Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Buat pengguna IAM untuk beban kerja yang tidak dapat menggunakan peran IAM
**penting**
Sebagai [praktik terbaik](best-practices.md#lock-away-credentials), kami menyarankan Anda meminta pengguna manusia Anda untuk menggunakan [kredensi sementara saat mengakses.](id_credentials_temp.md) AWS
Atau, Anda dapat mengelola identitas pengguna Anda, termasuk pengguna administratif Anda, dengan [AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/getting-started.html). Kami menyarankan Anda menggunakan IAM Identity Center untuk mengelola akses ke akun dan izin Anda dalam akun tersebut. Jika Anda menggunakan penyedia identitas eksternal, Anda juga dapat mengonfigurasi izin akses untuk identitas pengguna di Pusat Identitas IAM.
Jika kasus penggunaan Anda mengharuskan pengguna IAM dengan akses terprogram dan kredensi jangka panjang, kami sarankan Anda membuat prosedur untuk memperbarui kunci akses bila diperlukan. Untuk informasi selengkapnya, lihat [Perbarui kunci akses](id-credentials-access-keys-update.md).
Untuk melakukan beberapa tugas manajemen akun dan layanan, Anda harus masuk menggunakan kredensi pengguna root. Untuk melihat tugas yang mengharuskan Anda masuk sebagai pengguna root, lihat[Tugas yang memerlukan kredensial pengguna root](id_root-user.md#root-user-tasks).
## Untuk membuat pengguna IAM untuk beban kerja yang tidak dapat menggunakan peran IAM
**Izin minimum**
Untuk melakukan langkah-langkah berikut, Anda harus memiliki setidaknya izin IAM berikut:
`iam:AddUserToGroup`
`iam:AttachGroupPolicy`
`iam:CreateAccessKey`
`iam:CreateGroup`
`iam:CreateServiceSpecificCredential`
`iam:CreateUser`
`iam:GetAccessKeyLastUsed`
`iam:GetAccountPasswordPolicy`
`iam:GetAccountSummary`
`iam:GetGroup`
`iam:GetLoginProfile`
`iam:GetPolicy`
`iam:GetRole`
`iam:GetUser`
`iam:ListAccessKeys`
`iam:ListAttachedGroupPolicies`
`iam:ListAttachedUserPolicies`
`iam:ListGroupPolicies`
`iam:ListGroups`
`iam:ListGroupsForUser`
`iam:ListInstanceProfilesForRole`
`iam:ListMFADevices`
`iam:ListPolicies`
`iam:ListRoles`
`iam:ListRoleTags`
`iam:ListSSHPublicKeys`
`iam:ListServiceSpecificCredentials`
`iam:ListSigningCertificates`
`iam:ListUserPolicies`
`iam:ListUserTags`
`iam:ListUsers`
`iam:UploadSSHPublicKey`
`iam:UploadSigningCertificate`
------
#### [ Console ]
1. Ikuti prosedur masuk yang sesuai dengan jenis pengguna Anda seperti yang dijelaskan dalam topik [Cara](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) masuk AWS di *Panduan Pengguna AWS Masuk*.
1. Pada halaman **Beranda Konsol IAM**, di panel navigasi kiri, masukkan kueri Anda di kotak teks **Search IAM**.
1. Di panel navigasi, pilih **Pengguna** dan kemudian pilih **Buat pengguna**.
1. Pada halaman **Tentukan detail pengguna**, lakukan hal berikut:
1. Untuk **Nama pengguna**, ketik ***WorkloadName***. Ganti ***WorkloadName***dengan nama beban kerja yang akan menggunakan akun.
1. Pilih **Berikutnya**.
1. (Opsional) Pada halaman **Set Permissions**, lakukan hal berikut:
1. Pilih **Tambahkan pengguna ke grup**.
1. Pilih **Buat kelompok**.
1. Dalam kotak dialog **Buat grup pengguna****, untuk Nama grup pengguna** ketikkan nama yang mewakili penggunaan beban kerja dalam grup. Untuk contoh ini, gunakan nama**Automation**.
1. Di bawah **Kebijakan izin**, pilih kotak centang untuk kebijakan **PowerUserAccess**terkelola.
**Tip**
Masukkan *Daya* ke dalam kotak pencarian **Kebijakan izin** untuk menemukan kebijakan terkelola dengan cepat.
1. Pilih **Buat grup pengguna**.
1. Kembali ke halaman dengan daftar grup IAM, pilih kotak centang untuk grup pengguna baru Anda. Pilih **Refresh** (Segarkan) jika Anda tidak melihat grup pengguna baru di dalam daftar.
1. Pilih **Berikutnya**.
1. (Opsional) Di bagian **Tag**, tambahkan metadata ke pengguna dengan melampirkan tag sebagai pasangan nilai kunci. Untuk informasi selengkapnya, lihat [Tag untuk AWS Identity and Access Management sumber daya](id_tags.md).
1. Verifikasi keanggotaan grup pengguna untuk pengguna baru. Saat Anda siap untuk melanjutkan, pilih **Create user** (Buat pengguna).
1. Pemberitahuan status muncul memberi tahu Anda bahwa pengguna berhasil dibuat. Pilih **Lihat pengguna** untuk membuka halaman detail pengguna
1. Pilih tab **Security credentials.** Kemudian buat kredensional yang diperlukan untuk beban kerja.
+ **Kunci akses** —Pilih **Buat kunci akses** untuk menghasilkan dan mengunduh kunci akses untuk pengguna.
**penting**
Ini adalah satu-satunya kesempatan Anda untuk melihat atau mengunduh kunci akses rahasia, dan Anda harus memberikan informasi ini kepada pengguna Anda sebelum mereka dapat menggunakan AWS API. Simpan access key ID baru pengguna dan secret access key di tempat yang aman dan terlindungi. **Anda tidak akan memiliki akses ke kunci rahasia lagi setelah langkah ini.**
+ **Kunci publik SSH untuk AWS CodeCommit** —Pilih **Unggah kunci publik SSH untuk mengunggah kunci** publik SSH sehingga pengguna dapat berkomunikasi dengan CodeCommit repositori melalui SSH.
+ **HTTPS Git credentials for AWS CodeCommit** —Select **Generate credentials untuk menghasilkan** kumpulan kredensi pengguna yang unik untuk digunakan dengan repositori Git. Pilih **Unduh kredensi** untuk menyimpan nama pengguna dan kata sandi ke file.csv. Ini adalah satu-satunya waktu informasi tersedia. Jika Anda lupa atau kehilangan kata sandi, Anda harus mengatur ulang kata sandi.
+ **Kredensial untuk Amazon Keyspaces (untuk Apache Cassandra)** —Pilih Hasilkan kredensi untuk **menghasilkan kredensi** pengguna khusus layanan yang akan digunakan dengan Amazon Keyspaces. Pilih **Unduh kredensi** untuk menyimpan nama pengguna dan kata sandi ke file.csv. Ini adalah satu-satunya waktu informasi tersedia. Jika Anda lupa atau kehilangan kata sandi, Anda harus mengatur ulang kata sandi.
**penting**
Kredensi khusus layanan adalah kredensi jangka panjang yang terkait dengan pengguna IAM tertentu dan hanya dapat digunakan untuk layanan yang mereka buat. Untuk memberikan izin peran IAM atau identitas gabungan untuk mengakses semua AWS sumber daya Anda menggunakan kredensi sementara, gunakan autentikasi dengan plugin AWS otentikasi SiGv4 untuk Amazon Keyspaces. *Untuk informasi selengkapnya lihat, [Menggunakan kredensi sementara untuk terhubung ke Amazon Keyspaces (untuk Apache Cassandra) menggunakan peran IAM dan plugin SiGv4 di](https://docs.aws.amazon.com/keyspaces/latest/devguide/access.credentials.html#temporary.credentials.IAM) Panduan Pengembang Amazon Keyspaces (untuk Apache Cassandra).*
+ **Sertifikat penandatanganan X.509** —Pilih **Buat Sertifikat X.509** jika Anda perlu membuat permintaan protokol SOAP yang aman dan berada di Wilayah yang tidak didukung oleh. AWS Certificate Manager ACM adalah alat pilihan untuk menyediakan, mengelola, dan menerapkan sertifikat server Anda. Untuk informasi selengkapnya tentang penggunaan ACM, lihat [https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html).
Anda telah membuat pengguna dengan akses terprogram dan mengonfigurasinya dengan fungsi **PowerUserAccess**pekerjaan. Kebijakan izin pengguna ini memberikan akses penuh ke setiap layanan kecuali untuk IAM dan. AWS Organizations
Anda dapat menggunakan proses yang sama ini untuk memberikan beban kerja tambahan akses terprogram ke Akun AWS sumber daya Anda, jika beban kerja tidak dapat mengambil peran IAM. Prosedur ini menggunakan kebijakan **PowerUserAccess**terkelola untuk menetapkan izin. Untuk mengikuti praktik terbaik dengan hak istimewa terkecil, pertimbangkan untuk menggunakan kebijakan yang lebih ketat atau membuat kebijakan khusus yang membatasi akses hanya ke sumber daya yang diperlukan oleh program. Untuk mempelajari cara menggunakan kebijakan yang membatasi izin pengguna ke AWS sumber daya tertentu, lihat [Manajemen akses untuk AWS sumber daya](access.md) dan. [Contoh kebijakan berbasis identitas IAM](access_policies_examples.md) Untuk menambahkan pengguna tambahan ke grup pengguna setelah dibuat, lihat [Mengedit pengguna dalam grup IAM](id_groups_manage_add-remove-users.md).
------
#### [ AWS CLI ]
1. Buat pengguna bernama**Automation**.
+ [aws iam buat-pengguna](https://docs.aws.amazon.com/cli/latest/reference/iam/create-user.html)
```
aws iam create-user \
--user-name Automation
```
1. Buat grup pengguna IAM bernama**AutomationGroup**, lampirkan kebijakan AWS terkelola `PowerUserAccess` ke grup, lalu tambahkan **Automation** pengguna ke grup.
**catatan**
*Kebijakan terkelola AWS * adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. Setiap kebijakan memiliki Nama Sumber Daya Amazon (ARN) sendiri yang menyertakan nama kebijakan. Misalnya, `arn:aws:iam::aws:policy/IAMReadOnlyAccess` adalah kebijakan yang AWS dikelola. Untuk informasi lebih lanjut tentang ARNs, lihat[IAM ARNs](reference_identifiers.md#identifiers-arns). Untuk mengetahui daftar kebijakan AWS terkelola Layanan AWS, lihat [kebijakan AWS terkelola](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/policy-list.html).
+ [aws iam membuat grup](https://docs.aws.amazon.com/cli/latest/reference/iam/create-group.html)
```
aws iam create-group \
--group-name AutomationGroup
```
+ [aws iam attach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html)
```
aws iam attach-group-policy \
--policy-arn arn:aws:iam::aws:policy/PowerUserAccess \
--group-name AutomationGroup
```
+ [aws iam add-user-to-group](https://docs.aws.amazon.com/cli/latest/reference/iam/add-user-to-group.html)
```
aws iam add-user-to-group \
--user-name Automation \
--group-name AutomationGroup
```
+ Jalankan perintah [aws iam get-group](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group.html) untuk mencantumkan **AutomationGroup** dan anggotanya.
```
aws iam get-group \
--group-name AutomationGroup
```
1. Buat kredenal keamanan yang diperlukan untuk beban kerja.
+ **Buat kunci akses untuk pengujian** — [aws iam create-access-key](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html)
```
aws iam create-access-key \
--user-name Automation
```
Output dari perintah ini menampilkan kunci akses rahasia dan ID kunci akses. Rekam dan simpan informasi ini di lokasi yang aman. Jika kredenal ini hilang, mereka tidak dapat dipulihkan, dan Anda harus membuat kunci akses baru.
**penting**
Kunci akses pengguna IAM ini adalah kredensi jangka panjang yang menghadirkan risiko keamanan ke akun Anda. Setelah Anda menyelesaikan pengujian, kami sarankan Anda menghapus kunci akses ini. Jika Anda memiliki skenario di mana Anda mempertimbangkan kunci akses, selidiki apakah Anda dapat mengaktifkan MFA untuk pengguna IAM beban kerja Anda dan gunakan [aws sts get-session-token](https://docs.aws.amazon.com/cli/latest/reference/sts/get-session-token.html) untuk mendapatkan kredensi sementara untuk sesi tersebut alih-alih menggunakan kunci akses IAM.
+ **Unggah kunci publik SSH untuk AWS CodeCommit** — [aws](https://docs.aws.amazon.com/cli/latest/reference/iam/upload-ssh-public-key.html) iam upload-ssh-public-key
Contoh berikut mengasumsikan bahwa Anda memiliki kunci publik SSH Anda disimpan dalam file. `sshkey.pub`
```
aws upload-ssh-public-key \
--user-name Automation \
--ssh-public-key-body file://sshkey.pub
```
+ **Unggah sertifikat penandatanganan X.509** [— aws iam upload-signing-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/upload-signing-certificate.html)
Unggah sertifikat X.509 jika Anda perlu membuat permintaan protokol SOAP yang aman dan berada di Wilayah yang tidak didukung oleh. AWS Certificate Manager ACM adalah alat pilihan untuk menyediakan, mengelola, dan menerapkan sertifikat server Anda. Untuk informasi selengkapnya tentang penggunaan ACM, lihat [https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html).
Contoh berikut mengasumsikan bahwa Anda memiliki sertifikat penandatanganan X.509 yang disimpan dalam file. `certificate.pem`
```
aws iam upload-signing-certificate \
--user-name Automation \
--certificate-body file://certificate.pem
```
Anda dapat menggunakan proses yang sama ini untuk memberikan beban kerja tambahan akses terprogram ke Akun AWS sumber daya Anda, jika beban kerja tidak dapat mengambil peran IAM. Prosedur ini menggunakan kebijakan **PowerUserAccess**terkelola untuk menetapkan izin. Untuk mengikuti praktik terbaik dengan hak istimewa terkecil, pertimbangkan untuk menggunakan kebijakan yang lebih ketat atau membuat kebijakan khusus yang membatasi akses hanya ke sumber daya yang diperlukan oleh program. Untuk mempelajari cara menggunakan kebijakan yang membatasi izin pengguna ke AWS sumber daya tertentu, lihat [Manajemen akses untuk AWS sumber daya](access.md) dan. [Contoh kebijakan berbasis identitas IAM](access_policies_examples.md) Untuk menambahkan pengguna tambahan ke grup pengguna setelah dibuat, lihat [Mengedit pengguna dalam grup IAM](id_groups_manage_add-remove-users.md).
------