Penyedia DeleteOpen IDConnect saya: DeletePolicy saya: DeletePolicyVersion saya: DeleteRole saya: DeleteRolePermissionsBoundary saya: DeleteRolePolicy Iam:hapus SAMLProvider IAM:Hapus Kunci SSHPublic saya: DeleteServerCertificate saya: DeleteServiceLinkedRole saya: DeleteServiceSpecificCredential saya: DeleteSigningCertificate saya: DeleteUser saya: DeleteUserPermissionsBoundary saya: DeleteUserPolicy saya: DeleteVirtual MFADevice saya: DetachGroupPolicy saya: DetachRolePolicy saya: DetachUserPolicy saya: DisableOrganizationsRootCredentialsManagement saya: DisableOrganizationsRootSessions saya: DisableOutboundWebIdentityFederation IAM:aktifkan MFADevice saya: EnableOrganizationsRootCredentialsManagement saya: EnableOrganizationsRootSessions saya: EnableOutboundWebIdentityFederation saya: GenerateCredentialReport saya: GenerateOrganizationsAccessReport saya: GenerateServiceLastAccessedDetails saya: GetAccessKeyLastUsed saya: GetAccountAuthorizationDetails saya: GetAccountEmailAddress saya: GetAccountName saya: GetAccountPasswordPolicy saya: GetAccountSummary saya: GetCloudFrontPublicKey saya: GetContextKeysForCustomPolicy saya: GetContextKeysForPrincipalPolicy saya: GetCredentialReport saya: GetGroup saya: GetGroupPolicy saya: GetInstanceProfile saya: GetLoginProfile Iam:Dapatkan MFADevice iam: Penyedia GetOpen IDConnect saya: GetOrganizationsAccessReport saya: GetOutboundWebIdentityFederationInfo saya: GetPolicy saya: GetPolicyVersion saya: GetRole saya: GetRolePolicy Iam:Dapatkan SAMLProvider IAM:Dapatkan Kunci SSHPublic saya: GetServerCertificate saya: GetServiceLastAccessedDetails saya: GetServiceLastAccessedDetailsWithEntities saya: GetServiceLinkedRoleDeletionStatus saya: GetUser saya: GetUserPolicy saya: ListAccessKeys saya: ListAccountAliases saya: ListAttachedGroupPolicies saya: ListAttachedRolePolicies saya: ListAttachedUserPolicies saya: ListCloudFrontPublicKeys saya: ListDelegationRequests saya: ListEntitiesForPolicy saya: ListGroupPolicies saya: ListGroups saya: ListGroupsForUser saya: ListInstanceProfiles saya: ListInstanceProfilesForRole IAM:Daftar MFADevices iam: Penyedia ListOpen IDConnect saya: ListOrganizationsFeatures saya: ListPolicies saya: ListPoliciesGrantingServiceAccess saya: ListPolicyVersions saya: ListRolePolicies saya: ListRoles IAM:Daftar SAMLProviders IAM:Daftar Kunci SSHPublic IAM:Daftar STSRegional EndpointsStatus saya: ListServerCertificates saya: ListServiceSpecificCredentials saya: ListSigningCertificates saya: ListUserPolicies saya: ListUsers saya: ListVirtual MFADevices saya: PutGroupPolicy saya: PutRolePermissionsBoundary saya: PutRolePolicy saya: PutUserPermissionsBoundary saya: PutUserPolicy iam: Penyedia RemoveClient IDFrom Terbuka IDConnect saya: RemoveRoleFromInstanceProfile saya: RemoveUserFromGroup saya: ResetServiceSpecificCredential iam:Resinkronisasi MFADevice saya: SetDefaultPolicyVersion IAM: Set STSRegional EndpointStatus saya: SetSecurityTokenServicePreferences saya: SimulateCustomPolicy saya: SimulatePrincipalPolicy saya: UpdateAccessKey saya: UpdateAccountEmailAddress saya: UpdateAccountName saya: UpdateAccountPasswordPolicy saya: UpdateAssumeRolePolicy saya: UpdateCloudFrontPublicKey saya: UpdateGroup saya: UpdateLoginProfile saya: UpdateOpen IDConnect ProviderThumbprint saya: UpdateRole saya: UpdateRoleDescription IAM:Perbarui SAMLProvider SSHPublicIAM:Perbarui Kunci saya: UpdateServerCertificate saya: UpdateServiceSpecificCredential saya: UpdateSigningCertificate saya: UpdateUser saya: UploadCloudFrontPublicKey SSHPublicIam:Unggah Kunci saya: UploadServerCertificate saya: UploadSigningCertificate  | 
| toko identitas |  toko identitas: CreateGroup toko identitas: CreateGroupMembership toko identitas: CreateUser toko identitas: DeleteGroup toko identitas: DeleteGroupMembership toko identitas: DeleteUser toko identitas: DescribeGroup toko identitas: DescribeGroupMembership toko identitas: DescribeUser toko identitas: GetGroupId toko identitas: GetGroupMembershipId toko identitas: GetUserId toko identitas: IsMemberInGroups toko identitas: ListGroupMemberships toko identitas: ListGroupMembershipsForMember toko identitas: ListGroups toko identitas: ListUsers toko identitas: UpdateGroup toko identitas: UpdateUser  | 
| imagebuilder |  imagebuilder: CancelImageCreation imagebuilder: CancelLifecycleExecution imagebuilder: CreateComponent imagebuilder: CreateContainerRecipe imagebuilder: CreateDistributionConfiguration imagebuilder: CreateImage imagebuilder: CreateImagePipeline imagebuilder: CreateImageRecipe imagebuilder: CreateInfrastructureConfiguration imagebuilder: CreateLifecyclePolicy imagebuilder: CreateWorkflow imagebuilder: DeleteComponent imagebuilder: DeleteContainerRecipe imagebuilder: DeleteDistributionConfiguration imagebuilder: DeleteImage imagebuilder: DeleteImagePipeline imagebuilder: DeleteImageRecipe imagebuilder: DeleteInfrastructureConfiguration imagebuilder: DeleteLifecyclePolicy imagebuilder: DeleteWorkflow imagebuilder: DistributeImage imagebuilder: GetComponentPolicy imagebuilder: GetContainerRecipePolicy imagebuilder: GetImagePolicy imagebuilder: GetImageRecipePolicy imagebuilder: GetLifecycleExecution imagebuilder: GetLifecyclePolicy imagebuilder: GetMarketplaceResource imagebuilder: GetWorkflowExecution imagebuilder: GetWorkflowStepExecution imagebuilder: ImportComponent imagebuilder: ImportDiskImage imagebuilder: ImportVmImage imagebuilder: ListComponentBuildVersions imagebuilder: ListComponents imagebuilder: ListContainerRecipes imagebuilder: ListDistributionConfigurations imagebuilder: ListImageBuildVersions imagebuilder: ListImagePackages imagebuilder: ListImagePipelineImages imagebuilder: ListImagePipelines imagebuilder: ListImageRecipes imagebuilder: ListImageScanFindingAggregations imagebuilder: ListImageScanFindings imagebuilder: ListImages imagebuilder: ListInfrastructureConfigurations imagebuilder: ListLifecycleExecutionResources imagebuilder: ListLifecycleExecutions imagebuilder: ListLifecyclePolicies imagebuilder: ListWaitingWorkflowSteps imagebuilder: ListWorkflowExecutions imagebuilder: ListWorkflowStepExecutions imagebuilder: ListWorkflows imagebuilder: PutComponentPolicy imagebuilder: PutContainerRecipePolicy imagebuilder: PutImagePolicy imagebuilder: PutImageRecipePolicy imagebuilder: RetryImage imagebuilder: SendWorkflowStepAction imagebuilder: StartImagePipelineExecution imagebuilder: StartResourceStateUpdate imagebuilder: UpdateDistributionConfiguration imagebuilder: UpdateImagePipeline imagebuilder: UpdateInfrastructureConfiguration  | 
| inspektur |  inspektur: AddAttributesToFindings inspektur: CreateAssessmentTarget inspektur: CreateAssessmentTemplate inspektur: CreateExclusionsPreview inspektur: CreateResourceGroup inspektur: DeleteAssessmentRun inspektur: DeleteAssessmentTarget inspektur: DeleteAssessmentTemplate inspektur: DescribeAssessmentRuns inspektur: DescribeAssessmentTargets inspektur: DescribeAssessmentTemplates inspektur: DescribeCrossAccountAccessRole inspektur: DescribeExclusions inspektur: DescribeFindings inspektur: DescribeResourceGroups inspektur: DescribeRulesPackages inspektur: GetAssessmentReport inspektur: GetExclusionsPreview inspektur: GetTelemetryMetadata inspektur: ListAssessmentRunAgents inspektur: ListAssessmentRuns inspektur: ListAssessmentTargets inspektur: ListAssessmentTemplates inspektur: ListEventSubscriptions inspektur: ListExclusions inspektur: ListFindings inspektur: ListRulesPackages inspektur: PreviewAgents inspektur: RegisterCrossAccountAccessRole inspektur: RemoveAttributesFromFindings inspektur: StartAssessmentRun inspektur: StopAssessmentRun inspektur: SubscribeToEvent inspektur: UnsubscribeFromEvent inspektur: UpdateAssessmentTarget  | 
| inspektor2 |  inspektor2: AssociateMember inspektor2: BatchGetAccountStatus inspektor2: BatchGetCodeSnippet inspektor2: BatchGetFindingDetails inspektor2: BatchGetFreeTrialInfo inspektor2:2 BatchGetMemberEc DeepInspectionStatus inspektor2:2 BatchUpdateMemberEc DeepInspectionStatus inspektor2: CancelFindingsReport inspektor2: CancelSbomExport inspektor2: CreateCisScanConfiguration inspektor2: CreateCodeSecurityIntegration inspektor2: CreateFilter inspektor2: CreateFindingsReport inspektor2: CreateSbomExport inspektor2: DeleteCisScanConfiguration inspektor2: DeleteCodeSecurityIntegration inspektor2: DeleteFilter inspektor2: DescribeOrganizationConfiguration Inspector2: Nonaktifkan inspektor2: DisableDelegatedAdminAccount inspektor2: DisassociateMember Inspector2: aktifkan inspektor2: EnableDelegatedAdminAccount inspektor2: GetCisScanReport inspektor2: GetCisScanResultDetails inspektor2: GetClustersForImage inspektor2: GetCodeSecurityIntegration inspektor2: GetCodeSecurityScan inspektor2: GetConfiguration inspektor2: GetDelegatedAdminAccount inspektor2:2 GetEc DeepInspectionConfiguration inspektor2: GetEncryptionKey inspektor2: GetFindingsReportStatus inspektor2: GetMember inspektor2: GetSbomExport inspektor2: ListAccountPermissions inspektor2: ListCisScanConfigurations inspektor2: ListCisScanResultsAggregatedByChecks inspektor2: ListCisScanResultsAggregatedByTargetResource inspektor2: ListCisScans inspektor2: ListCodeSecurityIntegrations inspektor2: ListCodeSecurityScanConfigurations inspektor2: ListCoverage inspektor2: ListCoverageStatistics inspektor2: ListDelegatedAdminAccounts inspektor2: ListFilters inspektor2: ListFindingAggregations inspektor2: ListFindings inspektor2: ListMembers inspektor2: ListUsageTotals inspektor2: ResetEncryptionKey inspektor2: SearchVulnerabilities inspektor2: SendCisSessionHealth inspektor2: SendCisSessionTelemetry inspektor2: StartCisSession inspektor2: StartCodeSecurityScan inspektor2: StopCisSession inspektor2: UpdateCisScanConfiguration inspektor2: UpdateCodeSecurityIntegration inspektor2: UpdateConfiguration inspektor2:2 UpdateEc DeepInspectionConfiguration inspektor2: UpdateEncryptionKey inspektor2: UpdateFilter inspektor2:2 UpdateOrgEc DeepInspectionConfiguration inspektor2: UpdateOrganizationConfiguration  | 
| iot |  IOT: AcceptCertificateTransfer IOT: AddThingToBillingGroup IOT: AddThingToThingGroup IOT: AssociateSbomWithPackageVersion IOT: AssociateTargetsWithJob IOT: AttachPolicy IOT: AttachPrincipalPolicy IOT: AttachSecurityProfile IOT: AttachThingPrincipal IOT: CancelAuditMitigationActionsTask IOT: CancelAuditTask IOT: CancelCertificateTransfer IOT: CancelDetectMitigationActionsTask IOT: CancelJob IOT: CancelJobExecution IOT: ClearDefaultAuthorizer IOT: ConfirmTopicRuleDestination IOT: CreateAuditSuppression IOT: CreateAuthorizer IOT: CreateBillingGroup IOT: CreateCertificateFromCsr IOT: CreateCertificateProvider IOT: CreateCommand IOT: CreateCustomMetric IOT: CreateDimension IOT: CreateDomainConfiguration IOT: CreateDynamicThingGroup IOT: CreateFleetMetric IOT: CreateJob IOT: CreateJobTemplate IOT: CreateKeysAndCertificate IOT: CreateMitigationAction IoT: Buat OTAUpdate IOT: CreatePackage IOT: CreatePackageVersion IOT: CreatePolicy IOT: CreatePolicyVersion IOT: CreateProvisioningClaim IOT: CreateProvisioningTemplate IOT: CreateProvisioningTemplateVersion IOT: CreateRoleAlias IOT: CreateScheduledAudit IOT: CreateSecurityProfile IOT: CreateStream IOT: CreateThing IOT: CreateThingGroup IOT: CreateThingType IOT: CreateTopicRule IOT: CreateTopicRuleDestination IOT: DeleteAccountAuditConfiguration IOT: DeleteAuditSuppression IOT: DeleteAuthorizer IOT: DeleteBillingGroup IoT: hapus CACertificate IOT: DeleteCertificate IOT: DeleteCertificateProvider IOT: DeleteCommand IOT: DeleteCustomMetric IOT: DeleteDimension IOT: DeleteDomainConfiguration IOT: DeleteDynamicThingGroup IOT: DeleteFleetMetric IOT: DeleteJob IOT: DeleteJobExecution IOT: DeleteJobTemplate IOT: DeleteMitigationAction IoT: hapus OTAUpdate IOT: DeletePackage IOT: DeletePackageVersion IOT: DeletePolicy IOT: DeletePolicyVersion IOT: DeleteProvisioningTemplate IOT: DeleteProvisioningTemplateVersion IOT: DeleteRegistrationCode IOT: DeleteRoleAlias IOT: DeleteScheduledAudit IOT: DeleteSecurityProfile IOT: DeleteStream IOT: DeleteThing IOT: DeleteThingGroup IOT: DeleteThingType IOT: DeleteTopicRule IOT: DeleteTopicRuleDestination IoT: DeleteV2 LoggingLevel IOT: DeprecateThingType IOT: DescribeAccountAuditConfiguration IOT: DescribeAuditFinding IOT: DescribeAuditMitigationActionsTask IOT: DescribeAuditSuppression IOT: DescribeAuditTask IOT: DescribeAuthorizer IOT: DescribeBillingGroup IoT: jelaskan CACertificate IOT: DescribeCertificate IOT: DescribeCertificateProvider IOT: DescribeCustomMetric IOT: DescribeDefaultAuthorizer IOT: DescribeDetectMitigationActionsTask IOT: DescribeDimension IOT: DescribeDomainConfiguration IOT: DescribeEncryptionConfiguration IOT: DescribeEndpoint IOT: DescribeEventConfigurations IOT: DescribeFleetMetric IOT: DescribeIndex IOT: DescribeJob IOT: DescribeJobExecution IOT: DescribeJobTemplate IOT: DescribeManagedJobTemplate IOT: DescribeMitigationAction IOT: DescribeProvisioningTemplate IOT: DescribeProvisioningTemplateVersion IOT: DescribeRoleAlias IOT: DescribeScheduledAudit IOT: DescribeSecurityProfile IOT: DescribeStream IOT: DescribeThing IOT: DescribeThingGroup IOT: DescribeThingRegistrationTask IOT: DescribeThingType IOT: DetachPolicy IOT: DetachPrincipalPolicy IOT: DetachSecurityProfile IOT: DetachThingPrincipal IOT: DisableTopicRule IOT: DisassociateSbomFromPackageVersion IOT: EnableTopicRule IOT: GetBehaviorModelTrainingSummaries IOT: GetBucketsAggregation IOT: GetCardinality IOT: GetCommand IOT: GetEffectivePolicies IOT: GetJobDocument IOT: GetLoggingOptions IoT: Dapatkan OTAUpdate IOT: GetPackage IOT: GetPackageConfiguration IOT: GetPackageVersion IOT: GetPercentiles IOT: GetPolicy IOT: GetPolicyVersion IOT: GetRegistrationCode IOT: GetStatistics IOT: GetThingConnectivityData IOT: GetTopicRule IOT: GetTopicRuleDestination IoT: GetV2 LoggingOptions IOT: ListActiveViolations IOT: ListAttachedPolicies IOT: ListAuditFindings IOT: ListAuditMitigationActionsExecutions IOT: ListAuditMitigationActionsTasks IOT: ListAuditSuppressions IOT: ListAuditTasks IOT: ListAuthorizers IOT: ListBillingGroups IoT: Daftar CACertificates IOT: ListCertificateProviders IOT: ListCertificates IoT: CA ListCertificatesBy IOT: ListCommands IOT: ListCustomMetrics IOT: ListDetectMitigationActionsExecutions IOT: ListDetectMitigationActionsTasks IOT: ListDimensions IOT: ListDomainConfigurations IOT: ListFleetMetrics IOT: ListIndices IOT: ListJobExecutionsForJob IOT: ListJobExecutionsForThing IOT: ListJobTemplates IOT: ListJobs IOT: ListManagedJobTemplates IOT: ListMetricValues IOT: ListMitigationActions IoT: Daftar OTAUpdates IOT: ListOutgoingCertificates IOT: ListPackageVersions IOT: ListPackages IOT: ListPolicies IOT: ListPolicyPrincipals IOT: ListPolicyVersions IOT: ListPrincipalPolicies IOT: ListPrincipalThings IoT: V2 ListPrincipalThings IOT: ListProvisioningTemplateVersions IOT: ListProvisioningTemplates IOT: ListRelatedResourcesForAuditFinding IOT: ListRoleAliases IOT: ListSbomValidationResults IOT: ListScheduledAudits IOT: ListSecurityProfiles IOT: ListSecurityProfilesForTarget IOT: ListStreams IOT: ListTargetsForPolicy IOT: ListTargetsForSecurityProfile IOT: ListThingGroups IOT: ListThingGroupsForThing IOT: ListThingPrincipals IoT: V2 ListThingPrincipals IOT: ListThingRegistrationTaskReports IOT: ListThingRegistrationTasks IOT: ListThingTypes IOT: ListThings IOT: ListThingsInBillingGroup IOT: ListThingsInThingGroup IOT: ListTopicRuleDestinations IOT: ListTopicRules IoT: Listv2 LoggingLevels IOT: ListViolationEvents IOT: PutVerificationStateOnViolation IoT: Daftar CACertificate IOT: RegisterCertificate IoT: CA RegisterCertificateWithout IOT: RegisterThing IOT: RejectCertificateTransfer IOT: RemoveThingFromBillingGroup IOT: RemoveThingFromThingGroup IOT: ReplaceTopicRule IOT: SearchIndex IOT: SetDefaultAuthorizer IOT: SetDefaultPolicyVersion IOT: SetLoggingOptions IoT: SETv2 LoggingLevel IoT: SETv2 LoggingOptions IOT: StartAuditMitigationActionsTask IOT: StartDetectMitigationActionsTask IOT: StartOnDemandAuditTask IOT: StartThingRegistrationTask IOT: StopThingRegistrationTask IOT: TestAuthorization IOT: TestInvokeAuthorizer IOT: TransferCertificate IOT: UpdateAccountAuditConfiguration IOT: UpdateAuditSuppression IOT: UpdateAuthorizer IOT: UpdateBillingGroup IoT: Perbarui CACertificate IOT: UpdateCertificate IOT: UpdateCertificateProvider IOT: UpdateCommand IOT: UpdateCustomMetric IOT: UpdateDimension IOT: UpdateDomainConfiguration IOT: UpdateDynamicThingGroup IOT: UpdateEncryptionConfiguration IOT: UpdateEventConfigurations IOT: UpdateFleetMetric IOT: UpdateIndexingConfiguration IOT: UpdateJob IOT: UpdateMitigationAction IOT: UpdatePackage IOT: UpdatePackageConfiguration IOT: UpdatePackageVersion IOT: UpdateProvisioningTemplate IOT: UpdateRoleAlias IOT: UpdateScheduledAudit IOT: UpdateSecurityProfile IOT: UpdateStream IOT: UpdateThing IOT: UpdateThingGroup IOT: UpdateThingGroupsForThing IOT: UpdateThingType IOT: UpdateTopicRuleDestination IOT: ValidateSecurityProfileBehaviors  | 
| iotanalitik |  iotanalitik: CancelPipelineReprocessing iotanalitik: CreateChannel iotanalitik: CreateDataset iotanalitik: CreateDatasetContent iotanalitik: CreateDatastore iotanalitik: CreatePipeline iotanalitik: DeleteChannel iotanalitik: DeleteDataset iotanalitik: DeleteDatasetContent iotanalitik: DeleteDatastore iotanalitik: DeletePipeline iotanalitik: DescribeChannel iotanalitik: DescribeDataset iotanalitik: DescribeDatastore iotanalitik: DescribeLoggingOptions iotanalitik: DescribePipeline iotanalitik: GetDatasetContent iotanalitik: ListChannels iotanalitik: ListDatasetContents iotanalitik: ListDatasets iotanalitik: ListDatastores iotanalitik: ListPipelines iotanalitik: PutLoggingOptions iotanalitik: RunPipelineActivity iotanalitik: SampleChannelData iotanalitik: StartPipelineReprocessing iotanalitik: UpdateChannel iotanalitik: UpdateDataset iotanalitik: UpdateDatastore iotanalitik: UpdatePipeline  | 
| iotdeviceadvisor |  iotdeviceadvisor: CreateSuiteDefinition iotdeviceadvisor: DeleteSuiteDefinition iotdeviceadvisor: GetEndpoint iotdeviceadvisor: GetSuiteDefinition iotdeviceadvisor: GetSuiteRun iotdeviceadvisor: GetSuiteRunReport iotdeviceadvisor: ListSuiteDefinitions iotdeviceadvisor: ListSuiteRuns iotdeviceadvisor: StartSuiteRun iotdeviceadvisor: StopSuiteRun iotdeviceadvisor: UpdateSuiteDefinition  | 
| iotevents |  iotevents: BatchAcknowledgeAlarm iotevents: BatchDeleteDetector iotevents: BatchDisableAlarm iotevents: BatchEnableAlarm iotevents: BatchResetAlarm iotevents: BatchSnoozeAlarm iotevents: BatchUpdateDetector iotevents: CreateAlarmModel iotevents: CreateDetectorModel iotevents: CreateInput iotevents: DeleteAlarmModel iotevents: DeleteDetectorModel iotevents: DeleteInput iotevents: DescribeAlarm iotevents: DescribeAlarmModel iotevents: DescribeDetector iotevents: DescribeDetectorModel iotevents: DescribeDetectorModelAnalysis iotevents: DescribeInput iotevents: DescribeLoggingOptions iotevents: GetDetectorModelAnalysisResults iotevents: ListAlarmModelVersions iotevents: ListAlarmModels iotevents: ListAlarms iotevents: ListDetectorModelVersions iotevents: ListDetectorModels iotevents: ListDetectors iotevents: ListInputRoutings iotevents: ListInputs iotevents: PutLoggingOptions iotevents: StartDetectorModelAnalysis iotevents: UpdateAlarmModel iotevents: UpdateDetectorModel iotevents: UpdateInput  | 
| iotfleethub |  iotfleethub: CreateApplication iotfleethub: DeleteApplication iotfleethub: DescribeApplication iotfleethub: ListApplications iotfleethub: UpdateApplication  | 
| iotsitewise |  iotsitewise: AssociateAssets iotsitewise: AssociateTimeSeriesToAssetProperty iotsitewise: BatchAssociateProjectAssets iotsitewise: BatchDisassociateProjectAssets iotsitewise: CreateAccessPolicy iotsitewise: CreateAsset iotsitewise: CreateAssetModel iotsitewise: CreateAssetModelCompositeModel iotsitewise: CreateBulkImportJob iotsitewise: CreateComputationModel iotsitewise: CreateDashboard iotsitewise: CreateDataset iotsitewise: CreateGateway iotsitewise: CreatePortal iotsitewise: CreateProject iotsitewise: DeleteAccessPolicy iotsitewise: DeleteAsset iotsitewise: DeleteAssetModel iotsitewise: DeleteAssetModelCompositeModel iotsitewise: DeleteComputationModel iotsitewise: DeleteDashboard iotsitewise: DeleteDataset iotsitewise: DeleteGateway iotsitewise: DeletePortal iotsitewise: DeleteProject iotsitewise: DeleteTimeSeries iotsitewise: DescribeAccessPolicy iotsitewise: DescribeAsset iotsitewise: DescribeAssetCompositeModel iotsitewise: DescribeAssetModel iotsitewise: DescribeAssetModelCompositeModel iotsitewise: DescribeAssetModelInterfaceRelationship iotsitewise: DescribeAssetProperty iotsitewise: DescribeBulkImportJob iotsitewise: DescribeComputationModel iotsitewise: DescribeComputationModelExecutionSummary iotsitewise: DescribeDashboard iotsitewise: DescribeDataset iotsitewise: DescribeDefaultEncryptionConfiguration iotsitewise: DescribeExecution iotsitewise: DescribeGateway iotsitewise: DescribeGatewayCapabilityConfiguration iotsitewise: DescribeLoggingOptions iotsitewise: DescribePortal iotsitewise: DescribeProject iotsitewise: DescribeStorageConfiguration iotsitewise: DescribeTimeSeries iotsitewise: DisassociateAssets iotsitewise: DisassociateTimeSeriesFromAssetProperty iotsitewise: ExecuteAction iotsitewise: ExecuteQuery iotsitewise: ListAccessPolicies iotsitewise: ListActions iotsitewise: ListAssetModelCompositeModels iotsitewise: ListAssetModelProperties iotsitewise: ListAssetModels iotsitewise: ListAssetProperties iotsitewise: ListAssetRelationships iotsitewise: ListAssets iotsitewise: ListAssociatedAssets iotsitewise: ListBulkImportJobs iotsitewise: ListCompositionRelationships iotsitewise: ListComputationModelDataBindingUsages iotsitewise: ListComputationModelResolveToResources iotsitewise: ListComputationModels iotsitewise: ListDashboards iotsitewise: ListDatasets iotsitewise: ListExecutions iotsitewise: ListGateways iotsitewise: ListInterfaceRelationships iotsitewise: ListPortals iotsitewise: ListProjectAssets iotsitewise: ListProjects iotsitewise: ListTimeSeries iotsitewise: PutDefaultEncryptionConfiguration iotsitewise: PutLoggingOptions iotsitewise: PutStorageConfiguration iotsitewise: UpdateAccessPolicy iotsitewise: UpdateAsset iotsitewise: UpdateAssetModel iotsitewise: UpdateAssetModelCompositeModel iotsitewise: UpdateAssetProperty iotsitewise: UpdateComputationModel iotsitewise: UpdateDashboard iotsitewise: UpdateDataset iotsitewise: UpdateGateway iotsitewise: UpdateGatewayCapabilityConfiguration iotsitewise: UpdatePortal iotsitewise: UpdateProject  | 
| pembuat iottwinmaker |  pembuat iottwinmaker: CancelMetadataTransferJob pembuat iottwinmaker: CreateComponentType pembuat iottwinmaker: CreateEntity pembuat iottwinmaker: CreateMetadataTransferJob pembuat iottwinmaker: CreateScene pembuat iottwinmaker: CreateSyncJob pembuat iottwinmaker: CreateWorkspace pembuat iottwinmaker: DeleteComponentType pembuat iottwinmaker: DeleteEntity pembuat iottwinmaker: DeleteScene pembuat iottwinmaker: DeleteSyncJob pembuat iottwinmaker: DeleteWorkspace pembuat iottwinmaker: ExecuteQuery pembuat iottwinmaker: GetMetadataTransferJob pembuat iottwinmaker: GetPricingPlan pembuat iottwinmaker: GetScene pembuat iottwinmaker: GetSyncJob pembuat iottwinmaker: ListComponentTypes pembuat iottwinmaker: ListComponents pembuat iottwinmaker: ListEntities pembuat iottwinmaker: ListMetadataTransferJobs pembuat iottwinmaker: ListProperties pembuat iottwinmaker: ListScenes pembuat iottwinmaker: ListSyncJobs pembuat iottwinmaker: ListSyncResources pembuat iottwinmaker: ListWorkspaces pembuat iottwinmaker: UpdateComponentType pembuat iottwinmaker: UpdateEntity pembuat iottwinmaker: UpdatePricingPlan pembuat iottwinmaker: UpdateScene pembuat iottwinmaker: UpdateWorkspace  | 
| iotwireless |  iotwireless: AssociateAwsAccountWithPartnerAccount iotwireless: AssociateMulticastGroupWithFuotaTask iotwireless: AssociateWirelessDeviceWithFuotaTask iotwireless: AssociateWirelessDeviceWithMulticastGroup iotwireless: AssociateWirelessDeviceWithThing iotwireless: AssociateWirelessGatewayWithCertificate iotwireless: AssociateWirelessGatewayWithThing iotwireless: CancelMulticastGroupSession iotwireless: CreateDestination iotwireless: CreateDeviceProfile iotwireless: CreateFuotaTask iotwireless: CreateMulticastGroup iotwireless: CreateNetworkAnalyzerConfiguration iotwireless: CreateServiceProfile iotwireless: CreateWirelessDevice iotwireless: CreateWirelessGateway iotwireless: CreateWirelessGatewayTask iotwireless: CreateWirelessGatewayTaskDefinition iotwireless: DeleteDestination iotwireless: DeleteDeviceProfile iotwireless: DeleteFuotaTask iotwireless: DeleteMulticastGroup iotwireless: DeleteNetworkAnalyzerConfiguration iotwireless: DeleteQueuedMessages iotwireless: DeleteServiceProfile iotwireless: DeleteWirelessDevice iotwireless: DeleteWirelessDeviceImportTask iotwireless: DeleteWirelessGateway iotwireless: DeleteWirelessGatewayTask iotwireless: DeleteWirelessGatewayTaskDefinition iotwireless: DeregisterWirelessDevice iotwireless: DisassociateAwsAccountFromPartnerAccount iotwireless: DisassociateMulticastGroupFromFuotaTask iotwireless: DisassociateWirelessDeviceFromFuotaTask iotwireless: DisassociateWirelessDeviceFromMulticastGroup iotwireless: DisassociateWirelessDeviceFromThing iotwireless: DisassociateWirelessGatewayFromCertificate iotwireless: DisassociateWirelessGatewayFromThing iotwireless: GetDestination iotwireless: GetDeviceProfile iotwireless: GetEventConfigurationByResourceTypes iotwireless: GetFuotaTask iotwireless: GetLogLevelsByResourceTypes iotwireless: GetMetricConfiguration iotwireless: GetMetrics iotwireless: GetMulticastGroup iotwireless: GetMulticastGroupSession iotwireless: GetNetworkAnalyzerConfiguration iotwireless: GetPartnerAccount iotwireless: GetPosition iotwireless: GetPositionConfiguration iotwireless: GetPositionEstimate iotwireless: GetResourceEventConfiguration iotwireless: GetResourceLogLevel iotwireless: GetResourcePosition iotwireless: GetServiceEndpoint iotwireless: GetServiceProfile iotwireless: GetWirelessDevice iotwireless: GetWirelessDeviceImportTask iotwireless: GetWirelessDeviceStatistics iotwireless: GetWirelessGateway iotwireless: GetWirelessGatewayCertificate iotwireless: GetWirelessGatewayFirmwareInformation iotwireless: GetWirelessGatewayStatistics iotwireless: GetWirelessGatewayTask iotwireless: GetWirelessGatewayTaskDefinition iotwireless: ListDestinations iotwireless: ListDeviceProfiles iotwireless: ListDevicesForWirelessDeviceImportTask iotwireless: ListEventConfigurations iotwireless: ListFuotaTasks iotwireless: ListMulticastGroups iotwireless: ListMulticastGroupsByFuotaTask iotwireless: ListNetworkAnalyzerConfigurations iotwireless: ListPartnerAccounts iotwireless: ListPositionConfigurations iotwireless: ListQueuedMessages iotwireless: ListServiceProfiles iotwireless: ListWirelessDeviceImportTasks iotwireless: ListWirelessDevices iotwireless: ListWirelessGatewayTaskDefinitions iotwireless: ListWirelessGateways iotwireless: PutPositionConfiguration iotwireless: PutResourceLogLevel iotwireless: ResetAllResourceLogLevels iotwireless: ResetResourceLogLevel iotwireless: SendDataToMulticastGroup iotwireless: SendDataToWirelessDevice iotwireless: StartBulkAssociateWirelessDeviceWithMulticastGroup iotwireless: StartBulkDisassociateWirelessDeviceFromMulticastGroup iotwireless: StartFuotaTask iotwireless: StartMulticastGroupSession iotwireless: StartNetworkAnalyzerStream iotwireless: StartSingleWirelessDeviceImportTask iotwireless: StartWirelessDeviceImportTask iotwireless: TestWirelessDevice iotwireless: UpdateDestination iotwireless: UpdateEventConfigurationByResourceTypes iotwireless: UpdateFuotaTask iotwireless: UpdateLogLevelsByResourceTypes iotwireless: UpdateMetricConfiguration iotwireless: UpdateMulticastGroup iotwireless: UpdateNetworkAnalyzerConfiguration iotwireless: UpdatePartnerAccount iotwireless: UpdatePosition iotwireless: UpdateResourceEventConfiguration iotwireless: UpdateResourcePosition iotwireless: UpdateWirelessDevice iotwireless: UpdateWirelessDeviceImportTask iotwireless: UpdateWirelessGateway  | 
| ivs |  ivs: BatchGetChannel ivs: BatchGetStreamKey ivs: BatchStartViewerSessionRevocation ivs: CreateChannel ivs: CreateEncoderConfiguration ivs: CreateIngestConfiguration ivs: CreateParticipantToken ivs: CreatePlaybackRestrictionPolicy ivs: CreateRecordingConfiguration ivs: CreateStorageConfiguration ivs: CreateStreamKey ivs: DeleteChannel ivs: DeleteEncoderConfiguration ivs: DeleteIngestConfiguration ivs: DeletePlaybackKeyPair ivs: DeletePlaybackRestrictionPolicy ivs: DeletePublicKey ivs: DeleteRecordingConfiguration ivs: DeleteStorageConfiguration ivs: DeleteStreamKey ivs: DisconnectParticipant ivs: GetChannel ivs: GetComposition ivs: GetEncoderConfiguration ivs: GetIngestConfiguration ivs: GetParticipant ivs: GetPlaybackKeyPair ivs: GetPlaybackRestrictionPolicy ivs: GetPublicKey ivs: GetRecordingConfiguration ivs: GetStorageConfiguration ivs: GetStream ivs: GetStreamKey ivs: GetStreamSession ivs: ImportPlaybackKeyPair ivs: ImportPublicKey ivs: ListChannels ivs: ListCompositions ivs: ListEncoderConfigurations ivs: ListIngestConfigurations ivs: ListParticipantEvents ivs: ListParticipantReplicas ivs: ListParticipants ivs: ListPlaybackKeyPairs ivs: ListPlaybackRestrictionPolicies ivs: ListPublicKeys ivs: ListRecordingConfigurations ivs: ListStorageConfigurations ivs: ListStreamKeys ivs: ListStreamSessions ivs: ListStreams ivs: PutMetadata ivs: StartComposition ivs: StartViewerSessionRevocation ivs: StopComposition ivs: StopStream ivs: UpdateChannel ivs: UpdateIngestConfiguration ivs: UpdatePlaybackRestrictionPolicy  | 
| ivschat |  ivschat: CreateChatToken ivschat: CreateLoggingConfiguration ivschat: CreateRoom ivschat: DeleteLoggingConfiguration ivschat: DeleteMessage ivschat: DeleteRoom ivschat: DisconnectUser ivschat: GetLoggingConfiguration ivschat: GetRoom ivschat: ListLoggingConfigurations ivschat: ListRooms ivschat: SendEvent ivschat: UpdateLoggingConfiguration ivschat: UpdateRoom  | 
| kafka |  kafka: BatchAssociateScramSecret kafka: BatchDisassociateScramSecret kafka: CreateCluster kafka: CreateCluster V2 kafka: CreateConfiguration kafka: CreateReplicator kafka: CreateVpcConnection kafka: DeleteCluster kafka: DeleteClusterPolicy kafka: DeleteConfiguration kafka: DeleteReplicator kafka: DeleteVpcConnection kafka: DescribeCluster kafka: DescribeClusterOperation kafka: DescribeClusterOperation V2 kafka: DescribeCluster V2 kafka: DescribeConfiguration kafka: DescribeConfigurationRevision kafka: DescribeVpcConnection kafka: GetBootstrapBrokers kafka: GetClusterPolicy kafka: GetCompatibleKafkaVersions kafka: ListClientVpcConnections kafka: ListClusterOperations kafka: ListClusterOperations V2 kafka: ListClusters kafka: ListClusters V2 kafka: ListConfigurationRevisions kafka: ListConfigurations kafka: ListKafkaVersions kafka: ListNodes kafka: ListReplicators kafka: ListScramSecrets kafka: ListVpcConnections kafka: PutClusterPolicy kafka: RebootBroker kafka: RejectClientVpcConnection kafka: UpdateBrokerCount kafka: UpdateBrokerStorage kafka: UpdateBrokerType kafka: UpdateClusterConfiguration kafka: UpdateClusterKafkaVersion kafka: UpdateConfiguration kafka: UpdateConnectivity kafka: UpdateMonitoring kafka: UpdateRebalancing kafka: UpdateReplicationInfo kafka: UpdateSecurity kafka: UpdateStorage  | 
| kafkaconnect |  kafkaconnect: CreateConnector kafkaconnect: CreateCustomPlugin kafkaconnect: CreateWorkerConfiguration kafkaconnect: DeleteConnector kafkaconnect: DeleteCustomPlugin kafkaconnect: DeleteWorkerConfiguration kafkaconnect: DescribeConnector kafkaconnect: DescribeCustomPlugin kafkaconnect: DescribeWorkerConfiguration kafkaconnect: ListConnectorOperations kafkaconnect: ListConnectors kafkaconnect: ListCustomPlugins kafkaconnect: ListWorkerConfigurations kafkaconnect: UpdateConnector  | 
| kendra |  kendra: AssociateEntitiesToExperience kendra: AssociatePersonasToEntities kendra: BatchDeleteDocument kendra: BatchDeleteFeaturedResultsSet kendra: BatchGetDocumentStatus kendra: BatchPutDocument kendra: ClearQuerySuggestions kendra: CreateAccessControlConfiguration kendra: CreateDataSource kendra: CreateExperience kendra: CreateFaq kendra: CreateFeaturedResultsSet kendra: CreateIndex kendra: CreateQuerySuggestionsBlockList kendra: CreateThesaurus kendra: DeleteDataSource kendra: DeleteExperience kendra: DeleteFaq kendra: DeleteIndex kendra: DeletePrincipalMapping kendra: DeleteQuerySuggestionsBlockList kendra: DeleteThesaurus kendra: DescribeAccessControlConfiguration kendra: DescribeDataSource kendra: DescribeExperience kendra: DescribeFaq kendra: DescribeFeaturedResultsSet kendra: DescribeIndex kendra: DescribePrincipalMapping kendra: DescribeQuerySuggestionsBlockList kendra: DescribeQuerySuggestionsConfig kendra: DescribeThesaurus kendra: DisassociateEntitiesFromExperience kendra: DisassociatePersonasFromEntities kendra: GetQuerySuggestions kendra: GetSnapshots kendra: ListAccessControlConfigurations kendra: ListDataSourceSyncJobs kendra: ListDataSources kendra: ListEntityPersonas kendra: ListExperienceEntities kendra: ListExperiences kendra: ListFaqs kendra: ListFeaturedResultsSets kendra: ListGroupsOlderThanOrderingId kendra: ListIndices kendra: ListQuerySuggestionsBlockLists kendra: ListThesauri kendra: PutPrincipalMapping Kendra:Pertanyaan Kendra:ambil kendra: StartDataSourceSyncJob kendra: StopDataSourceSyncJob kendra: SubmitFeedback kendra: UpdateDataSource kendra: UpdateExperience kendra: UpdateFeaturedResultsSet kendra: UpdateIndex kendra: UpdateQuerySuggestionsBlockList kendra: UpdateQuerySuggestionsConfig kendra: UpdateThesaurus  | 
| kinesis |  kinesis: CreateStream kinesis: DecreaseStreamRetentionPeriod kinesis: DeleteStream kinesis: DeregisterStreamConsumer kinesis: DescribeAccountSettings kinesis: DescribeLimits kinesis: DescribeStream kinesis: DescribeStreamConsumer kinesis: DescribeStreamSummary kinesis: DisableEnhancedMonitoring kinesis: EnableEnhancedMonitoring kinesis: IncreaseStreamRetentionPeriod kinesis: ListShards kinesis: ListStreamConsumers kinesis: ListStreams kinesis: MergeShards kinesis: RegisterStreamConsumer kinesis: SplitShard kinesis: StartStreamEncryption kinesis: StopStreamEncryption kinesis: UpdateAccountSettings kinesis: UpdateShardCount kinesis: UpdateStreamMode  | 
| kinesisanalitik |  kinesisanalitik: AddApplicationCloudWatchLoggingOption kinesisanalitik: AddApplicationInput kinesisanalitik: AddApplicationInputProcessingConfiguration kinesisanalitik: AddApplicationOutput kinesisanalitik: AddApplicationReferenceDataSource kinesisanalitik: AddApplicationVpcConfiguration kinesisanalitik: CreateApplication kinesisanalitik: CreateApplicationPresignedUrl kinesisanalitik: CreateApplicationSnapshot kinesisanalitik: DeleteApplication kinesisanalitik: DeleteApplicationCloudWatchLoggingOption kinesisanalitik: DeleteApplicationInputProcessingConfiguration kinesisanalitik: DeleteApplicationOutput kinesisanalitik: DeleteApplicationReferenceDataSource kinesisanalitik: DeleteApplicationSnapshot kinesisanalitik: DeleteApplicationVpcConfiguration kinesisanalitik: DescribeApplication kinesisanalitik: DescribeApplicationOperation kinesisanalitik: DescribeApplicationSnapshot kinesisanalitik: DescribeApplicationVersion kinesisanalitik: DiscoverInputSchema kinesisanalitik: ListApplicationOperations kinesisanalitik: ListApplicationSnapshots kinesisanalitik: ListApplicationVersions kinesisanalitik: ListApplications kinesisanalitik: RollbackApplication kinesisanalitik: StartApplication kinesisanalitik: StopApplication kinesisanalitik: UpdateApplication kinesisanalitik: UpdateApplicationMaintenanceConfiguration  | 
| km |  km: CancelKeyDeletion km: ConnectCustomKeyStore km: CreateAlias km: CreateCustomKeyStore km: CreateGrant km: CreateKey kms:Decrypt km: DeleteAlias km: DeleteCustomKeyStore km: DeleteImportedKeyMaterial km: DeriveSharedSecret km: DescribeCustomKeyStores km: DescribeKey km: DisableKey km: DisableKeyRotation km: DisconnectCustomKeyStore km: EnableKey km: EnableKeyRotation kms:Encrypt km: GenerateDataKey km: GenerateDataKeyPair km: GenerateDataKeyPairWithoutPlaintext km: GenerateDataKeyWithoutPlaintext km: GenerateMac km: GenerateRandom km: GetKeyPolicy km: GetKeyRotationStatus km: GetParametersForImport km: GetPublicKey km: ImportKeyMaterial km: ListAliases km: ListGrants km: ListKeyPolicies km: ListKeyRotations km: ListKeys km: ListRetirableGrants km: ReplicateKey km: RetireGrant km: RevokeGrant km: RotateKeyOnDemand km: ScheduleKeyDeletion KMS: Tanda km: UpdateAlias km: UpdateCustomKeyStore km: UpdateKeyDescription km: UpdatePrimaryRegion KMS: Verifikasi km: VerifyMac  | 
| lambda |  lambda: AddLayerVersionPermission lambda: AddPermission lambda: CreateAlias lambda: CreateCodeSigningConfig lambda: CreateEventSourceMapping lambda: CreateFunction lambda: CreateFunctionUrlConfig lambda: DeleteAlias lambda: DeleteCapacityProvider lambda: DeleteCodeSigningConfig lambda: DeleteEventSourceMapping lambda: DeleteFunction lambda: DeleteFunctionCodeSigningConfig lambda: DeleteFunctionConcurrency lambda: DeleteFunctionEventInvokeConfig lambda: DeleteFunctionUrlConfig lambda: DeleteLayerVersion lambda: DeleteProvisionedConcurrencyConfig lambda: GetAccountSettings lambda: GetAlias lambda: GetCapacityProvider lambda: GetCodeSigningConfig lambda: GetEventSourceMapping lambda: GetFunction lambda: GetFunctionCodeSigningConfig lambda: GetFunctionConcurrency lambda: GetFunctionConfiguration lambda: GetFunctionEventInvokeConfig lambda: GetFunctionRecursionConfig lambda: GetFunctionScalingConfig lambda: GetFunctionUrlConfig lambda: GetLayerVersion lambda: GetLayerVersionPolicy lambda: GetPolicy lambda: GetProvisionedConcurrencyConfig lambda: GetRuntimeManagementConfig lambda: ListAliases lambda: ListCapacityProviders lambda: ListCodeSigningConfigs lambda: ListDurableExecutionsByFunction lambda: ListEventSourceMappings lambda: ListFunctionEventInvokeConfigs lambda: ListFunctionUrlConfigs lambda: ListFunctions lambda: ListFunctionsByCodeSigningConfig lambda: ListLayerVersions lambda: ListLayers lambda: ListProvisionedConcurrencyConfigs lambda: ListVersionsByFunction lambda: PublishLayerVersion lambda: PublishVersion lambda: PutFunctionCodeSigningConfig lambda: PutFunctionConcurrency lambda: PutFunctionEventInvokeConfig lambda: PutFunctionRecursionConfig lambda: PutFunctionScalingConfig lambda: PutProvisionedConcurrencyConfig lambda: PutRuntimeManagementConfig lambda: RemoveLayerVersionPermission lambda: RemovePermission lambda: UpdateAlias lambda: UpdateCapacityProvider lambda: UpdateCodeSigningConfig lambda: UpdateEventSourceMapping lambda: UpdateFunctionCode lambda: UpdateFunctionConfiguration lambda: UpdateFunctionEventInvokeConfig lambda: UpdateFunctionUrlConfig  | 
| lex |  lex: BatchCreateCustomVocabularyItem lex: BatchDeleteCustomVocabularyItem lex: BatchUpdateCustomVocabularyItem lex: BuildBotLocale lex: CreateBotAlias lex: CreateBotReplica lex: CreateBotVersion lex: CreateExport lex: CreateIntentVersion lex: CreateResourcePolicy lex: CreateSlotTypeVersion lex: CreateTestSetDiscrepancyReport lex: CreateUploadUrl lex: DeleteBot lex: DeleteBotChannelAssociation lex: DeleteBotReplica lex: DeleteExport lex: DeleteImport lex: DeleteIntentVersion lex: DeleteResourcePolicy lex: DeleteSlotTypeVersion lex: DeleteTestSet lex: DeleteUtterances lex: DescribeBotAlias lex: DescribeBotRecommendation lex: DescribeBotReplica lex: DescribeBotResourceGeneration lex: DescribeBotVersion lex: DescribeCustomVocabularyMetadata lex: DescribeExport lex: DescribeImport lex: DescribeResourcePolicy lex: DescribeTestExecution lex: DescribeTestSet lex: DescribeTestSetDiscrepancyReport lex: DescribeTestSetGeneration lex: GenerateBotElement lex: GetBot lex: GetBotAlias lex: GetBotAliases lex: GetBotChannelAssociation lex: GetBotChannelAssociations lex: GetBotVersions lex: GetBots lex: GetBuiltinIntent lex: GetBuiltinIntents lex: GetBuiltinSlotTypes lex: GetExport lex: GetImport lex: GetIntent lex: GetIntentVersions lex: GetIntents lex: GetMigration lex: GetMigrations lex: GetSlotType lex: GetSlotTypeVersions lex: GetSlotTypes lex: GetTestExecutionArtifactsUrl lex: GetUtterancesView lex: ListBotAliasReplicas lex: ListBotAliases lex: ListBotRecommendations lex: ListBotReplicas lex: ListBotResourceGenerations lex: ListBotVersionReplicas lex: ListBotVersions lex: ListBots lex: ListBuiltInIntents lex: ListBuiltInSlotTypes lex: ListCustomVocabularyItems lex: ListExports lex: ListImports lex: ListIntentMetrics lex: ListIntentPaths lex: ListRecommendedIntents lex: ListSessionAnalyticsData lex: ListSessionMetrics lex: ListTestExecutionResultItems lex: ListTestExecutions lex: ListTestSets lex: PutBot lex: PutBotAlias lex: PutIntent lex: PutSlotType lex: SearchAssociatedTranscripts lex: StartBotRecommendation lex: StartImport lex: StartMigration lex: StartTestExecution lex: StartTestSetGeneration lex: StopBotRecommendation lex: UpdateBotAlias lex: UpdateBotRecommendation lex: UpdateExport lex: UpdateResourcePolicy  | 
| license-manager-linux-subscriptions |  license-manager-linux-subscriptions:DeregisterSubscriptionProvider license-manager-linux-subscriptions:GetRegisteredSubscriptionProvider license-manager-linux-subscriptions:GetServiceSettings license-manager-linux-subscriptions:ListLinuxSubscriptionInstances license-manager-linux-subscriptions:ListLinuxSubscriptions license-manager-linux-subscriptions:ListRegisteredSubscriptionProviders license-manager-linux-subscriptions:RegisterSubscriptionProvider license-manager-linux-subscriptions:UpdateServiceSettings  | 
| lightsail |  lightsail: AllocateStaticIp lightsail: AttachCertificateToDistribution lightsail: AttachDisk lightsail: AttachInstancesToLoadBalancer lightsail: AttachLoadBalancerTlsCertificate lightsail: AttachStaticIp lightsail: CloseInstancePublicPorts lightsail: CopySnapshot lightsail: CreateBucket lightsail: CreateBucketAccessKey lightsail: CreateCertificate lightsail: CreateCloudFormationStack lightsail: CreateContactMethod lightsail: CreateContainerService lightsail: CreateContainerServiceDeployment lightsail: CreateContainerServiceRegistryLogin lightsail: CreateDisk lightsail: CreateDiskFromSnapshot lightsail: CreateDiskSnapshot lightsail: CreateDistribution lightsail: CreateDomain LightSail: buat GUISession AccessDetails lightsail: CreateInstanceSnapshot lightsail: CreateInstances lightsail: CreateInstancesFromSnapshot lightsail: CreateKeyPair lightsail: CreateLoadBalancer lightsail: CreateLoadBalancerTlsCertificate lightsail: CreateRelationalDatabase lightsail: CreateRelationalDatabaseFromSnapshot lightsail: CreateRelationalDatabaseSnapshot lightsail: DeleteAlarm lightsail: DeleteAutoSnapshot lightsail: DeleteBucket lightsail: DeleteBucketAccessKey lightsail: DeleteCertificate lightsail: DeleteContactMethod lightsail: DeleteContainerImage lightsail: DeleteContainerService lightsail: DeleteDisk lightsail: DeleteDiskSnapshot lightsail: DeleteDistribution lightsail: DeleteDomain lightsail: DeleteDomainEntry lightsail: DeleteInstance lightsail: DeleteInstanceSnapshot lightsail: DeleteKeyPair lightsail: DeleteKnownHostKeys lightsail: DeleteLoadBalancer lightsail: DeleteLoadBalancerTlsCertificate lightsail: DeleteRelationalDatabase lightsail: DeleteRelationalDatabaseSnapshot lightsail: DetachCertificateFromDistribution lightsail: DetachDisk lightsail: DetachInstancesFromLoadBalancer lightsail: DetachStaticIp lightsail: DisableAddOn lightsail: DownloadDefaultKeyPair lightsail: EnableAddOn lightsail: ExportSnapshot lightsail: GetActiveNames lightsail: GetAlarms lightsail: GetAutoSnapshots lightsail: GetBlueprints lightsail: GetBucketAccessKeys lightsail: GetBucketBundles lightsail: GetBucketMetricData lightsail: GetBuckets lightsail: GetBundles lightsail: GetCertificates lightsail: GetCloudFormationStackRecords lightsail: GetContactMethods lightsail: GetContainer APIMetadata lightsail: GetContainerImages lightsail: GetContainerLog lightsail: GetContainerServiceDeployments lightsail: GetContainerServiceMetricData lightsail: GetContainerServicePowers lightsail: GetContainerServices lightsail: GetCostEstimate lightsail: GetDisk lightsail: GetDiskSnapshot lightsail: GetDiskSnapshots lightsail: GetDisks lightsail: GetDistributionBundles lightsail: GetDistributionLatestCacheReset lightsail: GetDistributionMetricData lightsail: GetDistributions lightsail: GetDomain lightsail: GetExportSnapshotRecords lightsail: GetInstance lightsail: GetInstanceMetricData lightsail: GetInstancePortStates lightsail: GetInstanceSnapshot lightsail: GetInstanceSnapshots lightsail: GetInstanceState lightsail: GetInstances lightsail: GetKeyPair lightsail: GetKeyPairs lightsail: GetLoadBalancer lightsail: GetLoadBalancerMetricData lightsail: GetLoadBalancerTlsCertificates lightsail: GetLoadBalancerTlsPolicies lightsail: GetLoadBalancers lightsail: GetOperation lightsail: GetOperations lightsail: GetOperationsForResource lightsail: GetRegions lightsail: GetRelationalDatabase lightsail: GetRelationalDatabaseBlueprints lightsail: GetRelationalDatabaseBundles lightsail: GetRelationalDatabaseEvents lightsail: GetRelationalDatabaseLogEvents lightsail: GetRelationalDatabaseLogStreams lightsail: GetRelationalDatabaseMasterUserPassword lightsail: GetRelationalDatabaseMetricData lightsail: GetRelationalDatabaseParameters lightsail: GetRelationalDatabaseSnapshot lightsail: GetRelationalDatabaseSnapshots lightsail: GetRelationalDatabases lightsail: GetSetupHistory lightsail: GetStaticIp lightsail: GetStaticIps lightsail: ImportKeyPair lightsail: IsVpcPeered lightsail: OpenInstancePublicPorts lightsail: PeerVpc lightsail: PutAlarm lightsail: PutInstancePublicPorts lightsail: RebootInstance lightsail: RebootRelationalDatabase lightsail: RegisterContainerImage lightsail: ReleaseStaticIp lightsail: ResetDistributionCache lightsail: SendContactMethodVerification lightsail: SetIpAddressType lightsail: SetResourceAccessForBucket lightsail: SetupInstanceHttps LightSail: mulai GUISession lightsail: StartInstance lightsail: StartRelationalDatabase LightSail: berhenti GUISession lightsail: StopInstance lightsail: StopRelationalDatabase lightsail: TestAlarm lightsail: UnpeerVpc lightsail: UpdateBucket lightsail: UpdateBucketBundle lightsail: UpdateContainerService lightsail: UpdateDistribution lightsail: UpdateDistributionBundle lightsail: UpdateDomainEntry lightsail: UpdateInstanceMetadataOptions lightsail: UpdateLoadBalancerAttribute lightsail: UpdateRelationalDatabase lightsail: UpdateRelationalDatabaseParameters  | 
| log |  log: AssociateKmsKey log: AssociateSourceTo S3 TableIntegration log: CancelExportTask log: CancelImportTask log: CreateDelivery log: CreateExportTask log: CreateLogAnomalyDetector log: CreateLogGroup log: CreateLogStream log: DeleteDataProtectionPolicy log: DeleteDelivery log: DeleteDeliveryDestination log: DeleteDeliveryDestinationPolicy log: DeleteDeliverySource log: DeleteDestination log: DeleteIndexPolicy log: DeleteIntegration log: DeleteLogAnomalyDetector log: DeleteLogGroup log: DeleteLogStream log: DeleteMetricFilter log: DeleteQueryDefinition log: DeleteResourcePolicy log: DeleteRetentionPolicy log: DeleteScheduledQuery log: DeleteSubscriptionFilter log: DeleteTransformer log: DescribeAccountPolicies log: DescribeConfigurationTemplates log: DescribeDeliveries log: DescribeDeliveryDestinations log: DescribeDeliverySources log: DescribeDestinations log: DescribeExportTasks log: DescribeFieldIndexes log: DescribeImportTaskBatches log: DescribeImportTasks log: DescribeIndexPolicies log: DescribeLogGroups log: DescribeLogStreams log: DescribeMetricFilters log: DescribeQueries log: DescribeQueryDefinitions log: DescribeResourcePolicies log: DescribeSubscriptionFilters log: DisassociateKmsKey log: DisassociateSourceFrom S3 TableIntegration log: GetDataProtectionPolicy log: GetDelivery log: GetDeliveryDestination log: GetDeliveryDestinationPolicy log: GetDeliverySource log: GetIntegration log: GetLogAnomalyDetector log: GetLogFields log: GetLogGroupFields log: GetLogRecord log: GetQueryResults log: GetScheduledQuery log: GetScheduledQueryHistory log: GetTransformer log: IntegrateWith S3Table log: ListAnomalies log: ListIntegrations log: ListLogAnomalyDetectors log: ListLogGroupsForQuery log: ListScheduledQueries log: ListSourcesFor S3 TableIntegration log: ProcessWithPipeline log: PutDataProtectionPolicy log: PutDeliveryDestination log: PutDeliveryDestinationPolicy log: PutDeliverySource log: PutDestination log: PutDestinationPolicy log: PutIndexPolicy log: PutIntegration log: PutLogGroupDeletionProtection log: PutMetricFilter log: PutQueryDefinition log: PutResourcePolicy log: PutRetentionPolicy log: PutSubscriptionFilter log: PutTransformer log: StartLiveTail log: StartQuery log: StopQuery log: TestMetricFilter log: TestTransformer log: UpdateAnomaly log: UpdateDeliveryConfiguration log: UpdateLogAnomalyDetector  | 
| peralatan pencarian |  Lookoutequipment: CreateDataset Lookoutequipment: CreateInferenceScheduler Lookoutequipment: CreateLabel Lookoutequipment: CreateLabelGroup Lookoutequipment: CreateModel Lookoutequipment: DeleteDataset Lookoutequipment: DeleteInferenceScheduler Lookoutequipment: DeleteLabel Lookoutequipment: DeleteLabelGroup Lookoutequipment: DeleteModel Lookoutequipment: DeleteResourcePolicy Lookoutequipment: DeleteRetrainingScheduler Lookoutequipment: DescribeDataIngestionJob Lookoutequipment: DescribeDataset Lookoutequipment: DescribeInferenceScheduler Lookoutequipment: DescribeLabelGroup Lookoutequipment: DescribeModel Lookoutequipment: DescribeModelVersion Lookoutequipment: DescribeResourcePolicy Lookoutequipment: DescribeRetrainingScheduler LookouteQuipment:Describelabel Lookoutequipment: ImportDataset Lookoutequipment: ImportModelVersion Lookoutequipment: ListDataIngestionJobs Lookoutequipment: ListDatasets Lookoutequipment: ListInferenceEvents Lookoutequipment: ListInferenceExecutions Lookoutequipment: ListInferenceSchedulers Lookoutequipment: ListLabelGroups Lookoutequipment: ListLabels Lookoutequipment: ListModelVersions Lookoutequipment: ListModels Lookoutequipment: ListRetrainingSchedulers Lookoutequipment: ListSensorStatistics Lookoutequipment: PutResourcePolicy Lookoutequipment: StartDataIngestionJob Lookoutequipment: StartInferenceScheduler Lookoutequipment: StartRetrainingScheduler Lookoutequipment: StopInferenceScheduler Lookoutequipment: StopRetrainingScheduler Lookoutequipment: UpdateActiveModelVersion Lookoutequipment: UpdateInferenceScheduler Lookoutequipment: UpdateLabelGroup Lookoutequipment: UpdateModel Lookoutequipment: UpdateRetrainingScheduler  | 
| lookoutmetrics |  lookoutmetrics: ActivateAnomalyDetector lookoutmetrics: BackTestAnomalyDetector lookoutmetrics: CreateAlert lookoutmetrics: CreateAnomalyDetector lookoutmetrics: CreateMetricSet lookoutmetrics: DeactivateAnomalyDetector lookoutmetrics: DeleteAlert lookoutmetrics: DeleteAnomalyDetector lookoutmetrics: DescribeAlert lookoutmetrics: DescribeAnomalyDetectionExecutions lookoutmetrics: DescribeAnomalyDetector lookoutmetrics: DescribeMetricSet lookoutmetrics: DetectMetricSetConfig lookoutmetrics: GetAnomalyGroup lookoutmetrics: GetDataQualityMetrics lookoutmetrics: GetFeedback lookoutmetrics: GetSampleData lookoutmetrics: ListAlerts lookoutmetrics: ListAnomalyDetectors lookoutmetrics: ListAnomalyGroupRelatedMetrics lookoutmetrics: ListAnomalyGroupSummaries lookoutmetrics: ListAnomalyGroupTimeSeries lookoutmetrics: ListMetricSets lookoutmetrics: PutFeedback lookoutmetrics: UpdateAlert lookoutmetrics: UpdateAnomalyDetector lookoutmetrics: UpdateMetricSet  | 
| lookoutvision |  penglihatan: CreateDataset penglihatan: CreateModel penglihatan: CreateProject penglihatan: DeleteDataset penglihatan: DeleteModel penglihatan: DeleteProject penglihatan: DescribeDataset penglihatan: DescribeModel penglihatan: DescribeModelPackagingJob penglihatan: DescribeProject penglihatan: DetectAnomalies penglihatan: ListDatasetEntries penglihatan: ListModelPackagingJobs penglihatan: ListModels penglihatan: ListProjects penglihatan: StartModel penglihatan: StartModelPackagingJob penglihatan: StopModel penglihatan: UpdateDatasetEntries  | 
| m2 |  m2: CancelBatchJobExecution m2: CreateApplication m2: CreateDataSetExportTask m2: CreateDataSetImportTask m2: CreateDeployment m2: CreateEnvironment m2: DeleteApplication m2: DeleteApplicationFromEnvironment m2: DeleteEnvironment m2: GetApplication m2: GetApplicationVersion m2: GetBatchJobExecution m2: GetDataSetDetails m2: GetDataSetExportTask m2: GetDataSetImportTask m2: GetDeployment m2: GetEnvironment m2: GetSignedBluinsightsUrl m2: ListApplicationVersions m2: ListApplications m2: ListBatchJobDefinitions m2: ListBatchJobExecutions m2: ListBatchJobRestartPoints m2: ListDataSetExportHistory m2: ListDataSetImportHistory m2: ListDataSets m2: ListDeployments m2: ListEngineVersions m2: ListEnvironments m2: StartApplication m2: StartBatchJob m2: StopApplication m2: UpdateApplication m2: UpdateEnvironment  | 
| terkelolablockchain |  terkelolablockchain: CreateAccessor terkelolablockchain: CreateMember terkelolablockchain: CreateNetwork terkelolablockchain: CreateNode terkelolablockchain: CreateProposal terkelolablockchain: DeleteAccessor terkelolablockchain: DeleteMember terkelolablockchain: DeleteNode terkelolablockchain: GetAccessor terkelolablockchain: GetMember terkelolablockchain: GetNetwork terkelolablockchain: GetNode terkelolablockchain: GetProposal terkelolablockchain: InvokeRpcPolygonMainnet terkelolablockchain: InvokeRpcPolygonMumbaiTestnet terkelolablockchain: ListAccessors terkelolablockchain: ListInvitations terkelolablockchain: ListMembers terkelolablockchain: ListNetworks terkelolablockchain: ListNodes terkelolablockchain: ListProposalVotes terkelolablockchain: ListProposals terkelolablockchain: RejectInvitation terkelolablockchain: UpdateMember terkelolablockchain: UpdateNode terkelolablockchain: VoteOnProposal  | 
| mediaconnect |  mediaconnect: AddBridgeOutputs mediaconnect: AddBridgeSources mediaconnect: AddFlowMediaStreams mediaconnect: AddFlowOutputs mediaconnect: AddFlowSources mediaconnect: AddFlowVpcInterfaces mediaconnect: CreateBridge mediaconnect: CreateFlow mediaconnect: CreateGateway mediaconnect: DeleteBridge mediaconnect: DeleteFlow mediaconnect: DeleteGateway mediaconnect: DeleteRouterInput mediaconnect: DeleteRouterNetworkInterface mediaconnect: DeleteRouterOutput mediaconnect: DeregisterGatewayInstance mediaconnect: DescribeBridge mediaconnect: DescribeFlow mediaconnect: DescribeFlowSourceMetadata mediaconnect: DescribeFlowSourceThumbnail mediaconnect: DescribeGateway mediaconnect: DescribeGatewayInstance mediaconnect: DescribeOffering mediaconnect: DescribeReservation mediaconnect: GetRouterInput mediaconnect: GetRouterInputSourceMetadata mediaconnect: GetRouterInputThumbnail mediaconnect: GetRouterNetworkInterface mediaconnect: GetRouterOutput mediaconnect: GrantFlowEntitlements mediaconnect: ListBridges mediaconnect: ListEntitlements mediaconnect: ListFlows mediaconnect: ListGatewayInstances mediaconnect: ListGateways mediaconnect: ListOfferings mediaconnect: ListReservations mediaconnect: ListRouterInputs mediaconnect: ListRouterNetworkInterfaces mediaconnect: ListRouterOutputs mediaconnect: PurchaseOffering mediaconnect: RemoveBridgeOutput mediaconnect: RemoveBridgeSource mediaconnect: RemoveFlowMediaStream mediaconnect: RemoveFlowOutput mediaconnect: RemoveFlowSource mediaconnect: RemoveFlowVpcInterface mediaconnect: RestartRouterInput mediaconnect: RestartRouterOutput mediaconnect: RevokeFlowEntitlement mediaconnect: StartFlow mediaconnect: StartRouterInput mediaconnect: StartRouterOutput mediaconnect: StopFlow mediaconnect: StopRouterInput mediaconnect: StopRouterOutput mediaconnect: TakeRouterInput mediaconnect: UpdateBridge mediaconnect: UpdateBridgeOutput mediaconnect: UpdateBridgeSource mediaconnect: UpdateBridgeState mediaconnect: UpdateFlow mediaconnect: UpdateFlowEntitlement mediaconnect: UpdateFlowMediaStream mediaconnect: UpdateGatewayInstance  | 
| mediaconvert |  mediaconvert: AssociateCertificate mediaconvert: CancelJob mediaconvert: CreateJob mediaconvert: CreateJobTemplate mediaconvert: CreatePreset mediaconvert: CreateQueue mediaconvert: CreateResourceShare mediaconvert: DeleteJobTemplate mediaconvert: DeletePolicy mediaconvert: DeletePreset mediaconvert: DeleteQueue mediaconvert: DescribeEndpoints mediaconvert: DisassociateCertificate mediaconvert: GetJob mediaconvert: GetJobTemplate mediaconvert: GetPolicy mediaconvert: GetPreset mediaconvert: GetQueue mediaconvert: ListJobTemplates mediaconvert: ListJobs mediaconvert: ListPresets mediaconvert: ListQueues mediaconvert: ListVersions MediaConvert:Probe mediaconvert: PutPolicy mediaconvert: SearchJobs mediaconvert: UpdateJobTemplate mediaconvert: UpdatePreset mediaconvert: UpdateQueue  | 
| medialive |  medialive: AcceptInputDeviceTransfer medialive: BatchDelete medialive: BatchStart medialive: BatchStop medialive: BatchUpdateSchedule medialive: CancelInputDeviceTransfer medialive: ClaimDevice medialive: CreateChannel medialive: CreateChannelPlacementGroup medialive: CreateCloudWatchAlarmTemplate medialive: CreateCloudWatchAlarmTemplateGroup medialive: CreateCluster medialive: CreateEventBridgeRuleTemplate medialive: CreateEventBridgeRuleTemplateGroup medialive: CreateInput medialive: CreateInputSecurityGroup medialive: CreateMultiplex medialive: CreateMultiplexProgram medialive: CreateNetwork medialive: CreateNode medialive: CreateNodeRegistrationScript medialive: CreatePartnerInput medialive: CreateSdiSource medialive: CreateSignalMap medialive: DeleteChannel medialive: DeleteChannelPlacementGroup medialive: DeleteCloudWatchAlarmTemplate medialive: DeleteCloudWatchAlarmTemplateGroup medialive: DeleteCluster medialive: DeleteEventBridgeRuleTemplate medialive: DeleteEventBridgeRuleTemplateGroup medialive: DeleteInput medialive: DeleteInputSecurityGroup medialive: DeleteMultiplex medialive: DeleteMultiplexProgram medialive: DeleteNetwork medialive: DeleteNode medialive: DeleteReservation medialive: DeleteSchedule medialive: DeleteSdiSource medialive: DeleteSignalMap medialive: DescribeAccountConfiguration medialive: DescribeChannel medialive: DescribeChannelPlacementGroup medialive: DescribeCluster medialive: DescribeInput medialive: DescribeInputDevice medialive: DescribeInputDeviceThumbnail medialive: DescribeInputSecurityGroup medialive: DescribeMultiplex medialive: DescribeMultiplexProgram medialive: DescribeNetwork medialive: DescribeNode medialive: DescribeOffering medialive: DescribeReservation medialive: DescribeSchedule medialive: DescribeSdiSource medialive: DescribeThumbnails medialive: GetCloudWatchAlarmTemplate medialive: GetCloudWatchAlarmTemplateGroup medialive: GetEventBridgeRuleTemplate medialive: GetEventBridgeRuleTemplateGroup medialive: GetSignalMap medialive: ListAlerts medialive: ListChannelPlacementGroups medialive: ListChannels medialive: ListCloudWatchAlarmTemplateGroups medialive: ListCloudWatchAlarmTemplates medialive: ListClusterAlerts medialive: ListClusters medialive: ListEventBridgeRuleTemplateGroups medialive: ListEventBridgeRuleTemplates medialive: ListInputDeviceTransfers medialive: ListInputDevices medialive: ListInputSecurityGroups medialive: ListInputs medialive: ListMultiplexAlerts medialive: ListMultiplexPrograms medialive: ListMultiplexes medialive: ListNetworks medialive: ListNodes medialive: ListOfferings medialive: ListReservations medialive: ListSdiSources medialive: ListSignalMaps medialive: ListVersions medialive: PurchaseOffering medialive: RebootInputDevice medialive: RejectInputDeviceTransfer medialive: RestartChannelPipelines medialive: StartChannel medialive: StartDeleteMonitorDeployment medialive: StartInputDevice medialive: StartInputDeviceMaintenanceWindow medialive: StartMonitorDeployment medialive: StartMultiplex medialive: StartUpdateSignalMap medialive: StopChannel medialive: StopInputDevice medialive: StopMultiplex medialive: TransferInputDevice medialive: UpdateAccountConfiguration medialive: UpdateChannel medialive: UpdateChannelClass medialive: UpdateChannelPlacementGroup medialive: UpdateCloudWatchAlarmTemplate medialive: UpdateCloudWatchAlarmTemplateGroup medialive: UpdateCluster medialive: UpdateEventBridgeRuleTemplate medialive: UpdateEventBridgeRuleTemplateGroup medialive: UpdateInput medialive: UpdateInputDevice medialive: UpdateInputSecurityGroup medialive: UpdateMultiplex medialive: UpdateMultiplexProgram medialive: UpdateNetwork medialive: UpdateNode medialive: UpdateNodeState medialive: UpdateReservation medialive: UpdateSdiSource  | 
| mediastore |  mediastore: CreateContainer mediastore: DeleteContainer mediastore: DeleteContainerPolicy mediastore: DeleteCorsPolicy mediastore: DeleteLifecyclePolicy mediastore: DeleteMetricPolicy mediastore: DescribeContainer mediastore: GetContainerPolicy mediastore: GetCorsPolicy mediastore: GetLifecyclePolicy mediastore: GetMetricPolicy mediastore: ListContainers mediastore: PutContainerPolicy mediastore: PutCorsPolicy mediastore: PutLifecyclePolicy mediastore: PutMetricPolicy mediastore: StartAccessLogging mediastore: StopAccessLogging  | 
| mediatailor |  mediatailor: ConfigureLogsForPlaybackConfiguration mediatailor: CreateChannel mediatailor: CreateLiveSource mediatailor: CreatePrefetchSchedule mediatailor: CreateProgram mediatailor: CreateSourceLocation mediatailor: CreateVodSource mediatailor: DeleteChannel mediatailor: DeleteChannelPolicy mediatailor: DeleteLiveSource mediatailor: DeletePlaybackConfiguration mediatailor: DeletePrefetchSchedule mediatailor: DeleteProgram mediatailor: DeleteSourceLocation mediatailor: DeleteVodSource mediatailor: DescribeChannel mediatailor: DescribeLiveSource mediatailor: DescribeProgram mediatailor: DescribeSourceLocation mediatailor: DescribeVodSource mediatailor: GetChannelPolicy mediatailor: GetChannelSchedule mediatailor: GetPlaybackConfiguration mediatailor: GetPrefetchSchedule mediatailor: ListAlerts mediatailor: ListChannels mediatailor: ListLiveSources mediatailor: ListPlaybackConfigurations mediatailor: ListPrefetchSchedules mediatailor: ListSourceLocations mediatailor: ListVodSources mediatailor: PutChannelPolicy mediatailor: PutPlaybackConfiguration mediatailor: StartChannel mediatailor: StopChannel mediatailor: UpdateChannel mediatailor: UpdateLiveSource mediatailor: UpdateProgram mediatailor: UpdateSourceLocation mediatailor: UpdateVodSource  | 
| memorydb |  memorydb: BatchUpdateCluster memorydb: CopySnapshot memorydb: CreateAcl memorydb: CreateCluster memorydb: CreateMultiRegionCluster memorydb: CreateParameterGroup memorydb: CreateSnapshot memorydb: CreateSubnetGroup memorydb: CreateUser memorydb: DeleteAcl memorydb: DeleteCluster memorydb: DeleteMultiRegionCluster memorydb: DeleteParameterGroup memorydb: DeleteSnapshot memorydb: DeleteSubnetGroup memorydb: DeleteUser memorydb: DescribeAcls memorydb: DescribeClusters memorydb: DescribeEngineVersions memorydb: DescribeEvents memorydb: DescribeMultiRegionClusters memorydb: DescribeMultiRegionParameterGroups memorydb: DescribeMultiRegionParameters memorydb: DescribeParameterGroups memorydb: DescribeParameters memorydb: DescribeReservedNodes memorydb: DescribeReservedNodesOfferings memorydb: DescribeServiceUpdates memorydb: DescribeSnapshots memorydb: DescribeSubnetGroups memorydb: DescribeUsers memorydb: FailoverShard memorydb: ListAllowedMultiRegionClusterUpdates memorydb: ListAllowedNodeTypeUpdates memorydb: PurchaseReservedNodesOffering memorydb: ResetParameterGroup memorydb: UpdateAcl memorydb: UpdateCluster memorydb: UpdateMultiRegionCluster memorydb: UpdateParameterGroup memorydb: UpdateSubnetGroup memorydb: UpdateUser  | 
| mgh |  mgh: AssociateCreatedArtifact mgh: AssociateDiscoveredResource mgh: AssociateSourceResource mgh: CreateHomeRegionControl mgh: CreateProgressUpdateStream mgh: DeleteHomeRegionControl mgh: DeleteProgressUpdateStream mgh: DescribeApplicationState mgh: DescribeHomeRegionControls mgh: DescribeMigrationTask mgh: DisassociateCreatedArtifact mgh: DisassociateDiscoveredResource mgh: DisassociateSourceResource mgh: GetHomeRegion mgh: ImportMigrationTask mgh: ListApplicationStates mgh: ListCreatedArtifacts mgh: ListDiscoveredResources mgh: ListMigrationTaskUpdates mgh: ListMigrationTasks mgh: ListProgressUpdateStreams mgh: ListSourceResources mgh: NotifyApplicationState mgh: NotifyMigrationTaskState mgh: PutResourceAttributes  | 
| mgn |  mgn: ArchiveApplication mgn: ArchiveWave mgn: AssociateApplications mgn: AssociateSourceServers mgn: ChangeServerLifeCycleState mgn: CreateApplication mgn: CreateConnector mgn: CreateLaunchConfigurationTemplate mgn: CreateReplicationConfigurationTemplate mgn: CreateWave mgn: DeleteApplication mgn: DeleteConnector mgn: DeleteJob mgn: DeleteLaunchConfigurationTemplate mgn: DeleteReplicationConfigurationTemplate mgn: DeleteSourceServer mgn: DeleteVcenterClient mgn: DeleteWave mgn: DescribeJobLogItems mgn: DescribeJobs mgn: DescribeLaunchConfigurationTemplates mgn: DescribeReplicationConfigurationTemplates mgn: DescribeVcenterClients mgn: DisassociateApplications mgn: DisassociateSourceServers mgn: DisconnectFromService mgn: FinalizeCutover mgn: GetReplicationConfiguration mgn: InitializeService mgn: ListConnectors mgn: ListExportErrors mgn: ListExports mgn: ListImportErrors mgn: ListImports mgn: ListManagedAccounts mgn: ListSourceServerActions mgn: ListTemplateActions mgn: MarkAsArchived mgn: PauseReplication mgn: PutSourceServerAction mgn: PutTemplateAction mgn: RemoveSourceServerAction mgn: RemoveTemplateAction mgn: ResumeReplication mgn: RetryDataReplication mgn: StartCutover mgn: StartExport mgn: StartImport mgn: StartReplication mgn: StartTest mgn: StopReplication mgn: TerminateTargetInstances mgn: UnarchiveApplication mgn: UnarchiveWave mgn: UpdateApplication mgn: UpdateConnector mgn: UpdateLaunchConfigurationTemplate mgn: UpdateReplicationConfiguration mgn: UpdateReplicationConfigurationTemplate mgn: UpdateSourceServer mgn: UpdateSourceServerReplicationType mgn: UpdateWave  | 
| strategi hub migrasi |  strategi hub migrasi: GetAntiPattern strategi hub migrasi: GetApplicationComponentDetails strategi hub migrasi: GetApplicationComponentStrategies strategi hub migrasi: GetAssessment strategi hub migrasi: GetImportFileTask strategi hub migrasi: GetLatestAssessmentId strategi hub migrasi: GetMessage strategi hub migrasi: GetPortfolioPreferences strategi hub migrasi: GetPortfolioSummary strategi hub migrasi: GetRecommendationReportDetails strategi hub migrasi: GetServerDetails strategi hub migrasi: GetServerStrategies strategi hub migrasi: ListAnalyzableServers strategi hub migrasi: ListAntiPatterns strategi hub migrasi: ListApplicationComponents strategi hub migrasi: ListCollectors strategi hub migrasi: ListImportFileTask strategi hub migrasi: ListJarArtifacts strategi hub migrasi: ListServers strategi hub migrasi: PutLogData strategi hub migrasi: PutMetricData strategi hub migrasi: PutPortfolioPreferences strategi hub migrasi: RegisterCollector strategi hub migrasi: SendMessage strategi hub migrasi: StartAssessment strategi hub migrasi: StartImportFileTask strategi hub migrasi: StartRecommendationReportGeneration strategi hub migrasi: StopAssessment strategi hub migrasi: UpdateApplicationComponentConfig strategi hub migrasi: UpdateCollectorConfiguration strategi hub migrasi: UpdateServerConfig  | 
| penargetan seluler |  penargetan seluler: CreateApp penargetan seluler: CreateCampaign penargetan seluler: CreateEmailTemplate penargetan seluler: CreateExportJob penargetan seluler: CreateImportJob penargetan seluler: CreateInAppTemplate penargetan seluler: CreateJourney penargetan seluler: CreatePushTemplate penargetan seluler: CreateRecommenderConfiguration penargetan seluler: CreateSegment penargetan seluler: CreateSmsTemplate penargetan seluler: CreateVoiceTemplate penargetan seluler: DeleteAdmChannel penargetan seluler: DeleteApnsChannel penargetan seluler: DeleteApnsSandboxChannel penargetan seluler: DeleteApnsVoipChannel penargetan seluler: DeleteApnsVoipSandboxChannel penargetan seluler: DeleteApp penargetan seluler: DeleteBaiduChannel penargetan seluler: DeleteCampaign penargetan seluler: DeleteEmailChannel penargetan seluler: DeleteEmailTemplate penargetan seluler: DeleteEndpoint penargetan seluler: DeleteEventStream penargetan seluler: DeleteGcmChannel penargetan seluler: DeleteInAppTemplate penargetan seluler: DeleteJourney penargetan seluler: DeletePushTemplate penargetan seluler: DeleteRecommenderConfiguration penargetan seluler: DeleteSegment penargetan seluler: DeleteSmsChannel penargetan seluler: DeleteSmsTemplate penargetan seluler: DeleteUserEndpoints penargetan seluler: DeleteVoiceChannel penargetan seluler: DeleteVoiceTemplate penargetan seluler: GetAdmChannel penargetan seluler: GetApnsChannel penargetan seluler: GetApnsSandboxChannel penargetan seluler: GetApnsVoipChannel penargetan seluler: GetApnsVoipSandboxChannel penargetan seluler: GetApp penargetan seluler: GetApplicationDateRangeKpi penargetan seluler: GetApplicationSettings penargetan seluler: GetApps penargetan seluler: GetBaiduChannel penargetan seluler: GetCampaign penargetan seluler: GetCampaignActivities penargetan seluler: GetCampaignDateRangeKpi penargetan seluler: GetCampaignVersion penargetan seluler: GetCampaignVersions penargetan seluler: GetCampaigns penargetan seluler: GetChannels penargetan seluler: GetEmailChannel penargetan seluler: GetEmailTemplate penargetan seluler: GetEndpoint penargetan seluler: GetEventStream penargetan seluler: GetExportJob penargetan seluler: GetExportJobs penargetan seluler: GetGcmChannel penargetan seluler: GetImportJob penargetan seluler: GetImportJobs penargetan seluler: GetInAppMessages penargetan seluler: GetInAppTemplate penargetan seluler: GetJourney penargetan seluler: GetJourneyDateRangeKpi penargetan seluler: GetJourneyExecutionActivityMetrics penargetan seluler: GetJourneyExecutionMetrics penargetan seluler: GetJourneyRunExecutionActivityMetrics penargetan seluler: GetJourneyRunExecutionMetrics penargetan seluler: GetJourneyRuns penargetan seluler: GetPushTemplate penargetan seluler: GetRecommenderConfiguration penargetan seluler: GetRecommenderConfigurations penargetan seluler: GetSegment penargetan seluler: GetSegmentExportJobs penargetan seluler: GetSegmentImportJobs penargetan seluler: GetSegmentVersion penargetan seluler: GetSegmentVersions penargetan seluler: GetSegments penargetan seluler: GetSmsChannel penargetan seluler: GetSmsTemplate penargetan seluler: GetUserEndpoints penargetan seluler: GetVoiceChannel penargetan seluler: GetVoiceTemplate penargetan seluler: ListJourneys penargetan seluler: ListTemplateVersions penargetan seluler: ListTemplates penargetan seluler: PhoneNumberValidate penargetan seluler: PutEventStream penargetan seluler: RemoveAttributes penargetan seluler: UpdateAdmChannel penargetan seluler: UpdateApnsChannel penargetan seluler: UpdateApnsSandboxChannel penargetan seluler: UpdateApnsVoipChannel penargetan seluler: UpdateApnsVoipSandboxChannel penargetan seluler: UpdateApplicationSettings penargetan seluler: UpdateBaiduChannel penargetan seluler: UpdateCampaign penargetan seluler: UpdateEmailChannel penargetan seluler: UpdateEmailTemplate penargetan seluler: UpdateEndpoint penargetan seluler: UpdateEndpointsBatch penargetan seluler: UpdateGcmChannel penargetan seluler: UpdateInAppTemplate penargetan seluler: UpdateJourney penargetan seluler: UpdateJourneyState penargetan seluler: UpdatePushTemplate penargetan seluler: UpdateRecommenderConfiguration penargetan seluler: UpdateSegment penargetan seluler: UpdateSmsChannel penargetan seluler: UpdateSmsTemplate penargetan seluler: UpdateTemplateActiveVersion penargetan seluler: UpdateVoiceChannel penargetan seluler: UpdateVoiceTemplate MobileTargeting:Verifikasi OTPMessage  | 
| mq |  mq: CreateBroker mq: CreateConfiguration mq: CreateUser mq: DeleteBroker mq: DeleteConfiguration mq: DeleteUser mq: DescribeBroker mq: DescribeBrokerEngineTypes mq: DescribeBrokerInstanceOptions mq: DescribeConfiguration mq: DescribeConfigurationRevision mq: DescribeUser mq: ListBrokers mq: ListConfigurationRevisions mq: ListConfigurations mq: ListUsers MQ: Mempromosikan mq: RebootBroker mq: UpdateBroker mq: UpdateConfiguration mq: UpdateUser  | 
| manajer jaringan |  manajer jaringan: AcceptAttachment manajer jaringan: AssociateConnectPeer manajer jaringan: AssociateCustomerGateway manajer jaringan: AssociateLink manajer jaringan: AssociateTransitGatewayConnectPeer manajer jaringan: CreateConnectAttachment manajer jaringan: CreateConnectPeer manajer jaringan: CreateConnection manajer jaringan: CreateCoreNetwork manajer jaringan: CreateDevice manajer jaringan: CreateDirectConnectGatewayAttachment manajer jaringan: CreateGlobalNetwork manajer jaringan: CreateLink manajer jaringan: CreateSite manajer jaringan: CreateSiteToSiteVpnAttachment manajer jaringan: CreateTransitGatewayPeering manajer jaringan: CreateTransitGatewayRouteTableAttachment manajer jaringan: CreateVpcAttachment manajer jaringan: DeleteAttachment manajer jaringan: DeleteConnectPeer manajer jaringan: DeleteConnection manajer jaringan: DeleteCoreNetwork manajer jaringan: DeleteCoreNetworkPolicyVersion manajer jaringan: DeleteDevice manajer jaringan: DeleteGlobalNetwork manajer jaringan: DeleteLink manajer jaringan: DeletePeering manajer jaringan: DeleteResourcePolicy manajer jaringan: DeleteSite manajer jaringan: DeregisterTransitGateway manajer jaringan: DescribeGlobalNetworks manajer jaringan: DisassociateConnectPeer manajer jaringan: DisassociateCustomerGateway manajer jaringan: DisassociateLink manajer jaringan: DisassociateTransitGatewayConnectPeer manajer jaringan: ExecuteCoreNetworkChangeSet manajer jaringan: GetConnectAttachment manajer jaringan: GetConnectPeer manajer jaringan: GetConnectPeerAssociations manajer jaringan: GetConnections manajer jaringan: GetCoreNetwork manajer jaringan: GetCoreNetworkChangeEvents manajer jaringan: GetCoreNetworkChangeSet manajer jaringan: GetCoreNetworkPolicy manajer jaringan: GetCustomerGatewayAssociations manajer jaringan: GetDevices manajer jaringan: GetLinkAssociations manajer jaringan: GetLinks manajer jaringan: GetNetworkResourceCounts manajer jaringan: GetNetworkResourceRelationships manajer jaringan: GetNetworkResources manajer jaringan: GetNetworkRoutes manajer jaringan: GetNetworkTelemetry manajer jaringan: GetResourcePolicy manajer jaringan: GetRouteAnalysis manajer jaringan: GetSiteToSiteVpnAttachment manajer jaringan: GetSites manajer jaringan: GetTransitGatewayConnectPeerAssociations manajer jaringan: GetTransitGatewayPeering manajer jaringan: GetTransitGatewayRegistrations manajer jaringan: GetTransitGatewayRouteTableAttachment manajer jaringan: GetVpcAttachment manajer jaringan: ListAttachmentRoutingPolicyAssociations manajer jaringan: ListAttachments manajer jaringan: ListConnectPeers manajer jaringan: ListCoreNetworkPolicyVersions manajer jaringan: ListCoreNetworkPrefixListAssociations manajer jaringan: ListCoreNetworkRoutingInformation manajer jaringan: ListCoreNetworks manajer jaringan: ListOrganizationServiceAccessStatus manajer jaringan: ListPeerings manajer jaringan: PutAttachmentRoutingPolicyLabel manajer jaringan: PutCoreNetworkPolicy manajer jaringan: PutResourcePolicy manajer jaringan: RegisterTransitGateway manajer jaringan: RejectAttachment manajer jaringan: RemoveAttachmentRoutingPolicyLabel manajer jaringan: RestoreCoreNetworkPolicyVersion manajer jaringan: StartOrganizationServiceAccessUpdate manajer jaringan: StartRouteAnalysis manajer jaringan: UpdateConnection manajer jaringan: UpdateCoreNetwork manajer jaringan: UpdateDevice manajer jaringan: UpdateDirectConnectGatewayAttachment manajer jaringan: UpdateGlobalNetwork manajer jaringan: UpdateLink manajer jaringan: UpdateNetworkResourceMetadata manajer jaringan: UpdateSite manajer jaringan: UpdateVpcAttachment  | 
| gesit |  gesit: AcceptEulas gesit: CreateLaunchProfile gesit: CreateStreamingImage gesit: CreateStreamingSession gesit: CreateStreamingSessionStream gesit: CreateStudio gesit: CreateStudioComponent gesit: DeleteLaunchProfile gesit: DeleteLaunchProfileMember gesit: DeleteStreamingImage gesit: DeleteStreamingSession gesit: DeleteStudio gesit: DeleteStudioComponent gesit: DeleteStudioMember gesit: GetEula gesit: GetLaunchProfileDetails gesit: GetStreamingImage gesit: GetStreamingSession gesit: GetStreamingSessionBackup gesit: GetStreamingSessionStream gesit: GetStudio gesit: GetStudioComponent gesit: GetStudioMember gesit: ListEulas gesit: ListLaunchProfileMembers gesit: ListLaunchProfiles gesit: ListStreamingImages gesit: ListStreamingSessionBackups gesit: ListStreamingSessions gesit: ListStudioComponents gesit: ListStudioMembers gesit: ListStudios gesit: PutLaunchProfileMembers gesit: PutStudioMembers gesit: StartStreamingSession gesit: Perbaikan StartStudio SSOConfiguration gesit: StopStreamingSession gesit: UpdateLaunchProfile gesit: UpdateLaunchProfileMember gesit: UpdateStreamingImage gesit: UpdateStudio gesit: UpdateStudioComponent  | 
| omics |  omics: AbortMultipartReadSetUpload omics: AcceptShare omics: BatchDeleteReadSet omics: CancelAnnotationImportJob omics: CancelRun omics: CancelVariantImportJob omics: CompleteMultipartReadSetUpload omics: CreateAnnotationStore omics: CreateAnnotationStoreVersion omics: CreateMultipartReadSetUpload omics: CreateReferenceStore omics: CreateRunGroup omics: CreateSequenceStore omics: CreateShare omics: CreateVariantStore omics: CreateWorkflow omics: CreateWorkflowVersion omics: DeleteAnnotationStore omics: DeleteAnnotationStoreVersions omics: DeleteReference omics: DeleteReferenceStore omics: DeleteRun omics: DeleteRunGroup omics: DeleteSequenceStore omics: DeleteShare omics: DeleteVariantStore omics: DeleteWorkflow omics: DeleteWorkflowVersion omics: GetAnnotationImportJob omics: GetAnnotationStore omics: GetAnnotationStoreVersion omics: GetReadSet omics: GetReadSetActivationJob omics: GetReadSetExportJob omics: GetReadSetImportJob omics: GetReadSetMetadata omics: GetReference omics: GetReferenceImportJob omics: GetReferenceMetadata omics: GetReferenceStore omics: GetRun omics: GetRunGroup omics: GetRunTask omics: GetSequenceStore omics: GetShare omics: GetVariantImportJob omics: GetVariantStore omics: GetWorkflow omics: GetWorkflowVersion omics: ListAnnotationImportJobs omics: ListAnnotationStoreVersions omics: ListAnnotationStores omics: ListMultipartReadSetUploads omics: ListReadSetActivationJobs omics: ListReadSetExportJobs omics: ListReadSetImportJobs omics: ListReadSetUploadParts omics: ListReadSets omics: ListReferenceImportJobs omics: ListReferenceStores omics: ListReferences omics: ListRunGroups omics: ListRunTasks omics: ListRuns omics: ListSequenceStores omics: ListShares omics: ListVariantImportJobs omics: ListVariantStores omics: ListWorkflowVersions omics: ListWorkflows omics: StartAnnotationImportJob omics: StartReadSetActivationJob omics: StartReadSetExportJob omics: StartReadSetImportJob omics: StartReferenceImportJob omics: StartRun omics: StartVariantImportJob omics: UpdateAnnotationStore omics: UpdateAnnotationStoreVersion omics: UpdateRunGroup omics: UpdateVariantStore omics: UpdateWorkflow omics: UpdateWorkflowVersion omics: UploadReadSetPart  | 
| opsworks |  opsworks: AssignInstance opsworks: AssignVolume opsworks: AssociateElasticIp opsworks: AttachElasticLoadBalancer opsworks: CloneStack opsworks: CreateApp opsworks: CreateDeployment opsworks: CreateInstance opsworks: CreateLayer opsworks: CreateStack opsworks: CreateUserProfile opsworks: DeleteApp opsworks: DeleteInstance opsworks: DeleteLayer opsworks: DeleteStack opsworks: DeleteUserProfile opsworks: DeregisterEcsCluster opsworks: DeregisterElasticIp opsworks: DeregisterInstance opsworks: DeregisterRdsDbInstance opsworks: DeregisterVolume opsworks: DescribeAgentVersions opsworks: DescribeApps opsworks: DescribeCommands opsworks: DescribeDeployments opsworks: DescribeEcsClusters opsworks: DescribeElasticIps opsworks: DescribeElasticLoadBalancers opsworks: DescribeInstances opsworks: DescribeLayers opsworks: DescribeLoadBasedAutoScaling opsworks: DescribeMyUserProfile opsworks: DescribeOperatingSystems opsworks: DescribePermissions opsworks: DescribeRaidArrays opsworks: DescribeRdsDbInstances opsworks: DescribeServiceErrors opsworks: DescribeStackProvisioningParameters opsworks: DescribeStackSummary opsworks: DescribeStacks opsworks: DescribeTimeBasedAutoScaling opsworks: DescribeUserProfiles opsworks: DescribeVolumes opsworks: DetachElasticLoadBalancer opsworks: DisassociateElasticIp opsworks: GetHostnameSuggestion opsworks: GrantAccess opsworks: RebootInstance opsworks: RegisterEcsCluster opsworks: RegisterElasticIp opsworks: RegisterInstance opsworks: RegisterRdsDbInstance opsworks: RegisterVolume opsworks: SetLoadBasedAutoScaling opsworks: SetPermission opsworks: SetTimeBasedAutoScaling opsworks: StartInstance opsworks: StartStack opsworks: StopInstance opsworks: StopStack opsworks: UnassignInstance opsworks: UnassignVolume opsworks: UpdateApp opsworks: UpdateElasticIp opsworks: UpdateInstance opsworks: UpdateLayer opsworks: UpdateMyUserProfile opsworks: UpdateRdsDbInstance opsworks: UpdateStack opsworks: UpdateUserProfile opsworks: UpdateVolume  | 
| opsworks-cm |  opsworks-cm: AssociateNode opsworks-cm: CreateBackup opsworks-cm: CreateServer opsworks-cm: DeleteBackup opsworks-cm: DeleteServer opsworks-cm: DescribeAccountAttributes opsworks-cm: DescribeBackups opsworks-cm: DescribeEvents opsworks-cm: DescribeNodeAssociationStatus opsworks-cm: DescribeServers opsworks-cm: DisassociateNode opsworks-cm: ExportServerEngineAttribute opsworks-cm: RestoreServer opsworks-cm: StartMaintenance opsworks-cm: UpdateServer opsworks-cm: UpdateServerEngineAttributes  | 
| organisasi |  organisasi: AcceptHandshake organisasi: AttachPolicy organisasi: CancelHandshake organisasi: CloseAccount organisasi: CreateAccount organisasi: CreateGovCloudAccount organisasi: CreateOrganization organisasi: CreateOrganizationalUnit organisasi: CreatePolicy organisasi: DeclineHandshake organisasi: DeleteOrganization organisasi: DeleteOrganizationalUnit organisasi: DeletePolicy organisasi: DeleteResourcePolicy organisasi: DeregisterDelegatedAdministrator organisasi: DescribeAccount organisasi: DescribeCreateAccountStatus organisasi: DescribeEffectivePolicy organisasi: DescribeHandshake organisasi: DescribeOrganization organisasi: DescribeOrganizationalUnit organisasi: DescribePolicy organisasi: DescribeResourcePolicy organisasi: DescribeResponsibilityTransfer organisasi: DetachPolicy Organisasi: Nonaktifkan Akses AWSService organisasi: DisablePolicyType Organisasi: Aktifkan Akses AWSService organisasi: EnableAllFeatures organisasi: EnablePolicyType organisasi: InviteAccountToOrganization organisasi: LeaveOrganization Organisasi: daftar AWSService AccessForOrganization organisasi: ListAccounts organisasi: ListAccountsForParent organisasi: ListAccountsWithInvalidEffectivePolicy organisasi: ListChildren organisasi: ListCreateAccountStatus organisasi: ListDelegatedAdministrators organisasi: ListDelegatedServicesForAccount organisasi: ListHandshakesForAccount organisasi: ListHandshakesForOrganization organisasi: ListInboundResponsibilityTransfers organisasi: ListOrganizationalUnitsForParent organisasi: ListOutboundResponsibilityTransfers organisasi: ListParents organisasi: ListPolicies organisasi: ListPoliciesForTarget organisasi: ListRoots organisasi: ListTargetsForPolicy organisasi: MoveAccount organisasi: PutResourcePolicy organisasi: RegisterDelegatedAdministrator organisasi: RemoveAccountFromOrganization organisasi: TerminateResponsibilityTransfer organisasi: UpdateOrganizationalUnit organisasi: UpdatePolicy organisasi: UpdateResponsibilityTransfer  | 
| pos terdepan |  pos terdepan: CancelCapacityTask pos terdepan: CancelOrder pos terdepan: CreateOrder pos terdepan: CreateOutpost pos terdepan: CreatePrivateConnectivityConfig pos terdepan: CreateSite pos terdepan: DeleteOutpost pos terdepan: DeleteSite pos terdepan: GetCapacityTask pos terdepan: GetCatalogItem pos terdepan: GetConnection pos terdepan: GetOrder pos terdepan: GetOutpost pos terdepan: GetOutpostBillingInformation pos terdepan: GetOutpostInstanceTypes pos terdepan: GetOutpostSupportedInstanceTypes pos terdepan: GetPrivateConnectivityConfig pos terdepan: GetSite pos terdepan: GetSiteAddress pos terdepan: ListAssetInstances pos terdepan: ListAssets pos terdepan: ListBlockingInstancesForCapacityTask pos terdepan: ListCapacityTasks pos terdepan: ListCatalogItems pos terdepan: ListOrders pos terdepan: ListOutposts pos terdepan: ListSites pos terdepan: StartCapacityTask pos terdepan: StartConnection pos terdepan: UpdateOutpost pos terdepan: UpdateSite pos terdepan: UpdateSiteAddress pos terdepan: UpdateSiteRackPhysicalProperties  | 
| panorama |  panorama: CreateApplicationInstance panorama: CreateJobForDevices panorama: CreateNodeFromTemplateJob panorama: CreatePackage panorama: CreatePackageImportJob panorama: DeleteDevice panorama: DeletePackage panorama: DeregisterPackageVersion panorama: DescribeApplicationInstance panorama: DescribeApplicationInstanceDetails panorama: DescribeDevice panorama: DescribeDeviceJob panorama: DescribeNode panorama: DescribeNodeFromTemplateJob panorama: DescribePackage panorama: DescribePackageImportJob panorama: DescribePackageVersion panorama: ListApplicationInstanceDependencies panorama: ListApplicationInstanceNodeInstances panorama: ListApplicationInstances panorama: ListDevices panorama: ListDevicesJobs panorama: ListNodeFromTemplateJobs panorama: ListNodes panorama: ListPackageImportJobs panorama: ListPackages panorama: ProvisionDevice panorama: RegisterPackageVersion panorama: RemoveApplicationInstance panorama: SignalApplicationInstanceNodeInstances panorama: UpdateDeviceMetadata  | 
| pi |  pi: CreatePerformanceAnalysisReport pi: DeletePerformanceAnalysisReport pi: DescribeDimensionKeys pi: GetDimensionKeyDetails pi: GetPerformanceAnalysisReport pi: GetResourceMetadata pi: GetResourceMetrics pi: ListAvailableResourceDimensions pi: ListAvailableResourceMetrics pi: ListPerformanceAnalysisReports  | 
| pipa |  pipa: CreatePipe pipa: DeletePipe pipa: DescribePipe pipa: ListPipes pipa: StartPipe pipa: StopPipe pipa: UpdatePipe  | 
| polly |  polly: DeleteLexicon polly: DescribeVoices polly: GetLexicon polly: GetSpeechSynthesisTask polly: ListLexicons polly: ListSpeechSynthesisTasks polly: PutLexicon polly: StartSpeechSynthesisTask polly: SynthesizeSpeech  | 
| profile |  Profil: AddProfileKey Profil: BatchGetCalculatedAttributeForProfile Profil: BatchGetProfile Profil: CreateCalculatedAttributeDefinition Profil: CreateDomain Profil: CreateEventStream Profil: CreateProfile Profil: CreateRecommender Profil: CreateSegmentDefinition Profil: CreateSegmentEstimate Profil: CreateSegmentSnapshot Profil: CreateUploadJob Profil: DeleteCalculatedAttributeDefinition Profil: DeleteDomain Profil: DeleteDomainObjectType Profil: DeleteEventStream Profil: DeleteIntegration Profil: DeleteProfile Profil: DeleteProfileKey Profil: DeleteProfileObject Profil: DeleteProfileObjectType Profil: DeleteRecommender Profil: DeleteSegmentDefinition Profil: DeleteWorkflow Profil: DetectProfileObjectType Profil: GetAutoMergingPreview Profil: GetCalculatedAttributeDefinition Profil: GetCalculatedAttributeForProfile Profil: GetDomain Profil: GetDomainObjectType Profil: GetEventStream Profil: GetIdentityResolutionJob Profil: GetIntegration Profil: GetMatches Profil: GetObjectTypeAttributeStatistics Profil: GetProfileObjectType Profil: GetProfileObjectTypeTemplate Profil: GetProfileRecommendations Profil: GetRecommender Profil: GetSegmentDefinition Profil: GetSegmentEstimate Profil: GetSegmentMembership Profil: GetSegmentSnapshot Profil: GetSimilarProfiles Profil: GetUploadJob Profil: GetUploadJobPath Profil: GetWorkflow Profil: GetWorkflowSteps Profil: ListAccountIntegrations Profil: ListCalculatedAttributeDefinitions Profil: ListCalculatedAttributesForProfile Profil: ListDomainLayouts Profil: ListDomainObjectTypes Profil: ListDomains Profil: ListEventStreams Profil: ListIdentityResolutionJobs Profil: ListIntegrations Profil: ListObjectTypeAttributeValues Profil: ListObjectTypeAttributes Profil: ListProfileAttributeValues Profil: ListProfileObjectTypeTemplates Profil: ListProfileObjectTypes Profil: ListProfileObjects Profil: ListRecommenderRecipes Profil: ListRecommenders Profil: ListRuleBasedMatches Profil: ListSegmentDefinitions Profil: ListUploadJobs Profil: ListWorkflows Profil: MergeProfiles Profil: PutDomainObjectType Profil: PutIntegration Profil: PutProfileObject Profil: PutProfileObjectType Profil: SearchProfiles Profil: StartRecommender Profil: StartUploadJob Profil: StopRecommender Profil: StopUploadJob Profil: UpdateCalculatedAttributeDefinition Profil: UpdateDomain Profil: UpdateProfile Profil: UpdateRecommender  | 
| qldb |  qldb: CancelJournalKinesisStream qldb: CreateLedger qldb: DeleteLedger qldb: DescribeJournalKinesisStream qldb: S3Ekspor DescribeJournal qldb: DescribeLedger qldb: S3 ExportJournalTo qldb: GetBlock qldb: GetDigest qldb: GetRevision qldb: ListJournalKinesisStreamsForLedger qldb: S3Ekspor ListJournal qldb: S3 ListJournal ExportsForLedger qldb: ListLedgers qldb: StreamJournalToKinesis qldb: UpdateLedger qldb: UpdateLedgerPermissionsMode  | 
| ram |  ram: AcceptResourceShareInvitation ram: AssociateResourceShare ram: AssociateResourceSharePermission domba jantan: CreatePermission domba jantan: CreatePermissionVersion domba jantan: CreateResourceShare domba jantan: DeletePermission domba jantan: DeletePermissionVersion domba jantan: DeleteResourceShare domba jantan: DisassociateResourceShare domba jantan: DisassociateResourceSharePermission domba jantan: EnableSharingWithAwsOrganization domba jantan: GetPermission domba jantan: GetResourcePolicies domba jantan: GetResourceShareAssociations domba jantan: GetResourceShareInvitations domba jantan: GetResourceShares domba jantan: ListPendingInvitationResources domba jantan: ListPermissionAssociations domba jantan: ListPermissionVersions domba jantan: ListPermissions domba jantan: ListPrincipals domba jantan: ListReplacePermissionAssociationsWork domba jantan: ListResourceSharePermissions domba jantan: ListResourceTypes domba jantan: ListResources domba jantan: PromotePermissionCreatedFromPolicy domba jantan: PromoteResourceShareCreatedFromPolicy domba jantan: RejectResourceShareInvitation domba jantan: ReplacePermissionAssociations domba jantan: SetDefaultPermissionVersion domba jantan: UpdateResourceShare  | 
| rbin |  rbin: CreateRule rbin: DeleteRule rbin: GetRule rbin: ListRules rbin: LockRule rbin: UnlockRule rbin: UpdateRule  | 
| rds |  rds: AddRoleTo DBCluster rds: AddRoleTo DBInstance rds: AddSourceIdentifierToSubscription rds: ApplyPendingMaintenanceAction RDS: mengotorisasi DBSecurity GroupIngress RDS: Backtrack DBCluster rds: CancelExportTask RDS: Salin DBCluster ParameterGroup RDSDBCluster: Salin Snapshot RDSDBParameter: Grup Salin RDS: Salin DBSnapshot rds: CopyOptionGroup rds: Versi CreateCustom DBEngine RDS: Buat DBCluster ParameterGroup RDSDBParameter: Buat Grup RDS: Buat DBProxy RDSDBProxy: Buat Endpoint RDSDBSecurity: Buat Grup RDSDBSubnet: Buat Grup rds: CreateEventSubscription rds: CreateGlobalCluster rds: CreateOptionGroup rds: DeleteBlueGreenDeployment RDS: Hapus DBCluster AutomatedBackup RDS: Hapus DBCluster ParameterGroup RDSDBCluster: Hapus Snapshot RDS: Hapus DBInstance AutomatedBackup RDSDBParameter: Hapus Grup RDS: Hapus DBProxy RDSDBProxy: Hapus Titik Akhir RDSDBSecurity: Hapus Grup RDS: Hapus DBSnapshot RDSDBSubnet: Hapus Grup rds: DeleteEventSubscription rds: DeleteGlobalCluster rds: DeleteOptionGroup RDSDBProxy: Target Deregister rds: DescribeAccountAttributes rds: DescribeBlueGreenDeployments rds: DescribeCertificates RDS: jelaskan DBCluster AutomatedBackups RDSDBCluster: Jelaskan Backtracks RDSDBCluster: Jelaskan Titik Akhir RDS: jelaskan DBCluster ParameterGroups RDSDBCluster: Jelaskan Parameter RDS: jelaskan DBCluster SnapshotAttributes RDSDBCluster: Jelaskan Snapshots RDS: jelaskan DBClusters RDSDBEngine: Jelaskan Versi RDS: jelaskan DBInstance AutomatedBackups RDS: jelaskan DBInstances RDSDBLog: Jelaskan File RDS: jelaskan DBMajor EngineVersions RDSDBParameter: Jelaskan Grup RDS: jelaskan DBParameters RDS: jelaskan DBProxies RDSDBProxy: Jelaskan Titik Akhir RDS: jelaskan DBProxy TargetGroups RDSDBProxy: Jelaskan Target RDS: jelaskan DBRecommendations RDSDBSecurity: Jelaskan Grup RDSDBSnapshot: Jelaskan Atribut RDS: jelaskan DBSnapshot TenantDatabases RDS: jelaskan DBSnapshots RDSDBSubnet: Jelaskan Grup rds: DescribeEngineDefaultClusterParameters rds: DescribeEngineDefaultParameters rds: DescribeEventCategories rds: DescribeEventSubscriptions rds: DescribeEvents rds: DescribeExportTasks rds: DescribeGlobalClusters rds: DescribeIntegrations rds: DescribeOptionGroupOptions rds: DescribeOptionGroups rds: Pilihan DescribeOrderable DBInstance rds: DescribePendingMaintenanceActions rds: DescribeReserved DBInstances rds: Penawaran DescribeReserved DBInstances rds: DescribeSourceRegions rds: DescribeTenantDatabases rds: DescribeValid DBInstance Modifikasi rds: Berkas DownloadComplete DBLog RDS: Unduh DBLog FilePortion RDS: Failover DBCluster rds: FailoverGlobalCluster rds: ModifyActivityStream rds: ModifyCertificates rds: Kapasitas ModifyCurrent DBCluster RDSDBCluster: memodifikasi Endpoint RDS: memodifikasi DBCluster ParameterGroup RDS: memodifikasi DBCluster SnapshotAttribute RDSDBParameter: Modifikasi Grup RDS: memodifikasi DBProxy RDSDBProxy: memodifikasi Endpoint RDS: memodifikasi DBProxy TargetGroup RDS: memodifikasi DBRecommendation RDS: memodifikasi DBSnapshot RDSDBSnapshot: memodifikasi Atribut RDSDBSubnet: Modifikasi Grup rds: ModifyEventSubscription rds: ModifyGlobalCluster rds: ModifyOptionGroup rds: ModifyTenantDatabase rds: PurchaseReserved DBInstances Menawarkan RDS: Reboot DBCluster RDS: Daftarkan Target DBProxy rds: RemoveFromGlobalCluster rds: RemoveRoleFrom DBCluster rds: RemoveRoleFrom DBInstance rds: RemoveSourceIdentifierFromSubscription RDS: Atur ulang DBCluster ParameterGroup RDSDBParameter: Atur Ulang Grup RDSDBCluster: Kembalikan dari3 RDS: Kembalikan DBCluster FromSnapshot RDS: Kembalikan DBCluster ToPointInTime RDSDBInstance: Kembalikan Dari DBSnapshot RDSDBInstance: Kembalikan dari3 RDS: Kembalikan DBInstance ToPointInTime RDS: mencabut DBSecurity GroupIngress rds: StartActivityStream RDS: Mulai DBCluster RDS: Mulai DBInstance RDS: Mulai DBInstance AutomatedBackupsReplication rds: StartExportTask rds: StopActivityStream RDS: berhenti DBCluster RDS: berhenti DBInstance RDS: berhenti DBInstance AutomatedBackupsReplication rds: SwitchoverBlueGreenDeployment rds: SwitchoverGlobalCluster rds: SwitchoverReadReplica  | 
| redshift |  pergeseran merah: AcceptReservedNodeExchange pergeseran merah: AddPartner pergeseran merah: AssociateDataShareConsumer pergeseran merah: AuthorizeClusterSecurityGroupIngress pergeseran merah: AuthorizeDataShare pergeseran merah: AuthorizeEndpointAccess pergeseran merah: AuthorizeSnapshotAccess pergeseran merah: BatchDeleteClusterSnapshots pergeseran merah: BatchModifyClusterSnapshots pergeseran merah: CancelQuery pergeseran merah: CancelResize pergeseran merah: CopyClusterSnapshot pergeseran merah: CreateAuthenticationProfile pergeseran merah: CreateCluster pergeseran merah: CreateClusterParameterGroup pergeseran merah: CreateClusterSecurityGroup pergeseran merah: CreateClusterSnapshot pergeseran merah: CreateClusterSubnetGroup pergeseran merah: CreateCustomDomainAssociation pergeseran merah: CreateEndpointAccess pergeseran merah: CreateEventSubscription pergeseran merah: CreateHsmClientCertificate pergeseran merah: CreateHsmConfiguration pergeseran merah: CreateIntegration pergeseran merah: CreateRedshiftIdcApplication pergeseran merah: CreateScheduledAction pergeseran merah: CreateSnapshotCopyGrant pergeseran merah: CreateSnapshotSchedule pergeseran merah: CreateUsageLimit pergeseran merah: DeauthorizeDataShare pergeseran merah: DeleteAuthenticationProfile pergeseran merah: DeleteCluster pergeseran merah: DeleteClusterParameterGroup pergeseran merah: DeleteClusterSecurityGroup pergeseran merah: DeleteClusterSnapshot pergeseran merah: DeleteClusterSubnetGroup pergeseran merah: DeleteCustomDomainAssociation pergeseran merah: DeleteEndpointAccess pergeseran merah: DeleteEventSubscription pergeseran merah: DeleteHsmClientCertificate pergeseran merah: DeleteHsmConfiguration pergeseran merah: DeletePartner pergeseran merah: DeleteRedshiftIdcApplication pergeseran merah: DeleteResourcePolicy pergeseran merah: DeleteScheduledAction pergeseran merah: DeleteSnapshotCopyGrant pergeseran merah: DeleteSnapshotSchedule pergeseran merah: DeleteUsageLimit pergeseran merah: DeregisterNamespace pergeseran merah: DescribeAccountAttributes pergeseran merah: DescribeAuthenticationProfiles pergeseran merah: DescribeClusterDbRevisions pergeseran merah: DescribeClusterParameterGroups pergeseran merah: DescribeClusterParameters pergeseran merah: DescribeClusterSecurityGroups pergeseran merah: DescribeClusterSnapshots pergeseran merah: DescribeClusterSubnetGroups pergeseran merah: DescribeClusterTracks pergeseran merah: DescribeClusterVersions pergeseran merah: DescribeClusters pergeseran merah: DescribeCustomDomainAssociations pergeseran merah: DescribeDataShares pergeseran merah: DescribeDataSharesForConsumer pergeseran merah: DescribeDataSharesForProducer pergeseran merah: DescribeDefaultClusterParameters pergeseran merah: DescribeEndpointAccess pergeseran merah: DescribeEndpointAuthorization pergeseran merah: DescribeEventCategories pergeseran merah: DescribeEventSubscriptions pergeseran merah: DescribeEvents pergeseran merah: DescribeHsmClientCertificates pergeseran merah: DescribeHsmConfigurations pergeseran merah: DescribeInboundIntegrations pergeseran merah: DescribeIntegrations pergeseran merah: DescribeLoggingStatus pergeseran merah: DescribeNodeConfigurationOptions pergeseran merah: DescribeOrderableClusterOptions pergeseran merah: DescribePartners pergeseran merah: DescribeRedshiftIdcApplications pergeseran merah: DescribeReservedNodeExchangeStatus pergeseran merah: DescribeReservedNodeOfferings pergeseran merah: DescribeReservedNodes pergeseran merah: DescribeResize pergeseran merah: DescribeScheduledActions pergeseran merah: DescribeSnapshotCopyGrants pergeseran merah: DescribeSnapshotSchedules pergeseran merah: DescribeStorage pergeseran merah: DescribeTableRestoreStatus pergeseran merah: DescribeUsageLimits pergeseran merah: DisableLogging pergeseran merah: DisableSnapshotCopy pergeseran merah: DisassociateDataShareConsumer pergeseran merah: EnableLogging pergeseran merah: EnableSnapshotCopy pergeseran merah: FailoverPrimaryCompute pergeseran merah: GetClusterCredentials pergeseran merah: GetClusterCredentialsWith IAM pergeseran merah: GetIdentityCenterAuthToken pergeseran merah: GetReservedNodeExchangeConfigurationOptions pergeseran merah: GetReservedNodeExchangeOfferings pergeseran merah: GetResourcePolicy pergeseran merah: ListRecommendations pergeseran merah: ModifyAquaConfiguration pergeseran merah: ModifyAuthenticationProfile pergeseran merah: ModifyCluster pergeseran merah: ModifyClusterDbRevision pergeseran merah: ModifyClusterIamRoles pergeseran merah: ModifyClusterMaintenance pergeseran merah: ModifyClusterParameterGroup pergeseran merah: ModifyClusterSnapshot pergeseran merah: ModifyClusterSnapshotSchedule pergeseran merah: ModifyClusterSubnetGroup pergeseran merah: ModifyCustomDomainAssociation pergeseran merah: ModifyEndpointAccess pergeseran merah: ModifyEventSubscription pergeseran merah: ModifyRedshiftIdcApplication pergeseran merah: ModifyScheduledAction pergeseran merah: ModifySnapshotCopyRetentionPeriod pergeseran merah: ModifySnapshotSchedule pergeseran merah: ModifyUsageLimit pergeseran merah: PauseCluster pergeseran merah: PurchaseReservedNodeOffering pergeseran merah: PutResourcePolicy pergeseran merah: RebootCluster pergeseran merah: RegisterNamespace pergeseran merah: RejectDataShare pergeseran merah: ResetClusterParameterGroup pergeseran merah: ResizeCluster pergeseran merah: RestoreFromClusterSnapshot pergeseran merah: RestoreTableFromClusterSnapshot pergeseran merah: ResumeCluster pergeseran merah: RevokeClusterSecurityGroupIngress pergeseran merah: RevokeEndpointAccess pergeseran merah: RevokeSnapshotAccess pergeseran merah: RotateEncryptionKey pergeseran merah: UpdatePartnerStatus  | 
| data pergeseran merah |  data pergeseran merah: BatchExecuteStatement data pergeseran merah: CancelStatement data pergeseran merah: DescribeStatement data pergeseran merah: DescribeTable data pergeseran merah: ExecuteStatement data pergeseran merah: GetStatementResult data pergeseran merah: ListDatabases data pergeseran merah: ListSchemas data pergeseran merah: ListStatements data pergeseran merah: ListTables  | 
| ruang refaktor |  ruang refaktor: CreateApplication ruang refaktor: CreateEnvironment ruang refaktor: CreateRoute ruang refaktor: CreateService ruang refaktor: DeleteApplication ruang refaktor: DeleteEnvironment ruang refaktor: DeleteResourcePolicy ruang refaktor: DeleteRoute ruang refaktor: DeleteService ruang refaktor: GetApplication ruang refaktor: GetEnvironment ruang refaktor: GetResourcePolicy ruang refaktor: GetRoute ruang refaktor: GetService ruang refaktor: ListApplications ruang refaktor: ListEnvironmentVpcs ruang refaktor: ListEnvironments ruang refaktor: ListRoutes ruang refaktor: ListServices ruang refaktor: PutResourcePolicy ruang refaktor: UpdateRoute  | 
| rekognisi |  Rekognisi: AssociateFaces Rekognisi: CompareFaces Rekognisi: CopyProjectVersion Rekognisi: CreateCollection Rekognisi: CreateDataset Rekognisi: CreateFaceLivenessSession Rekognisi: CreateProject Rekognisi: CreateProjectVersion Rekognisi: CreateStreamProcessor Rekognisi: CreateUser Rekognisi: DeleteCollection Rekognisi: DeleteDataset Rekognisi: DeleteFaces Rekognisi: DeleteProject Rekognisi: DeleteProjectPolicy Rekognisi: DeleteProjectVersion Rekognisi: DeleteStreamProcessor Rekognisi: DeleteUser Rekognisi: DescribeCollection Rekognisi: DescribeDataset Rekognisi: DescribeProjectVersions Rekognisi: DescribeProjects Rekognisi: DescribeStreamProcessor Rekognisi: DetectCustomLabels Rekognisi: DetectFaces Rekognisi: DetectLabels Rekognisi: DetectModerationLabels Rekognisi: DetectProtectiveEquipment Rekognisi: DetectText Rekognisi: DisassociateFaces Rekognisi: DistributeDatasetEntries Rekognisi: GetCelebrityInfo Rekognisi: GetCelebrityRecognition Rekognisi: GetContentModeration Rekognisi: GetFaceDetection Rekognisi: GetFaceLivenessSessionResults Rekognisi: GetFaceSearch Rekognisi: GetLabelDetection Rekognisi: GetMediaAnalysisJob Rekognisi: GetPersonTracking Rekognisi: GetSegmentDetection Rekognisi: GetTextDetection Rekognisi: IndexFaces Rekognisi: ListCollections Rekognisi: ListDatasetEntries Rekognisi: ListDatasetLabels Rekognisi: ListFaces Rekognisi: ListMediaAnalysisJobs Rekognisi: ListProjectPolicies Rekognisi: ListStreamProcessors Rekognisi: ListUsers Rekognisi: PutProjectPolicy Rekognisi: RecognizeCelebrities Rekognisi: SearchFaces Rekognisi: SearchFacesByImage Rekognisi: SearchUsers Rekognisi: SearchUsersByImage Rekognisi: StartCelebrityRecognition Rekognisi: StartContentModeration Rekognisi: StartFaceDetection Rekognisi: StartFaceLivenessSession Rekognisi: StartFaceSearch Rekognisi: StartLabelDetection Rekognisi: StartMediaAnalysisJob Rekognisi: StartPersonTracking Rekognisi: StartProjectVersion Rekognisi: StartSegmentDetection Rekognisi: StartStreamProcessor Rekognisi: StartTextDetection Rekognisi: StopProjectVersion Rekognisi: StopStreamProcessor Rekognisi: UpdateDatasetEntries Rekognisi: UpdateStreamProcessor  | 
| resiliencehub |  resiliencehub: AcceptResourceGroupingRecommendations resiliencehub: AddDraftAppVersionResourceMappings resiliencehub: BatchUpdateRecommendationStatus resiliencehub: CreateApp resiliencehub: CreateAppVersionAppComponent resiliencehub: CreateAppVersionResource resiliencehub: CreateRecommendationTemplate resiliencehub: CreateResiliencyPolicy resiliencehub: DeleteApp resiliencehub: DeleteAppAssessment resiliencehub: DeleteAppInputSource resiliencehub: DeleteAppVersionAppComponent resiliencehub: DeleteAppVersionResource resiliencehub: DeleteRecommendationTemplate resiliencehub: DeleteResiliencyPolicy resiliencehub: DescribeApp resiliencehub: DescribeAppAssessment resiliencehub: DescribeAppVersion resiliencehub: DescribeAppVersionAppComponent resiliencehub: DescribeAppVersionResource resiliencehub: DescribeAppVersionResourcesResolutionStatus resiliencehub: DescribeAppVersionTemplate resiliencehub: DescribeDraftAppVersionResourcesImportStatus resiliencehub: DescribeMetricsExport resiliencehub: DescribeResiliencyPolicy resiliencehub: DescribeResourceGroupingRecommendationTask resiliencehub: ImportResourcesToDraftAppVersion resiliencehub: ListAlarmRecommendations resiliencehub: ListAppAssessmentComplianceDrifts resiliencehub: ListAppAssessmentResourceDrifts resiliencehub: ListAppAssessments resiliencehub: ListAppComponentCompliances resiliencehub: ListAppComponentRecommendations resiliencehub: ListAppInputSources resiliencehub: ListAppVersionAppComponents resiliencehub: ListAppVersionResourceMappings resiliencehub: ListAppVersionResources resiliencehub: ListAppVersions resiliencehub: ListApps resiliencehub: ListMetrics resiliencehub: ListRecommendationTemplates resiliencehub: ListResiliencyPolicies resiliencehub: ListResourceGroupingRecommendations resiliencehub: ListSopRecommendations resiliencehub: ListSuggestedResiliencyPolicies resiliencehub: ListTestRecommendations resiliencehub: ListUnsupportedAppVersionResources resiliencehub: PublishAppVersion resiliencehub: PutDraftAppVersionTemplate resiliencehub: RejectResourceGroupingRecommendations resiliencehub: RemoveDraftAppVersionResourceMappings resiliencehub: ResolveAppVersionResources resiliencehub: StartAppAssessment resiliencehub: StartResourceGroupingRecommendationTask resiliencehub: UpdateApp resiliencehub: UpdateAppVersion resiliencehub: UpdateAppVersionAppComponent resiliencehub: UpdateAppVersionResource resiliencehub: UpdateResiliencyPolicy  | 
| sumber daya-penjelajah-2 |  sumber daya-penjelajah-2: AssociateDefaultView sumber daya-penjelajah-2: BatchGetView sumber daya-penjelajah-2: CreateIndex sumber daya-penjelajah-2: CreateResourceExplorerSetup sumber daya-penjelajah-2: CreateView sumber daya-penjelajah-2: DeleteIndex sumber daya-penjelajah-2: DeleteResourceExplorerSetup sumber daya-penjelajah-2: DeleteView sumber daya-penjelajah-2: DisassociateDefaultView sumber daya-penjelajah-2: GetAccountLevelServiceConfiguration sumber daya-penjelajah-2: GetDefaultView sumber daya-penjelajah-2: GetIndex sumber daya-penjelajah-2: GetManagedView sumber daya-penjelajah-2: GetResourceExplorerSetup sumber daya-penjelajah-2: GetServiceIndex sumber daya-penjelajah-2: GetServiceView sumber daya-penjelajah-2: ListIndexes sumber daya-penjelajah-2: ListIndexesForMembers sumber daya-penjelajah-2: ListManagedViews sumber daya-penjelajah-2: ListServiceIndexes sumber daya-penjelajah-2: ListServiceViews sumber daya-penjelajah-2: ListStreamingAccessForServices sumber daya-penjelajah-2: ListSupportedResourceTypes sumber daya-penjelajah-2: ListViews Resource-Explorer-2:Search sumber daya-penjelajah-2: UpdateIndexType sumber daya-penjelajah-2: UpdateView  | 
| kelompok sumber daya |  kelompok sumber daya: CancelTagSyncTask kelompok sumber daya: GetAccountSettings kelompok sumber daya: GetGroup kelompok sumber daya: GetGroupConfiguration kelompok sumber daya: GetGroupQuery kelompok sumber daya: GetTagSyncTask kelompok sumber daya: GroupResources kelompok sumber daya: ListGroupResources kelompok sumber daya: ListGroupingStatuses kelompok sumber daya: ListGroups kelompok sumber daya: ListTagSyncTasks kelompok sumber daya: PutGroupConfiguration kelompok sumber daya: SearchResources kelompok sumber daya: StartTagSyncTask kelompok sumber daya: UngroupResources kelompok sumber daya: UpdateAccountSettings kelompok sumber daya: UpdateGroup kelompok sumber daya: UpdateGroupQuery  | 
| robomaker |  pembuat robomak: BatchDeleteWorlds pembuat robomak: BatchDescribeSimulationJob pembuat robomak: CancelDeploymentJob pembuat robomak: CancelSimulationJob pembuat robomak: CancelSimulationJobBatch pembuat robomak: CancelWorldExportJob pembuat robomak: CancelWorldGenerationJob pembuat robomak: CreateDeploymentJob pembuat robomak: CreateFleet pembuat robomak: CreateRobot pembuat robomak: CreateRobotApplication pembuat robomak: CreateRobotApplicationVersion pembuat robomak: CreateSimulationApplication pembuat robomak: CreateSimulationApplicationVersion pembuat robomak: CreateSimulationJob pembuat robomak: CreateWorldExportJob pembuat robomak: CreateWorldGenerationJob pembuat robomak: CreateWorldTemplate pembuat robomak: DeleteFleet pembuat robomak: DeleteRobot pembuat robomak: DeleteRobotApplication pembuat robomak: DeleteSimulationApplication pembuat robomak: DeleteWorldTemplate pembuat robomak: DeregisterRobot pembuat robomak: DescribeDeploymentJob pembuat robomak: DescribeFleet pembuat robomak: DescribeRobot pembuat robomak: DescribeRobotApplication pembuat robomak: DescribeSimulationApplication pembuat robomak: DescribeSimulationJob pembuat robomak: DescribeSimulationJobBatch pembuat robomak: DescribeWorld pembuat robomak: DescribeWorldExportJob pembuat robomak: DescribeWorldGenerationJob pembuat robomak: DescribeWorldTemplate pembuat robomak: GetWorldTemplateBody pembuat robomak: ListDeploymentJobs pembuat robomak: ListFleets pembuat robomak: ListRobotApplications pembuat robomak: ListRobots pembuat robomak: ListSimulationApplications pembuat robomak: ListSimulationJobBatches pembuat robomak: ListSimulationJobs pembuat robomak: ListWorldExportJobs pembuat robomak: ListWorldGenerationJobs pembuat robomak: ListWorldTemplates pembuat robomak: ListWorlds pembuat robomak: RegisterRobot pembuat robomak: RestartSimulationJob pembuat robomak: StartSimulationJobBatch pembuat robomak: SyncDeploymentJob pembuat robomak: UpdateRobotApplication pembuat robomak: UpdateSimulationApplication pembuat robomak: UpdateWorldTemplate  | 
| peranandi mana saja |  peranandi mana saja: CreateProfile peranandi mana saja: CreateTrustAnchor peranandi mana saja: DeleteAttributeMapping peranandi mana saja: DeleteCrl peranandi mana saja: DeleteProfile peranandi mana saja: DeleteTrustAnchor peranandi mana saja: DisableCrl peranandi mana saja: DisableProfile peranandi mana saja: DisableTrustAnchor peranandi mana saja: EnableCrl peranandi mana saja: EnableProfile peranandi mana saja: EnableTrustAnchor peranandi mana saja: GetCrl peranandi mana saja: GetProfile peranandi mana saja: GetSubject peranandi mana saja: GetTrustAnchor peranandi mana saja: ImportCrl peranandi mana saja: ListCrls peranandi mana saja: ListProfiles peranandi mana saja: ListSubjects peranandi mana saja: ListTrustAnchors peranandi mana saja: PutAttributeMapping peranandi mana saja: PutNotificationSettings peranandi mana saja: ResetNotificationSettings peranandi mana saja: UpdateCrl peranandi mana saja: UpdateProfile peranandi mana saja: UpdateTrustAnchor  | 
| route53 |  route53: ActivateKeySigningKey Route53:Asosiasi VPCWith HostedZone route53: ChangeCidrCollection route53: ChangeResourceRecordSets route53: CreateCidrCollection route53: CreateHealthCheck route53: CreateHostedZone route53: CreateKeySigningKey route53: CreateQueryLoggingConfig route53: CreateReusableDelegationSet route53: CreateTrafficPolicy route53: CreateTrafficPolicyInstance route53: CreateTrafficPolicyVersion Route53: Buat Otorisasi VPCAssociation route53: DeactivateKeySigningKey route53: DeleteCidrCollection route53: DeleteHealthCheck route53: DeleteHostedZone route53: DeleteKeySigningKey route53: DeleteQueryLoggingConfig route53: DeleteReusableDelegationSet route53: DeleteTrafficPolicy route53: DeleteTrafficPolicyInstance Route53: Hapus Otorisasi VPCAssociation route53: DNSSEC DisableHostedZone Route53:Disassociate VPCFrom HostedZone route53: DNSSEC EnableHostedZone route53: GetAccountLimit route53: GetChange route53: GetCheckerIpRanges Route53:GetDNSSec route53: GetGeoLocation route53: GetHealthCheck route53: GetHealthCheckCount route53: GetHealthCheckLastFailureReason route53: GetHealthCheckStatus route53: GetHostedZone route53: GetHostedZoneCount route53: GetHostedZoneLimit route53: GetQueryLoggingConfig route53: GetReusableDelegationSet route53: GetReusableDelegationSetLimit route53: GetTrafficPolicy route53: GetTrafficPolicyInstance route53: GetTrafficPolicyInstanceCount route53: ListCidrBlocks route53: ListCidrCollections route53: ListCidrLocations route53: ListGeoLocations route53: ListHealthChecks route53: ListHostedZones route53: ListHostedZonesByName route53: VPC ListHostedZonesBy route53: ListQueryLoggingConfigs route53: ListResourceRecordSets route53: ListReusableDelegationSets route53: ListTrafficPolicies route53: ListTrafficPolicyInstances route53: ListTrafficPolicyInstancesByHostedZone route53: ListTrafficPolicyInstancesByPolicy route53: ListTrafficPolicyVersions Route53:Daftar Otorisasi VPCAssociation Route53: tes DNSAnswer route53: UpdateHealthCheck route53: UpdateHostedZoneComment route53: UpdateTrafficPolicyComment route53: UpdateTrafficPolicyInstance  | 
| rute53- recovery-control-config |  route53-: recovery-control-config CreateCluster route53-: recovery-control-config CreateControlPanel route53-: recovery-control-config CreateRoutingControl route53-: recovery-control-config CreateSafetyRule route53-: recovery-control-config DeleteCluster route53-: recovery-control-config DeleteControlPanel route53-: recovery-control-config DeleteRoutingControl route53-: recovery-control-config DeleteSafetyRule route53-: recovery-control-config DescribeCluster route53-: recovery-control-config DescribeControlPanel route53-: recovery-control-config DescribeRoutingControl route53-: recovery-control-config DescribeSafetyRule route53-: recovery-control-config GetResourcePolicy rute53-: recovery-control-config 53 ListAssociatedRoute HealthChecks route53-: recovery-control-config ListClusters route53-: recovery-control-config ListControlPanels route53-: recovery-control-config ListRoutingControls route53-: recovery-control-config ListSafetyRules route53-: recovery-control-config UpdateCluster route53-: recovery-control-config UpdateControlPanel route53-: recovery-control-config UpdateRoutingControl route53-: recovery-control-config UpdateSafetyRule  | 
| route53-pemulihan-kesiapan |  route53-pemulihan-kesiapan: CreateCell route53-pemulihan-kesiapan: CreateCrossAccountAuthorization route53-pemulihan-kesiapan: CreateReadinessCheck route53-pemulihan-kesiapan: CreateRecoveryGroup route53-pemulihan-kesiapan: CreateResourceSet route53-pemulihan-kesiapan: DeleteCell route53-pemulihan-kesiapan: DeleteCrossAccountAuthorization route53-pemulihan-kesiapan: DeleteReadinessCheck route53-pemulihan-kesiapan: DeleteRecoveryGroup route53-pemulihan-kesiapan: DeleteResourceSet route53-pemulihan-kesiapan: GetArchitectureRecommendations route53-pemulihan-kesiapan: GetCell route53-pemulihan-kesiapan: GetCellReadinessSummary route53-pemulihan-kesiapan: GetReadinessCheck route53-pemulihan-kesiapan: GetReadinessCheckResourceStatus route53-pemulihan-kesiapan: GetReadinessCheckStatus route53-pemulihan-kesiapan: GetRecoveryGroup route53-pemulihan-kesiapan: GetRecoveryGroupReadinessSummary route53-pemulihan-kesiapan: GetResourceSet route53-pemulihan-kesiapan: ListCells route53-pemulihan-kesiapan: ListCrossAccountAuthorizations route53-pemulihan-kesiapan: ListReadinessChecks route53-pemulihan-kesiapan: ListRecoveryGroups route53-pemulihan-kesiapan: ListResourceSets route53-pemulihan-kesiapan: ListRules route53-pemulihan-kesiapan: UpdateCell route53-pemulihan-kesiapan: UpdateReadinessCheck route53-pemulihan-kesiapan: UpdateRecoveryGroup route53-pemulihan-kesiapan: UpdateResourceSet  | 
| route53resolver |  route53resolver: AssociateFirewallRuleGroup route53resolver: AssociateResolverEndpointIpAddress route53resolver: AssociateResolverQueryLogConfig route53resolver: AssociateResolverRule route53resolver: CreateFirewallDomainList route53resolver: CreateFirewallRule route53resolver: CreateFirewallRuleGroup route53resolver: CreateResolverEndpoint route53resolver: CreateResolverQueryLogConfig route53resolver: CreateResolverRule route53resolver: DeleteFirewallDomainList route53resolver: DeleteFirewallRule route53resolver: DeleteFirewallRuleGroup route53resolver: DeleteOutpostResolver route53resolver: DeleteResolverEndpoint route53resolver: DeleteResolverQueryLogConfig route53resolver: DeleteResolverRule route53resolver: DisassociateFirewallRuleGroup route53resolver: DisassociateResolverEndpointIpAddress route53resolver: DisassociateResolverQueryLogConfig route53resolver: DisassociateResolverRule route53resolver: GetFirewallConfig route53resolver: GetFirewallDomainList route53resolver: GetFirewallRuleGroup route53resolver: GetFirewallRuleGroupAssociation route53resolver: GetFirewallRuleGroupPolicy route53resolver: GetOutpostResolver route53resolver: GetResolverConfig route53resolver: GetResolverDnssecConfig route53resolver: GetResolverEndpoint route53resolver: GetResolverQueryLogConfig route53resolver: GetResolverQueryLogConfigAssociation route53resolver: GetResolverQueryLogConfigPolicy route53resolver: GetResolverRule route53resolver: GetResolverRuleAssociation route53resolver: GetResolverRulePolicy route53resolver: ImportFirewallDomains route53resolver: ListFirewallConfigs route53resolver: ListFirewallDomainLists route53resolver: ListFirewallDomains route53resolver: ListFirewallRuleGroupAssociations route53resolver: ListFirewallRuleGroups route53resolver: ListFirewallRules route53resolver: ListOutpostResolvers route53resolver: ListResolverConfigs route53resolver: ListResolverDnssecConfigs route53resolver: ListResolverEndpointIpAddresses route53resolver: ListResolverEndpoints route53resolver: ListResolverQueryLogConfigAssociations route53resolver: ListResolverQueryLogConfigs route53resolver: ListResolverRuleAssociations route53resolver: ListResolverRules route53resolver: PutFirewallRuleGroupPolicy route53resolver: PutResolverQueryLogConfigPolicy route53resolver: UpdateFirewallConfig route53resolver: UpdateFirewallDomains route53resolver: UpdateFirewallRule route53resolver: UpdateFirewallRuleGroupAssociation route53resolver: UpdateOutpostResolver route53resolver: UpdateResolverConfig route53resolver: UpdateResolverDnssecConfig route53resolver: UpdateResolverEndpoint route53resolver: UpdateResolverRule  | 
| rum |  rum: BatchCreateRumMetricDefinitions rum: BatchDeleteRumMetricDefinitions rum: BatchGetRumMetricDefinitions rum: CreateAppMonitor rum: DeleteAppMonitor rum: DeleteResourcePolicy rum: DeleteRumMetricsDestination rum: GetAppMonitor rum: GetAppMonitorData rum: GetResourcePolicy rum: ListAppMonitors rum: ListRumMetricsDestinations rum: PutResourcePolicy rum: PutRumMetricsDestination rum: UpdateAppMonitor rum: UpdateRumMetricDefinition  | 
| s3 |  s3: AssociateAccessGrantsIdentityCenter s3: CreateAccessGrant s3: CreateAccessGrantsInstance s3: CreateAccessGrantsLocation s3: CreateAccessPoint s3: CreateAccessPointForObjectLambda s3: CreateBucket s3: CreateBucketMetadataTableConfiguration s3: CreateJob s3: CreateMultiRegionAccessPoint s3: DeleteAccessGrant s3: DeleteAccessGrantsInstance s3: DeleteAccessGrantsInstanceResourcePolicy s3: DeleteAccessGrantsLocation s3: DeleteAccessPoint s3: DeleteAccessPointForObjectLambda s3: DeleteAccessPointPolicy s3: DeleteAccessPointPolicyForObjectLambda s3: DeleteBucket s3: DeleteBucketMetadataTableConfiguration s3: DeleteBucketPolicy s3: DeleteBucketWebsite s3: DeleteMultiRegionAccessPoint s3: DeleteStorageLensConfiguration s3: DescribeJob s3: DescribeMultiRegionAccessPointOperation s3: DissociateAccessGrantsIdentityCenter s3: GetAccelerateConfiguration s3: GetAccessGrant s3: GetAccessGrantsInstance s3: GetAccessGrantsInstanceForPrefix s3: GetAccessGrantsInstanceResourcePolicy s3: GetAccessGrantsLocation s3: GetAccessPoint s3: GetAccessPointConfigurationForObjectLambda s3: GetAccessPointForObjectLambda s3: GetAccessPointPolicy s3: GetAccessPointPolicyForObjectLambda s3: GetAccessPointPolicyStatus s3: GetAccessPointPolicyStatusForObjectLambda s3: GetAccountPublicAccessBlock s3: GetAnalyticsConfiguration s3: GetBucketAbac s3: GetBucketAcl s3: GetBucket CORS s3: GetBucketLocation s3: GetBucketLogging s3: GetBucketNotification s3: GetBucketObjectLockConfiguration s3: GetBucketOwnershipControls s3: GetBucketPolicy s3: GetBucketPolicyStatus s3: GetBucketPublicAccessBlock s3: GetBucketRequestPayment s3: GetBucketVersioning s3: GetBucketWebsite s3: GetDataAccess s3: GetEncryptionConfiguration s3: GetIntelligentTieringConfiguration s3: GetInventoryConfiguration s3: GetLifecycleConfiguration s3: GetMetricsConfiguration s3: GetMultiRegionAccessPoint s3: GetMultiRegionAccessPointPolicy s3: GetMultiRegionAccessPointPolicyStatus s3: GetMultiRegionAccessPointRoutes s3: GetReplicationConfiguration s3: GetStorageLensConfiguration s3: GetStorageLensDashboard s3: ListAccessGrants s3: ListAccessGrantsInstances s3: ListAccessGrantsLocations s3: ListAccessPoints s3: ListAccessPointsForObjectLambda s3: ListAllMyBuckets s3: ListBucketMultipartUploads s3: ListCallerAccessGrants s3: ListJobs s3: ListMultiRegionAccessPoints s3: ListStorageLensConfigurations s3: PutAccelerateConfiguration s3: PutAccessGrantsInstanceResourcePolicy s3: PutAccessPointConfigurationForObjectLambda s3: PutAccessPointPolicy s3: PutAccessPointPolicyForObjectLambda s3: PutAccountPublicAccessBlock s3: PutAnalyticsConfiguration s3: PutBucketAbac s3: PutBucketAcl s3: PutBucket CORS s3: PutBucketLogging s3: PutBucketNotification s3: PutBucketObjectLockConfiguration s3: PutBucketOwnershipControls s3: PutBucketPolicy s3: PutBucketPublicAccessBlock s3: PutBucketRequestPayment s3: PutBucketVersioning s3: PutBucketWebsite s3: PutEncryptionConfiguration s3: PutIntelligentTieringConfiguration s3: PutInventoryConfiguration s3: PutLifecycleConfiguration s3: PutMetricsConfiguration s3: PutMultiRegionAccessPointPolicy s3: PutReplicationConfiguration s3: PutStorageLensConfiguration s3: SubmitMultiRegionAccessPointRoutes s3: UpdateAccessGrantsLocation s3: UpdateBucketMetadataJournalTableConfiguration s3: UpdateJobPriority s3: UpdateJobStatus  | 
| pos terdepan s3 |  pos terdepan s3: CreateEndpoint pos terdepan s3: DeleteEndpoint pos terdepan s3: ListEndpoints s3-pos terdepan: S3 ListOutpostsWith pos terdepan s3: ListSharedEndpoints  | 
| sagemaker-geospasial |  sagemaker-geospasial: DeleteEarthObservationJob sagemaker-geospasial: DeleteVectorEnrichmentJob sagemaker-geospasial: ExportEarthObservationJob sagemaker-geospasial: ExportVectorEnrichmentJob pembuat sagemer-geospasial: GetEarthObservationJob pembuat sagemer-geospasial: GetRasterDataCollection pembuat sagemer-geospasial: GetTile pembuat sagemer-geospasial: GetVectorEnrichmentJob pembuat sagemer-geospasial: ListEarthObservationJobs pembuat sagemer-geospasial: ListRasterDataCollections pembuat sagemer-geospasial: ListVectorEnrichmentJobs pembuat sagemer-geospasial: SearchRasterDataCollection pembuat sagemer-geospasial: StartEarthObservationJob pembuat sagemer-geospasial: StartVectorEnrichmentJob pembuat sagemer-geospasial: StopEarthObservationJob pembuat sagemer-geospasial: StopVectorEnrichmentJob  | 
| savingsplans |  savingsplans: CreateSavingsPlan savingsplans: DeleteQueuedSavingsPlan savingsplans: DescribeSavingsPlanRates savingsplans: DescribeSavingsPlans savingsplans: DescribeSavingsPlansOfferingRates savingsplans: DescribeSavingsPlansOfferings savingsplans: ReturnSavingsPlan  | 
| skema |  skema: CreateDiscoverer skema: CreateRegistry skema: CreateSchema skema: DeleteDiscoverer skema: DeleteRegistry skema: DeleteResourcePolicy skema: DeleteSchema skema: DeleteSchemaVersion skema: DescribeCodeBinding skema: DescribeDiscoverer skema: DescribeRegistry skema: DescribeSchema skema: ExportSchema skema: GetCodeBindingSource skema: GetDiscoveredSchema skema: GetResourcePolicy skema: ListDiscoverers skema: ListRegistries skema: ListSchemaVersions skema: ListSchemas skema: PutCodeBinding skema: PutResourcePolicy skema: SearchSchemas skema: StartDiscoverer skema: StopDiscoverer skema: UpdateDiscoverer skema: UpdateRegistry skema: UpdateSchema  | 
| sdb |  sdb: CreateDomain sdb: DeleteDomain sdb: DomainMetadata sdb: ListDomains  | 
| manajer rahasia |  manajer rahasia: CancelRotateSecret manajer rahasia: CreateSecret manajer rahasia: DeleteResourcePolicy manajer rahasia: DeleteSecret manajer rahasia: DescribeSecret manajer rahasia: GetRandomPassword manajer rahasia: GetResourcePolicy manajer rahasia: GetSecretValue manajer rahasia: ListSecretVersionIds manajer rahasia: ListSecrets manajer rahasia: PutResourcePolicy manajer rahasia: PutSecretValue manajer rahasia: RemoveRegionsFromReplication manajer rahasia: ReplicateSecretToRegions manajer rahasia: RestoreSecret manajer rahasia: RotateSecret manajer rahasia: StopReplicationToReplica manajer rahasia: UpdateSecret manajer rahasia: ValidateResourcePolicy  | 
| securityhub |  securityhub: AcceptAdministratorInvitation securityhub: AcceptInvitation securityhub: BatchDeleteAutomationRules securityhub: BatchDisableStandards securityhub: BatchEnableStandards securityhub: BatchGetAutomationRules securityhub: BatchGetConfigurationPolicyAssociations securityhub: BatchGetSecurityControls securityhub: BatchGetStandardsControlAssociations securityhub: BatchImportFindings securityhub: BatchUpdateAutomationRules securityhub: BatchUpdateFindings securityhub: BatchUpdateStandardsControlAssociations securityhub: V2 ConnectorRegistrations securityhub: CreateActionTarget securityhub: V2 CreateAggregator securityhub: CreateAutomationRule securityhub: V2 CreateAutomationRule securityhub: CreateConfigurationPolicy securityhub: V2 CreateConnector securityhub: CreateFindingAggregator securityhub: CreateInsight securityhub: CreateMembers securityhub: V2 CreateTicket securityhub: DeclineInvitations securityhub: DeleteActionTarget securityhub: V2 DeleteAggregator securityhub: V2 DeleteAutomationRule securityhub: DeleteConfigurationPolicy securityhub: V2 DeleteConnector securityhub: DeleteFindingAggregator securityhub: DeleteInsight securityhub: DeleteInvitations securityhub: DeleteMembers securityhub: DescribeActionTargets securityhub: DescribeHub securityhub: DescribeOrganizationConfiguration securityhub: DescribeProducts securityhub: V2 DescribeSecurityHub securityhub: DescribeStandards securityhub: DisableImportFindingsForProduct securityhub: DisableOrganizationAdminAccount securityhub: DisableSecurityHub securityhub: V2 DisableSecurityHub securityhub: DisassociateFromAdministratorAccount securityhub: DisassociateFromMasterAccount securityhub: DisassociateMembers securityhub: EnableImportFindingsForProduct securityhub: EnableOrganizationAdminAccount securityhub: EnableSecurityHub securityhub: GetAdministratorAccount securityhub: V2 GetAggregator securityhub: V2 GetAutomationRule securityhub: GetConfigurationPolicy securityhub: GetConfigurationPolicyAssociation securityhub: V2 GetConnector securityhub: GetEnabledStandards securityhub: GetFindingAggregator securityhub: GetFindingHistory securityhub: GetFindings securityhub: GetInsightResults securityhub: GetInsights securityhub: GetInvitationsCount securityhub: GetMasterAccount securityhub: GetMembers securityhub: GetSecurityControlDefinition securityhub: InviteMembers securityhub: V2 ListAggregators securityhub: ListAutomationRules securityhub: V2 ListAutomationRules securityhub: ListConfigurationPolicies securityhub: ListConfigurationPolicyAssociations securityhub: V2 ListConnectors securityhub: ListEnabledProductsForImport securityhub: ListFindingAggregators securityhub: ListInvitations securityhub: ListMembers securityhub: ListOrganizationAdminAccounts securityhub: ListSecurityControlDefinitions securityhub: ListStandardsControlAssociations securityhub: StartConfigurationPolicyAssociation securityhub: StartConfigurationPolicyDisassociation securityhub: UpdateActionTarget securityhub: V2 UpdateAggregator securityhub: V2 UpdateAutomationRule securityhub: UpdateConfigurationPolicy securityhub: V2 UpdateConnector securityhub: UpdateFindingAggregator securityhub: UpdateFindings securityhub: UpdateInsight securityhub: UpdateOrganizationConfiguration securityhub: UpdateSecurityControl securityhub: UpdateSecurityHubConfiguration  | 
| Securitylake |  Securitylake: CreateAwsLogSource Securitylake: CreateCustomLogSource Securitylake: CreateDataLakeExceptionSubscription Securitylake: CreateDataLakeOrganizationConfiguration Securitylake: CreateSubscriber Securitylake: CreateSubscriberNotification Securitylake: DeleteAwsLogSource Securitylake: DeleteCustomLogSource Securitylake: DeleteDataLakeExceptionSubscription Securitylake: DeleteDataLakeOrganizationConfiguration Securitylake: DeleteSubscriber Securitylake: DeleteSubscriberNotification Securitylake: DeregisterDataLakeDelegatedAdministrator Securitylake: GetDataLakeExceptionSubscription Securitylake: GetDataLakeOrganizationConfiguration Securitylake: GetDataLakeSources Securitylake: GetSubscriber Securitylake: ListDataLakes Securitylake: ListLogSources Securitylake: ListSubscribers Securitylake: RegisterDataLakeDelegatedAdministrator Securitylake: UpdateDataLakeExceptionSubscription Securitylake: UpdateSubscriber Securitylake: UpdateSubscriberNotification  | 
| repo tanpa server |  repo tanpa server: CreateApplication repo tanpa server: CreateApplicationVersion repo tanpa server: CreateCloudFormationChangeSet repo tanpa server: CreateCloudFormationTemplate repo tanpa server: DeleteApplication repo tanpa server: GetApplication repo tanpa server: GetApplicationPolicy repo tanpa server: GetCloudFormationTemplate repo tanpa server: ListApplicationDependencies repo tanpa server: ListApplicationVersions repo tanpa server: ListApplications repo tanpa server: PutApplicationPolicy repo tanpa server: UnshareApplication repo tanpa server: UpdateApplication  | 
| servicecatalog |  servicecatalog: AcceptPortfolioShare servicecatalog: AssociateBudgetWithResource servicecatalog: AssociatePrincipalWithPortfolio servicecatalog: AssociateProductWithPortfolio servicecatalog: AssociateServiceActionWithProvisioningArtifact servicecatalog: BatchAssociateServiceActionWithProvisioningArtifact servicecatalog: BatchDisassociateServiceActionFromProvisioningArtifact servicecatalog: CopyProduct servicecatalog: CreateAttributeGroup servicecatalog: CreateConstraint servicecatalog: CreatePortfolio servicecatalog: CreatePortfolioShare servicecatalog: CreateProduct servicecatalog: CreateProvisionedProductPlan servicecatalog: CreateProvisioningArtifact servicecatalog: CreateServiceAction servicecatalog: DeleteAttributeGroup servicecatalog: DeleteConstraint servicecatalog: DeletePortfolio servicecatalog: DeletePortfolioShare servicecatalog: DeleteProduct servicecatalog: DeleteProvisionedProductPlan servicecatalog: DeleteProvisioningArtifact servicecatalog: DeleteServiceAction servicecatalog: DescribeConstraint servicecatalog: DescribeCopyProductStatus servicecatalog: DescribePortfolio servicecatalog: DescribePortfolioShareStatus servicecatalog: DescribePortfolioShares servicecatalog: DescribeProduct servicecatalog: DescribeProductAsAdmin servicecatalog: DescribeProductView servicecatalog: DescribeProvisionedProduct servicecatalog: DescribeProvisionedProductPlan servicecatalog: DescribeProvisioningArtifact servicecatalog: DescribeProvisioningParameters servicecatalog: DescribeRecord servicecatalog: DescribeServiceAction servicecatalog: DescribeServiceActionExecutionParameters AWSOrganizationsServiceCatalog:Nonaktifkan Akses servicecatalog: DisassociateBudgetFromResource servicecatalog: DisassociatePrincipalFromPortfolio servicecatalog: DisassociateProductFromPortfolio servicecatalog: DisassociateServiceActionFromProvisioningArtifact AWSOrganizationsServiceCatalog:Aktifkan Akses servicecatalog: ExecuteProvisionedProductPlan servicecatalog: ExecuteProvisionedProductServiceAction ServiceCatalog:Dapatkan AWSOrganizations AccessStatus servicecatalog: GetProvisionedProductOutputs servicecatalog: ImportAsProvisionedProduct servicecatalog: ListAcceptedPortfolioShares servicecatalog: ListAttributeGroups servicecatalog: ListBudgetsForResource servicecatalog: ListConstraintsForPortfolio servicecatalog: ListLaunchPaths servicecatalog: ListOrganizationPortfolioAccess servicecatalog: ListPortfolioAccess servicecatalog: ListPortfolios servicecatalog: ListPortfoliosForProduct servicecatalog: ListPrincipalsForPortfolio servicecatalog: ListProvisionedProductPlans servicecatalog: ListProvisioningArtifacts servicecatalog: ListProvisioningArtifactsForServiceAction servicecatalog: ListRecordHistory servicecatalog: ListServiceActions servicecatalog: ListServiceActionsForProvisioningArtifact servicecatalog: ListStackInstancesForProvisionedProduct servicecatalog: NotifyProvisionProductEngineWorkflowResult servicecatalog: NotifyTerminateProvisionedProductEngineWorkflowResult servicecatalog: NotifyUpdateProvisionedProductEngineWorkflowResult servicecatalog: ProvisionProduct servicecatalog: RejectPortfolioShare servicecatalog: ScanProvisionedProducts servicecatalog: SearchProducts servicecatalog: SearchProductsAsAdmin servicecatalog: SearchProvisionedProducts servicecatalog: TerminateProvisionedProduct servicecatalog: UpdateConstraint servicecatalog: UpdatePortfolio servicecatalog: UpdatePortfolioShare servicecatalog: UpdateProduct servicecatalog: UpdateProvisionedProduct servicecatalog: UpdateProvisionedProductProperties servicecatalog: UpdateProvisioningArtifact servicecatalog: UpdateServiceAction  | 
| servicediscovery |  servicediscovery: CreateHttpNamespace servicediscovery: CreatePrivateDnsNamespace servicediscovery: CreatePublicDnsNamespace servicediscovery: CreateService servicediscovery: DeleteNamespace servicediscovery: DeleteService servicediscovery: DeleteServiceAttributes servicediscovery: DeregisterInstance servicediscovery: GetInstance servicediscovery: GetInstancesHealthStatus servicediscovery: GetNamespace servicediscovery: GetOperation servicediscovery: GetService servicediscovery: ListInstances servicediscovery: ListNamespaces servicediscovery: ListOperations servicediscovery: ListServices servicediscovery: RegisterInstance servicediscovery: UpdateHttpNamespace servicediscovery: UpdateInstanceCustomHealthStatus servicediscovery: UpdatePrivateDnsNamespace servicediscovery: UpdatePublicDnsNamespace servicediscovery: UpdateService servicediscovery: UpdateServiceAttributes  | 
| servicequotas |  servicequotas: AssociateServiceQuotaTemplate servicequotas: CreateSupportCase servicequotas: DeleteServiceQuotaIncreaseRequestFromTemplate servicequotas: DisassociateServiceQuotaTemplate ServiceQuotas:Dapatkan AWSDefault ServiceQuota servicequotas: GetAssociationForServiceQuotaTemplate servicequotas: GetAutoManagementConfiguration servicequotas: GetQuotaUtilizationReport servicequotas: GetRequestedServiceQuotaChange servicequotas: GetServiceQuota servicequotas: GetServiceQuotaIncreaseRequestFromTemplate ServiceQuotas:Daftar AWSDefault ServiceQuotas servicequotas: ListRequestedServiceQuotaChangeHistory servicequotas: ListRequestedServiceQuotaChangeHistoryByQuota servicequotas: ListServiceQuotaIncreaseRequestsInTemplate servicequotas: ListServiceQuotas servicequotas: ListServices servicequotas: PutServiceQuotaIncreaseRequestIntoTemplate servicequotas: RequestServiceQuotaIncrease servicequotas: StartAutoManagement servicequotas: StartQuotaUtilizationReport servicequotas: StopAutoManagement servicequotas: UpdateAutoManagement  | 
| ses |  ses: BatchGetMetricData ses: CloneReceiptRuleSet ses: CreateAddonInstance ses: CreateAddonSubscription ses: CreateAddressList ses: CreateAddressListImportJob ses: CreateArchive ses: CreateConfigurationSet ses: CreateConfigurationSetEventDestination ses: CreateConfigurationSetTrackingOptions ses: CreateContact ses: CreateContactList ses: CreateCustomVerificationEmailTemplate ses: CreateDedicatedIpPool ses: CreateDeliverabilityTestReport ses: CreateEmailIdentity ses: CreateEmailIdentityPolicy ses: CreateEmailTemplate ses: CreateImportJob ses: CreateIngressPoint ses: CreateMultiRegionEndpoint ses: CreateReceiptFilter ses: CreateReceiptRule ses: CreateReceiptRuleSet ses: CreateRelay ses: CreateRuleSet ses: CreateTemplate ses: CreateTenant ses: CreateTenantResourceAssociation ses: CreateTrafficPolicy ses: DeleteAddonInstance ses: DeleteAddonSubscription ses: DeleteAddressList ses: DeleteArchive ses: DeleteConfigurationSet ses: DeleteConfigurationSetEventDestination ses: DeleteConfigurationSetTrackingOptions ses: DeleteContact ses: DeleteContactList ses: DeleteCustomVerificationEmailTemplate ses: DeleteDedicatedIpPool ses: DeleteEmailIdentity ses: DeleteEmailIdentityPolicy ses: DeleteEmailTemplate ses: DeleteIdentity ses: DeleteIdentityPolicy ses: DeleteIngressPoint ses: DeleteMultiRegionEndpoint ses: DeleteReceiptFilter ses: DeleteReceiptRule ses: DeleteReceiptRuleSet ses: DeleteRelay ses: DeleteRuleSet ses: DeleteSuppressedDestination ses: DeleteTemplate ses: DeleteTenant ses: DeleteTenantResourceAssociation ses: DeleteTrafficPolicy ses: DeleteVerifiedEmailAddress ses: DeregisterMemberFromAddressList ses: DescribeActiveReceiptRuleSet ses: DescribeConfigurationSet ses: DescribeReceiptRule ses: DescribeReceiptRuleSet ses: GetAccount ses: GetAccountSendingEnabled ses: GetAddonInstance ses: GetAddonSubscription ses: GetAddressList ses: GetArchive ses: GetArchiveExport ses: GetArchiveMessage ses: GetArchiveMessageContent ses: GetArchiveSearch ses: GetArchiveSearchResults ses: GetBlacklistReports ses: GetConfigurationSet ses: GetConfigurationSetEventDestinations ses: GetContact ses: GetContactList ses: GetCustomVerificationEmailTemplate ses: GetDedicatedIp ses: GetDedicatedIpPool ses: GetDedicatedIps ses: GetDeliverabilityDashboardOptions ses: GetDeliverabilityTestReport ses: GetDomainDeliverabilityCampaign ses: GetDomainStatisticsReport ses: GetEmailAddressInsights ses: GetEmailIdentity ses: GetEmailIdentityPolicies ses: GetEmailTemplate ses: GetIdentityDkimAttributes ses: GetIdentityMailFromDomainAttributes ses: GetIdentityNotificationAttributes ses: GetIdentityPolicies ses: GetIdentityVerificationAttributes ses: GetImportJob ses: GetIngressPoint ses: GetMemberOfAddressList ses: GetMessageInsights ses: GetMultiRegionEndpoint ses: GetRelay ses: GetRuleSet ses: GetSendQuota ses: GetSendStatistics ses: GetSuppressedDestination ses: GetTemplate ses: GetTenant ses: GetTrafficPolicy ses: ListAddonInstances ses: ListAddonSubscriptions ses: ListAddressListImportJobs ses: ListAddressLists ses: ListArchiveExports ses: ListArchiveSearches ses: ListArchives ses: ListConfigurationSets ses: ListContactLists ses: ListContacts ses: ListCustomVerificationEmailTemplates ses: ListDedicatedIpPools ses: ListDeliverabilityTestReports ses: ListDomainDeliverabilityCampaigns ses: ListEmailIdentities ses: ListEmailTemplates ses: ListExportJobs ses: ListIdentities ses: ListIdentityPolicies ses: ListImportJobs ses: ListIngressPoints ses: ListMembersOfAddressList ses: ListMultiRegionEndpoints ses: ListReceiptFilters ses: ListReceiptRuleSets ses: ListRecommendations ses: ListRelays ses: ListReputationEntities ses: ListResourceTenants ses: ListRuleSets ses: ListSuppressedDestinations ses: ListTemplates ses: ListTenantResources ses: ListTenants ses: ListTrafficPolicies ses: ListVerifiedEmailAddresses ses: PutAccountDedicatedIpWarmupAttributes ses: PutAccountDetails ses: PutAccountSendingAttributes ses: PutAccountSuppressionAttributes ses: PutAccountVdmAttributes ses: PutConfigurationSetArchivingOptions ses: PutConfigurationSetDeliveryOptions ses: PutConfigurationSetReputationOptions ses: PutConfigurationSetSendingOptions ses: PutConfigurationSetSuppressionOptions ses: PutConfigurationSetTrackingOptions ses: PutConfigurationSetVdmOptions ses: PutDedicatedIpInPool ses: PutDedicatedIpPoolScalingAttributes ses: PutDedicatedIpWarmupAttributes ses: PutDeliverabilityDashboardOption ses: PutEmailIdentityConfigurationSetAttributes ses: PutEmailIdentityDkimAttributes ses: PutEmailIdentityDkimSigningAttributes ses: PutEmailIdentityFeedbackAttributes ses: PutEmailIdentityMailFromAttributes ses: PutIdentityPolicy ses: PutSuppressedDestination ses: RegisterMemberToAddressList ses: ReorderReceiptRuleSet ses: SendBounce ses: SendCustomVerificationEmail ses: SetActiveReceiptRuleSet ses: SetIdentityDkimEnabled ses: SetIdentityFeedbackForwardingEnabled ses: SetIdentityHeadersInNotificationsEnabled ses: SetIdentityMailFromDomain ses: SetIdentityNotificationTopic ses: SetReceiptRulePosition ses: StartArchiveExport ses: StartArchiveSearch ses: StopArchiveExport ses: StopArchiveSearch ses: TestRenderEmailTemplate ses: TestRenderTemplate ses: UpdateAccountSendingEnabled ses: UpdateArchive ses: UpdateConfigurationSetEventDestination ses: UpdateConfigurationSetReputationMetricsEnabled ses: UpdateConfigurationSetSendingEnabled ses: UpdateConfigurationSetTrackingOptions ses: UpdateContact ses: UpdateContactList ses: UpdateCustomVerificationEmailTemplate ses: UpdateEmailIdentityPolicy ses: UpdateEmailTemplate ses: UpdateIngressPoint ses: UpdateReceiptRule ses: UpdateRelay ses: UpdateRuleSet ses: UpdateTemplate ses: UpdateTrafficPolicy ses: VerifyDomainDkim ses: VerifyDomainIdentity ses: VerifyEmailAddress ses: VerifyEmailIdentity  | 
| melindungi |  PerisaiDRTLog: Bucket Asosiasi perisai: AssociateHealthCheck perisai: AssociateProactiveEngagementDetails perisai: CreateProtection perisai: CreateProtectionGroup perisai: CreateSubscription perisai: DeleteProtection perisai: DeleteProtectionGroup perisai: DeleteSubscription perisai: DescribeAttack perisai: DescribeAttackStatistics Perisai: jelaskan DRTAccess perisai: DescribeEmergencyContactSettings perisai: DescribeProtection perisai: DescribeProtectionGroup perisai: DescribeSubscription perisai: DisableApplicationLayerAutomaticResponse perisai: DisableProactiveEngagement PerisaiDRTLog: Disassociate Bucket Perisai: Disassociate DRTRole perisai: DisassociateHealthCheck perisai: EnableApplicationLayerAutomaticResponse perisai: EnableProactiveEngagement perisai: GetSubscriptionState perisai: ListAttacks perisai: ListProtectionGroups perisai: ListProtections perisai: ListResourcesInProtectionGroup perisai: UpdateApplicationLayerAutomaticResponse perisai: UpdateEmergencyContactSettings perisai: UpdateProtectionGroup perisai: UpdateSubscription  | 
| penandatangan |  penandatangan: AddProfilePermission penandatangan: CancelSigningProfile penandatangan: DescribeSigningJob penandatangan: GetSigningPlatform penandatangan: GetSigningProfile penandatangan: ListProfilePermissions penandatangan: ListSigningJobs penandatangan: ListSigningPlatforms penandatangan: ListSigningProfiles penandatangan: PutSigningProfile penandatangan: RemoveProfilePermission penandatangan: RevokeSignature penandatangan: RevokeSigningProfile penandatangan: SignPayload penandatangan: StartSigningJob  | 
| simspaceweaver |  simspaceweaver: CreateSnapshot simspaceweaver: DeleteApp simspaceweaver: DeleteSimulation simspaceweaver: DescribeApp simspaceweaver: DescribeSimulation simspaceweaver: ListApps simspaceweaver: ListSimulations simspaceweaver: StartApp simspaceweaver: StartClock simspaceweaver: StartSimulation simspaceweaver: StopApp simspaceweaver: StopClock simspaceweaver: StopSimulation  | 
| sms |  sms: CreateApp sms: CreateReplicationJob sms: DeleteApp sms: DeleteAppLaunchConfiguration sms: DeleteAppReplicationConfiguration sms: DeleteAppValidationConfiguration sms: DeleteReplicationJob sms: DeleteServerCatalog sms: DisassociateConnector sms: GenerateChangeSet sms: GenerateTemplate sms: GetApp sms: GetAppLaunchConfiguration sms: GetAppReplicationConfiguration sms: GetAppValidationConfiguration sms: GetAppValidationOutput sms: GetConnectors sms: GetReplicationJobs sms: GetReplicationRuns sms: GetServers sms: ImportAppCatalog sms: ImportServerCatalog sms: LaunchApp sms: ListApps sms: NotifyAppValidationOutput sms: PutAppLaunchConfiguration sms: PutAppReplicationConfiguration sms: PutAppValidationConfiguration sms: StartAppReplication sms: StartOnDemandAppReplication sms: StartOnDemandReplicationRun sms: StopAppReplication sms: TerminateApp sms: UpdateApp sms: UpdateReplicationJob  | 
| sms-suara |  sms-suara: AssociateProtectConfiguration sms-suara: CreateConfigurationSet sms-suara: CreateConfigurationSetEventDestination sms-suara: CreateEventDestination sms-suara: CreateOptOutList sms-suara: CreatePool sms-suara: CreateProtectConfiguration sms-suara: CreateRegistration sms-suara: CreateRegistrationAssociation sms-suara: CreateRegistrationAttachment sms-suara: CreateRegistrationVersion sms-suara: CreateVerifiedDestinationNumber sms-suara: DeleteAccountDefaultProtectConfiguration sms-suara: DeleteConfigurationSet sms-suara: DeleteConfigurationSetEventDestination sms-suara: DeleteDefaultMessageType sms-suara: DeleteDefaultSenderId sms-suara: DeleteEventDestination sms-suara: DeleteKeyword sms-suara: DeleteMediaMessageSpendLimitOverride sms-suara: DeleteOptOutList sms-suara: DeleteOptedOutNumber sms-suara: DeletePool sms-suara: DeleteProtectConfiguration sms-suara: DeleteProtectConfigurationRuleSetNumberOverride sms-suara: DeleteRegistration sms-suara: DeleteRegistrationAttachment sms-suara: DeleteResourcePolicy sms-suara: DeleteTextMessageSpendLimitOverride sms-suara: DeleteVerifiedDestinationNumber sms-suara: DeleteVoiceMessageSpendLimitOverride sms-suara: DescribeAccountAttributes sms-suara: DescribeAccountLimits sms-suara: DescribeConfigurationSets sms-suara: DescribeKeywords sms-suara: DescribeOptOutLists sms-suara: DescribeOptedOutNumbers sms-suara: DescribePhoneNumbers sms-suara: DescribePools sms-suara: DescribeProtectConfigurations sms-suara: DescribeRegistrationAttachments sms-suara: DescribeRegistrationFieldDefinitions sms-suara: DescribeRegistrationFieldValues sms-suara: DescribeRegistrationSectionDefinitions sms-suara: DescribeRegistrationTypeDefinitions sms-suara: DescribeRegistrationVersions sms-suara: DescribeRegistrations sms-suara: DescribeSenderIds sms-suara: DescribeSpendLimits sms-suara: DescribeVerifiedDestinationNumbers sms-suara: DisassociateOriginationIdentity sms-suara: DisassociateProtectConfiguration sms-suara: DiscardRegistrationVersion sms-suara: GetConfigurationSetEventDestinations sms-suara: GetProtectConfigurationCountryRuleSet sms-suara: GetResourcePolicy sms-suara: ListConfigurationSets sms-suara: ListPoolOriginationIdentities sms-suara: ListProtectConfigurationRuleSetNumberOverrides sms-suara: ListRegistrationAssociations sms-suara: PutKeyword sms-suara: PutOptedOutNumber sms-suara: PutProtectConfigurationRuleSetNumberOverride sms-suara: PutResourcePolicy sms-suara: ReleasePhoneNumber sms-suara: ReleaseSenderId sms-suara: RequestPhoneNumber sms-suara: RequestSenderId sms-suara: SendDestinationNumberVerificationCode sms-suara: SetAccountDefaultProtectConfiguration sms-suara: SetDefaultMessageFeedbackEnabled sms-suara: SetDefaultMessageType sms-suara: SetDefaultSenderId sms-suara: SetMediaMessageSpendLimitOverride sms-suara: SetTextMessageSpendLimitOverride sms-suara: SetVoiceMessageSpendLimitOverride sms-suara: SubmitRegistrationVersion sms-suara: UpdateConfigurationSetEventDestination sms-suara: UpdateEventDestination sms-suara: UpdatePhoneNumber sms-suara: UpdatePool sms-suara: UpdateProtectConfiguration sms-suara: UpdateProtectConfigurationCountryRuleSet sms-suara: UpdateSenderId  | 
| bola salju |  bola salju: CancelCluster bola salju: CancelJob bola salju: CreateAddress bola salju: CreateCluster bola salju: CreateJob bola salju: CreateLongTermPricing bola salju: CreateReturnShippingLabel bola salju: DescribeAddress bola salju: DescribeAddresses bola salju: DescribeCluster bola salju: DescribeJob bola salju: DescribeReturnShippingLabel bola salju: GetJobManifest bola salju: GetJobUnlockCode bola salju: GetSnowballUsage bola salju: GetSoftwareUpdates bola salju: ListClusterJobs bola salju: ListClusters bola salju: ListCompatibleImages bola salju: ListJobs bola salju: ListLongTermPricing bola salju: ListPickupLocations bola salju: ListServiceVersions bola salju: UpdateCluster bola salju: UpdateJob bola salju: UpdateJobShipmentState bola salju: UpdateLongTermPricing  | 
| sqs |  persegi: AddPermission persegi: CancelMessageMoveTask persegi: CreateQueue persegi: DeleteQueue persegi: PurgeQueue persegi: RemovePermission persegi: SetQueueAttributes  | 
| ssm |  ssm: AssociateOpsItemRelatedItem ssm: CancelCommand ssm: CancelMaintenanceWindowExecution ssm: CreateActivation ssm: CreateAssociation ssm: CreateAssociationBatch ssm: CreateDocument ssm: CreateMaintenanceWindow ssm: CreateOpsItem ssm: CreateOpsMetadata ssm: CreatePatchBaseline ssm: CreateResourceDataSync ssm: DeleteActivation ssm: DeleteAssociation ssm: DeleteDocument ssm: DeleteInventory ssm: DeleteMaintenanceWindow ssm: DeleteOpsItem ssm: DeleteOpsMetadata ssm: DeleteParameter ssm: DeleteParameters ssm: DeletePatchBaseline ssm: DeleteResourceDataSync ssm: DeleteResourcePolicy ssm: DeregisterManagedInstance ssm: DeregisterPatchBaselineForPatchGroup ssm: DeregisterTargetFromMaintenanceWindow ssm: DeregisterTaskFromMaintenanceWindow ssm: DescribeActivations ssm: DescribeAssociation ssm: DescribeAssociationExecutionTargets ssm: DescribeAssociationExecutions ssm: DescribeAutomationExecutions ssm: DescribeAutomationStepExecutions ssm: DescribeAvailablePatches ssm: DescribeDocument ssm: DescribeDocumentParameters ssm: DescribeDocumentPermission ssm: DescribeEffectiveInstanceAssociations ssm: DescribeEffectivePatchesForPatchBaseline ssm: DescribeInstanceAssociationsStatus ssm: DescribeInstanceInformation ssm: DescribeInstancePatchStates ssm: DescribeInstancePatchStatesForPatchGroup ssm: DescribeInstancePatches ssm: DescribeInstanceProperties ssm: DescribeInventoryDeletions ssm: DescribeMaintenanceWindowExecutionTaskInvocations ssm: DescribeMaintenanceWindowExecutionTasks ssm: DescribeMaintenanceWindowExecutions ssm: DescribeMaintenanceWindowSchedule ssm: DescribeMaintenanceWindowTargets ssm: DescribeMaintenanceWindowTasks ssm: DescribeMaintenanceWindows ssm: DescribeMaintenanceWindowsForTarget ssm: DescribeOpsItems ssm: DescribeParameters ssm: DescribePatchBaselines ssm: DescribePatchGroupState ssm: DescribePatchGroups ssm: DescribePatchProperties ssm: DescribeSessions ssm: DisassociateOpsItemRelatedItem ssm: GetAccessToken ssm: GetAutomationExecution ssm: GetCalendarState ssm: GetCommandInvocation ssm: GetConnectionStatus ssm: GetDefaultPatchBaseline ssm: GetDeployablePatchSnapshotForInstance ssm: GetDocument ssm: GetExecutionPreview ssm: GetInventory ssm: GetInventorySchema ssm: GetMaintenanceWindow ssm: GetMaintenanceWindowExecution ssm: GetMaintenanceWindowExecutionTask ssm: GetMaintenanceWindowExecutionTaskInvocation ssm: GetMaintenanceWindowTask ssm: GetOpsItem ssm: GetOpsMetadata ssm: GetOpsSummary ssm: GetParameter ssm: GetParameterHistory ssm: GetParameters ssm: GetParametersByPath ssm: GetPatchBaseline ssm: GetPatchBaselineForPatchGroup ssm: GetResourcePolicies ssm: GetServiceSetting ssm: LabelParameterVersion ssm: ListAssociationVersions ssm: ListAssociations ssm: ListCommandInvocations ssm: ListCommands ssm: ListComplianceItems ssm: ListComplianceSummaries ssm: ListDocumentMetadataHistory ssm: ListDocumentVersions ssm: ListDocuments ssm: ListInstanceAssociations ssm: ListInventoryEntries ssm: ListNodes ssm: ListNodesSummary ssm: ListOpsItemEvents ssm: ListOpsItemRelatedItems ssm: ListOpsMetadata ssm: ListResourceComplianceSummaries ssm: ListResourceDataSync ssm: ModifyDocumentPermission ssm: PutComplianceItems ssm: PutInventory ssm: PutParameter ssm: PutResourcePolicy ssm: RegisterDefaultPatchBaseline ssm: RegisterManagedInstance ssm: RegisterPatchBaselineForPatchGroup ssm: RegisterTargetWithMaintenanceWindow ssm: RegisterTaskWithMaintenanceWindow ssm: ResetServiceSetting ssm: ResumeSession ssm: SendAutomationSignal ssm: SendCommand ssm: StartAssociationsOnce ssm: StartAutomationExecution ssm: StartChangeRequestExecution ssm: StartSession ssm: StopAutomationExecution ssm: TerminateSession ssm: UnlabelParameterVersion ssm: UpdateAssociation ssm: UpdateAssociationStatus ssm: UpdateDocument ssm: UpdateDocumentDefaultVersion ssm: UpdateDocumentMetadata ssm: UpdateInstanceInformation ssm: UpdateMaintenanceWindow ssm: UpdateMaintenanceWindowTarget ssm: UpdateMaintenanceWindowTask ssm: UpdateManagedInstanceRole ssm: UpdateOpsItem ssm: UpdateOpsMetadata ssm: UpdatePatchBaseline ssm: UpdateResourceDataSync ssm: UpdateServiceSetting  | 
| insiden ssm |  insiden ssm-: BatchGetIncidentFindings insiden ssm-: CreateReplicationSet insiden ssm-: CreateResponsePlan insiden ssm-: CreateTimelineEvent insiden ssm-: DeleteIncidentRecord insiden ssm-: DeleteReplicationSet insiden ssm-: DeleteResourcePolicy insiden ssm-: DeleteResponsePlan insiden ssm-: DeleteTimelineEvent insiden ssm-: GetIncidentRecord insiden ssm-: GetReplicationSet insiden ssm-: GetResourcePolicies insiden ssm-: GetResponsePlan insiden ssm-: GetTimelineEvent insiden ssm-: ListIncidentFindings insiden ssm-: ListIncidentRecords insiden ssm-: ListRelatedItems insiden ssm-: ListReplicationSets insiden ssm-: ListResponsePlans insiden ssm-: ListTimelineEvents insiden ssm-: PutResourcePolicy insiden ssm-: StartIncident insiden ssm-: UpdateDeletionProtection insiden ssm-: UpdateIncidentRecord insiden ssm-: UpdateRelatedItems insiden ssm-: UpdateReplicationSet insiden ssm-: UpdateResponsePlan insiden ssm-: UpdateTimelineEvent  | 
| ssm-sap |  ssm-sap: BackupDatabase ssm-sap: DeleteResourcePermission ssm-sap: DeregisterApplication ssm-sap: GetApplication ssm-sap: GetComponent ssm-sap: GetConfigurationCheckOperation ssm-sap: GetDatabase ssm-sap: GetOperation ssm-sap: GetResourcePermission ssm-sap: ListApplications ssm-sap: ListComponents ssm-sap: ListConfigurationCheckDefinitions ssm-sap: ListConfigurationCheckOperations ssm-sap: ListDatabases ssm-sap: ListOperationEvents ssm-sap: ListOperations ssm-sap: ListSubCheckResults ssm-sap: ListSubCheckRuleResults ssm-sap: PutResourcePermission ssm-sap: RegisterApplication ssm-sap: RestoreDatabase ssm-sap: StartApplication ssm-sap: StartApplicationRefresh ssm-sap: StartConfigurationChecks ssm-sap: StopApplication ssm-sap: UpdateApplicationSettings SSM-SAPHANABackup: Perbarui Pengaturan  | 
| negara |  negara bagian: CreateActivity negara bagian: CreateStateMachine negara bagian: CreateStateMachineAlias negara bagian: DeleteActivity negara bagian: DeleteStateMachine negara bagian: DeleteStateMachineAlias negara bagian: DeleteStateMachineVersion negara bagian: DescribeActivity negara bagian: DescribeExecution negara bagian: DescribeMapRun negara bagian: DescribeStateMachine negara bagian: DescribeStateMachineAlias negara bagian: DescribeStateMachineForExecution negara bagian: GetExecutionHistory negara bagian: ListActivities negara bagian: ListExecutions negara bagian: ListMapRuns negara bagian: ListStateMachineAliases negara bagian: ListStateMachineVersions negara bagian: ListStateMachines negara bagian: SendTaskFailure negara bagian: SendTaskHeartbeat negara bagian: SendTaskSuccess negara bagian: StartExecution negara bagian: StopExecution negara bagian: UpdateMapRun negara bagian: UpdateStateMachine negara bagian: UpdateStateMachineAlias negara bagian: ValidateStateMachineDefinition  | 
| sts |  sts: AssumeRole sts: AssumeRoleWith SALL sts: AssumeRoleWithWebIdentity sts: DecodeAuthorizationMessage sts: GetAccessKeyInfo sts: GetCallerIdentity sts: GetFederationToken sts: GetSessionToken sts: GetWebIdentityToken  | 
| swf |  swf: DeleteActivityType swf: DeleteWorkflowType swf: DeprecateActivityType swf: DeprecateDomain swf: DeprecateWorkflowType swf: DescribeActivityType swf: DescribeDomain swf: DescribeWorkflowType swf: ListActivityTypes swf: ListDomains swf: ListWorkflowTypes swf: RegisterActivityType swf: RegisterDomain swf: RegisterWorkflowType swf: UndeprecateActivityType swf: UndeprecateDomain swf: UndeprecateWorkflowType  | 
| sintetis |  sintetis: AssociateResource sintetis: CreateCanary sintetis: CreateGroup sintetis: DeleteCanary sintetis: DeleteGroup sintetis: DescribeCanaries sintetis: DescribeCanariesLastRun sintetis: DescribeRuntimeVersions sintetis: DisassociateResource sintetis: GetCanary sintetis: GetCanaryRuns sintetis: GetGroup sintetis: ListAssociatedGroups sintetis: ListGroupResources sintetis: ListGroups sintetis: StartCanary sintetis: StartCanaryDryRun sintetis: StopCanary sintetis: UpdateCanary  | 
| tanda |  Tag: DescribeReportCreation Tag: GetComplianceSummary Tag: GetResources Tag: StartReportCreation  | 
| textract |  teks: AnalyzeDocument teks: AnalyzeExpense Textract:AnalyzeID teks: CreateAdapter teks: CreateAdapterVersion teks: DeleteAdapter teks: DeleteAdapterVersion teks: DetectDocumentText teks: GetAdapter teks: GetAdapterVersion teks: GetDocumentAnalysis teks: GetDocumentTextDetection teks: GetExpenseAnalysis teks: GetLendingAnalysis teks: GetLendingAnalysisSummary teks: ListAdapterVersions teks: ListAdapters teks: StartDocumentAnalysis teks: StartDocumentTextDetection teks: StartExpenseAnalysis teks: StartLendingAnalysis teks: UpdateAdapter  | 
| aliran waktu |  aliran waktu: CancelQuery aliran waktu: CreateDatabase aliran waktu: CreateScheduledQuery aliran waktu: CreateTable aliran waktu: DeleteDatabase aliran waktu: DeleteScheduledQuery aliran waktu: DeleteTable aliran waktu: DescribeAccountSettings aliran waktu: DescribeDatabase aliran waktu: DescribeScheduledQuery aliran waktu: DescribeTable aliran waktu: ExecuteScheduledQuery aliran waktu: ListBatchLoadTasks aliran waktu: ListDatabases aliran waktu: ListScheduledQueries aliran waktu: ListTables aliran waktu: PrepareQuery aliran waktu: UpdateAccountSettings aliran waktu: UpdateDatabase aliran waktu: UpdateScheduledQuery aliran waktu: UpdateTable  | 
| tnb |  tnb: CancelSolNetworkOperation tnb: CreateSolFunctionPackage tnb: CreateSolNetworkInstance tnb: CreateSolNetworkPackage tnb: DeleteSolFunctionPackage tnb: DeleteSolNetworkInstance tnb: DeleteSolNetworkPackage tnb: GetSolFunctionInstance tnb: GetSolFunctionPackage tnb: GetSolFunctionPackageContent tnb: GetSolFunctionPackageDescriptor tnb: GetSolNetworkInstance tnb: GetSolNetworkOperation tnb: GetSolNetworkPackage tnb: GetSolNetworkPackageContent tnb: GetSolNetworkPackageDescriptor tnb: InstantiateSolNetworkInstance tnb: ListSolFunctionInstances tnb: ListSolFunctionPackages tnb: ListSolNetworkInstances tnb: ListSolNetworkOperations tnb: ListSolNetworkPackages tnb: PutSolFunctionPackageContent tnb: PutSolNetworkPackageContent tnb: TerminateSolNetworkInstance tnb: UpdateSolFunctionPackage tnb: UpdateSolNetworkInstance tnb: UpdateSolNetworkPackage tnb: ValidateSolFunctionPackageContent tnb: ValidateSolNetworkPackageContent  | 
| mentranskripsikan |  transkripsikan: CreateCallAnalyticsCategory transkripsikan: CreateLanguageModel transkripsikan: CreateMedicalVocabulary transkripsikan: CreateVocabulary transkripsikan: CreateVocabularyFilter transkripsikan: DeleteCallAnalyticsCategory transkripsikan: DeleteCallAnalyticsJob transkripsikan: DeleteLanguageModel transkripsikan: DeleteMedicalScribeJob transkripsikan: DeleteMedicalTranscriptionJob transkripsikan: DeleteMedicalVocabulary transkripsikan: DeleteTranscriptionJob transkripsikan: DeleteVocabulary transkripsikan: DeleteVocabularyFilter transkripsikan: DescribeLanguageModel transkripsikan: GetCallAnalyticsCategory transkripsikan: GetCallAnalyticsJob transkripsikan: GetMedicalScribeJob transkripsikan: GetMedicalTranscriptionJob transkripsikan: GetMedicalVocabulary transkripsikan: GetTranscriptionJob transkripsikan: GetVocabulary transkripsikan: GetVocabularyFilter transkripsikan: ListCallAnalyticsCategories transkripsikan: ListCallAnalyticsJobs transkripsikan: ListLanguageModels transkripsikan: ListMedicalScribeJobs transkripsikan: ListMedicalTranscriptionJobs transkripsikan: ListMedicalVocabularies transkripsikan: ListTranscriptionJobs transkripsikan: ListVocabularies transkripsikan: ListVocabularyFilters transkripsikan: StartCallAnalyticsJob transkripsikan: StartCallAnalyticsStreamTranscription transkripsikan: StartCallAnalyticsStreamTranscriptionWebSocket transkripsikan: StartMedicalScribeJob transkripsikan: StartMedicalStreamTranscription transkripsikan: StartMedicalStreamTranscriptionWebSocket transkripsikan: StartMedicalTranscriptionJob transkripsikan: StartStreamTranscription transkripsikan: StartStreamTranscriptionWebSocket transkripsikan: StartTranscriptionJob transkripsikan: UpdateCallAnalyticsCategory transkripsikan: UpdateMedicalVocabulary transkripsikan: UpdateVocabulary transkripsikan: UpdateVocabularyFilter  | 
| transfer |  transfer: CreateAccess transfer: CreateAgreement transfer: CreateConnector transfer: CreateProfile transfer: CreateServer transfer: CreateUser transfer: CreateWebApp transfer: CreateWorkflow transfer: DeleteAccess transfer: DeleteAgreement transfer: DeleteCertificate transfer: DeleteConnector transfer: DeleteHostKey transfer: DeleteProfile transfer: DeleteServer transfer: DeleteSshPublicKey transfer: DeleteUser transfer: DeleteWebApp transfer: DeleteWebAppCustomization transfer: DeleteWorkflow transfer: DescribeAccess transfer: DescribeAgreement transfer: DescribeCertificate transfer: DescribeConnector transfer: DescribeExecution transfer: DescribeHostKey transfer: DescribeProfile transfer: DescribeSecurityPolicy transfer: DescribeServer transfer: DescribeUser transfer: DescribeWebApp transfer: DescribeWebAppCustomization transfer: DescribeWorkflow transfer: ImportCertificate transfer: ImportHostKey transfer: ImportSshPublicKey transfer: ListAccesses transfer: ListCertificates transfer: ListConnectors transfer: ListExecutions transfer: ListFileTransferResults transfer: ListHostKeys transfer: ListProfiles transfer: ListSecurityPolicies transfer: ListServers transfer: ListUsers transfer: ListWebApps transfer: ListWorkflows transfer: SendWorkflowStepState transfer: StartDirectoryListing transfer: StartFileTransfer transfer: StartRemoteDelete transfer: StartRemoteMove transfer: StartServer transfer: StopServer transfer: TestConnection transfer: TestIdentityProvider transfer: UpdateAccess transfer: UpdateAgreement transfer: UpdateCertificate transfer: UpdateConnector transfer: UpdateHostKey transfer: UpdateProfile transfer: UpdateServer transfer: UpdateUser transfer: UpdateWebApp transfer: UpdateWebAppCustomization  | 
| menerjemahkan |  menerjemahkan: CreateParallelData menerjemahkan: DeleteParallelData menerjemahkan: DeleteTerminology menerjemahkan: DescribeTextTranslationJob menerjemahkan: GetParallelData menerjemahkan: GetTerminology menerjemahkan: ImportTerminology menerjemahkan: ListLanguages menerjemahkan: ListParallelData menerjemahkan: ListTerminologies menerjemahkan: ListTextTranslationJobs menerjemahkan: StartTextTranslationJob menerjemahkan: StopTextTranslationJob menerjemahkan: TranslateDocument menerjemahkan: TranslateText menerjemahkan: UpdateParallelData  | 
| voiceid |  voiceid: AssociateFraudster voiceid: CreateDomain voiceid: CreateWatchlist voiceid: DeleteDomain voiceid: DeleteFraudster voiceid: DeleteSpeaker voiceid: DeleteWatchlist voiceid: DescribeDomain voiceid: DescribeFraudster voiceid: DescribeFraudsterRegistrationJob voiceid: DescribeSpeaker voiceid: DescribeSpeakerEnrollmentJob voiceid: DescribeWatchlist voiceid: DisassociateFraudster voiceid: EvaluateSession voiceid: ListDomains voiceid: ListFraudsterRegistrationJobs voiceid: ListFraudsters voiceid: ListSpeakerEnrollmentJobs voiceid: ListSpeakers voiceid: ListWatchlists voiceid: OptOutSpeaker voiceid: StartFraudsterRegistrationJob voiceid: StartSpeakerEnrollmentJob voiceid: UpdateDomain voiceid: UpdateWatchlist  | 
| vpc-kisi |  vpc-kisi: CreateAccessLogSubscription vpc-kisi: CreateListener vpc-kisi: CreateResourceConfiguration vpc-kisi: CreateResourceGateway vpc-kisi: CreateRule vpc-kisi: CreateService vpc-kisi: CreateServiceNetwork vpc-kisi: CreateServiceNetworkResourceAssociation vpc-kisi: CreateServiceNetworkServiceAssociation vpc-kisi: CreateServiceNetworkVpcAssociation vpc-kisi: CreateTargetGroup vpc-kisi: DeleteAccessLogSubscription vpc-kisi: DeleteAuthPolicy vpc-kisi: DeleteDomainVerification vpc-kisi: DeleteListener vpc-kisi: DeleteResourceConfiguration vpc-kisi: DeleteResourceEndpointAssociation vpc-kisi: DeleteResourceGateway vpc-kisi: DeleteResourcePolicy vpc-kisi: DeleteRule vpc-kisi: DeleteService vpc-kisi: DeleteServiceNetwork vpc-kisi: DeleteServiceNetworkResourceAssociation vpc-kisi: DeleteServiceNetworkServiceAssociation vpc-kisi: DeleteServiceNetworkVpcAssociation vpc-kisi: DeleteTargetGroup vpc-kisi: DeregisterTargets vpc-kisi: GetAccessLogSubscription vpc-kisi: GetAuthPolicy vpc-kisi: GetDomainVerification vpc-kisi: GetListener vpc-kisi: GetResourceConfiguration vpc-kisi: GetResourceGateway vpc-kisi: GetResourcePolicy vpc-kisi: GetRule vpc-kisi: GetService vpc-kisi: GetServiceNetwork vpc-kisi: GetServiceNetworkResourceAssociation vpc-kisi: GetServiceNetworkServiceAssociation vpc-kisi: GetServiceNetworkVpcAssociation vpc-kisi: GetTargetGroup vpc-kisi: ListAccessLogSubscriptions vpc-kisi: ListDomainVerifications vpc-kisi: ListListeners vpc-kisi: ListResourceConfigurations vpc-kisi: ListResourceEndpointAssociations vpc-kisi: ListResourceGateways vpc-kisi: ListRules vpc-kisi: ListServiceNetworkResourceAssociations vpc-kisi: ListServiceNetworkServiceAssociations vpc-kisi: ListServiceNetworkVpcAssociations vpc-kisi: ListServiceNetworkVpcEndpointAssociations vpc-kisi: ListServiceNetworks vpc-kisi: ListServices vpc-kisi: ListTargetGroups vpc-kisi: ListTargets vpc-kisi: PutAuthPolicy vpc-kisi: PutResourcePolicy vpc-kisi: RegisterTargets vpc-kisi: StartDomainVerification vpc-kisi: UpdateAccessLogSubscription vpc-kisi: UpdateListener vpc-kisi: UpdateResourceConfiguration vpc-kisi: UpdateResourceGateway vpc-kisi: UpdateRule vpc-kisi: UpdateService vpc-kisi: UpdateServiceNetwork vpc-kisi: UpdateServiceNetworkVpcAssociation vpc-kisi: UpdateTargetGroup  | 
| wafv2 |  wafv2: ACL AssociateWeb wafv2: CheckCapacity WAFv2: Buat APIKey WAFv2: Buat IPSet wafv2: CreateRegexPatternSet wafv2: CreateRuleGroup wafv2: ACL CreateWeb WAFv2: Hapus APIKey wafv2: DeleteFirewallManagerRuleGroups WAFv2: Hapus IPSet wafv2: DeleteLoggingConfiguration wafv2: DeletePermissionPolicy wafv2: DeleteRegexPatternSet wafv2: DeleteRuleGroup wafv2: ACL DeleteWeb wafv2: DescribeAllManagedProducts wafv2: DescribeManagedProductsByVendor wafv2: DescribeManagedRuleGroup wafv2: ACL DisassociateWeb wafv2: GenerateMobileSdkReleaseUrl wafv2: GetDecrypted APIKey Wafv2: Dapatkan IPSet wafv2: GetLoggingConfiguration wafv2: GetManagedRuleSet wafv2: GetMobileSdkRelease wafv2: GetRateBasedStatementManagedKeys wafv2: GetRegexPatternSet wafv2: GetRuleGroup wafv2: GetSampledRequests wafv2: Sumber daya GetWeb ACLFor WAFV2: Daftar APIKeys wafv2: ListAvailableManagedRuleGroupVersions wafv2: ListAvailableManagedRuleGroups WAFV2: Daftar IPSets wafv2: ListLoggingConfigurations wafv2: ListManagedRuleSets wafv2: ListMobileSdkReleases wafv2: ListRegexPatternSets wafv2: ACL ListResourcesForWeb wafv2: ListRuleGroups wafv2: ListWeb ACLs wafv2: PutLoggingConfiguration wafv2: PutManagedRuleSetVersions WAFv2: Perbarui IPSet wafv2: UpdateManagedRuleSetVersionExpiryDate wafv2: UpdateRegexPatternSet wafv2: UpdateRuleGroup wafv2: ACL UpdateWeb  | 
| wellarchitected |  wellarchitected: AssociateLenses wellarchitected: AssociateProfiles wellarchitected: CreateLensShare wellarchitected: CreateLensVersion wellarchitected: CreateMilestone wellarchitected: CreateProfile wellarchitected: CreateProfileShare wellarchitected: CreateReviewTemplate wellarchitected: CreateWorkload wellarchitected: CreateWorkloadShare wellarchitected: DeleteLens wellarchitected: DeleteLensShare wellarchitected: DeleteProfile wellarchitected: DeleteProfileShare wellarchitected: DeleteReviewTemplate wellarchitected: DeleteTemplateShare wellarchitected: DeleteWorkload wellarchitected: DeleteWorkloadShare wellarchitected: DisassociateLenses wellarchitected: DisassociateProfiles wellarchitected: ExportLens wellarchitected: GetAnswer wellarchitected: GetConsolidatedReport wellarchitected: GetGlobalSettings wellarchitected: GetLens wellarchitected: GetLensReview wellarchitected: GetLensReviewReport wellarchitected: GetLensVersionDifference wellarchitected: GetMilestone wellarchitected: GetProfile wellarchitected: GetProfileTemplate wellarchitected: GetReviewTemplate wellarchitected: GetReviewTemplateAnswer wellarchitected: GetReviewTemplateLensReview wellarchitected: GetWorkload wellarchitected: ImportLens wellarchitected: ListAnswers wellarchitected: ListCheckDetails wellarchitected: ListCheckSummaries wellarchitected: ListLensReviewImprovements wellarchitected: ListLensReviews wellarchitected: ListLensShares wellarchitected: ListLenses wellarchitected: ListMilestones wellarchitected: ListNotifications wellarchitected: ListProfileNotifications wellarchitected: ListProfileShares wellarchitected: ListProfiles wellarchitected: ListReviewTemplateAnswers wellarchitected: ListReviewTemplates wellarchitected: ListShareInvitations wellarchitected: ListTemplateShares wellarchitected: ListWorkloadShares wellarchitected: ListWorkloads wellarchitected: UpdateAnswer wellarchitected: UpdateGlobalSettings wellarchitected: UpdateIntegration wellarchitected: UpdateLensReview wellarchitected: UpdateProfile wellarchitected: UpdateReviewTemplate wellarchitected: UpdateReviewTemplateLensReview wellarchitected: UpdateShareInvitation wellarchitected: UpdateWorkload wellarchitected: UpdateWorkloadShare wellarchitected: UpgradeLensReview wellarchitected: UpgradeProfileVersion wellarchitected: UpgradeReviewTemplateLensReview  | 
| kebijaksanaan |  kebijaksanaan: CreateAssistant kebijaksanaan: CreateAssistantAssociation kebijaksanaan: CreateContent kebijaksanaan: CreateKnowledgeBase kebijaksanaan: CreateQuickResponse kebijaksanaan: CreateSession kebijaksanaan: DeleteAssistant kebijaksanaan: DeleteAssistantAssociation kebijaksanaan: DeleteContent kebijaksanaan: DeleteImportJob kebijaksanaan: DeleteKnowledgeBase kebijaksanaan: DeleteQuickResponse kebijaksanaan: GetAssistant kebijaksanaan: GetAssistantAssociation kebijaksanaan: GetContent kebijaksanaan: GetContentAssociation kebijaksanaan: GetContentSummary kebijaksanaan: GetImportJob kebijaksanaan: GetKnowledgeBase kebijaksanaan: GetRecommendations kebijaksanaan: GetSession kebijaksanaan: ListAssistantAssociations kebijaksanaan: ListAssistants kebijaksanaan: ListContentAssociations kebijaksanaan: ListContents kebijaksanaan: ListImportJobs kebijaksanaan: ListKnowledgeBases kebijaksanaan: ListQuickResponses kebijaksanaan: NotifyRecommendationsReceived kebijaksanaan: QueryAssistant kebijaksanaan: RemoveKnowledgeBaseTemplateUri kebijaksanaan: SearchContent kebijaksanaan: SearchQuickResponses kebijaksanaan: SearchSessions kebijaksanaan: StartContentUpload kebijaksanaan: StartImportJob kebijaksanaan: UpdateContent kebijaksanaan: UpdateKnowledgeBaseTemplateUri kebijaksanaan: UpdateQuickResponse kebijaksanaan: UpdateSession  | 
| tautan kerja |  tautan kerja: AssociateDomain tautan kerja: AssociateWebsiteAuthorizationProvider tautan kerja: AssociateWebsiteCertificateAuthority tautan kerja: CreateFleet tautan kerja: DeleteFleet tautan kerja: DescribeAuditStreamConfiguration tautan kerja: DescribeCompanyNetworkConfiguration tautan kerja: DescribeDevice tautan kerja: DescribeDevicePolicyConfiguration tautan kerja: DescribeDomain tautan kerja: DescribeFleetMetadata tautan kerja: DescribeIdentityProviderConfiguration tautan kerja: DescribeWebsiteCertificateAuthority tautan kerja: DisassociateDomain tautan kerja: DisassociateWebsiteAuthorizationProvider tautan kerja: DisassociateWebsiteCertificateAuthority tautan kerja: ListDevices tautan kerja: ListDomains tautan kerja: ListFleets tautan kerja: ListWebsiteAuthorizationProviders tautan kerja: ListWebsiteCertificateAuthorities tautan kerja: RestoreDomainAccess tautan kerja: RevokeDomainAccess tautan kerja: SignOutUser tautan kerja: UpdateAuditStreamConfiguration tautan kerja: UpdateCompanyNetworkConfiguration tautan kerja: UpdateDevicePolicyConfiguration tautan kerja: UpdateDomainMetadata tautan kerja: UpdateFleetMetadata tautan kerja: UpdateIdentityProviderConfiguration  | 
| ruang kerja |  ruang kerja: AcceptAccountLinkInvitation ruang kerja: AssociateConnectionAlias ruang kerja: AssociateIpGroups ruang kerja: AssociateWorkspaceApplication ruang kerja: CopyWorkspaceImage ruang kerja: CreateAccountLinkInvitation ruang kerja: CreateConnectClientAddIn ruang kerja: CreateConnectionAlias ruang kerja: CreateIpGroup ruang kerja: CreateStandbyWorkspaces ruang kerja: CreateUpdatedWorkspaceImage ruang kerja: CreateWorkspaceBundle ruang kerja: CreateWorkspaceImage ruang kerja: CreateWorkspaces ruang kerja: CreateWorkspacesPool ruang kerja: DeleteAccountLinkInvitation ruang kerja: DeleteClientBranding ruang kerja: DeleteConnectClientAddIn ruang kerja: DeleteConnectionAlias ruang kerja: DeleteIpGroup ruang kerja: DeleteWorkspaceBundle ruang kerja: DeleteWorkspaceImage ruang kerja: DeployWorkspaceApplications ruang kerja: DeregisterWorkspaceDirectory ruang kerja: DescribeAccount ruang kerja: DescribeAccountModifications ruang kerja: DescribeApplicationAssociations ruang kerja: DescribeApplications ruang kerja: DescribeBundleAssociations ruang kerja: DescribeClientBranding ruang kerja: DescribeClientProperties ruang kerja: DescribeConnectClientAddIns ruang kerja: DescribeConnectionAliasPermissions ruang kerja: DescribeConnectionAliases ruang kerja: DescribeCustomWorkspaceImageImport ruang kerja: DescribeImageAssociations ruang kerja: DescribeIpGroups ruang kerja: DescribeWorkspaceAssociations ruang kerja: DescribeWorkspaceBundles ruang kerja: DescribeWorkspaceDirectories ruang kerja: DescribeWorkspaceImagePermissions ruang kerja: DescribeWorkspaceSnapshots ruang kerja: DescribeWorkspaces ruang kerja: DescribeWorkspacesConnectionStatus ruang kerja: DescribeWorkspacesPoolSessions ruang kerja: DescribeWorkspacesPools ruang kerja: DisassociateConnectionAlias ruang kerja: DisassociateIpGroups ruang kerja: DisassociateWorkspaceApplication ruang kerja: GetAccountLink ruang kerja: ImportClientBranding ruang kerja: ImportWorkspaceImage ruang kerja: ListAccountLinks ruang kerja: ListAvailableManagementCidrRanges ruang kerja: MigrateWorkspace ruang kerja: ModifyAccount ruang kerja: ModifyCertificateBasedAuthProperties ruang kerja: ModifyClientProperties ruang kerja: ModifyEndpointEncryptionMode ruang kerja: ModifySamlProperties ruang kerja: ModifySelfservicePermissions ruang kerja: ModifyStreamingProperties ruang kerja: ModifyWorkspaceAccessProperties ruang kerja: ModifyWorkspaceCreationProperties ruang kerja: ModifyWorkspaceProperties ruang kerja: ModifyWorkspaceState ruang kerja: RebootWorkspaces ruang kerja: RebuildWorkspaces ruang kerja: RegisterWorkspaceDirectory ruang kerja: RejectAccountLinkInvitation ruang kerja: RestoreWorkspace ruang kerja: StartWorkspaces ruang kerja: StartWorkspacesPool ruang kerja: StopWorkspaces ruang kerja: StopWorkspacesPool ruang kerja: TerminateWorkspaces ruang kerja: TerminateWorkspacesPool ruang kerja: TerminateWorkspacesPoolSession ruang kerja: UpdateConnectClientAddIn ruang kerja: UpdateConnectionAliasPermission ruang kerja: UpdateWorkspaceBundle ruang kerja: UpdateWorkspaceImagePermission ruang kerja: UpdateWorkspacesPool  | 
| xray |  xray: CreateGroup xray: CreateSamplingRule xray: DeleteGroup xray: DeleteResourcePolicy xray: DeleteSamplingRule xray: GetEncryptionConfig xray: GetGroup xray: GetGroups xray: GetInsight xray: GetInsightEvents xray: GetInsightImpactGraph xray: GetInsightSummaries xray: GetSamplingRules xray: ListResourcePolicies xray: PutEncryptionConfig xray: PutResourcePolicy xray: UpdateGroup xray: UpdateSamplingRule  | 

# Ringkasan kebijakan
<a name="access_policies_understand"></a>

Konsol IAM mencakup tabel *ringkasan kebijakan* yang menjelaskan tingkat akses, sumber daya, dan kondisi yang diperbolehkan atau ditolak untuk setiap layanan dalam kebijakan. Kebijakan dirangkum dalam tiga tabel: [ringkasan kebijakan](access_policies_understand-policy-summary.md), [ringkasan layanan](access_policies_understand-service-summary.md), dan [ringkasan tindakan](access_policies_understand-action-summary.md). Tabel *ringkasan kebijakan* mencakup daftar layanan. Pilih layanan yang tertera untuk melihat *ringkasan layanan*. Tabel ringkasan ini mencakup daftar tindakan dan izin terkait untuk layanan yang dipilih. Anda dapat memilih tindakan dari tabel tersebut untuk melihat *ringkasan tindakan*. Tabel ini mencakup daftar sumber daya dan IT untuk tindakan yang dipilih. 

![\[Gambar diagram ringkasan kebijakan yang menggambarkan tiga tabel dan hubungannya\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/policy_summaries-diagram.png)


Anda dapat melihat rangkuman kebijakan di halaman **Pengguna** atau **Peran** untuk semua kebijakan (terkelola dan inline) yang terlampir pada pengguna tersebut. Lihat rangkuman dalam halaman **Kebijakan** untuk seluruh kebijakan terkelola Kebijakan AWS terkelola mencakup kebijakan AWS terkelola, kebijakan fungsi pekerjaan terkelola, dan kebijakan yang dikelola pelanggan. Anda dapat melihat rangkuman untuk kebijakan-kebijakan ini di **Kebijakan** halaman tidak GApeduli apakah mereka terpasang pada seseorang atau IT IAM lainnya.

Anda dapat menggunakan informasi dalam rangkuman kebijakan untuk memahami izin yang diizinkan atau ditolak oleh kebijakan Anda. Ringkasan kebijakan dapat membantu Anda [pemecahan masalah](troubleshoot_policies.md) dan memperbaiki kebijakan yang tidak memberikan izin yang Anda harapkan.

**Topics**
+ [

# Ringkasan kebijakan (daftar layanan)
](access_policies_understand-policy-summary.md)
+ [

# Tingkat akses dalam ringkasan kebijakan
](access_policies_understand-policy-summary-access-level-summaries.md)
+ [

# Ringkasan layanan (daftar tindakan)
](access_policies_understand-service-summary.md)
+ [

# Ringkasan tindakan (daftar sumber daya)
](access_policies_understand-action-summary.md)
+ [

# Contoh ringkasan kebijakan
](access_policies_policy-summary-examples.md)

# Ringkasan kebijakan (daftar layanan)
<a name="access_policies_understand-policy-summary"></a>

Kebijakan dirangkum dalam tiga tabel: ringkasan kebijakan, [ringkasan layanan](access_policies_understand-service-summary.md), dan [ringkasan tindakan](access_policies_understand-action-summary.md). Tabel *ringkasan kebijakan* mencakup daftar layanan dan ringkasan izin yang ditentukan oleh kebijakan yang dipilih. 

![\[Image diagram ringkasan kebijakan yang menggambarkan 3 tabel dan hubungannya\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/policy_summaries-pol-sum.png)


Tabel ringkasan kebijakan dikelompokkan menjadi satu atau lebih bagian **Layanan yang tidak terkategorikan**, **Penolakan secara eksplisit **, dan **Izinkan**. Jika kebijakan mencakup layanan yang tidak dikenali oleh IAM, layanan tersebut termasuk dalam **Layanan yang tidak terkategorikan** di tabel. Jika IAM mengenali layanan, maka ia termasuk dalam bagian tabel **Penolakan secara eksplisit** atau **Izinkan** tergantung pada efek kebijakan (`Deny` atau `Allow`).

## Memahami elemen ringkasan kebijakan
<a name="understanding-elements-policy-summary"></a>

Dalam contoh halaman detail kebijakan berikut, kebijakan tersebut adalah **SummaryAllElements**kebijakan terkelola (kebijakan yang dikelola pelanggan) yang dilampirkan langsung ke pengguna. Kebijakan ini diperluas untuk menunjukkan ringkasan kebijakan. 

![\[image dialog ringkasan kebijakan\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/policies-summary-user-page-dialog.png)


Pada gambar sebelumnya, ringkasan kebijakan terlihat dari dalam halaman **Kebijakan**:

1. Tab **Izin** menyertakan izin yang ditentukan dalam kebijakan.

1. Jika kebijakan tidak memberikan izin untuk semua tindakan, sumber daya, dan syarat yang ditentukan dalam kebijakan, maka peringatan atau banner muncul di bagian atas halaman. Ringkasan kebijakan kemudian mencakup perincian tentang masalah. Untuk mempelajari bagaimana rangkuman kebijakan membantu Anda memahami dan mengatasi masalah izin yang diberikan oleh kebijakan Anda, lihat [Kebijakan saya tidak memberikan izin yang diharapkan](troubleshoot_policies.md#policy-summary-not-grant-permissions).

1. Gunakan tombol **Ringkasan** dan **JSON** untuk beralih antara ringkasan kebijakan dan dokumen kebijakan JSON.

1.  Gunakan kotak **Pencarian** untuk mengurangi daftar layanan dan menemukan layanan tertentu.

1. Tampilan yang diperluas menampilkan detail tambahan kebijakan **SummaryAllElements**.

Gambar tabel ringkasan kebijakan berikut menunjukkan **SummaryAllElements**kebijakan yang diperluas pada halaman detail kebijakan.

![\[image dialog ringkasan kebijakan\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/policies-summary-table-dialog.png)


Pada gambar sebelumnya, ringkasan kebijakan terlihat dari dalam halaman **Kebijakan**:

1. Untuk layanan yang diakui IAM, layanan diatur sesuai dengan apakah kebijakan mengizinkan atau secara eksplisit menghalangi penggunaan layanan. Dalam contoh ini, kebijakan tersebut mencakup `Deny` pernyataan untuk layanan Amazon S3 dan `Allow` pernyataan untuk layanan Penagihan, CodeDeploy, dan Amazon EC2.

1. **Layanan** – Kolom ini mencantumkan layanan yang ditegaskan dalam kebijakan dan menyajikan detail untuk setiap layanan. Setiap nama layanan dalam tabel ringkasan kebijakan adalah tautan ke *ringkasan layanan* yang dijelaskan dalam [Ringkasan layanan (daftar tindakan)](access_policies_understand-service-summary.md). Dalam contoh ini, izin ditentukan untuk layanan Amazon S3, Penagihan CodeDeploy, dan Amazon EC2.

1. **Tingkat akses** — Kolom ini memberi tahu apakah tindakan di setiap tingkat akses (`List`,`Read`,`Write`,`Permission Management`,, dan`Tagging`) memiliki `Full` atau `Limited` izin yang ditentukan dalam kebijakan. Untuk detail dan contoh tambahan dari ringkasan tingkat akses, lihat [Tingkat akses dalam ringkasan kebijakan](access_policies_understand-policy-summary-access-level-summaries.md).
   + **Akses penuh** – Entri ini menunjukkan bahwa layanan memiliki akses ke semua tindakan, di dalamnya tersedia empat tingkat akses untuk layanan tersebut.
   + <a name="full-vs-limited-access-summary"></a>Jika entri tidak mencakup **Akses penuh**, maka layanan memiliki akses ke beberapa tetapi tidak semua tindakan untuk layanan tersebut. Akses kemudian didefinisikan dengan deskripsi berikut untuk masing-masing klasifikasi tingkat akses (`List`,,, `Read` `Write``Permission Management`, dan`Tagging`):

     **Lengkap**: Kebijakan ini menyediakan akses ke semua tindakan yang di dalamnya mencantumkan setiap klasifikasi tingkat akses. Dalam contoh ini, kebijakan ini memberikan akses ke semua `Read` aksi nyata.

     **Terbatas**: Kebijakan ini menyediakan akses ke satu atau beberapa tetapi tidak semua tindakan tercantum dalam klasifikasi tingkat akses. Dalam contoh ini, kebijakan ini memberikan akses ke beberapa `Write` aksi nyata.

1. **Sumber Daya** – Kolom ini menunjukkan sumber daya yang ditentukan kebijakan untuk setiap layanan. 
   + **Banyak** – Kebijakan ini mencakup lebih dari satu, tetapi tidak semua sumber daya di balik layanan tersebut. Dalam contoh ini, akses secara eksplisit ditolak untuk lebih dari satu sumber daya Amazon S3
   + **Semua sumber daya** — Kebijakan ini ditetapkan untuk semua sumber daya dalam layanan. Dalam contoh ini, kebijakan ini memungkinkan tindakan terdaftar untuk dilakukan pada semua sumber daya tagihan.
   + Teks Sumber Daya – Kebijakan ini mencakup suatu sumber daya yang terdapat dalam layanan. Dalam contoh ini, tindakan yang tercantum hanya diperbolehkan pada `DeploymentGroupName` CodeDeploy sumber daya. Bergantung pada informasi yang disediakan layanan kepada IAM, Anda mungkin melihat ARN atau Anda mungkin melihat jenis sumber daya yang ditentukan.
**catatan**  
Kolom ini dapat menyertakan sumber daya dari layanan yang berbeda. Jika pernyataan kebijakan yang mencakup sumber daya tidak mencakup tindakan dan sumber daya dari layanan yang sama, maka kebijakan Anda mencakup sumber daya yang tidak sesuai. IAM tidak memperingatkan Anda tentang sumber daya yang tidak sesuai ketika Anda membuat kebijakan, atau ketika Anda melihat kebijakan dalam ringkasan kebijakan. Jika kolom ini memuat sumber daya yang tidak sesuai, maka Anda harus meninjau kebijakan Anda untuk kesalahan. Untuk lebih memahami kebijakan Anda, selalu uji kebijakan tersebut dengan [simulator kebijakan](access_policies_testing-policies.md).

1. **Minta kondisional** – Kolom ini menunjukkan apakah layanan atau tindakan yang terkait dengan sumber daya ditujukan kepada kondisi-kondisi.
   + **Tidak ada** – Kebijakan ini tidak mengikutkan kondisi untuk layanan. Dalam contoh ini tidak ada kondisi yang diterapkan pada tindakan yang ditolak dalam layanan Amazon S3
   + Kondisi teks – Kebijakan ini mencakup suatu kondisi untuk layanan. Dalam contoh ini, tindakan Penagihan yang terdaftar hanya diperbolehkan jika alamat IP sumber cocok`203.0.113.0/24`.
   + **Banyak** – Kebijakan ini mencakup lebih dari satu kondisi untuk layanan tersebut. Untuk melihat masing-masing dari beberapa kondisi kebijakan, pilih **JSON** untuk melihat dokumen kebijakan.

1. **Tampilkan layanan yang tersisa** — Alihkan tombol ini untuk memperluas tabel untuk menyertakan layanan yang tidak ditentukan oleh kebijakan. Layanan ini *ditolak secara implisit* (atau ditolak secara default) dalam kebijakan ini. Namun, pernyataan dalam kebijakan lain mungkin masih mengizinkan atau secara eksplisit menolak menggunakan layanan tersebut. Ringkasan kebijakan merangkum izin satu kebijakan. Untuk mempelajari tentang bagaimana AWS layanan memutuskan apakah permintaan yang diberikan harus diizinkan atau ditolak, lihat[Logika evaluasi kebijakan](reference_policies_evaluation-logic.md).

Ketika kebijakan atau elemen dalam kebijakan tidak memberikan izin, IAM memberikan peringatan dan informasi tambahan dalam ringkasan kebijakan. Tabel ringkasan kebijakan berikut menunjukkan perluasan **Tampilkan layanan layanan yang tersisa** di halaman detail **SummaryAllElements**kebijakan dengan kemungkinan peringatan.

![\[image dialog ringkasan kebijakan\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/policies-summary-table-showremaining-dialog.png)


Dalam image sebelumnya, Anda dapat melihat semua layanan yang mencakup tindakan, sumber daya, atau kondisi tertentu, tanpa izin:

1. **Peringatan sumber daya** – Untuk layanan yang tidak memberikan izin untuk semua tindakan atau sumber daya yang disertakan, Anda melihat salah satu upaya berikut di kolom **Sumber Daya** pada tabel:
   + **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/console-alert-icon.console.png)Tidak ada sumber daya yang ditentukan.** – Ini berarti bahwa layanan telah menentukan tindakan tetapi tidak ada sumber daya didukung yang tercakup dalam kebijakan.
   + **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/console-alert-icon.console.png)Satu atau lebih tindakan tidak memiliki sumber daya yang berlaku.** – Ini berarti bahwa layanan telah menentukan tindakan, tetapi bahwa beberapa tindakan tersebut tidak memiliki sumber daya yang Support.
   + **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/console-alert-icon.console.png)Satu atau lebih sumber daya tidak memiliki tindakan yang berlaku.** – Ini berarti bahwa layanan telah mendefinisikan sumber daya, tetapi beberapa sumber daya tersebut tidak memiliki tindakan yang mendukung.

   Jika layanan mencakup kedua tindakan yang tidak memiliki sumber daya dan sumber daya yang berlaku yang memiliki sumber daya yang berlaku, maka hanya **Satu atau lebih sumber daya yang tidak memiliki tindakan yang berlaku.** peringatan ditampilkan. Ini karena ketika Anda melihat ringkasan layanan untuk layanan tersebut, sumber daya yang tidak berlaku untuk tindakan apa pun tidak ditampilkan. Untuk tindakan `ListAllMyBuckets`, kebijakan ini mencakup peringatan terakhir karena tindakan tersebut tidak mendukung izin tingkat sumber daya, dan tidak mendukung tombol syarat `s3:x-amz-acl`. Jika Anda memperbaiki masalah sumber daya atau masalah syarat, masalah yang tersisa muncul di peringatan mendetail.

1. **Minta peringatan kondisional** – Untuk layanan yang tidak memberikan izin untuk semua kondisi yang disertakan, Anda melihat salah satu peringatan berikut dalam kolom **Minta kondisional** pada tabel:
   + **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/console-alert-icon.console.png)Satu atau lebih tindakan tidak memiliki kondisi yang berlaku.** – Ini berarti bahwa layanan telah menentukan tindakan, tetapi beberapa tindakan tersebut tidak memiliki kondisi yang mendukung
   + **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/console-alert-icon.console.png)Satu atau lebih kondisi tidak memiliki tindakan yang berlaku.** – Ini berarti bahwa layanan telah memiliki kondisi yang ditetapkan, tetapi sebagian dari kondisi tersebut tidak memiliki tindakan yang mendukung.

1. **Beberapa \$1 ![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/console-alert-icon.console.png) Satu atau lebih tindakan tidak memiliki sumber daya yang berlaku.** – `Deny` pernyataan untuk Amazon S3 mencakup lebih dari satu sumber daya. Ia juga mencakup lebih dari satu tindakan, dan beberapa tindakan mendukung sumber daya dan beberapa lainnya tidak. Untuk melihat kebijakan ini, lihat [**SummaryAllElements** Dokumen kebijakan JSON](#policy-summary-example-json). Dalam hal ini, kebijakan ini mencakup semua tindakan Amazon S3 dan hanya tindakan yang dapat dilakukan pada bucket atau objek bucket yang ditolak.

1. **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/console-alert-icon.console.png)Tidak ada sumber daya yang ditentukan** — Layanan memiliki tindakan yang ditentukan, tetapi tidak ada sumber daya yang didukung yang disertakan dalam kebijakan, dan oleh karena itu layanan tidak memberikan izin. Dalam hal ini, kebijakan mencakup CodeCommit tindakan tetapi tidak ada CodeCommit sumber daya.

1. **DeploymentGroupName \$1 string seperti \$1 Semua, wilayah \$1 string seperti \$1 us-west-2 ![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/console-alert-icon.console.png) \$1 Satu atau lebih tindakan tidak memiliki sumber daya yang berlaku.** — Layanan memiliki tindakan yang ditentukan, dan setidaknya satu tindakan lagi yang tidak memiliki sumber daya pendukung.

1. **Tidak ada \$1 ![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/console-alert-icon.console.png) Satu atau lebih kondisi tidak memiliki tindakan yang berlaku.** — Layanan memiliki setidaknya satu kunci kondisi yang tidak memiliki tindakan pendukung.

## **SummaryAllElements** Dokumen kebijakan JSON
<a name="policy-summary-example-json"></a>

**SummaryAllElements** kebijakan ini tidak dimaksudkan untuk Anda gunakan dalam menentukan izin dalam akun Anda. Sebaliknya, ia disertakan untuk menunjukkan kesalahan dan peringatan yang mungkin Anda temukan saat melihat ringkasan kebijakan.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "billing:Get*",
                "payments:List*",
                "payments:Update*",
                "account:Get*",
                "account:List*",
                "cur:GetUsage*"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": "203.0.113.0/24"
                }
            }
        },
        {
            "Effect": "Deny",
            "Action": [
                "s3:*"
            ],
            "Resource": [
                "arn:aws:s3:::customer",
                "arn:aws:s3:::customer/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:GetConsoleScreenshots"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "codedploy:*",
                "codecommit:*"
            ],
            "Resource": [
                "arn:aws:codedeploy:us-west-2:123456789012:deploymentgroup:*",
                "arn:aws:codebuild:us-east-1:123456789012:project/my-demo-project"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:GetObject",
                "s3:DeletObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*",
                "arn:aws:autoscling:us-east-2:123456789012:autoscalgrp"
            ],
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": [
                        "public-read"
                    ],
                    "s3:prefix": [
                        "custom",
                        "other"
                    ]
                }
            }
        }
    ]
}
```

------

# Lihat ringkasan kebijakan
<a name="access_policies_view-policy-summary"></a>

Anda dapat melihat ringkasan kebijakan untuk setiap kebijakan yang dilampirkan ke pengguna atau peran IAM. Untuk kebijakan terkelola, Anda dapat melihat ringkasan kebijakan di halaman **Kebijakan**. Jika kebijakan Anda tidak menyertakan ringkasan kebijakan, lihat [Ringkasan kebijakan hilang](troubleshoot_policies.md#missing-policy-summary) untuk mempelajari alasannya.

## **Melihat ringkasan kebijakan dari halaman Kebijakan**
<a name="viewing-policy-summaries-from-the-policies-page"></a>

Anda dapat melihat ringkasan kebijakan untuk kebijakan yang dikelola pada halaman **Kebijakan**.

**Untuk melihat ringkasan kebijakan dari halaman **Kebijakan****

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Kebijakan**.

1. Dalam daftar kebijakan, pilih nama kebijakan yang ingin Anda lihat.

1. Pada halaman **Detail kebijakan** untuk kebijakan, lihat tab **Izin** untuk melihat ringkasan kebijakan.

## Melihat ringkasan kebijakan untuk kebijakan yang dilampirkan ke pengguna
<a name="viewing-policy-summaries-for-policies-attached-to-users"></a>

Anda dapat melihat ringkasan kebijakan untuk setiap kebijakan yang dilampirkan ke pengguna IAM.

**Untuk melihat ringkasan kebijakan yang terlampir pada pengguna**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Pengguna**.

1. Dalam daftar pengguna, pilih nama pengguna yang kebijakannya ingin Anda lihat.

1. Di halaman **Ringkasan** untuk pengguna, lihat tab **Izin** untuk melihat daftar kebijakan yang dilampirkan pada pengguna secara langsung atau dari grup.

1. Dalam tabel kebijakan untuk pengguna, perluas baris kebijakan yang ingin Anda lihat.

## Melihat ringkasan kebijakan untuk kebijakan yang dilampirkan pada peran
<a name="viewing-policy-summaries-for-policies-attached-to-roles"></a>

Anda dapat melihat ringkasan kebijakan untuk setiap kebijakan yang dilampirkan ke peran.

**Untuk melihat ringkasan kebijakan yang terlampir pada peran**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Peran**.

1. Dalam daftar peran, pilih nama peran yang kebijakannya ingin Anda lihat.

1. Di halaman **Ringkasan** untuk peran, lihat tab **Izin** untuk melihat daftar kebijakan yang dilampirkan pada peran.

1. Dalam tabel kebijakan untuk peran tersebut, perluas baris kebijakan yang ingin Anda lihat.

## Menyunting kebijakan untuk memperbaiki peringatan
<a name="edit-policy-summary"></a>

Saat melihat ringkasan kebijakan, Anda mungkin menemukan kesalahan ketik atau pemberitahuan bahwa kebijakan tersebut tidak memberikan izin yang Anda harapkan. Anda tidak dapat langsung menyunting ringkasan kebijakan. Namun demikian, Anda dapat menyunting kebijakan terkelola pelanggan dengan menggunakan editor kebijakan visual, yang menangkap banyak kesalahan dan peringatan yang dilaporkan oleh ringkasan kebijakan. Kemudian, Anda dapat melihat perubahan dalam ringkasan kebijakan untuk mengonfirmasi bahwa Anda sudah menyelesaikan semua masalah. Untuk mempelajari cara sunting kebijakan selaras, lihat [Edit kebijakan IAM](access_policies_manage-edit.md). Anda tidak dapat mengedit kebijakan AWS terkelola.

Anda dapat mengedit kebijakan untuk ringkasan kebijakan Anda menggunakan opsi **Visual**.

**Untuk mengedit kebijakan ringkasan kebijakan Anda menggunakan opsi **Visual****

1. Buka ringkasan kebijakan seperti yang dijelaskan dalam prosedur sebelumnya.

1. Pilih **Edit**.

   Jika Anda berada di halaman **Pengguna** dan memilih untuk menyunting kebijakan terkelola pelanggan yang terlampir pada pengguna tersebut, Anda akan diarahkan kembali ke halaman **Kebijakan**. Anda dapat menyunting kebijakan yang terkelola pelanggan hanya di halaman **Kebijakan**.

1. Pilih opsi **Visual** untuk melihat representasi visual kebijakan yang dapat diedit. IAM mungkin merestrukturisasi kebijakan Anda untuk mengoptimalkannya bagi editor visual dan menjadikan Anda lebih mudah untuk menemukan dan membenahi adanya masalah. Peringatan dan pesan adanya kesalahan di halaman dapat memandu Anda untuk membenahi adanya masalah dalam kebijakan Anda. Untuk informasi selengkapnya tentang kebijakan berbasis sumber daya, lihat [Restrukturisasi kebijakan](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Edit kebijakan Anda dan pilih **Berikutnya** untuk melihat perubahan yang tercermin dalam ringkasan kebijakan. Jika Anda masih melihat masalah, pilih **Sebelumnya** untuk kembali ke layar penyuntingan.

1. Pilih **Simpan perubahan** untuk menyimpan perubahan Anda.

Anda dapat mengedit kebijakan untuk ringkasan kebijakan menggunakan opsi **JSON**.

**Untuk mengedit kebijakan ringkasan kebijakan Anda menggunakan opsi **JSON****

1. Buka ringkasan kebijakan seperti yang dijelaskan dalam prosedur sebelumnya.

1. Anda dapat menggunakan tombol **Ringkasan** dan **JSON** untuk membandingkan ringkasan kebijakan dengan dokumen kebijakan JSON. Anda dapat menggunakan informasi ini untuk menentukan baris mana dalam dokumen kebijakan yang ingin Anda ubah.

1. Pilih **Edit** dan kemudian pilih opsi **JSON** untuk mengedit dokumen kebijakan JSON.
**catatan**  
Anda dapat beralih antara opsi editor **Visual** dan **JSON** kapan saja. Namun, jika Anda membuat perubahan atau memilih **Berikutnya** di opsi Editor **Visual**, IAM mungkin merestrukturisasi kebijakan Anda untuk mengoptimalkannya untuk editor visual. Untuk informasi selengkapnya, lihat [Restrukturisasi kebijakan](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

   Jika Anda berada di halaman **Pengguna** dan memilih untuk menyunting kebijakan terkelola pelanggan yang terlampir pada pengguna tersebut, Anda akan diarahkan kembali ke halaman **Kebijakan**. Anda dapat menyunting kebijakan yang terkelola pelanggan hanya di halaman **Kebijakan**.

1. Edit kebijakan Anda. Selesaikan peringatan keamanan, kesalahan, atau peringatan umum yang dihasilkan selama [validasi kebijakan](access_policies_policy-validator.md), lalu pilih **Berikutnya**. Jika Anda masih melihat masalah, pilih **Sebelumnya** untuk kembali ke layar penyuntingan.

1. Pilih **Simpan perubahan** untuk menyimpan perubahan Anda.

# Tingkat akses dalam ringkasan kebijakan
<a name="access_policies_understand-policy-summary-access-level-summaries"></a>

## AWS ringkasan tingkat akses
<a name="access_policies_access-level-summaries"></a>

Ringkasan kebijakan mencakup ringkasan tingkat akses yang menjelaskan izin tindakan yang ditentukan untuk setiap layanan yang disebutkan dalam kebijakan. Untuk ARN ringkasan kebijakan, lihat [Ringkasan kebijakan](access_policies_understand.md). Ringkasan tingkat akses menunjukkan apakah tindakan di setiap tingkat akses (`List`,,, `Read` `Tagging``Write`, dan`Permissions management`) memiliki `Full` atau `Limited` izin yang ditentukan dalam kebijakan. Untuk melihat klasifikasi tingkat akses yang ditetapkan untuk setiap tindakan dalam layanan, lihat [Tindakan, Sumber Daya, dan Kunci Kondisi untuk AWS Layanan](reference_policies_actions-resources-contextkeys.html).

Contoh berikut menjelaskan akses yang diberikan oleh kebijakan untuk layanan tertentu. Untuk contoh-contoh dokumen kebijakan JSON lengkap dan rangkuman terkait, lihat [Contoh ringkasan kebijakan](access_policies_policy-summary-examples.md).


****  

| Layanan | Tingkat akses | Kebijakan memungkinkan hal-hal berikut | 
| --- | --- | --- | 
| IAM | Akses penuh | Akses ke semua tindakan dalam layanan IAM. | 
| CloudWatch | Penuh:Daftar | Akses ke semua CloudWatch tindakan di tingkat List akses, tetapi tidak ada akses ke tindakan denganRead,Write, atau klasifikasi tingkat Permissions management akses. | 
| Data Pipeline | Terbatas: Daftar, Baca | Akses ke setidaknya satu tetapi tidak semua AWS Data Pipeline tindakan di List dan tingkat Read akses, tetapi tidak Write atau Permissions management tindakan. | 
| EC2 | Penuh:Daftar, Baca Terbatas: Tulis | Akses ke semua Amazon EC2 List dan tindakan Read serta akses ke setidaknya satu tetapi tidak semua tindakan Write Amazon EC2, tetapi tidak ada akses ke tindakan dengan Permissions management klasifikasi tingkat akses. | 
| S3 | Terbatas: Manajemen Baca, Tulis, Izin | Akses ke setidaknya satu tetapi tidak semua Amazon S3 Read, Write dan tindakan Permissions management. | 
| codedploy | (kosong) | Akses tak dikenal, karena IAM tidak mengenali layanan ini. | 
| API Gateway | Tidak ada | Tidak ada akses yang didefinisikan dalam kebijakan. | 
| CodeBuild | ![\[a white exclamation point on an orange triangle background\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/console-alert-icon.console.png) Tidak ada tindakan yang ditentukan. | Tidak ada akses karena tidak ada tindakan yang ditentukan untuk layanan tersebut. Untuk mempelajari cara memahami dan mengatasi masalah ini, lihat [Kebijakan saya tidak memberikan izin yang diharapkan](troubleshoot_policies.md#policy-summary-not-grant-permissions). | 

Dalam ringkasan kebijakan, **Akses penuh** menunjukkan bahwa kebijakan menyediakan akses ke semua tindakan dalam layanan. Kebijakan yang memberikan akses ke beberapa tetapi tidak semua tindakan dalam layanan akan dikelompokkan lebih lanjut sesuai dengan klasifikasi tingkat akses. Hal ini ditunjukkan oleh salah satu pengelompokan tingkat akses berikut:
+ **Penuh**: Kebijakan tersebut memberikan akses ke semua tindakan dalam klasifikasi tingkat akses yang ditentukan.
+ **Terbatas**: Kebijakan tersebut memberikan akses ke satu atau lebih tetapi tidak semua tindakan dalam klasifikasi tingkat akses yang ditentukan.
+ **TIdak Ada**: Kebijakan ini tidak memiliki akses.
+ (kosong): IAM tidak mengenali layanan ini. Jika nama layanan mencakup salah ketik, maka kebijakan tersebut tidak memberikan akses ke layanan. Jika nama layanan sudah benar, maka layanan mungkin tidak mendukung rangkuman kebijakan atau mungkin sedang ditampilkan di pratinjau. Dalam hal ini, kebijakan mungkin memberikan akses, tetapi akses tersebut tidak dapat ditampilkan dalam ringkasan kebijakan. Untuk meminta dukungan ringkasan kebijakan untuk layanan yang tersedia secara umum (GA), lihat [Layanan tidak mendukung ringkasan kebijakan IAM](troubleshoot_policies.md#unsupported-services-actions).

Ringkasan tingkat akses yang mencakup akses terbatas (sebagian) ke tindakan dikelompokkan menggunakan klasifikasi tingkat AWS akses`List`,,,`Read`, `Tagging` atau. `Write` `Permissions management`

## AWS tingkat akses
<a name="access_policies_access-level"></a>

AWS mendefinisikan klasifikasi tingkat akses berikut untuk tindakan dalam layanan:
+ **Daftar**: Izin untuk mencantumkan sumber daya di dalam layanan untuk menentukan apakah ada objek. Tindakan dengan tingkat akses ini dapat mencantumkan objek tetapi tidak dapat melihat isi sumber daya. Misalnya, tindakan Amazon S3 `ListBucket` memiliki tingkat akses **Daftar**. 
+ **Baca**: Izin untuk membaca, namun tidak mengedit konten dan atribut sumber daya dalam layanan. Misalnya, tindakan Amazon S3 `GetObject` and `GetBucketLocation` memiliki tingkat akses **Baca**.
+ **Penandaan**: Izin untuk melakukan tindakan yang hanya mengubah status tanda sumber daya. Misalnya, tindakan IAM `TagRole` dan `UntagRole` memiliki tingkat akses **Penandaan** karena hanya mengizinkan tindakan untuk menandai atau menghapus peran. Namun, tindakan `CreateRole` memungkinkan menandai sumber daya peran saat Anda membuat peran tersebut. Karena tindakan tersebut tidak hanya menambahkan tanda, tindakan memiliki tingkat akses `Write`.
+ **Tulis**: Izin untuk membuat, menghapus, atau memodifikasi sumber daya dalam layanan. Misalnya, tindakan Amazon S3`CreateBucket`, `DeleteBucket` dan `PutObject` memiliki tingkat akses **Tulis**. `Write`tindakan mungkin juga memungkinkan memodifikasi tag sumber daya. Namun, tindakan yang hanya memungkinkan perubahan pada tanda memiliki tingkat akses `Tagging`.
+ **Manajemen izin: Manajemen** izin mengacu pada tindakan yang mengontrol akses di dalamnya Layanan AWS, termasuk izin identitas IAM dan non-IAM, tetapi mengecualikan kontrol akses tingkat jaringan seperti grup keamanan. Misalnya, sebagian besar IAM dan AWS Organizations tindakan, serta `PutBucketPolicy` tindakan Amazon S3 `DeleteBucketPolicy` dan memiliki tingkat akses manajemen **Izin**.
**Kiat**  
Untuk meningkatkan keamanan Anda Akun AWS, batasi atau pantau secara teratur kebijakan yang mencakup klasifikasi tingkat akses **manajemen izin**.

Untuk melihat klasifikasi tingkat akses untuk semua tindakan dalam layanan, lihat [Tindakan, Sumber Daya, dan Kunci Kondisi untuk AWS Layanan](reference_policies_actions-resources-contextkeys.html).

# Ringkasan layanan (daftar tindakan)
<a name="access_policies_understand-service-summary"></a>

Kebijakan dirangkum dalam tiga tabel: [ringkasan kebijakan](access_policies_understand-policy-summary.md), ringkasan layanan, dan [ringkasan tindakan](access_policies_understand-action-summary.md). Tabel *ringkasan layanan* menyertakan daftar tindakan dan ringkasan izin yang ditentukan oleh kebijakan untuk layanan yang dipilih.

![\[Image diagram ringkasan kebijakan yang menggambarkan 3 tabel dan hubungannya\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/policy_summaries-svc-sum.png)


Anda dapat melihat ringkasan layanan untuk setiap layanan yang tercantum dalam ringkasan kebijakan yang memberikan izin. Tabel dikelompokkan ke dalam **Tindakan yang tidak dikategorikan**, **Jenis sumber daya yang tidak dikategorikan**, dan bagian tingkat akses. Jika kebijakan mencakup tindakan yang tidak dikenali oleh IAM, maka tindakan tersebut disertakan dalam bagian **Tindakan yang tidak dikategorikan** di tabel. Jika IAM mengenali tindakan, maka itu termasuk dalam salah satu bagian tingkat akses (**Daftar**, **Baca**, **Tulis** dan **Manajemen izin**) pada tabel. Untuk melihat klasifikasi tingkat akses yang ditetapkan untuk setiap tindakan dalam layanan, lihat [Tindakan, Sumber Daya, dan Kunci Kondisi untuk AWS Layanan](reference_policies_actions-resources-contextkeys.html).

## Memahami elemen ringkasan layanan
<a name="understanding-elements-service-summary"></a>

Contoh di bawah ini adalah ringkasan layanan untuk tindakan Amazon S3 yang diizinkan dari ringkasan kebijakan. Tindakan untuk layanan ini dikelompokkan berdasarkan tingkat akses. Misalnya, 35 tindakan **Baca** didefinisikan dari total 52 tindakan **Baca** yang tersedia untuk layanan.

![\[Gambar dialog ringkasan layanan\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/policies-summary-action-dialog.png)


Halaman ringkasan layanan untuk kebijakan yang dikelola mencakup informasi berikut ini:

1. Jika kebijakan tidak memberikan izin untuk semua tindakan, sumber daya, dan kondisi yang ditentukan untuk layanan dalam kebijakan, banner peringatan akan muncul di bagian atas halaman. Ringkasan layanan kemudian mencakup rincian tentang masalah. Untuk mempelajari bagaimana rangkuman kebijakan membantu Anda memahami dan mengatasi masalah izin yang diberikan oleh kebijakan Anda, lihat [Kebijakan saya tidak memberikan izin yang diharapkan](troubleshoot_policies.md#policy-summary-not-grant-permissions).

1. Pilih **JSON** untuk melihat detail tambahan tentang kebijakan tersebut. Anda dapat melakukan ini untuk melihat semua kondisi yang diterapkan ke tindakan. (Jika Anda melihat ringkasan layanan untuk kebijakan inline yang dilampirkan langsung ke pengguna, Anda harus menutup kotak dialog ringkasan layanan dan kembali ke ringkasan kebijakan untuk mengakses dokumen kebijakan JSON.)

1. Untuk melihat ringkasan tindakan tertentu, ketikkan kata kunci ke dalam kotak **Pencarian** untuk mengurangi daftar tindakan yang tersedia.

1. Di sebelah panah belakang **Layanan** muncul nama layanan (dalam hal ini **S3**). Ringkasan layanan untuk layanan ini mencakup daftar tindakan yang diizinkan atau ditolak yang didefinisikan dalam kebijakan. Jika layanan muncul di bawah **(Penolakan eksplisit) pada tab **Izin**, maka tindakan yang tercantum dalam tabel ringkasan layanan ditolak** secara eksplisit. Jika layanan muncul di bawah **Izinkan** pada tab **Izin**, maka tindakan yang tercantum dalam tabel ringkasan layanan diizinkan. 

1. **Tindakan** - Kolom ini mencantumkan tindakan yang ditentukan dalam kebijakan dan menyediakan sumber daya dan kondisi untuk setiap tindakan. Jika kebijakan memberikan atau menolak izin untuk tindakan, maka nama tindakan akan ditautkan ke tabel ringkasan *[tindakan](access_policies_understand-action-summary.md)*. Tabel mengelompokkan tindakan ini menjadi setidaknya satu atau hingga lima bagian, tergantung pada tingkat akses yang diizinkan atau ditolak oleh kebijakan tersebut. Bagian-bagiannya adalah **Daftar**, **Baca**, **Tulis**, **Manajemen Izin**, dan **Penandaan**. Hitungan menunjukkan jumlah tindakan yang diakui yang memberikan izin dalam setiap tingkat akses. Totalnya adalah jumlah tindakan yang diketahui untuk layanan tersebut. Dalam contoh ini, 35 tindakan memberikan izin dari 52 total tindakan Amazon **S3** Read yang diketahui. Untuk melihat klasifikasi tingkat akses yang ditetapkan untuk setiap tindakan dalam layanan, lihat [Tindakan, Sumber Daya, dan Kunci Kondisi untuk AWS Layanan](reference_policies_actions-resources-contextkeys.html).

1. **Tampilkan tindakan yang tersisa** — Alihkan tombol ini untuk memperluas atau menyembunyikan tabel untuk menyertakan tindakan yang diketahui tetapi tidak memberikan izin untuk layanan ini. Mengaktifkan tombol juga menampilkan peringatan untuk elemen apa pun yang tidak memberikan izin.

1. **Sumber Daya** – Kolom ini menunjukkan sumber daya yang ditentukan oleh kebijakan untuk layanan. IAM tidak memeriksa jika sumber daya berlaku untuk setiap tindakan. Dalam contoh ini, tindakan dalam layanan Amazon S3 hanya diperbolehkan pada sumber daya bucket Amazon `developer_bucket` S3. Bergantung pada informasi yang disediakan layanan untuk IAM, Anda mungkin melihat ARN seperti `arn:aws:s3:::developer_bucket/*`, atau Anda mungkin melihat jenis sumber daya yang ditentukan, seperti `BucketName = developer_bucket`.
**catatan**  
Kolom ini dapat menyertakan sumber daya dari layanan yang berbeda. Jika pernyataan kebijakan yang mencakup sumber daya tidak mencakup tindakan dan sumber daya dari layanan yang sama, maka kebijakan Anda mencakup sumber daya yang tidak sesuai. IAM tidak memperingatkan Anda tentang sumber daya yang tidak cocok saat Anda membuat kebijakan, atau saat Anda melihat kebijakan di ringkasan layanan. IAM juga tidak menunjukkan apakah tindakan tersebut berlaku untuk sumber daya, hanya jika layanan sesuai. Jika kolom ini memuat sumber daya yang tidak sesuai, maka Anda harus meninjau kebijakan Anda untuk kesalahan. Untuk lebih memahami kebijakan Anda, selalu uji kebijakan tersebut dengan [simulator kebijakan](access_policies_testing-policies.md).

1. **Minta ketentuan** – Kolom ini memberi tahu apakah tindakan yang terkait dengan sumber daya tunduk pada kondisi. Untuk mempelajari lebih lanjut tentang kondisi tersebut, pilih **JSON** untuk meninjau dokumen kebijakan JSON.

1. **(Tanpa akses) **– Kebijakan ini mencakup tindakan yang tidak menyediakan izin. 

1. **Peringatan sumber daya** – Untuk tindakan dengan sumber daya yang tidak memberikan izin penuh, Anda akan melihat salah satu dari peringatan berikut:
   + **Tindakan ini tidak mendukung izin tingkat sumber daya. Ini memerlukan wildcard (\$1) untuk sumber daya.** – Artinya, kebijakan tersebut menyertakan izin tingkat sumber daya, tetapi harus menyertakan `"Resource": ["*"]` untuk memberikan izin untuk tindakan ini.
   + **Tindakan ini tidak memiliki sumber daya yang berlaku.** - Artinya tindakan tersebut termasuk dalam kebijakan tanpa sumber daya yang didukung.
   + **Tindakan ini tidak memiliki sumber daya dan kondisi yang berlaku.** - Artinya tindakan tersebut termasuk dalam kebijakan tanpa sumber daya yang didukung dan tanpa kondisi yang didukung. Dalam hal ini, ada juga ketentuan yang termasuk dalam kebijakan untuk layanan ini, tetapi tidak ada ketentuan yang berlaku untuk tindakan ini.

1. Tindakan yang memberikan izin meliputi tautan ke ringkasan tindakan.

# Lihat ringkasan layanan
<a name="access_policies_view-service-summary"></a>

Anda dapat melihat ringkasan layanan untuk setiap layanan yang tercantum dalam ringkasan kebijakan yang memberikan izin. 

## **Melihat ringkasan layanan dari halaman Kebijakan**
<a name="viewing-service-summaries-from-the-policies-page"></a>

Anda dapat melihat ringkasan layanan untuk kebijakan terkelola di halaman **Kebijakan**.

**Untuk melihat ringkasan layanan untuk kebijakan yang dikelola**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Kebijakan**.

1. Dalam daftar kebijakan, pilih nama kebijakan yang ingin Anda lihat.

1. Pada halaman **Detail kebijakan** untuk kebijakan, lihat tab **Izin** untuk melihat ringkasan kebijakan.

1. Di daftar ringkasan kebijakan layanan, pilih nama layanan yang ingin Anda lihat.

## Melihat ringkasan layanan untuk kebijakan yang dilampirkan ke pengguna
<a name="viewing-service-summaries-for-policies-attached-to-users"></a>

Anda dapat melihat ringkasan layanan untuk setiap kebijakan yang dilampirkan ke pengguna IAM.

**Untuk melihat ringkasan layanan untuk kebijakan yang terlampir pada pengguna**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Pengguna**.

1. Dalam daftar pengguna, pilih nama pengguna yang kebijakannya ingin Anda lihat.

1. Di halaman **Ringkasan** untuk pengguna, lihat tab **Izin** untuk melihat daftar kebijakan yang dilampirkan pada pengguna secara langsung atau dari grup.

1. Dalam tabel kebijakan untuk pengguna, pilih nama kebijakan yang ingin Anda lihat.

   Jika Anda berada di halaman **Pengguna** dan memilih untuk melihat ringkasan layanan untuk kebijakan yang dilampirkan ke pengguna tersebut, Anda akan diarahkan ke halaman **Kebijakan**. Anda dapat melihat ringkasan layanan hanya di halaman **Kebijakan**.

1. Pilih **Ringkasan**. Di daftar ringkasan kebijakan layanan, pilih nama layanan yang ingin Anda lihat.
**catatan**  
Jika kebijakan yang Anda pilih adalah kebijakan inline yang dilampirkan langsung ke pengguna, maka tabel ringkasan layanan muncul. Jika kebijakan tersebut adalah kebijakan inline yang dilampirkan dari suatu grup, maka Anda dibawa ke dokumen kebijakan JSON untuk grup tersebut. Jika kebijakan tersebut adalah kebijakan yang dikelola, maka Anda dibawa ke ringkasan layanan untuk kebijakan tersebut di halaman **Kebijakan**.

## Melihat ringkasan layanan untuk kebijakan yang dilampirkan pada peran
<a name="viewing-service-summaries-for-policies-attached-to-roles"></a>

Anda dapat melihat ringkasan kebijakan untuk setiap kebijakan yang dilampirkan ke peran.

**Untuk melihat ringkasan layanan untuk kebijakan yang terlampir pada peran**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Pilih **Peran** dari panel navigasi.

1. Dalam daftar peran, pilih nama peran yang kebijakannya ingin Anda lihat.

1. Di halaman **Ringkasan** untuk peran, lihat tab **Izin** untuk melihat daftar kebijakan yang dilampirkan pada peran.

1. Dalam tabel kebijakan untuk peran tersebut, pilih nama kebijakan yang ingin Anda lihat.

   Jika Anda berada di halaman **Peran** dan memilih untuk melihat ringkasan layanan untuk kebijakan yang dilampirkan ke pengguna tersebut, Anda akan diarahkan ke halaman **Kebijakan**. Anda dapat melihat ringkasan layanan hanya di halaman **Kebijakan**.

1. Di daftar ringkasan kebijakan layanan, pilih nama layanan yang ingin Anda lihat.

# Ringkasan tindakan (daftar sumber daya)
<a name="access_policies_understand-action-summary"></a>

Kebijakan dirangkum dalam tiga tabel: [ringkasan kebijakan](access_policies_understand-policy-summary.md), [ringkasan layanan](access_policies_understand-service-summary.md), dan ringkasan tindakan. Tabel *ringkasan tindakan* mencakup daftar sumber daya dan ketentuan terkait yang berlaku untuk tindakan yang dipilih. 

![\[diagram ringkasan kebijakan yang menggambarkan 3 tabel dan hubungannya.\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/policy_summaries-action-sum.png)


Untuk melihat ringkasan tindakan untuk setiap tindakan yang memberikan izin, pilih tautan dalam ringkasan layanan. Tabel ringkasan tindakan mencakup rincian tentang sumber daya, termasuk **Wilayah** dan **Akun**nya. Anda juga dapat melihat ketentuan yang berlaku untuk setiap sumber daya. Hal ini menunjukkan Anda ketentuan yang berlaku untuk beberapa sumber daya tetapi tidak yang lainnya.

## Memahami elemen ringkasan tindakan
<a name="understanding-elements-action-summary"></a>

Contoh di bawah ini adalah ringkasan tindakan untuk tindakan `PutObject` (Tulis) dari ringkasan layanan Amazon S3 (lihat [Ringkasan layanan (daftar tindakan)](access_policies_understand-service-summary.md)). Untuk tindakan ini, kebijakan ini mendefinisikan beberapa ketentuan pada satu sumber daya.



![\[Gambar dialog ringkasan tindakan\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/policies-summary-resource-dialog.png)


Halaman ringkasan tindakan mencakup informasi berikut:

1. Pilih **JSON** untuk melihat detail tambahan tentang kebijakan, seperti melihat beberapa kondisi yang diterapkan pada tindakan. (Jika Anda melihat ringkasan tindakan untuk kebijakan inline yang dilampirkan langsung ke pengguna, langkah-langkahnya berbeda. Untuk mengakses dokumen kebijakan JSON dalam kasus tersebut, Anda harus menutup kotak dialog ringkasan tindakan dan kembali ke ringkasan kebijakan.)

1. Untuk melihat ringkasan sumber daya tertentu, ketik kata kunci ke dalam kotak **Pencarian** untuk mengurangi daftar sumber daya yang tersedia.

1. Di sebelah **Tindakan** panah kembali muncul nama layanan dan tindakan dalam format `action name action in service` (dalam hal ini **PutObject tindakan di S3**). Ringkasan tindakan untuk layanan ini mencakup daftar sumber daya yang ditetapkan dalam kebijakan.

1. **Sumber Daya** – Kolom ini mencantumkan sumber daya yang ditentukan kebijakan untuk layanan yang dipilih. Dalam contoh ini, tindakan **PutObject** diperbolehkan di semua jalur objek, tetapi hanya pada sumber daya bucket Amazon S3 `developer_bucket`. Bergantung pada informasi yang disediakan layanan untuk IAM, Anda mungkin melihat ARN seperti `arn:aws:s3:::developer_bucket/*`, atau Anda mungkin melihat jenis sumber daya yang ditentukan, seperti `BucketName = developer_bucket, ObjectPath = All`.

1. **Wilayah** – Kolom ini menunjukkan Wilayah tempat sumber daya ditetapkan. Sumber daya dapat ditentukan untuk semua Wilayah, atau satu Wilayah. Sumber daya tidak bisa ada di lebih dari satu Wilayah tertentu.
   + **Semua wilayah** — Tindakan yang terkait dengan sumber daya berlaku untuk semua Wilayah. Dalam contoh ini, tindakan tersebut menjadi milik layanan global, Amazon S3. Tindakan yang termasuk dalam layanan global berlaku untuk semua Wilayah.
   + Teks area – Tindakan terkait dengan sumber daya berlaku untuk satu Wilayah. Misalnya, kebijakan dapat menentukan WIlayah `us-east-2` untuk sumber daya.

1. **Akun** – Kolom ini menunjukkan apakah layanan atau tindakan yang terkait dengan sumber daya berlaku untuk akun tertentu. Sumber daya dapat muncul di semua akun atau satu akun. Sumber daya tidak bisa ada di lebih dari satu akun tertentu.
   + **Semua akun** – Tindakan yang terkait dengan sumber daya berlaku untuk semua akun. Dalam contoh ini, tindakan tersebut menjadi milik layanan global, Amazon S3. Tindakan yang termasuk dalam layanan global berlaku untuk semua akun.
   + **Akun ini** — Tindakan yang terkait dengan sumber daya hanya berlaku di akun saat ini..
   + Nomor akun – Tindakan yang terkait dengan sumber daya berlaku untuk satu akun (akun yang saat ini Anda tidak masuk). Misalnya, jika suatu kebijakan menetapkan akun `123456789012` untuk sumber daya, maka nomor akun muncul di ringkasan kebijakan.

1. **Minta ketentuan** – Kolom ini menunjukkan apakah tindakan yang terkait dengan sumber daya tunduk pada kondisi. Contoh ini mencakup ketentuan `s3:x-amz-acl = public-read`. Untuk mempelajari lebih lanjut tentang kondisi tersebut, pilih **JSON** untuk meninjau dokumen kebijakan JSON.

# Lihat ringkasan tindakan
<a name="access_policies_view-action-summary"></a>

Anda dapat melihat ringkasan tindakan untuk setiap tindakan yang tercantum dalam ringkasan kebijakan yang memberikan izin. 

## **Melihat ringkasan tindakan dari halaman Kebijakan**
<a name="viewing-action-summaries-from-the-policies-page"></a>

Anda dapat melihat ringkasan tindakan untuk kebijakan terkelola.

**Untuk melihat ringkasan tindakan untuk kebijakan yang dikelola**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Kebijakan**.

1. Dalam daftar kebijakan, pilih nama kebijakan yang ingin Anda lihat.

1. Pada halaman **Detail kebijakan** untuk kebijakan, lihat tab **Izin** untuk melihat ringkasan kebijakan.

1. Di daftar ringkasan kebijakan layanan, pilih nama layanan yang ingin Anda lihat.

1. Di daftar tindakan ringkasan layanan, pilih nama tindakan yang ingin Anda lihat.

## Melihat ringkasan tindakan untuk kebijakan yang dilampirkan ke pengguna
<a name="viewing-action-summaries-for-policies-attached-to-users"></a>

Anda dapat melihat ringkasan tindakan untuk kebijakan apa pun yang dilampirkan ke pengguna.

**Untuk melihat ringkasan tindakan untuk kebijakan yang terlampir pada pengguna**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Pengguna**.

1. Dalam daftar pengguna, pilih nama pengguna yang kebijakannya ingin Anda lihat.

1. Di halaman **Ringkasan** untuk pengguna, lihat tab **Izin** untuk melihat daftar kebijakan yang dilampirkan pada pengguna secara langsung atau dari grup.

1. Dalam tabel kebijakan untuk pengguna, pilih nama kebijakan yang ingin Anda lihat.

   Jika Anda berada di halaman **Pengguna** dan memilih untuk melihat ringkasan layanan untuk kebijakan yang dilampirkan ke pengguna tersebut, Anda akan diarahkan ke halaman **Kebijakan**. Anda dapat melihat ringkasan layanan hanya di halaman **Kebijakan**.

1. Di daftar ringkasan kebijakan layanan, pilih nama layanan yang ingin Anda lihat.
**catatan**  
Jika kebijakan yang Anda pilih adalah kebijakan inline yang dilampirkan langsung ke pengguna, maka tabel ringkasan layanan muncul. Jika kebijakan tersebut adalah kebijakan inline yang dilampirkan dari suatu grup, maka Anda dibawa ke dokumen kebijakan JSON untuk grup tersebut. Jika kebijakan tersebut adalah kebijakan yang dikelola, maka Anda dibawa ke ringkasan layanan untuk kebijakan tersebut di halaman **Kebijakan**.

1. Di daftar tindakan ringkasan layanan, pilih nama tindakan yang ingin Anda lihat.

## Melihat ringkasan tindakan untuk kebijakan yang dilampirkan pada peran
<a name="viewing-action-summaries-for-policies-attached-to-roles"></a>

Anda dapat melihat ringkasan tindakan untuk kebijakan apa pun yang dilampirkan ke peran.

**Untuk melihat ringkasan tindakan untuk kebijakan yang terlampir pada peran**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Peran**.

1. Dalam daftar peran, pilih nama peran yang kebijakannya ingin Anda lihat.

1. Di halaman **Ringkasan** untuk peran, lihat tab **Izin** untuk melihat daftar kebijakan yang dilampirkan pada peran.

1. Dalam tabel kebijakan untuk peran tersebut, pilih nama kebijakan yang ingin Anda lihat.

   Jika Anda berada di halaman **Peran** dan memilih untuk melihat ringkasan layanan untuk kebijakan yang dilampirkan ke pengguna tersebut, Anda akan diarahkan ke halaman **Kebijakan**. Anda dapat melihat ringkasan layanan hanya di halaman **Kebijakan**.

1. Di daftar ringkasan kebijakan layanan, pilih nama layanan yang ingin Anda lihat.

1. Di daftar tindakan ringkasan layanan, pilih nama tindakan yang ingin Anda lihat.

# Contoh ringkasan kebijakan
<a name="access_policies_policy-summary-examples"></a>

Contoh berikut mencakup kebijakan JSON dengan [ringkasan kebijakan](access_policies_understand-policy-summary.md) terkait, [ringkasan layanan](access_policies_understand-service-summary.md), dan [ringkasan tindakan](access_policies_understand-action-summary.md) untuk membantu Anda memahami izin yang diberikan melalui kebijakan.

## Kebijakan 1: DenyCustomerBucket
<a name="example1"></a>

Kebijakan ini menunjukkan izin dan penolakan untuk layanan yang sama.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "FullAccess",
            "Effect": "Allow",
            "Action": ["s3:*"],
            "Resource": ["*"]
        },
        {
            "Sid": "DenyCustomerBucket",
            "Action": ["s3:*"],
            "Effect": "Deny",
            "Resource": ["arn:aws:s3:::customer", "arn:aws:s3:::customer/*" ]
        }
    ]
}
```

------

***DenyCustomerBucket**Ringkasan Kebijakan:*

![\[Gambar dialog ringkasan kebijakan\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/policies-summary-example1-dialog.png)


*DenyCustomerBucket Ringkasan Layanan **S3 (penolakan eksplisit)**:*

![\[Gambar dialog ringkasan layanan\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/policies-summary-action-example1-dialog.png)


***GetObject (Baca)** Ringkasan Tindakan:*

![\[Gambar dialog ringkasan tindakan\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/policies-summary-resource-example1-dialog.png)


## Kebijakan 2: DynamoDbRowCognito ID
<a name="policy_example2"></a>

Kebijakan ini menyediakan akses tingkat baris ke Amazon DynamoDB berdasarkan ID Amazon Cognito pengguna.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:DeleteItem",
                "dynamodb:GetItem",
                "dynamodb:PutItem",
                "dynamodb:UpdateItem"
            ],
            "Resource": [
                "arn:aws:dynamodb:us-west-1:123456789012:table/myDynamoTable"
            ],
            "Condition": {
                "ForAllValues:StringEquals": {
                    "dynamodb:LeadingKeys": [
                        "${cognito-identity.amazonaws.com:sub}"
                    ]
                }
            }
        }
    ]
}
```

------

*DynamoDbRowCognitoRingkasan Kebijakan **ID**:*

![\[image dialog ringkasan kebijakan\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/policies-summary-example2-dialog.png)


***DynamoDbRowCognitoID DynamoDB (Izinkan) Ringkasan Layanan**:*

![\[Gambar dialog ringkasan layanan\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/policies-summary-action-example2-dialog.png)


***GetItem (Daftar)** Ringkasan Tindakan:*

![\[Gambar dialog ringkasan tindakan\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/policies-summary-resource-example2-dialog.png)


## Kebijakan 3: MultipleResourceCondition
<a name="policy_example3"></a>

Kebijakan ini mencakup beberapa sumber daya dan ketentuan.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": ["arn:aws:s3:::Apple_bucket/*"],
            "Condition": {"StringEquals": {"s3:x-amz-acl": ["public-read"]}}
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": ["arn:aws:s3:::Orange_bucket/*"],
            "Condition": {"StringEquals": {
                "s3:x-amz-acl": ["custom"],
                "s3:x-amz-grant-full-control": ["1234"]
            }}
        }
    ]
}
```

------

***MultipleResourceCondition**Ringkasan Kebijakan:*

![\[image dialog ringkasan kebijakan\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/policies-summary-example3-dialog.png)


*MultipleResourceCondition Ringkasan Layanan **S3 (Izinkan)**:*

![\[Gambar dialog ringkasan layanan\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/policies-summary-action-example3-dialog.png)


***PutObject (Tulis)** Ringkasan Tindakan:*

![\[Gambar dialog ringkasan tindakan\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/policies-summary-resource-example3-dialog.png)


## Kebijakan 4: EC2 \$1pemecahan masalah
<a name="policy_example4"></a>

Kebijakan berikut memungkinkan pengguna untuk mendapatkan tangkapan layar instans Amazon EC2 yang dapat membantu mengatasi masalah EC2. Kebijakan ini juga mengizinkan melihat informasi tentang item di bucket pengembang Amazon S3. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:GetConsoleScreenshot"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::developer"
            ]
        }
    ]
}
```

------

***EC2\$1Memecahkan Masalah Ringkasan Kebijakan**:*

![\[image dialog ringkasan kebijakan\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/policies-summary-example4-dialog.png)


***EC2\$1Memecahkan Masalah Ringkasan Layanan S3 (Izinkan)**:*

![\[Gambar dialog ringkasan layanan\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/policies-summary-action-example4-dialog.png)


***ListBucket (Daftar)** Ringkasan Tindakan:*

![\[Gambar dialog ringkasan tindakan\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/policies-summary-resource-example4-dialog.png)


## Kebijakan 5: CodeBuild \$1 CodeCommit \$1 CodeDeploy
<a name="example6"></a>

Kebijakan ini menyediakan akses ke sumber daya tertentu CodeBuild CodeCommit, dan CodeDeploy sumber daya. Karena sumber daya ini khusus untuk setiap layanan, mereka hanya muncul dengan layanan yang cocok. Jika Anda menyertakan sumber daya yang tidak cocok dengan layanan apa pun dalam elemen `Action` tersebut, sumber daya akan muncul di semua ringkasan tindakan.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Stmt1487980617000",
            "Effect": "Allow",
            "Action": [
                "codebuild:*",
                "codecommit:*",
                "codedeploy:*"
            ],
            "Resource": [
                "arn:aws:codebuild:us-east-2:123456789012:project/my-demo-project",
                "arn:aws:codecommit:us-east-2:123456789012:MyDemoRepo",
                "arn:aws:codedeploy:us-east-2:123456789012:application:WordPress_App",
                "arn:aws:codedeploy:us-east-2:123456789012:instance/AssetTag*"
            ]
        }
    ]
}
```

------

***CodeBuild\$1 CodeCommit \$1** Ringkasan CodeDeploy Kebijakan:*

![\[image dialog ringkasan kebijakan\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/policies-summary-example6-dialog.png)


***CodeBuild\$1 CodeCommit \$1 CodeDeploy CodeBuild (Izinkan)** Ringkasan Layanan:*

![\[Gambar dialog ringkasan layanan\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/policies-summary-action-example6-dialog.png)


***CodeBuild\$1 CodeCommit \$1 CodeDeploy StartBuild (Tulis)** Ringkasan Tindakan:*

![\[Gambar dialog ringkasan tindakan\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/policies-summary-resource-example6-dialog.png)


# Izin diperlukan untuk mengakses sumber daya IAM
<a name="access_permissions-required"></a>

*Sumber Daya* adalah objek dalam suatu layanan. Sumber daya IAM meliputi grup, pengguna, peran, dan kebijakan. Jika Anda masuk dengan Pengguna root akun AWS kredensil, Anda tidak memiliki batasan dalam mengelola kredensil IAM atau sumber daya IAM. Namun, pengguna IAM harus secara eksplisit diberikan izin untuk mengelola kredensial atau sumber daya IAM. Anda dapat melakukannya dengan melampirkan kebijakan berbasis identitas kepada pengguna.

**catatan**  
Sepanjang AWS dokumentasi, ketika kami merujuk pada kebijakan IAM tanpa menyebutkan kategori tertentu, yang kami maksud adalah kebijakan berbasis identitas yang dikelola pelanggan. Untuk perincian tentang kategori kebijakan, lihat [Kebijakan dan izin di AWS Identity and Access Management](access_policies.md).

## Izin untuk mengurus identitas IAM
<a name="access_permissions-required-identities"></a>

Izin yang diperlukan untuk mengelola grup IAM, pengguna, peran, dan kredensial yang biasanya sesuai dengan tindakan API untuk tugas tersebut. Misalnya, untuk membuat pengguna IAM, Anda harus memiliki `iam:CreateUser` izin yang memiliki perintah API yang sesuai: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html). Untuk mengizinkan pengguna IAM membuat pengguna IAM lainnya, Anda dapat melampirkan kebijakan IAM seperti berikut ini ke pengguna tersebut: 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": "iam:CreateUser",
    "Resource": "*"
  }
}
```

------

Dalam kebijakan, nilai elemen `Resource` bergantung pada tindakan dan sumber daya yang dapat dipengaruhi oleh tindakan tersebut. Dalam contoh sebelumnya, kebijakan ini memungkinkan pengguna untuk membuat pengguna mana pun (`*` adalah wildcard yang cocok dengan semua string). Sebaliknya, kebijakan yang mengizinkan pengguna untuk hanya mengubah access key mereka sendiri (tindakan API [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html) dan [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html)) biasanya memiliki elemen `Resource`. Dalam hal ini ARN mencakup variabel (`${aws:username}`) yang menyelesaikan nama pengguna saat ini, seperti dalam contoh berikut: 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ListUsersForConsole",
            "Effect": "Allow",
            "Action": "iam:ListUsers",
            "Resource": "arn:aws:iam::*:*"
        },
        {
            "Sid": "ViewAndUpdateAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:UpdateAccessKey",
                "iam:CreateAccessKey",
                "iam:ListAccessKeys"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}
```

------

Dalam contoh sebelumnya, `${aws:username}` adalah variabel yang menyelesaikan nama pengguna saat ini. Untuk informasi lebih lanjut tentang variabel-variable kebijakan, lihat [Elemen kebijakan IAM: Variabel dan tag](reference_policies_variables.md). 

Menggunakan karakter wildcard (`*`) dalam nama tindakan sering kali mempermudah pemberian izin untuk semua tindakan yang terkait dengan tugas tertentu. Misalnya, untuk memungkinkan pengguna melakukan tindakan IAM, Anda dapat menggunakan `iam:*` untuk tindakannya. Agar pengguna dapat melakukan tindakan terkait hanya untuk mengakses kunci, Anda dapat menggunakan `iam:*AccessKey*` di elemen `Action` pernyataan kebijakan. Hal ini memberi pengguna izin untuk melakukan tindakan [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html), dan [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html). (Jika tindakan ditambahkan ke IAM di masa depan yang memiliki "AccessKey" dalam nama, menggunakan `iam:*AccessKey*` `Action` elemen juga akan memberikan izin pengguna untuk tindakan baru itu.) Contoh berikut menunjukkan kebijakan yang memungkinkan pengguna untuk melakukan semua tindakan yang berkaitan dengan kunci akses mereka sendiri (ganti `account-id` dengan Akun AWS ID Anda): 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": "iam:*AccessKey*",
        "Resource": "arn:aws:iam::111122223333:user/${aws:username}"
    }
}
```

------

Beberapa tugas, seperti menghapus grup, melibatkan beberapa tindakan: Anda terlebih dahulu harus menghapus pengguna dari grup, kemudian memisahkan atau menghapus kebijakan grup, dan kemudian menghapusnya. Jika Anda ingin pengguna dapat menghapus grup, Anda harus yakin untuk memberikan izin kepada pengguna untuk melakukan semua tindakan terkait. 

## Izin untuk bekerja di Konsol Manajemen AWS
<a name="Credentials-Permissions-overview-console"></a>

Contoh sebelumnya menunjukkan kebijakan yang memungkinkan pengguna untuk melakukan tindakan dengan [AWS CLI](https://aws.amazon.com/cli/)atau. [AWS SDKs](https://aws.amazon.com/tools/) 

Saat pengguna bekerja dengan konsol, konsol mengeluarkan permintaan ke IAM untuk mencantumkan grup, pengguna, peran, dan kebijakan, dan untuk mendapatkan kebijakan yang terkait dengan grup, pengguna, atau peran. Konsol juga mengeluarkan permintaan untuk mendapatkan Akun AWS informasi dan informasi tentang kepala sekolah. Prinsipalnya adalah pengguna yang mengajukan permintaan di konsol. 

Secara umum, untuk melakukan tindakan, Anda hanya boleh memiliki tindakan yang sesuai yang termasuk dalam kebijakan. Untuk membuat pengguna, Anda perlu izin untuk menghubungi tindakan `CreateUser`. Sering kali, ketika Anda menggunakan konsol untuk melakukan tindakan, Anda harus memiliki izin untuk menampilkan, membuat daftar, mendapatkan, atau melihat sumber daya di konsol. Ini diperlukan agar Anda dapat menavigasi melalui konsol untuk membuat tindakan yang ditentukan. Misalnya, jika pengguna Jorge ingin menggunakan konsol untuk mengubah kunci aksesnya sendiri, dia beralih ke konsol IAM dan memilih **Pengguna**. Tindakan ini menyebabkan konsol untuk membuat permintaan [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html). Jika Jorge tidak memiliki izin untuk tindakan `iam:ListUsers`, konsol ditolak akses ketika mencoba untuk membuat daftar pengguna. Sebagai hasilnya, Jorge tidak bisa mendapatkan nama dan access key-nya sendiri, meskipun dia memiliki izin untuk tindakan [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html) dan [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html).

Jika Anda ingin memberikan izin kepada pengguna untuk mengelola grup, pengguna, peran, kebijakan, dan kredensil dengan Konsol Manajemen AWS, Anda harus menyertakan izin untuk tindakan yang dilakukan konsol. Untuk beberapa contoh kebijakan yang dapat Anda gunakan untuk memberikan izin kepada pengguna, lihat [Contoh kebijakan untuk mengelola sumber daya IAM](id_credentials_delegate-permissions_examples.md). 

## Berikan izin di seluruh akun AWS
<a name="UserPermissionsAcrossAccounts"></a>

Anda dapat memberi izin pengguna IAM secara langsung di akses akun Anda sendiri ke sumber daya Anda. Jika pengguna dari akun lain memerlukan akses ke sumber daya Anda, Anda dapat membuat peran IAM, yang merupakan entitas yang menyertakan izin tetapi tidak terkait dengan pengguna tertentu. Pengguna dari akun lain kemudian dapat menggunakan peran dan mengakses sumber daya sesuai dengan izin yang Anda tetapkan untuk peran tersebut. Untuk informasi selengkapnya, lihat [Akses untuk pengguna IAM di pengguna lain Akun AWS yang Anda miliki](id_roles_common-scenarios_aws-accounts.md).

**catatan**  
Beberapa layanan mendukung kebijakan berbasis sumber daya sebagaimana dijelaskan dalam [Kebijakan berbasis identitas dan kebijakan berbasis sumber daya](access_policies_identity-vs-resource.md) (seperti Amazon S3, Amazon SNS, dan Amazon SQS). Untuk layanan tersebut, alternatif untuk menggunakan peran adalah dengan memberikan kebijakan ke sumber daya (bucket, topik, atau antrean) yang ingin Anda bagikan. Kebijakan berbasis sumber daya dapat menentukan AWS akun yang memiliki izin untuk mengakses sumber daya.

## Izin satu layanan untuk mengakses layanan lainnya
<a name="UserPermissionsAcrossAWS_ARCHIVE"></a>

Banyak AWS layanan mengakses AWS layanan lain. Misalnya, beberapa AWS layanan—termasuk Amazon EMR, Elastic Load Balancing, dan Amazon EC2 Auto Scaling—mengelola instans Amazon EC2. AWS Layanan lain memanfaatkan bucket Amazon S3, topik Amazon SNS, antrian Amazon SQS, dan sebagainya.

Skenario untuk mengelola izin dalam kasus-kasus ini berbeda-beda menurut layanan. Berikut ini beberapa contoh cara izin ditangani untuk layanan yang berbeda: 
+ Di Amazon EC2 Auto Scaling, pengguna harus memiliki izin untuk menggunakan Auto Scaling, tetapi tidak perlu mendapatkan izin secara eksplisit untuk mengelola instans Amazon EC2. 
+ Dalam AWS Data Pipeline, peran IAM menentukan apa yang dapat dilakukan pipeline; pengguna memerlukan izin untuk mengambil peran tersebut. *(Untuk detailnya, lihat [Memberikan Izin ke Pipelines dengan IAM](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) di Panduan Pengembang AWS Data Pipeline .)* 

Untuk detail tentang cara mengonfigurasi izin dengan benar sehingga AWS layanan dapat menyelesaikan tugas yang Anda inginkan, lihat dokumentasi untuk layanan yang Anda panggil. Untuk mempelajari cara membuat peran untuk layanan, lihat [Membuat peran untuk mendelegasikan izin ke layanan AWS](id_roles_create_for-service.md).

**Mengonfigurasi layanan dengan peran IAM untuk bekerja atas nama Anda**  
Ketika Anda ingin mengonfigurasi AWS layanan agar berfungsi atas nama Anda, Anda biasanya memberikan ARN untuk peran IAM yang menentukan apa yang diizinkan untuk dilakukan layanan. AWS memeriksa untuk memastikan bahwa Anda memiliki izin untuk meneruskan peran ke layanan. Untuk informasi selengkapnya, lihat [Berikan izin pengguna untuk meneruskan peran ke layanan AWS](id_roles_use_passrole.md).

## Tindakan yang diperlukan
<a name="access_permissions-required-dependent-actions"></a>

Tindakan adalah hal-hal yang dapat Anda lakukan ke sumber daya, seperti melihat, membuat, mengedit, dan menghapus sumber daya tersebut. Tindakan ditentukan oleh setiap AWS layanan.

Untuk mengizinkan seseorang melakukan suatu tindakan, Anda harus menyertakan tindakan yang diperlukan dalam kebijakan yang berlaku untuk identitas panggilan atau sumber daya yang terpengaruh. Secara umum, untuk memberikan izin yang diperlukan untuk melakukan tindakan, Anda harus menyertakan tindakan tersebut dalam kebijakan Anda. Misalnya, untuk membuat pengguna, Anda perlu menambahkan CreateUser tindakan ke kebijakan Anda.

Dalam beberapa kasus, suatu tindakan mungkin mengharuskan Anda menyertakan tindakan terkait tambahan dalam kebijakan Anda. Misalnya, untuk memberikan izin kepada seseorang untuk membuat direktori di AWS Directory Service menggunakan operasi `ds:CreateDirectory`, Anda harus menyertakan tindakan berikut dalam kebijakan mereka:
+ `ds:CreateDirectory`
+ `ec2:DescribeSubnets`
+ `ec2:DescribeVpcs`
+ `ec2:CreateSecurityGroup`
+ `ec2:CreateNetworkInterface`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:AuthorizeSecurityGroupIngress`
+ `ec2:AuthorizeSecurityGroupEgress`

Saat Anda membuat atau mengedit kebijakan menggunakan editor visual, Anda menerima peringatan dan petunjuk untuk membantu Anda memilih semua tindakan yang diperlukan untuk kebijakan Anda.

Untuk informasi selengkapnya tentang izin yang diperlukan untuk membuat direktori AWS Directory Service, lihat [Contoh 2: Mengizinkan Pengguna Membuat Direktori](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/IAM_Auth_Access_IdentityBased.html#IAMPolicyExamples_DS_create_directory).

# Contoh kebijakan untuk mengelola sumber daya IAM
<a name="id_credentials_delegate-permissions_examples"></a>

Berikut adalah contoh kebijakan IAM yang memungkinkan pengguna melakukan tugas yang terkait dengan pengelolaan pengguna IAM, grup, dan kredensial. Ini termasuk kebijakan yang mengizinkan pengguna mengelola kata sandi, kunci akses, dan perangkat multi-factor authentication (MFA) mereka sendiri.

Untuk contoh kebijakan yang memungkinkan pengguna melakukan tugas dengan AWS layanan lain, seperti Amazon S3, Amazon EC2, dan DynamoDB, lihat. [Contoh kebijakan berbasis identitas IAM](access_policies_examples.md) 

**Topics**
+ [

## Memungkinkan pengguna untuk membuat daftar grup akun, pengguna, kebijakan, dan lainnya untuk tujuan pelaporan
](#iampolicy-example-userlistall)
+ [

## Memungkinkan pengguna untuk mengelola keanggotaan grup
](#iampolicy-example-usermanagegroups)
+ [

## Izinkan pengguna untuk mengelola pengguna IAM
](#creds-policies-users)
+ [

## Izinkan pengguna mengatur kebijakan kata sandi akun
](#creds-policies-set-password-policy)
+ [

## Memungkinkan pengguna membuat dan mengambil laporan kredensial IAM
](#iampolicy-generate-credential-report)
+ [

## Izinkan semua tindakan IAM (akses admin)
](#creds-policies-all-iam)

## Memungkinkan pengguna untuk membuat daftar grup akun, pengguna, kebijakan, dan lainnya untuk tujuan pelaporan
<a name="iampolicy-example-userlistall"></a>

Kebijakan berikut memungkinkan pengguna untuk menghubungi setiap tindakan IAM yang dimulai dengan string `Get` atau `List`, dan untuk membuat laporan. Untuk melihat contoh kebijakan, lihat [IAM: Mengizinkan akses hanya-baca ke konsol IAM](reference_policies_examples_iam_read-only-console.md). 

## Memungkinkan pengguna untuk mengelola keanggotaan grup
<a name="iampolicy-example-usermanagegroups"></a>

Kebijakan berikut memungkinkan pengguna untuk memperbarui keanggotaan grup yang dipanggil *MarketingGroup*. Untuk melihat contoh kebijakan, lihat [IAM: Memungkinkan mengelola keanggotaan grup secara terprogram dan di konsol](reference_policies_examples_iam_manage-group-membership.md). 

## Izinkan pengguna untuk mengelola pengguna IAM
<a name="creds-policies-users"></a>

Kebijakan berikut memungkinkan pengguna untuk melakukan semua tugas yang terkait dengan mengelola pengguna IAM tetapi tidak melakukan tindakan pada entitas lain, seperti membuat grup atau kebijakan. Tindakan yang diizinkan meliputi hal berikut ini: 
+ Membuat pengguna (tindakan [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html)). 
+ Menghapus pengguna. Tugas ini memerlukan izin untuk melakukan semua tindakan berikut: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteSigningCertificate.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteSigningCertificate.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_RemoveUserFromGroup.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_RemoveUserFromGroup.html), dan [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUser.html). 
+ Mencantumkan pengguna dalam akun dan dalam grup (tindakan [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html), dan [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupsForUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupsForUser.html)). 
+ Membuat daftar dan menghapus kebijakan untuk pengguna (tindakan [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachUserPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachUserPolicy.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPolicy.html)) 
+ Mengganti nama atau mengubah jalur untuk pengguna (tindakan [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateUser.html)). Elemen `Resource` harus menyertakan ARN yang mencakup jalur sumber maupun jalur target. Untuk informasi lebih lanjut tentang jalur, lihat [Nama dan jalur yang ramah](reference_identifiers.md#identifiers-friendly-names).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowUsersToPerformUserActions",
            "Effect": "Allow",
            "Action": [
                "iam:ListPolicies",
                "iam:GetPolicy",
                "iam:UpdateUser",
                "iam:AttachUserPolicy",
                "iam:ListEntitiesForPolicy",
                "iam:DeleteUserPolicy",
                "iam:DeleteUser",
                "iam:ListUserPolicies",
                "iam:CreateUser",
                "iam:RemoveUserFromGroup",
                "iam:AddUserToGroup",
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:PutUserPolicy",
                "iam:ListAttachedUserPolicies",
                "iam:ListUsers",
                "iam:GetUser",
                "iam:DetachUserPolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowUsersToSeeStatsOnIAMConsoleDashboard",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccount*",
                "iam:ListAccount*"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Sejumlah izin yang disertakan dalam kebijakan sebelumnya memungkinkan pengguna melakukan tugas dalam Konsol Manajemen AWS. Pengguna yang melakukan tugas terkait pengguna dari [AWS CLI](https://aws.amazon.com/cli/), API kueri HTTP IAM [AWS SDKs](https://aws.amazon.com/tools/), atau IAM mungkin tidak memerlukan izin tertentu. Misalnya, jika pengguna sudah mengetahui kebijakan ARN untuk melepas dari pengguna, mereka tidak memerlukan izin `iam:ListAttachedUserPolicies`. Daftar pasti izin yang diperlukan pengguna tergantung pada tugas yang harus dilakukan pengguna saat mengelola pengguna lain. 

Izin berikut dalam kebijakan ini memungkinkan akses ke tugas pengguna melalui Konsol Manajemen AWS:
+ `iam:GetAccount*`
+ `iam:ListAccount*`

## Izinkan pengguna mengatur kebijakan kata sandi akun
<a name="creds-policies-set-password-policy"></a>

Anda mungkin memberikan izin kepada beberapa pengguna untuk mendapatkan dan memperbarui [kebijakan kata sandi](id_credentials_passwords_account-policy.md) Anda Akun AWS. Untuk melihat contoh kebijakan, lihat [IAM: Memungkinkan pengaturan persyaratan kata sandi akun secara terprogram dan di konsol](reference_policies_examples_iam_set-account-pass-policy.md). 

## Memungkinkan pengguna membuat dan mengambil laporan kredensial IAM
<a name="iampolicy-generate-credential-report"></a>

Anda dapat memberikan izin kepada pengguna untuk membuat dan mengunduh laporan yang mencantumkan semua pengguna di akun Anda Akun AWS. Laporan tersebut juga mencantumkan status berbagai kredensial pengguna, termasuk sandi, access key, perangkat MFA, dan sertifikat penandatanganan. Untuk informasi lebih lanjut mengenai laporan kredensial, lihat [Hasilkan laporan kredensi untuk Anda Akun AWS](id_credentials_getting-report.md). Untuk melihat contoh kebijakan, lihat [IAM: Menghasilkan dan mengambil laporan kredensi IAM](reference_policies_examples_iam-credential-report.md). 

## Izinkan semua tindakan IAM (akses admin)
<a name="creds-policies-all-iam"></a>

Anda dapat memberikan izin administratif kepada beberapa pengguna untuk melakukan semua tindakan di IAM, termasuk mengelola kata sandi, kunci akses, perangkat MFA, dan sertifikat pengguna. Kebijakan contoh berikut memberikan izin ini. 

**Awas**  
Saat Anda memberi pengguna akses penuh ke IAM, tidak ada batasan izin yang dapat diberikan pengguna kepada him/herself atau orang lain. Pengguna dapat membuat entitas IAM baru (pengguna atau peran) dan memberikan entitas tersebut akses penuh ke semua sumber daya di Anda Akun AWS. Ketika Anda memberi pengguna akses penuh ke IAM, Anda secara efektif memberi mereka akses penuh ke semua sumber daya di Anda Akun AWS. Ini termasuk akses untuk menghapus semua sumber daya. Anda harus memberikan izin ini hanya kepada administrator tepercaya, dan Anda harus memberlakukan Autentikasi Multi-Faktor (MFA) untuk administrator ini.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": "iam:*",
    "Resource": "*"
  }
}
```

------

# Delegasi sementara IAM
<a name="access_policies-temporary-delegation"></a>

## Ikhtisar
<a name="temporary-delegation-overview"></a>

Delegasi sementara mempercepat orientasi dan menyederhanakan manajemen untuk produk dari Amazon dan AWS Mitra yang terintegrasi dengan akun Anda. AWS Alih-alih mengonfigurasi beberapa AWS layanan secara manual, Anda dapat mendelegasikan izin sementara dan terbatas yang memungkinkan penyedia produk menyelesaikan tugas penyiapan atas nama Anda dalam hitungan menit melalui alur kerja penerapan otomatis. Anda mempertahankan kontrol administratif dengan persyaratan persetujuan dan batasan izin, sementara izin penyedia produk secara otomatis kedaluwarsa setelah durasi yang disetujui tanpa perlu pembersihan manual. Jika produk memerlukan akses persisten untuk operasi yang sedang berlangsung, penyedia dapat menggunakan delegasi sementara untuk membuat peran IAM dengan batas izin yang menentukan izin maksimum peran. Semua aktivitas penyedia produk dilacak AWS CloudTrail untuk kepatuhan dan pemantauan keamanan.

**catatan**  
Permintaan delegasi sementara hanya dapat dibuat oleh produk Amazon dan AWS Mitra yang memenuhi syarat yang telah menyelesaikan proses orientasi fitur. Pelanggan meninjau dan menyetujui permintaan ini tetapi tidak dapat membuatnya secara langsung. Jika Anda adalah AWS Mitra yang ingin mengintegrasikan delegasi sementara IAM ke dalam produk Anda, lihat [Panduan Integrasi Mitra untuk instruksi orientasi dan integrasi](access_policies-temporary-delegation-partner-guide.md).

## Cara kerja delegasi sementara
<a name="temporary-delegation-how-it-works"></a>

Delegasi sementara memungkinkan Amazon dan AWS Mitra untuk meminta akses sementara dan terbatas ke akun Anda. Setelah persetujuan Anda, mereka dapat menggunakan izin yang didelegasikan untuk mengambil tindakan atas nama Anda. Permintaan delegasi menentukan izin khusus untuk AWS layanan dan tindakan yang diperlukan penyedia produk untuk menyebarkan atau mengonfigurasi sumber daya di akun Anda. AWS Izin ini hanya tersedia untuk waktu yang terbatas dan secara otomatis kedaluwarsa setelah durasi yang ditentukan dalam permintaan.

**catatan**  
Durasi maksimum untuk akses yang didelegasikan adalah 12 jam. Namun, pengguna root hanya dapat menyetujui permintaan delegasi dengan durasi 4 jam atau kurang. Jika permintaan menentukan lebih dari 4 jam, Anda harus menggunakan identitas non-root untuk menyetujui permintaan tersebut. Untuk detailnya, lihat [Kemampuan beta simulasi izin](temporary-delegation-initiate-request.md#temporary-delegation-permission-simulation).

Untuk tugas yang sedang berlangsung, seperti membaca dari bucket Amazon S3, permintaan delegasi dapat mencakup pembuatan peran IAM yang memungkinkan akses berkelanjutan ke sumber daya dan tindakan setelah akses sementara kedaluwarsa. Penyedia produk harus melampirkan batas izin untuk setiap peran IAM yang dibuat melalui delegasi sementara. Batas izin membatasi izin maksimum peran tetapi tidak memberikan izin sendiri. Anda dapat meninjau batas izin sebagai bagian dari permintaan sebelum menyetujuinya. Untuk detailnya, lihat [Batas izin.](access_policies_boundaries.md)

Prosesnya bekerja sebagai berikut:

1. Anda masuk ke produk Amazon atau AWS Mitra untuk mengintegrasikannya dengan AWS lingkungan Anda.

1. Penyedia produk memulai permintaan delegasi atas nama Anda dan mengarahkan Anda ke Konsol Manajemen. AWS 

1. Anda meninjau izin yang diminta dan menentukan apakah akan menyetujui, menolak, atau meneruskan permintaan ke administrator Anda.

1. Setelah Anda atau administrator menyetujui permintaan tersebut, penyedia produk dapat memperoleh kredensyal sementara pemberi persetujuan untuk melakukan tugas yang diperlukan.

1. Akses penyedia produk secara otomatis kedaluwarsa setelah jangka waktu yang ditentukan. Namun, setiap peran IAM yang dibuat melalui permintaan delegasi sementara tetap ada di luar periode ini, memungkinkan penyedia produk untuk terus mengakses sumber daya dan tindakan untuk tugas manajemen yang sedang berlangsung.

![\[alt text not found\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/delegation-flow.png)


**catatan**  
Anda hanya dapat mendelegasikan izin ke penyedia produk jika Anda memiliki izin untuk layanan dan tindakan yang disertakan dalam permintaan delegasi sementara. Jika Anda tidak memiliki akses ke layanan dan tindakan yang diminta, penyedia produk tidak menerima izin ini saat Anda menyetujui permintaan tersebut.

Jika pemeriksaan izin menunjukkan kemungkinan akan berhasil, Anda dapat menyetujui permintaan delegasi sementara dan melanjutkan alur kerja.

Jika pemeriksaan izin menunjukkan bahwa Anda mungkin tidak memiliki izin yang memadai, teruskan permintaan ke administrator Anda untuk persetujuan. Sebaiknya beri tahu administrator Anda tentang permintaan ini menggunakan metode pilihan Anda seperti email atau tiket.

Setelah administrator Anda menyetujui permintaan, apa yang terjadi selanjutnya tergantung pada konfigurasi penyedia produk:
+ Jika penyedia produk meminta akses langsung, mereka secara otomatis menerima izin sementara dan durasi akses dimulai.
+ Jika penyedia produk meminta rilis oleh pemilik (penerima awal), Anda harus kembali ke permintaan untuk secara eksplisit membagikan akses akun sementara sebelum durasi akses dimulai. Penyedia produk biasanya menggunakan opsi ini ketika mereka membutuhkan masukan tambahan dari Anda, seperti pemilihan sumber daya atau detail konfigurasi, untuk menyelesaikan tugas yang diperlukan.

# Memulai permintaan delegasi sementara
<a name="temporary-delegation-initiate-request"></a>

Anda dapat memulai permintaan delegasi sementara hanya dari produk Amazon atau AWS Partner yang didukung. Selama alur kerja yang mendukung pendelegasian sementara, Anda akan diminta untuk memberikan izin sementara dan terbatas kepada penyedia produk untuk mengonfigurasi AWS sumber daya yang diperlukan di akun Anda. Pendekatan otomatis ini memberikan pengalaman yang lebih efisien dengan menghilangkan kebutuhan bagi Anda untuk mengonfigurasi sumber daya ini secara manual.

Anda dapat meninjau detail permintaan delegasi seperti peran IAM tertentu, kebijakan, dan AWS layanan yang dibutuhkan penyedia produk sebelum memberikan akses. Anda dapat menyetujui permintaan sendiri jika Anda memiliki izin yang memadai, atau meneruskan permintaan ke administrator akun Anda untuk persetujuan. Semua akses penyedia produk dibatasi waktu dan dapat dipantau dan dicabut sesuai kebutuhan.

**Untuk memulai permintaan delegasi sementara**

1. Arahkan ke konsol produk yang didukung dari Amazon atau AWS Partner yang memerlukan integrasi dengan AWS akun Anda.

1. Pilih *Terapkan dengan delegasi sementara IAM*. Perhatikan bahwa nama opsi dapat bervariasi di seluruh produk yang didukung. Lihat dokumentasi penyedia produk untuk detailnya.
**catatan**  
Jika Anda belum masuk ke AWS Management Console, jendela baru akan terbuka ke halaman AWS login. Kami menyarankan Anda masuk ke AWS akun Anda sebelum memulai permintaan delegasi sementara dari konsol produk. Untuk informasi selengkapnya tentang cara masuk berdasarkan jenis pengguna dan AWS sumber daya yang ingin diakses, lihat [Panduan Pengguna AWS Masuk](docs---aws.amazon.com.rproxy.goskope.comsignin/latest/userguide/what-is-sign-in.html).

1. Tinjau detail permintaan untuk mengonfirmasi nama produk dan AWS akun penyedia produk. Anda juga dapat meninjau AWS identitas yang akan digunakan penyedia produk untuk melakukan tindakan atas nama Anda.

1. Tinjau *detail Access* untuk izin yang akan didelegasikan sementara dengan menyetujui permintaan ini.
   + Bagian *Ringkasan Izin* memberikan ikhtisar tingkat tinggi yang dihasilkan oleh AI yang dapat membantu Anda memahami kategori AWS layanan apa yang dapat diakses dan jenis tindakan apa yang dapat dilakukan di setiap layanan.
   + Pilih *Lihat JSON* untuk meninjau izin tertentu yang perlu disebarkan oleh penyedia produk di AWS akun Anda, termasuk cakupan akses dan batasan sumber daya.
   + Jika penyedia produk membuat peran IAM sebagai bagian dari permintaan delegasi sementara, batas izin harus dilampirkan pada peran tersebut. Peran IAM ini memiliki izin yang terus memungkinkan akses ke sumber daya dan tindakan setelah durasi akses yang diminta berakhir. Pilih *Lihat detail* untuk meninjau batas izin, yang menentukan izin maksimum yang dapat dimiliki peran. Penyedia produk akan menerapkan kebijakan tambahan pada peran selama pembuatan yang menentukan izin aktualnya. Kebijakan ini mungkin tampak lebih terfokus, atau lebih luas, daripada batas tergantung pada bagaimana penyedia produk mendefinisikannya. Namun, batas izin menjamin bahwa izin efektif peran tidak akan pernah melebihi apa yang Anda lihat selama persetujuan permintaan, terlepas dari kebijakan apa yang dilampirkan pada peran tersebut. Untuk informasi selengkapnya, lihat [Batas izin.](access_policies_boundaries.md)

1. Tinjau hasil simulasi izin. Kemampuan simulasi izin secara otomatis mengevaluasi izin identitas Anda terhadap izin yang termasuk dalam permintaan. Berdasarkan analisis ini, rekomendasi ditampilkan yang menunjukkan apakah akan menyetujui permintaan dengan identitas Anda saat ini atau meneruskan permintaan ke administrator. Untuk detailnya, lihat [Kemampuan beta simulasi izin](#temporary-delegation-permission-simulation).

1. Dalam dialog, pilih bagaimana Anda ingin melanjutkan.
   + Pilih *Izinkan akses* ketika identitas Anda memiliki izin yang cukup untuk memungkinkan penyedia produk melakukan prosedur orientasi atas nama Anda. Bila Anda memilih opsi ini, durasi akses penyedia produk dimulai setelah Anda memberikan akses.
   + Pilih *Minta persetujuan* jika identitas Anda tidak memiliki izin yang memadai untuk mengizinkan penyedia produk melakukan prosedur orientasi atas nama Anda. Kemudian, pilih *Buat permintaan persetujuan*. Ketika Anda memilih opsi ini, tautan permintaan delegasi sementara dibuat yang dapat Anda bagikan dengan administrator akun Anda. Administrator Anda dapat mengakses Konsol AWS Manajemen atau menggunakan tautan akses untuk meninjau permintaan delegasi sementara untuk menyetujui permintaan dan berbagi akses sementara dengan pemohon.

**catatan**  
Pemberian akses penyedia produk memerlukan dua tindakan: menerima permintaan delegasi (`AcceptDelegationRequest`) dan melepaskan token pertukaran (). `SendDelegatedToken` Konsol AWS Manajemen akan melakukan kedua langkah secara otomatis saat Anda menyetujui permintaan. Jika Anda menggunakan API AWS CLI atau, Anda harus menjalankan kedua langkah secara terpisah.

## Kemampuan simulasi izin -beta
<a name="temporary-delegation-permission-simulation"></a>

Ketika Anda menerima permintaan delegasi sementara, Anda dapat menyetujuinya sendiri atau meneruskannya ke administrator akun Anda untuk persetujuan. Anda hanya dapat mendelegasikan izin ke penyedia produk jika Anda memiliki izin untuk layanan dan tindakan yang disertakan dalam permintaan delegasi sementara. Jika Anda tidak memiliki akses ke layanan dan tindakan yang diminta, penyedia produk tidak akan menerima izin tersebut meskipun mereka disertakan dalam permintaan.

Misalnya, permintaan delegasi sementara memerlukan kemampuan untuk membuat bucket Amazon S3, memulai dan menghentikan instans di EC2 Amazon, dan mengambil peran IAM. Identitas yang menyetujui permintaan dapat memulai dan menghentikan instans di Amazon EC2, dan mengambil peran IAM, tetapi tidak memiliki izin untuk membuat bucket Amazon S3. Ketika identitas ini menyetujui permintaan, penyedia produk tidak dapat membuat bucket Amazon S3 meskipun izin ini disertakan dalam permintaan delegasi sementara.

Karena Anda hanya dapat mendelegasikan izin yang sudah Anda miliki, penting untuk mengevaluasi apakah Anda memiliki izin yang diminta sebelum menyetujui. Kemampuan beta simulasi izin membantu evaluasi ini dengan membandingkan izin Anda dengan izin yang disertakan dalam permintaan. Penilaian menunjukkan apakah Anda dapat menyetujui permintaan dengan identitas Anda saat ini atau perlu meneruskannya ke administrator. Jika analisis tidak dapat memvalidasi bahwa Anda memiliki izin yang memadai, teruskan permintaan ke administrator untuk ditinjau. Penilaian ini didasarkan pada analisis izin simulasi dan mungkin berbeda dari AWS lingkungan hidup Anda, jadi tinjau izin yang diminta dengan cermat sebelum melanjutkan.

## Langkah selanjutnya
<a name="temporary-delegation-next-steps"></a>

Setelah Anda memulai permintaan delegasi sementara, Anda dapat mengelola dan memantau permintaan melalui siklus hidupnya. Prosedur berikut membantu Anda melacak, menyetujui, dan mengontrol akses sementara:
+ [Tinjau Permintaan delegasi sementara](temporary-delegation-review-requests.md) — Pantau status permintaan akses Anda, dan lihat informasi terperinci tentang permintaan untuk menyetujui atau menolak permintaan delegasi sementara.
+ [Mencabut akses delegasi sementara — Segera hentikan sesi delegasi](temporary-delegation-revoke-access.md) sementara yang aktif sebelum kedaluwarsa secara alami.

# Tinjau permintaan delegasi sementara
<a name="temporary-delegation-review-requests"></a>

Setelah memulai permintaan delegasi sementara, Anda dapat memantau, menyetujui, dan menolak permintaan di konsol IAM. Halaman Permintaan delegasi Sementara menyediakan tampilan terpusat dari semua permintaan, termasuk permintaan yang menunggu persetujuan, selesai, atau ditolak. Sebagai administrator, Anda dapat meninjau permintaan ini untuk memberikan akses kepada penyedia produk ke AWS sumber daya atau menolaknya berdasarkan kebijakan keamanan, persyaratan bisnis, atau standar kepatuhan organisasi Anda. Visibilitas ini membantu Anda melacak siklus hidup akses penyedia produk dan menjaga pengawasan izin sementara.

**catatan**  
Anda harus memiliki AcceptDelegationRequest izin iam: untuk menyetujui permintaan delegasi sementara.

**Untuk menyetujui permintaan delegasi sementara**

1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

1. Di panel navigasi di sebelah kiri, pilih Permintaan *delegasi sementara*.

1. Halaman utama menampilkan daftar permintaan delegasi sementara Anda dengan informasi berikut:
   + *ID Permintaan* - Pengidentifikasi unik untuk permintaan
   + *Status - Status* saat ini (Tertunda, Disetujui, Ditolak, Dibagikan, Kedaluwarsa)
   + *Pemohon* - Penyedia produk yang terkait dengan permintaan
   + *Diprakarsai oleh* - kepala IAM di akun yang memprakarsai permintaan untuk penyedia produk
   + *Permintaan dibuat* - Saat permintaan dikirimkan
   + *Permintaan kedaluwarsa* — Ketika permintaan kedaluwarsa atau akan kedaluwarsa

1. (Opsional) Gunakan opsi filter untuk melihat permintaan berdasarkan status:
   + *Semua permintaan* — Lihat semua permintaan Anda terlepas dari status
   + *Tertunda* - Lihat permintaan menunggu persetujuan administrator
   + *Disetujui* - Lihat permintaan yang disetujui
   + *Dibagikan* - Lihat permintaan yang aksesnya telah dibagikan
   + *Ditolak* - Lihat permintaan yang ditolak dengan alasan penolakan

1. Untuk melihat informasi terperinci tentang permintaan tertentu atau meninjau permintaan persetujuan yang tertunda, pilih ID permintaan.

1. Tinjau informasi permintaan terperinci:
   + Informasi penyedia produk
   + Minta alasan dan pembenaran
   + Durasi yang diminta
   +  AWS Izin yang diminta

1. Jika Anda seorang administrator yang meninjau permintaan yang tertunda, pilih salah satu opsi berikut:
   + Untuk menyetujui permintaan, pilih *Menyetujui*. Dalam dialog persetujuan, Anda dapat melihat hasil simulasi izin. Untuk informasi selengkapnya, lihat [Kemampuan beta simulasi izin](temporary-delegation-initiate-request.md#temporary-delegation-permission-simulation). Setelah mengonfirmasi durasi akses dan AWS identitas Anda, pilih *Menyetujui* untuk memberikan akses. Jika penyedia produk meminta akses langsung, mereka secara otomatis menerima izin sementara dan durasi akses dimulai. Jika tidak, beri tahu orang yang memulai permintaan untuk melepaskan akses ke penyedia produk.
   + Untuk menolak permintaan, pilih *Tolak*.
     + Dalam dialog penolakan, berikan alasan yang jelas untuk penolakan untuk membantu pemohon memahami mengapa permintaan mereka ditolak.
     + Pilih *Tolak untuk menolak* akses.

1. Daftar permintaan secara otomatis menyegarkan untuk menampilkan informasi status terbaru. Anda juga dapat menyegarkan halaman secara manual untuk memeriksa pembaruan status.

# Mencabut akses delegasi sementara
<a name="temporary-delegation-revoke-access"></a>

Meskipun sesi akses penyedia produk dirancang untuk kedaluwarsa secara otomatis setelah durasi yang disetujui, Anda mungkin perlu segera menghentikan akses dalam situasi tertentu. Mencabut akses penyedia produk aktif menyediakan mekanisme kontrol darurat ketika masalah keamanan muncul, ketika pekerjaan penyedia produk selesai lebih awal, atau ketika persyaratan bisnis berubah. Pemrakarsa permintaan dan administrator dapat mencabut akses untuk menjaga keamanan dan kontrol operasional.

**Untuk mencabut akses delegasi sementara**

1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

1. Di panel navigasi di sebelah kiri, pilih Permintaan *delegasi sementara*.

1. Temukan ID permintaan untuk sesi akses yang ingin Anda cabut.

1. Pilih *Tindakan* dan kemudian pilih *Cabut akses*.

1. Dalam dialog, pilih *Cabut akses* untuk mengonfirmasi bahwa Anda ingin segera menghentikan sesi akses.

Setelah mencabut akses, penyedia produk tidak akan lagi dapat mengakses sumber daya Anda AWS . Pencabutan masuk AWS CloudTrail untuk tujuan audit.

**penting**  
Mencabut akses segera mengakhiri sesi akses penyedia produk. Setiap pekerjaan atau proses yang sedang berlangsung menggunakan akses akan terganggu. Pastikan pencabutan tidak akan mengganggu operasi kritis.

**catatan**  
Anda tidak dapat mencabut akses untuk permintaan yang disetujui menggunakan pengguna root. AWS merekomendasikan agar Anda menghindari penggunaan pengguna root untuk menyetujui permintaan delegasi. Gunakan peran IAM dengan izin yang sesuai sebagai gantinya.

## Mengelola Izin untuk Permintaan Delegasi
<a name="temporary-delegation-managing-permissions"></a>

Administrator dapat memberikan izin kepada prinsipal IAM untuk mengelola permintaan delegasi dari penyedia produk. Ini berguna saat Anda ingin mendelegasikan otoritas persetujuan kepada pengguna atau tim tertentu di organisasi Anda, atau saat Anda perlu mengontrol siapa yang dapat melakukan tindakan spesifik pada permintaan delegasi.

Izin IAM berikut tersedia untuk mengelola permintaan delegasi:


| Izin | Deskripsi | 
| --- | --- | 
| saya: AssociateDelegationRequest | Kaitkan permintaan delegasi yang tidak ditetapkan dengan akun Anda AWS  | 
| saya: GetDelegationRequest | Lihat detail permintaan delegasi | 
| saya: UpdateDelegationRequest | Meneruskan permintaan delegasi ke administrator untuk persetujuan | 
| saya: AcceptDelegationRequest | Menyetujui permintaan delegasi | 
| saya: SendDelegationToken | Lepaskan token pertukaran ke penyedia produk setelah persetujuan | 
| saya: RejectDelegationRequest | Tolak permintaan delegasi | 
| saya: ListDelegationRequests | Daftar permintaan delegasi untuk akun Anda | 

**catatan**  
Secara default, prinsipal IAM yang memulai permintaan delegasi secara otomatis diberikan izin untuk mengelola permintaan tertentu. Mereka dapat mengaitkannya dengan akun mereka, melihat detail permintaan, menolak permintaan, meneruskannya ke administrator untuk persetujuan, melepaskan token pertukaran ke penyedia produk setelah persetujuan admin, dan daftar permintaan delegasi yang mereka miliki.

# Notifikasi
<a name="temporary-delegation-notifications"></a>

Delegasi sementara IAM terintegrasi dengan Pemberitahuan AWS Pengguna untuk membantu Anda tetap mendapat informasi tentang perubahan status permintaan delegasi. Pemberitahuan sangat berguna bagi administrator yang perlu meninjau dan menyetujui permintaan delegasi.

Dengan Pemberitahuan AWS Pengguna, Anda dapat mengonfigurasi peringatan untuk dikirimkan melalui beberapa saluran, termasuk email, Amazon Simple Notification Service (SNS), AWS Chatbot untuk Slack atau Microsoft Teams, dan Console Mobile Application. AWS Ini memastikan bahwa orang yang tepat diberi tahu pada waktu yang tepat, memungkinkan respons yang lebih cepat terhadap persetujuan yang tertunda atau kesadaran akan perubahan akses. Anda juga dapat menyesuaikan peristiwa mana yang memicu pemberitahuan berdasarkan kebutuhan organisasi dan persyaratan keamanan.

## Acara Pemberitahuan yang Tersedia
<a name="temporary-delegation-notification-events"></a>

Anda dapat berlangganan untuk menerima pemberitahuan untuk acara delegasi sementara IAM berikut:
+ Permintaan Delegasi Sementara IAM Dibuat
+ Permintaan Delegasi Sementara IAM Ditugaskan
+ Permintaan Delegasi Sementara IAM Menunggu Persetujuan
+ Permintaan Delegasi Sementara IAM Ditolak
+ Permintaan Delegasi Sementara IAM Diterima
+ Permintaan Delegasi Sementara IAM Diselesaikan
+ Permintaan Delegasi Sementara IAM Kedaluwarsa

## Mengkonfigurasi Pemberitahuan
<a name="temporary-delegation-configuring-notifications"></a>

Untuk mengonfigurasi pemberitahuan untuk acara delegasi sementara IAM:

1. Buka konsol Pemberitahuan AWS Pengguna

1. Membuat atau memperbarui konfigurasi notifikasi

1. Pilih AWS IAM sebagai layanan

1. Pilih acara permintaan delegasi mana yang ingin Anda beri tahu

1. Konfigurasikan saluran pengiriman Anda (email, AWS Chatbot, dll.)

Untuk petunjuk mendetail tentang mengonfigurasi Pemberitahuan AWS Pengguna, termasuk menyiapkan saluran pengiriman dan mengelola aturan notifikasi, lihat dokumentasi Pemberitahuan AWS Pengguna.

# CloudTrail
<a name="temporary-delegation-cloudtrail"></a>

Semua tindakan yang dilakukan oleh penyedia produk menggunakan akses delegasi sementara secara otomatis masuk AWS CloudTrail. Ini memberikan visibilitas lengkap dan auditabilitas aktivitas penyedia produk di akun Anda AWS . Anda dapat mengidentifikasi tindakan mana yang diambil oleh penyedia produk, kapan itu terjadi, dan akun penyedia produk mana yang melakukannya.

Untuk membantu Anda membedakan antara tindakan yang diambil oleh prinsipal IAM Anda sendiri dan tindakan yang diambil oleh penyedia produk dengan akses yang didelegasikan, CloudTrail acara menyertakan bidang baru yang disebut di bawah elemen. `invokedByDelegate` `userIdentity` Bidang ini berisi ID AWS akun penyedia produk, sehingga mudah untuk memfilter dan mengaudit semua tindakan yang didelegasikan.

## CloudTrail Struktur Acara
<a name="temporary-delegation-cloudtrail-event-structure"></a>

Contoh berikut menunjukkan CloudTrail peristiwa untuk tindakan yang dilakukan oleh penyedia produk menggunakan akses yang didelegasikan sementara:

```
{
    "eventVersion": "1.09",		 	 	 
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE:Role-Session-Name",
        "arn": "arn:aws:sts::111122223333:assumed-role/Role-Name/Role-Session-Name",
        "accountId": "111122223333",
        "accessKeyId": "[REDACTED:AWS_ACCESS_KEY]",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AIDACKCEVSQ6C2EXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/Admin",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "attributes": {
                "creationDate": "2024-09-09T17:50:16Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedByDelegate": {
            "accountId": "444455556666"
        }
    },
    "eventTime": "2024-09-09T17:51:44Z",
    "eventSource": "iam.amazonaws.com",
    "eventName": "GetUserPolicy",
    "awsRegion": "us-east-1",
    "requestParameters": {
        "userName": "ExampleIAMUserName",
        "policyName": "ExamplePolicyName"
    },
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333"
}
```

`invokedByDelegate`Kolom berisi ID AWS akun penyedia produk yang melakukan tindakan menggunakan akses yang didelegasikan. Dalam contoh ini, akun 444455556666 (penyedia produk) melakukan tindakan di akun 111122223333 (akun pelanggan).

# Delegasi sementara IAM untuk Mitra AWS
<a name="access_policies-temporary-delegation-partner-guide"></a>

## Ikhtisar
<a name="temporary-delegation-partner-overview"></a>

Delegasi sementara IAM memungkinkan AWS pelanggan untuk and/or mengintegrasikan produk AWS Mitra secara mulus ke dalam AWS lingkungan mereka melalui alur kerja yang interaktif dan terpandu. Pelanggan dapat memberikan AWS Mitra akses terbatas dan sementara untuk mengonfigurasi AWS layanan yang diperlukan, mengurangi gesekan orientasi, dan mempercepat waktu ke nilai.

Delegasi sementara IAM memungkinkan mitra untuk:
+ Merampingkan orientasi pelanggan dengan penyediaan sumber daya otomatis
+ Kurangi kompleksitas integrasi dengan menghilangkan langkah-langkah konfigurasi manual
+ Bangun kepercayaan melalui izin yang transparan dan disetujui pelanggan
+ Aktifkan operasi yang sedang berlangsung dengan pola akses jangka panjang menggunakan batas izin

## Cara kerjanya
<a name="temporary-delegation-how-it-works"></a>

1. *Mitra membuat permintaan delegasi* - Mitra membuat permintaan yang menentukan izin apa yang mereka butuhkan dan untuk berapa lama

1. *Ulasan pelanggan di AWS Konsol* - Pelanggan melihat dengan tepat apa yang diminta mitra izin dan alasannya

1. *Pelanggan menyetujui* - Pelanggan menyetujui permintaan dan merilis token pertukaran. Token dikirim ke mitra pada topik SNS yang ditentukan ini.

1. *Mitra menerima kredensyal sementara* - Mitra menukar token dengan kredensyal sementara AWS 

1. *Mitra mengonfigurasi sumber daya* - Mitra menggunakan kredensialnya untuk menyiapkan sumber daya yang diperlukan di akun pelanggan

## Kualifikasi mitra
<a name="temporary-delegation-partner-qualification"></a>

Agar memenuhi syarat untuk integrasi delegasi sementara, mitra harus memenuhi persyaratan berikut:
+ *ISV Accelerate Participation* — Anda harus terdaftar dalam program [ISV Accelerate (ISVA)](https://aws.amazon.com/partners/programs/isv-accelerate/).
+ *AWS Marketplace listing* — Produk Anda harus terdaftar di AWS Marketplace dengan lencana “Deployed on AWS”.

## Proses orientasi
<a name="temporary-delegation-onboarding-process"></a>

Selesaikan langkah-langkah berikut untuk mengintegrasikan delegasi sementara ke dalam produk Anda:

1. *Langkah 1: Tinjau persyaratan*

   Tinjau dokumentasi ini untuk memahami persyaratan kualifikasi dan lengkapi kuesioner mitra di bawah ini.

1. *Langkah 2: Kirim permintaan orientasi Anda*

   Kirim email ke aws-iam-partner-onboarding @amazon .com atau hubungi AWS perwakilan Anda. Sertakan kuesioner mitra Anda yang telah diisi dengan semua bidang wajib dari tabel di bawah ini.

1. *Langkah 3: AWS validasi dan review*

   AWS akan:
   + Validasi bahwa Anda memenuhi kriteria kualifikasi
   + Tinjau templat kebijakan dan batasan izin
   + Berikan umpan balik tentang artefak yang Anda kirimkan

1. *Langkah 4: Perbaiki kebijakan Anda*

   Tanggapi AWS umpan balik dan kirimkan templat kebijakan atau batas izin yang diperbarui sesuai kebutuhan.

1. *Langkah 5: Selesaikan pendaftaran*

   Setelah disetujui, AWS akan:
   + Aktifkan akses API untuk akun yang Anda tentukan
   + Bagikan ARNs untuk templat kebijakan dan batas izin Anda (jika ada)

   Anda akan menerima konfirmasi saat onboarding selesai. Anda kemudian dapat mengakses delegasi sementara APIs, CreateDelegationRequest dan GetDelegatedAccessToken dari akun terdaftar Anda dan mulai mengintegrasikan alur kerja permintaan delegasi ke dalam produk Anda.

## Kuesioner mitra
<a name="temporary-delegation-partner-questionnaire"></a>

Tabel berikut mencantumkan informasi yang diperlukan untuk orientasi mitra:


| Informasi | Deskripsi | Diperlukan | 
| --- | --- | --- | 
| AccountID Sentral Mitra | ID Akun AWS akun terdaftar Anda di [AWS Partner Central](https://partnercentral.awspartner.com/partnercentral2/s/login). | Ya | 
| PartnerId | ID Mitra disediakan oleh [AWS Partner Central](https://partnercentral.awspartner.com/partnercentral2/s/login). | Tidak | 
| AWS Id Produk Marketplace | ID Produk untuk produk Anda yang disediakan oleh [AWS Partner Central](https://partnercentral.awspartner.com/partnercentral2/s/login). | Ya | 
| AWS akun IDs | Daftar AWS Akun Anda IDs yang ingin Anda gunakan untuk memanggil delegasi APIs sementara. Ini harus mencakup akun produksi dan non-produksi/pengujian Anda. | Ya | 
| Nama mitra | Nama ini ditampilkan kepada pelanggan di Konsol AWS Manajemen saat mereka meninjau permintaan delegasi sementara Anda. | Ya | 
| Email kontak | Satu atau beberapa alamat email yang dapat kami gunakan untuk menghubungi Anda tentang integrasi Anda. | Ya | 
| Domain Pemohon | Domain Anda (misalnya, www.example.com) | Ya | 
| Deskripsi integrasi | Deskripsi singkat tentang kasus penggunaan yang ingin Anda atasi menggunakan fitur ini. Anda dapat menyertakan tautan referensi ke dokumentasi Anda atau materi publik lainnya. | Ya | 
| Diagram arsitektur | Diagram arsitektur yang menggambarkan kasus penggunaan integrasi Anda. | Tidak | 
| Templat kebijakan | Anda harus mendaftarkan setidaknya satu templat kebijakan untuk fitur ini. Templat kebijakan menentukan izin sementara yang ingin Anda minta di akun pelanggan AWS . Untuk informasi selengkapnya, lihat bagian Templat kebijakan. | Ya | 
| Nama templat kebijakan | Nama template kebijakan yang ingin Anda daftarkan. | Ya | 
| Batas Izin | Jika Anda ingin membuat peran IAM di akun pelanggan menggunakan izin sementara, Anda harus mendaftarkan batas izin dengan IAM. Batas izin akan dilampirkan ke peran IAM yang Anda buat untuk membatasi izin maksimum pada peran tersebut. Anda dapat menggunakan kebijakan AWS terkelola yang dipilih sebagai batas izin atau mendaftarkan batas izin khusus (JSON) baru. Untuk informasi selengkapnya, lihat bagian Batas Izin. | Tidak | 
| Nama Batas Izin | Nama batas izin Anda. <partner\$1domain><policy\$1name><date>Formatnya adalah: arn:aws:iam: :partner:policy/permission\$1boundary//\$1 Nama kebijakan harus menyertakan tanggal pembuatan sebagai akhiran. Nama tidak dapat diperbarui setelah batas izin dibuat. Jika Anda menggunakan kebijakan AWS terkelola yang ada, berikan ARN kebijakan terkelola sebagai gantinya. | Tidak | 
| Deskripsi Batas Izin | Deskripsi untuk batas izin. Deskripsi ini tidak dapat diperbarui setelah batas izin dibuat. | Tidak | 

# Memahami integrasi Anda
<a name="temporary-delegation-understanding-integration"></a>

Setelah menyelesaikan proses orientasi, Anda dapat membangun integrasi Anda dengan delegasi sementara IAM. Integrasi lengkap biasanya melibatkan tiga kategori pekerjaan utama:

## 1. Pengalaman Pengguna dan Desain Alur Kerja
<a name="temporary-delegation-user-experience"></a>

Bangun pengalaman front-end dalam aplikasi mitra yang memandu pelanggan melalui alur kerja delegasi sementara. Aplikasi mitra harus:
+ Sajikan alur orientasi atau konfigurasi yang jelas di mana pelanggan dapat memberikan akses sementara. Beri label tindakan ini dengan jelas, seperti “Terapkan dengan delegasi sementara IAM”.
+ Mengarahkan pelanggan ke AWS Management Console untuk meninjau dan menyetujui permintaan delegasi menggunakan tautan konsol yang dikembalikan oleh API CreateDelegationRequest 
+ Berikan pesan yang sesuai tentang izin apa yang diminta dan mengapa. Pelanggan dapat melihat pesan ini di halaman detail permintaan delegasi.
+ Tangani pengembalian pelanggan ke aplikasi Anda setelah mereka menyelesaikan persetujuan AWS.

## 2. Integrasi API
<a name="temporary-delegation-api-integration"></a>

Gunakan delegasi sementara IAM APIs untuk mengirim dan mengelola permintaan delegasi. Setelah AWS akun Anda terdaftar, Anda dapat mengakses hal-hal berikut APIs:
+ *IAM CreateDelegationRequest* — Membuat permintaan delegasi untuk akun pelanggan. AWS API ini mengembalikan tautan konsol tempat Anda mengarahkan pelanggan untuk meninjau dan menyetujui permintaan.
+ *AWS STS GetDelegatedAccessToken*— Mengambil AWS kredensyal sementara setelah pelanggan menyetujui permintaan delegasi Anda. Gunakan kredensyal ini untuk melakukan tindakan di akun pelanggan.

Integrasi Anda harus menangani siklus hidup lengkap permintaan delegasi, termasuk membuat permintaan, memantau statusnya, dan mengambil kredensyal sementara saat disetujui.

## 3. Konfigurasi Sumber Daya dan Orkestrasi
<a name="temporary-delegation-resource-configuration"></a>

Setelah Anda mendapatkan kredensyal sementara, atur alur kerja yang diperlukan untuk mengonfigurasi sumber daya di akun pelanggan. AWS Ini mungkin termasuk:
+ Memanggil AWS layanan APIs langsung untuk membuat dan mengkonfigurasi sumber daya
+ Menyebarkan infrastruktur menggunakan template AWS CloudFormation 
+ Membuat peran IAM untuk akses berkelanjutan (memerlukan penggunaan batas izin)

Logika orkestrasi Anda harus idempoten dan menangani kegagalan dengan anggun, karena pelanggan mungkin perlu mencoba lagi atau memodifikasi persetujuan delegasi mereka.

# Memahami izin
<a name="temporary-delegation-understanding-permissions"></a>

Sebagai bagian dari proses orientasi fitur, Anda harus mendaftarkan kebijakan dengan IAM yang menentukan izin yang ingin Anda minta di akun pelanggan. AWS Proses pendaftaran memberikan pengalaman yang lebih konsisten bagi pelanggan dan membantu menghindari jebakan umum dalam penulisan kebijakan.

Selama pendaftaran, AWS evaluasi kebijakan Anda terhadap serangkaian validasi. Validasi ini dimaksudkan untuk membakukan format dan struktur kebijakan, dan memberikan perlindungan dasar terhadap anti-pola yang diketahui. Validasi juga mengurangi risiko eskalasi hak istimewa, akses lintas akun yang tidak diinginkan, dan akses luas ke sumber daya bernilai tinggi di akun pelanggan.

## Jenis Izin
<a name="temporary-delegation-permission-types"></a>

AWS akan mempertimbangkan dua kategori izin: sementara dan jangka panjang.

### Izin Sementara
<a name="temporary-delegation-temporary-permissions"></a>

Izin sementara membatasi izin yang ditetapkan untuk sesi akses sementara yang didelegasikan. Izin sementara dijelaskan dalam templat kebijakan yang diterapkan pada sesi yang didelegasikan. Template mendukung parameter yang Anda berikan saat Anda membuat permintaan delegasi. Nilai parameter ini kemudian terikat ke sesi. Izin sementara bekerja dengan cara yang sama seperti kebijakan sesi yang tersedia AWS STS saat ini: kebijakan membatasi kemampuan pengguna yang mendasarinya, tetapi tidak memberikan akses tambahan apa pun. Untuk informasi selengkapnya, lihat AWS STS dokumentasi tentang kebijakan sesi.

### Izin Jangka Panjang
<a name="temporary-delegation-long-term-permissions"></a>

Izin jangka panjang membatasi izin peran apa pun yang dibuat atau dikelola melalui akses sementara. Izin jangka panjang diimplementasikan sebagai batas izin IAM. Anda dapat mengirimkan satu atau beberapa batasan izin AWS sebagai bagian dari orientasi. Setelah disetujui, AWS akan berbagi kebijakan ARN dengan Anda yang dapat Anda referensikan dalam kebijakan Anda.

Kebijakan batas ini memiliki dua fitur penting. Pertama, mereka tidak dapat diubah. Jika Anda ingin memperbarui izin, Anda dapat mendaftarkan batas izin baru. Anda kemudian dapat melampirkan batas izin baru ke peran pelanggan Anda dengan mengirimkan permintaan delegasi baru. Kedua, kebijakan tidak dibuat template. Karena kebijakan batas yang sama dibagi secara global, mereka tidak dapat diubah berdasarkan per pelanggan.

**penting**  
Batas izin memiliki batas ukuran maksimum 6.144 karakter.

**catatan**  
Jika Anda ingin memperbarui batas izin atau templat kebijakan, hubungi IAM di aws-iam-partner-onboarding @amazon .com. Setelah batas izin baru terdaftar, Anda kemudian dapat mengirim permintaan delegasi kepada pelanggan untuk memperbarui peran IAM dan melampirkan batas izin yang baru terdaftar. Lihat bagian Contoh untuk lebih jelasnya.

## Contoh Kasus Penggunaan: Beban Kerja Pemrosesan Data
<a name="temporary-delegation-example-use-case"></a>

Pertimbangkan penyedia produk yang menjalankan beban kerja pemrosesan data di akun pelanggan. Penyedia perlu menyiapkan infrastruktur selama orientasi awal, tetapi juga membutuhkan akses berkelanjutan untuk mengoperasikan beban kerja.

*Izin sementara (untuk pengaturan awal):*
+ Membuat EC2 instans Amazon, VPC, dan grup keamanan
+ Buat bucket Amazon S3 untuk data yang diproses
+ Buat peran IAM untuk operasi yang sedang berlangsung
+ Lampirkan batas izin ke peran IAM

*Izin jangka panjang (peran IAM dengan batas izin untuk operasi yang sedang berlangsung):*
+ Memulai dan menghentikan EC2 instans Amazon untuk menjalankan pekerjaan pemrosesan
+ Baca data masukan dari bucket Amazon S3
+ Tulis hasil yang diproses ke bucket Amazon S3

Izin sementara digunakan sekali selama orientasi untuk mengonfigurasi infrastruktur. Peran IAM yang dibuat selama proses ini memiliki batas izin yang membatasi izin maksimumnya hanya untuk operasi yang diperlukan untuk manajemen beban kerja yang sedang berlangsung. Ini memastikan bahwa meskipun kebijakan peran diubah, itu tidak dapat melebihi izin yang ditentukan dalam batas.

# Pedoman evaluasi kebijakan
<a name="temporary-delegation-policy-evaluation-guidelines"></a>

AWS akan mengevaluasi kebijakan yang Anda kirimkan terhadap seperangkat pedoman. Pedoman evaluasi yang sama berlaku untuk templat kebijakan dan batasan izin, dengan perbedaan kecil dicatat jika sesuai.

Untuk tujuan evaluasi, kami memisahkan layanan ke dalam kelompok yang berbeda. Perbedaan yang paling penting adalah untuk layanan yang sensitif terhadap keamanan, yang mengelola akses, kredensi, dan kunci. Kebijakan yang memberikan akses ke layanan ini perlu difokuskan secara sempit pada pekerjaan yang sedang dilakukan. Layanan yang sensitif terhadap keamanan meliputi: AWS Identity and Access Management (IAM) and Access Management (IAM) AWS , Key Management Service (KMS), Resource AWS Access Manager (RAM), IAM Identity Center, Organizations AWS , dan Secrets Manager. AWS AWS 

Perbedaan sekunder adalah layanan yang dapat mengakses data melintasi batas akun. Kebijakan untuk layanan ini harus mencakup perlindungan untuk mencegah akses lintas akun yang tidak disengaja.

## Validasi umum
<a name="temporary-delegation-common-validations"></a>

Semua pernyataan kebijakan harus mengikuti pedoman ini:
+ Semua pernyataan harus menyertakan bidang Efek, Tindakan (atau NotAction), Sumber Daya, dan Kondisi dalam urutan tersebut
+ Semua tindakan dalam satu pernyataan harus terdaftar menurut abjad
+ Semua yang ARNs termasuk dalam kebijakan harus mengikuti sintaks yang didefinisikan dalam dokumentasi publik untuk layanan yang relevan
+ NotAction bidang hanya dapat digunakan dalam pernyataan Deny
+ Tindakan dalam pernyataan Izinkan harus menyertakan kode layanan. Wildcard generik (“\$1”) tidak diperbolehkan

## Pembatasan layanan yang peka terhadap keamanan
<a name="temporary-delegation-security-sensitive-restrictions"></a>

Pembatasan berikut berlaku untuk layanan sensitif keamanan yang disebutkan di atas:
+ Tindakan dalam pernyataan Izinkan harus lebih spesifik daripada [layanan] :\$1
+ Tindakan dalam pernyataan Izinkan untuk templat kebijakan akses sementara tidak boleh berisi wildcard
+ Tindakan sensitif, seperti iam: PassRole atau iam:CreateServiceLinkedRole, memerlukan pelingkupan tambahan, seperti sumber daya tertentu atau pemeriksaan bersyarat. Tindakan ini meliputi:
  + Peran IAM lewat
  + Tindakan modifikasi peran IAM
  + Tindakan modifikasi kebijakan IAM
  + AWS KMS menulis atau operasi kriptografi
  + AWS RAM menulis atau berbagi operasi
  + AWS Operasi Secrets Manager untuk mengambil atau memodifikasi rahasia, atau memodifikasi kebijakan sumber daya
+ Tindakan lain dapat menggunakan sumber daya wildcard, seperti iam: ListUsers atau iam: GetPolicy
+ Tindakan yang mengelola kredensyal, seperti iam:CreateAccessKey, diblokir

## Pembatasan khusus IAM
<a name="temporary-delegation-iam-specific-restrictions"></a>

Untuk IAM:
+ Hanya operasi penulisan terbatas yang diizinkan untuk peran dan kebijakan IAM. Anda tidak dapat meminta izin pada sumber daya IAM lainnya seperti pengguna, grup, dan sertifikat.
+ Lampiran kebijakan atau tindakan manajemen kebijakan inline terbatas pada peran dengan batas izin. Batas izin harus disediakan oleh mitra atau pada daftar kebijakan AWS terkelola yang diizinkan. AWS kebijakan terkelola dapat diizinkan jika kebijakan tersebut tidak memberikan izin yang sangat istimewa atau administratif. Misalnya, kebijakan AWS terkelola untuk fungsi pekerjaan tertentu atau SecurityAudit kebijakan mungkin dapat diterima. AWS akan meninjau setiap kebijakan yang AWS dikelola case-by-case berdasarkan selama proses orientasi.
+ Manajemen kebijakan hanya diperbolehkan untuk kebijakan dengan jalur khusus mitra: arn:aws:iam: :@ \$1\$1 :policy/partner\$1domain.com/ [feature] \$1 AccountId
+ Tag hanya dapat diterapkan selama pembuatan sumber daya, dan hanya untuk peran dan kebijakan
+ iam: PassRole cek harus cocok dengan nama atau awalan jalur tertentu

## AWS STS-pembatasan khusus
<a name="temporary-delegation-sts-specific-restrictions"></a>

Untuk AWS STS:
+ sts: AssumeRole harus dicakup untuk peran tertentu ARN, peran awalan ARN, atau terbatas pada satu set akun atau unit organisasi ID/organizational 

## Pembatasan Pusat Identitas IAM
<a name="temporary-delegation-identity-center-restrictions"></a>

Untuk Pusat AWS Identitas IAM, tindakan berikut diblokir:
+ Semua tindakan yang berhubungan dengan manajemen izin (misalnya, sso:) AttachCustomerManagedPolicyReferenceToPermissionSet
+ Modifikasi pengguna, grup, dan keanggotaan untuk AWS Identity Store
+ Manajemen tag

## AWS Pembatasan Organisasi
<a name="temporary-delegation-organizations-restrictions"></a>

Untuk AWS Organizations, hanya tindakan baca yang diizinkan.

## Validasi khusus layanan tambahan
<a name="temporary-delegation-additional-service-validations"></a>
+ Tindakan yang memperoleh rahasia atau kredensyal, seperti lem: GetConnection atau pergeseran merah:GetClusterCredentials, harus memiliki kondisi yang cocok baik penuh, awalan ARNs ARN, atau tag
+ Untuk Amazon Redshift: redshift: hanya GetClusterCredentials diperbolehkan pada nama database tertentu, dan redshift: GetClusterCredentialsWith IAM hanya diperbolehkan pada nama workgroup tertentu

**catatan**  
Saat mengelola sumber daya IAM di akun, sebaiknya gunakan jalur yang menunjukkan nama Anda, misalnya arn:aws:iam: :111122223333:. role/partner.com/rolename Ini akan membantu membedakan sumber daya yang terkait dengan integrasi Anda dan membuat penemuan, audit, dan analisis lebih mudah bagi pelanggan.

## Persyaratan akses lintas akun
<a name="temporary-delegation-cross-account-requirements"></a>

Pernyataan yang berpotensi memungkinkan akses lintas akun harus mencakup setidaknya satu dari yang berikut:
+ Kondisi yang menentukan akun atau organisasi untuk sumber daya (misalnya, aws: ResourceOrgId mencocokkan satu atau lebih nilai yang diharapkan)
+ Bidang Sumber Daya yang menyertakan akun tertentu (misalnya, arn:aws:sqs: \$1:111122223333: \$1)
+ Bidang Sumber Daya yang menyertakan akun non-wildcard dan nama sumber daya lengkap (misalnya, arn:aws:s3:::) full-bucket-name

**catatan**  
Akses lintas akun adalah kemampuan sensitif yang membutuhkan pembenaran bisnis yang jelas. AWS akan dengan hati-hati meninjau perlunya akses lintas akun selama proses orientasi.

# Templat kebijakan
<a name="temporary-delegation-policy-templates"></a>

Templat kebijakan adalah konstruksi IAM baru yang dirancang untuk menentukan izin sementara yang diminta mitra di akun pelanggan. Seperti kebijakan IAM biasa, mereka mendefinisikan izin menggunakan pernyataan dengan elemen Effect, Action, Resource, dan Condition. Perbedaan utamanya adalah templat kebijakan menyertakan parameter (seperti @ \$1bucketName\$1) yang diganti dengan nilai aktual saat Anda membuat permintaan delegasi.

## Bagaimana Template Kebijakan Bekerja
<a name="temporary-delegation-how-policy-templates-work"></a>

Sebagai bagian dari proses orientasi, Anda mendaftarkan templat kebijakan Anda. AWS AWS menetapkan setiap template ARN unik yang Anda referensikan saat membuat permintaan delegasi.

Saat Anda membuat permintaan delegasi, Anda menentukan:
+ Templat kebijakan ARN
+ Nilai parameter untuk diganti ke dalam template

AWS menggabungkan template dengan nilai parameter Anda untuk menghasilkan kebijakan IAM standar. Pelanggan meninjau kebijakan akhir yang diberikan ini saat menyetujui permintaan delegasi Anda, melihat dengan tepat izin apa yang akan diberikan.

**catatan**  
Kebijakan akhir yang diberikan memiliki batas ukuran maksimum 2048 karakter.

Berikut adalah contoh sederhana yang menunjukkan cara kerja substitusi template.

Templat Kebijakan:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::@{bucketName}/*"
        }
    ]
}
```

Parameter Disediakan dalam Permintaan Delegasi:

```
{
    "Name": "bucketName",
    "Values": ["customer-data-bucket"],
    "Type": "String"
}
```

Kebijakan akhir yang diberikan (apa yang dilihat pelanggan):

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::customer-data-bucket/*"
        }
    ]
}
```

## Sintaks Template
<a name="temporary-delegation-template-syntax"></a>

Template kebijakan menggunakan dua fitur utama untuk memberikan fleksibilitas: substitusi parameter dan pernyataan bersyarat. Substitusi parameter memungkinkan Anda untuk menentukan placeholder dalam template Anda yang diganti dengan nilai aktual saat membuat permintaan delegasi. Pernyataan bersyarat memungkinkan Anda untuk menyertakan atau mengecualikan seluruh pernyataan kebijakan berdasarkan nilai parameter.

### Substitusi Parameter dan Jenis
<a name="temporary-delegation-parameter-substitution"></a>

Gunakan sintaks @ \$1parameterName\$1 untuk menentukan parameter dalam templat kebijakan Anda. Saat membuat permintaan delegasi, Anda harus menentukan jenis untuk setiap parameter.

#### String
<a name="temporary-delegation-string-type"></a>

Nilai tunggal yang diganti langsung ke template.

Templat:

```
"Resource": "arn:aws:s3:::@{bucketName}/*"
```

Parameter:

```
{
    "Name": "bucketName",
    "Values": ["my-bucket"],
    "Type": "String"
}
```

Hasil yang dirender:

```
"Resource": "arn:aws:s3:::my-bucket/*"
```

#### StringList
<a name="temporary-delegation-stringlist-type"></a>

Beberapa nilai yang menghasilkan beberapa entri sumber daya. Ketika StringList parameter digunakan dalam ARN sumber daya, ia memperluas untuk membuat entri sumber daya terpisah untuk setiap nilai.

Templat:

```
"Resource": "arn:aws:s3:::@{bucketNames}/*"
```

Parameter:

```
{
    "Name": "bucketNames",
    "Values": ["bucket-1", "bucket-2"],
    "Type": "StringList"
}
```

Hasil yang dirender:

```
"Resource": [
    "arn:aws:s3:::bucket-1/*",
    "arn:aws:s3:::bucket-2/*"
]
```

#### Perilaku Lintas Produk
<a name="temporary-delegation-cross-product-behavior"></a>

Ketika beberapa parameter digunakan dalam ARN sumber daya yang sama, StringList parameter membuat produk silang dari semua kombinasi.

Templat:

```
"Resource": "arn:aws:s3:::@{bucketNames}/@{prefix}/*"
```

Parameter:

```
[
    {
        "Name": "bucketNames",
        "Values": ["bucket-1", "bucket-2"],
        "Type": "StringList"
    },
    {
        "Name": "prefix",
        "Values": ["data"],
        "Type": "String"
    }
]
```

Hasil yang dirender:

```
"Resource": [
    "arn:aws:s3:::bucket-1/data/*",
    "arn:aws:s3:::bucket-2/data/*"
]
```

### Pernyataan Bersyarat
<a name="temporary-delegation-conditional-statements"></a>

Gunakan direktif @Enabled untuk menyertakan atau mengecualikan seluruh pernyataan secara kondisional berdasarkan nilai parameter.

Sintaksis:
+ @Enabled: “ParameterName” - Sertakan pernyataan ketika nilai parameter “Benar”
+ @Enabled: “\$1 ParameterName” - Sertakan pernyataan ketika nilai parameter TIDAK “Benar” (negasi)

Templat:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["s3:GetObject"],
            "Resource": "*"
        },
        {
            "@Enabled": "ENABLE_S3_WRITE",
            "Effect": "Allow",
            "Action": ["s3:PutObject"],
            "Resource": "arn:aws:s3:::@{bucketName}/*"
        }
    ]
}
```

Parameter (ketika ENABLE\$1S3\$1WRITE adalah “True”):

```
[
    {
        "Name": "bucketName",
        "Values": ["my-bucket"],
        "Type": "String"
    },
    {
        "Name": "ENABLE_S3_WRITE",
        "Values": ["True"],
        "Type": "String"
    }
]
```

Hasil yang dirender:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["s3:GetObject"],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": ["s3:PutObject"],
            "Resource": "arn:aws:s3:::my-bucket/*"
        }
    ]
}
```

Parameter (ketika ENABLE\$1S3\$1WRITE adalah “False”):

```
[
    {
        "Name": "bucketName",
        "Values": ["my-bucket"],
        "Type": "String"
    },
    {
        "Name": "ENABLE_S3_WRITE",
        "Values": ["False"],
        "Type": "String"
    }
]
```

Hasil yang dirender:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["s3:GetObject"],
            "Resource": "*"
        }
    ]
}
```

Ketika ENABLE\$1S3\$1WRITE diatur ke “True”, pernyataan bersyarat disertakan. Ketika disetel ke “Salah”, pernyataan tersebut dikecualikan dari kebijakan yang diberikan.

## Contoh Tambahan
<a name="temporary-delegation-additional-examples"></a>

Contoh berikut menunjukkan pola umum untuk menggunakan templat kebijakan dalam delegasi sementara. Mereka fokus pada pembuatan peran IAM dengan batas izin untuk akses jangka panjang dan menunjukkan strategi berbeda untuk melingkupi izin ke sumber daya tertentu. Contoh-contoh ini menggambarkan bagaimana menyeimbangkan fleksibilitas dengan keamanan dengan menggunakan teknik seperti awalan ARN, penandaan sumber daya, dan pembaruan batas izin.

### Contoh 1: Memberikan Akses Jangka Panjang ke Sumber Daya Tertentu
<a name="temporary-delegation-example-1"></a>

Batas izin berikut diajukan sebagai "SQSAccessorBatas” untuk “partner.com”:

```
{
    "Effect": "Allow",
    "Action": [
        "sqs:DeleteMessage",
        "sqs:ReceiveMessage",
        "sqs:SendMessage"
    ],
    "Resource": "arn:aws:sqs:*:*:*",
    "Condition": {
        "StringEquals": {
            "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
    }
}
```

**catatan**  
Ini termasuk kondisi akun yang sama untuk menghindari pemberian akses ke antrian di akun lain dengan kebijakan sumber daya terbuka. Referensi langsung ke ID akun pelanggan tidak dapat disertakan karena batas dibagi di semua pelanggan dan tidak dapat di-template.

Karena ini adalah versi pertama dari kebijakan ini, ARN-nya adalah arn:aws:iam: :partner: \$12025\$101\$115 policy/permissions-boundary/partner.com/SQSAccessorBoundary

Templat kebijakan berikut dikirimkan untuk izin akses sementara:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sqs:ListQueues"
            ],
            "Resource": "arn:aws:sqs:*:*:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:PutRolePermissionsBoundary",
                "iam:PutRolePolicy"
            ],
            "Resource": "arn:aws:iam::@{AccountId}:role/partner.com/SQSAccessor",
            "Condition": {
                "StringEquals": {
                    "iam:PermissionsBoundary": "arn:aws:iam::partner:policy/permissions-boundary/partner.com/SQSAccessorBoundary_2025_01_15"
                }
            }
        }
    ]
}
```

### Contoh 2: Menggunakan Awalan ARN
<a name="temporary-delegation-example-2"></a>

Batas izin dapat menentukan awalan ARN sumber daya untuk membatasi akses:

```
"Resource": "arn:aws:sqs:*:@{AccountId}:PartnerPrefix*"
```

Ini membatasi akses hanya ke sumber daya dengan awalan itu, mengurangi ruang lingkup sumber daya yang dapat diakses.

### Contoh 3: Menggunakan Tag untuk Kontrol Akses Sumber Daya
<a name="temporary-delegation-example-3"></a>

Anda dapat menandai sumber daya selama akses yang didelegasikan sementara dan mengandalkan tag tersebut untuk kontrol akses jangka panjang.

Batas izin yang memungkinkan akses ke sumber daya yang ditandai:

```
{
    "Effect": "Allow",
    "Action": [
        "sqs:DeleteMessage",
        "sqs:ReceiveMessage",
        "sqs:SendMessage"
    ],
    "Resource": "arn:aws:sqs:*:*:*",
    "Condition": {
        "Null": {
            "aws:ResourceTag/ManagedByPartnerDotCom": "false"
        },
        "StringEquals": {
            "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
    }
}
```

Templat kebijakan untuk menandai antrian baru saat pembuatan:

```
{
    "Effect": "Allow",
    "Action": [
        "sqs:CreateQueue",
        "sqs:TagQueue"
    ],
    "Resource": "arn:aws:sqs:*:*:*",
    "Condition": {
        "Null": {
            "aws:RequestTag/ManagedByPartnerDotCom": "false"
        }
    }
}
```

Templat kebijakan untuk menandai antrian yang sudah ada sebelumnya dan membuat peran:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sqs:TagQueue"
            ],
            "Resource": "arn:aws:sqs:*:@{AccountId}:@{QueueName}",
            "Condition": {
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "ManagedByPartnerDotCom"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:PutRolePermissionsBoundary",
                "iam:PutRolePolicy"
            ],
            "Resource": "arn:aws:iam::@{AccountId}:role/partner.com/SQSAccessor",
            "Condition": {
                "StringEquals": {
                    "iam:PermissionsBoundary": "arn:aws:iam::partner:policy/permissions-boundary/partner.com/SQSAccessorBoundary_2025_01_15"
                }
            }
        }
    ]
}
```

Pendekatan ini memungkinkan pelanggan untuk secara eksplisit mengkonfirmasi sumber daya spesifik mana yang dapat diakses dalam jangka panjang.

### Contoh 4: Memperbarui Batas Izin
<a name="temporary-delegation-example-4"></a>

Untuk memperbarui batas izin, daftarkan versi baru dengan akhiran tanggal baru dan minta izin untuk menggantinya.

Batas izin yang diperbarui dengan izin tambahan:

```
{
    "Effect": "Allow",
    "Action": [
        "sqs:DeleteMessage",
        "sqs:PurgeQueue",
        "sqs:ReceiveMessage",
        "sqs:SendMessage"
    ],
    "Resource": "arn:aws:sqs:*:*:*",
    "Condition": {
        "StringEquals": {
            "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
    }
}
```

Sebagai versi kedua, kebijakan ini memiliki ARN: arn:aws:iam: :partner: \$12025\$101\$120 policy/permissions-boundary/partner.com/SQSAccessorBoundary

Templat kebijakan untuk memperbarui batas izin pada peran yang ada:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:PutRolePermissionsBoundary"
            ],
            "Resource": "arn:aws:iam::@{AccountId}:role/partner.com/SQSAccessor",
            "Condition": {
                "StringEquals": {
                    "iam:PermissionsBoundary": "arn:aws:iam::partner:policy/permissions-boundary/partner.com/SQSAccessorBoundary_2025_01_20"
                }
            }
        }
    ]
}
```

Pelanggan harus menyetujui permintaan delegasi ini untuk memperbarui batas izin pada peran yang ada.

# Membangun integrasi Anda
<a name="temporary-delegation-building-integration"></a>

## Memahami Siklus Hidup Permintaan
<a name="temporary-delegation-request-lifecycle"></a>

Sebelum membangun integrasi Anda, penting untuk memahami bagaimana permintaan delegasi berkembang dari pembuatan hingga penyelesaian.

### Minta Negara
<a name="temporary-delegation-request-states"></a>

Permintaan delegasi berlangsung melalui status berikut:


| Status | Deskripsi | 
| --- | --- | 
| Tidak ditugaskan | Permintaan dibuat tetapi belum dikaitkan dengan akun pelanggan dan prinsipal IAM. Permintaan mungkin telah dibuat tanpa menentukan akun target, atau dengan ID akun target tetapi belum diklaim oleh pemilik akun. | 
| Ditugaskan | Permintaan terkait dengan akun pelanggan dan menunggu peninjauan | 
| Persetujuan Tertunda | Pelanggan telah meneruskan permintaan ke administrator untuk persetujuan | 
| Diterima | Permintaan disetujui oleh pelanggan tetapi token pertukaran belum dirilis | 
| Selesai | Token pertukaran dirilis ke penyedia produk. Periode delegasi (validitas token pertukaran) dimulai ketika permintaan mencapai status Finalized | 
| Ditolak | Permintaan ditolak oleh pelanggan | 
| Kadaluarsa | Permintaan kedaluwarsa karena tidak aktif atau batas waktu | 

### Transisi Negara
<a name="temporary-delegation-state-transitions"></a>

*Aliran Normal (Jalur Persetujuan)*
+ Tidak Ditugaskan → Ditugaskan: Pelanggan mengaitkan permintaan dengan akun mereka
+ Ditugaskan → Diterima ATAU Ditugaskan → Persetujuan Tertunda: Pelanggan menyetujui permintaan secara langsung ATAU meneruskan ke administrator untuk ditinjau
+ Persetujuan Tertunda → Diterima: Administrator menyetujui permintaan
+ Diterima → Selesai: Pelanggan merilis token pertukaran

*Jalur Penolakan*
+ Ditugaskan → Ditolak: Pelanggan menolak permintaan
+ Persetujuan Tertunda → Ditolak: Administrator menolak permintaan
+ Diterima → Ditolak: Pelanggan mencabut persetujuan sebelum merilis token

*Jalur Kedaluwarsa*

Permintaan secara otomatis kedaluwarsa jika tidak ada tindakan yang diambil dalam jangka waktu yang ditentukan:
+ Tidak Ditugaskan → Kedaluwarsa (1 hari)
+ Ditugaskan → Kedaluwarsa (7 hari)
+ Persetujuan Tertunda → Kedaluwarsa (7 hari)
+ Diterima → Kedaluwarsa (7 hari)
+ Ditolak → Kedaluwarsa (7 hari)
+ Finalisasi → Kedaluwarsa (7 hari)

*Negara Terminal*

Status berikut adalah terminal (tidak ada transisi lebih lanjut):
+ Selesai: Token Pertukaran dikirim
+ Ditolak: Permintaan ditolak
+ Kedaluwarsa: Waktu permintaan habis atau periode delegasi berakhir

Permintaan kedaluwarsa akhirnya dihapus dari sistem setelah periode retensi.

### Mengelola status permintaan delegasi dalam aplikasi Anda
<a name="temporary-delegation-managing-states"></a>

Sebagai mitra, Anda harus melacak status permintaan delegasi di sistem Anda dan memunculkannya ke pelanggan Anda. Saat Anda menerima pemberitahuan SNS tentang perubahan status, simpan pembaruan ini di backend Anda dan cerminkan di UI yang menghadap pelanggan. Berikan perhatian khusus pada status Persetujuan Tertunda — saat pelanggan meneruskan permintaan ke administrator untuk ditinjau, AWS mengirimkan pemberitahuan Persetujuan Tertunda kepada Anda. Permintaan dapat tetap dalam status ini hingga 7 hari sambil menunggu tindakan administrator. Selama waktu ini, tunjukkan kepada pelanggan bahwa permintaan mereka sedang menunggu persetujuan administrator dalam aplikasi Anda. Pertimbangkan untuk menyediakan tautan dalam ke AWS Konsol tempat pelanggan dapat memeriksa status permintaan atau menindaklanjuti dengan administrator mereka. Menangani mesin status dengan benar di backend Anda dan menampilkan informasi status yang benar kepada pelanggan di setiap tahap penting untuk pengalaman integrasi yang baik.

![\[alt text not found\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/delegation-states.png)


## Mengkonfigurasi Pemberitahuan
<a name="temporary-delegation-configuring-notifications"></a>

IAM menggunakan Amazon Simple Notification Service (SNS) untuk mengkomunikasikan perubahan status permintaan delegasi kepada Anda. Saat Anda membuat permintaan delegasi, Anda harus memberikan ARN topik SNS dari akun terdaftar Anda. AWS IAM akan mempublikasikan pesan ke topik ini untuk acara penting, termasuk ketika pelanggan menyetujui atau menolak permintaan dan ketika token pertukaran siap.

**catatan**  
Topik SNS tidak dapat berada di Wilayah keikutsertaan AWS . Topik SNS Anda harus berada di AWS Wilayah yang diaktifkan secara default. Untuk daftar Wilayah keikutsertaan, lihat Mengelola AWS Wilayah dalam panduan Manajemen AWS Akun.

### Konfigurasi Topik SNS
<a name="temporary-delegation-sns-topic-configuration"></a>

Untuk menerima pemberitahuan permintaan delegasi, Anda harus mengonfigurasi topik SNS Anda untuk memberikan izin IAM untuk mempublikasikan pesan ke sana. Tambahkan pernyataan kebijakan berikut ke kebijakan topik SNS Anda:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowIAMServiceToPublish",
            "Effect": "Allow",
            "Principal": {
                "Service": "iam.amazonaws.com"
            },
            "Action": "SNS:Publish",
            "Resource": "arn:aws:sns:REGION:ACCOUNT-ID:TOPIC-NAME"
        }
    ]
}
```

**penting**  
Topik SNS harus ada di salah satu AWS akun terdaftar Anda. IAM tidak akan menerima topik SNS dari akun lain. Jika kebijakan topik tidak dikonfigurasi dengan benar, Anda tidak akan menerima pemberitahuan perubahan status atau token pertukaran.

### Jenis Pemberitahuan
<a name="temporary-delegation-notification-types"></a>

IAM mengirimkan dua jenis notifikasi:

*StateChange Pemberitahuan*

Dikirim ketika permintaan delegasi bertransisi ke status baru (Ditugaskan, Menunggu Persetujuan, Diterima, Diselesaikan, Ditolak, Kedaluwarsa).

*ExchangeToken Pemberitahuan*

Dikirim saat pelanggan merilis token delegasi (status Finalized). Pemberitahuan ini mencakup token pertukaran yang Anda butuhkan untuk mendapatkan kredensyal.

### Status Pemberitahuan
<a name="temporary-delegation-notification-states"></a>

Anda akan menerima pemberitahuan untuk status permintaan delegasi berikut:


| Status | Jenis Pemberitahuan | Deskripsi | 
| --- | --- | --- | 
| DITETAPKAN | StateChange | Permintaan telah dikaitkan dengan akun pelanggan | 
| MENUNGGU PERSETUJUAN | StateChange | Pelanggan telah meneruskan permintaan ke administrator untuk persetujuan | 
| DITERIMA | StateChange | Pelanggan telah menyetujui permintaan tetapi belum merilis token | 
| DISELESAIKAN | StateChange | Pelanggan telah merilis token pertukaran | 
| DISELESAIKAN | ExchangeToken | Pemberitahuan ini berisi Token Exchange | 
| MENOLAK | StateChange | Pelanggan telah menolak permintaan | 
| KEDALUWARSA | StateChange | Permintaan kedaluwarsa sebelum selesai | 

### Format Pesan Pemberitahuan
<a name="temporary-delegation-notification-message-format"></a>

IAM menerbitkan pemberitahuan SNS standar. Informasi permintaan delegasi terkandung dalam bidang Pesan sebagai string JSON.

*Bidang Umum (Semua Pemberitahuan)*


| Bidang | Tipe | Deskripsi | 
| --- | --- | --- | 
| Tipe | String | Entah "StateChange" atau "ExchangeToken” | 
| RequestId | String | ID permintaan delegasi IAM | 
| RequestorWorkflowId | String | ID alur kerja yang Anda berikan saat membuat permintaan | 
| Status | String | Status permintaan saat ini | 
| OwnerAccountId | String | ID AWS Rekening Nasabah | 
| UpdatedAt | String | Stempel waktu saat status berubah (format ISO 8601) | 

*Bidang Tambahan (Hanya ExchangeToken Pemberitahuan)*


| Bidang | Tipe | Deskripsi | 
| --- | --- | --- | 
| ExchangeToken | String | Token untuk ditukar dengan kredensyal menggunakan API AWS STS GetDelegatedAccessToken  | 
| ExpiresAt | String | Ketika akses yang didelegasikan kedaluwarsa (format ISO 8601) | 

### Contoh Pemberitahuan
<a name="temporary-delegation-example-notifications"></a>

*StateChange Pemberitahuan*

```
{
  "Type": "Notification",
  "MessageId": "61ee8ad4-6eec-56b5-8f3d-eba57556aa13",
  "TopicArn": "arn:aws:sns:us-east-1:123456789012:partner-notifications",
  "Message": "{\"RequestorWorkflowId\":\"workflow-12345\",\"Type\":\"StateChange\",\"RequestId\":\"dr-abc123\",\"State\":\"ACCEPTED\",\"OwnerAccountId\":\"111122223333\",\"UpdatedAt\":\"2025-01-15T10:30:00.123Z\"}",
  "Timestamp": "2025-01-15T10:30:00.456Z",
  "SignatureVersion": "1",
  "Signature": "...",
  "SigningCertURL": "...",
  "UnsubscribeURL": "..."
}
```

*ExchangeToken Pemberitahuan*

```
{
  "Type": "Notification",
  "MessageId": "e44e5435-c72c-5333-aba3-354406782f5b",
  "TopicArn": "arn:aws:sns:us-east-1:123456789012:partner-notifications",
  "Message": "{\"RequestId\":\"dr-abc123\",\"RequestorWorkflowId\":\"workflow-12345\",\"State\":\"FINALIZED\",\"OwnerAccountId\":\"111122223333\",\"ExchangeToken\":\"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...\",\"ExpiresAt\":\"2025-01-15T18:30:00.123Z\",\"UpdatedAt\":\"2025-01-15T10:30:00.456Z\",\"Type\":\"ExchangeToken\"}",
  "Timestamp": "2025-01-15T10:30:00.789Z",
  "SignatureVersion": "1",
  "Signature": "...",
  "SigningCertURL": "...",
  "UnsubscribeURL": "..."
}
```

## Token Pertukaran
<a name="temporary-delegation-exchange-tokens"></a>

Token pertukaran atau perdagangan token dikeluarkan oleh IAM ketika pelanggan menerima dan menyelesaikan permintaan delegasi. Penyedia produk menggunakan pertukaran ini atau perdagangan token untuk memanggil AWS AWS STS GetDelegatedAccessToken API untuk mendapatkan AWS kredensi sementara dengan izin yang disetujui pelanggan. Token pertukaran itu sendiri tidak memberikan akses ke AWS sumber daya Anda; itu harus ditukar dengan kredensi aktual melalui STS. AWS 

Token pertukaran hanya dapat ditukarkan oleh akun penyedia produk yang membuat permintaan delegasi. Akun yang meminta disematkan dalam token, memastikan bahwa hanya penyedia produk resmi yang dapat memperoleh kredensi untuk mengakses akun pelanggan.

### Durasi Akses
<a name="temporary-delegation-access-duration"></a>

Periode delegasi dimulai saat pelanggan merilis token pertukaran, bukan saat penyedia produk menebusnya. Setelah pelanggan merilis token:
+ Penyedia produk menerima token melalui notifikasi SNS
+ Mereka dapat segera menukarnya dengan kredensyal
+ Kredensyal kedaluwarsa pada: waktu rilis\$1durasi yang disetujui
+ Penyedia produk dapat menukar token beberapa kali sebelum kedaluwarsa untuk mendapatkan kredensyal baru jika diperlukan

### Beberapa Penukaran
<a name="temporary-delegation-multiple-redemptions"></a>

Penyedia produk dapat menukar token beberapa kali selama masa berlaku untuk mendapatkan kredensyal baru. Namun, semua kredensyal yang diperoleh dari token pertukaran yang sama kedaluwarsa pada saat yang sama, berdasarkan kapan Anda merilis token.

Contoh: Jika Anda menyetujui permintaan delegasi 2 jam dan melepaskan token pada pukul 10:00:


| Waktu Rilis Token | Waktu Pertukaran Token | Kedaluwarsa Kredensi | Waktu yang Dapat Digunakan | 
| --- | --- | --- | --- | 
| 10:00 pagi | 10:00 pagi | 12:00pm | 2 jam | 
| 10:00 pagi | 10:20 pagi | 12:00pm | 1 jam 40 menit | 
| 10:00 pagi | 11:40am | 12:00pm | 20 menit | 
| 10:00 pagi | 12:10pm | Gagal (token kedaluwarsa) | 0 menit | 

Seperti yang ditunjukkan pada tabel, pertukaran token nanti dalam masa berlaku menghasilkan waktu yang kurang dapat digunakan untuk penyedia produk.