Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Memulai dengan IAM
<a name="getting-started"></a>

AWS Identity and Access Management (IAM) membantu Anda mengontrol akses ke Amazon Web Services (AWS) dan sumber daya akun Anda dengan aman. IAM juga dapat menjaga kerahasiaan login Anda. Anda tidak secara khusus mendaftar untuk menggunakan IAM. Tidak ada biaya untuk menggunakan IAM. 

Gunakan IAM untuk memberikan identitas, seperti pengguna dan peran, akses ke sumber daya di akun Anda. Misalnya, Anda dapat menggunakan IAM dengan pengguna yang ada di direktori perusahaan yang Anda kelola secara eksternal AWS atau Anda dapat membuat pengguna yang sedang AWS menggunakannya AWS IAM Identity Center. Identitas federasi mengasumsikan peran IAM yang ditentukan untuk mengakses sumber daya yang mereka butuhkan. Untuk informasi selengkapnya tentang Pusat Identitas IAM, lihat [Apa itu Pusat Identitas IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dalam *AWS IAM Identity Center User Guide.*

**catatan**  
IAM terintegrasi dengan beberapa AWS produk. Untuk daftar layanan yang mendukung IAM, lihat [AWS layanan yang bekerja dengan IAM](reference_aws-services-that-work-with-iam.md).

Untuk mempelajari tentang memulai AWS, membuat pengguna administratif AWS Organizations, dan menggunakan beberapa layanan untuk memecahkan masalah seperti membangun dan meluncurkan proyek pertama Anda, lihat [Pusat Sumber Daya Memulai](https://aws.amazon.com/getting-started/). 

# Menyiapkan Akun AWS
<a name="getting-started-account-iam"></a>

Sebelum Anda mulai bekerja dengan IAM, pastikan Anda telah menyelesaikan pengaturan awal AWS lingkungan Anda.

AWS mengirimi Anda email konfirmasi setelah proses pendaftaran selesai. Kapan saja, Anda dapat melihat aktivitas akun Anda saat ini dan mengelola akun Anda dengan masuk [https://aws.amazon.com.rproxy.goskope.comke/](https://aws.amazon.com/) dan memilih **Akun Saya**.

Ketika Anda mendaftar untuk layanan, Anda membuat Akun AWS menggunakan alamat email dan kata sandi. Itu adalah kredensi pengguna AWS root Anda. Sebagai praktik terbaik, Anda tidak menggunakan kredensi pengguna root Anda AWS untuk mengakses tugas sehari-hari. Hanya gunakan kredensi pengguna root Anda untuk melakukan [tugas yang memerlukan kredensi pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-tasks.html). Juga, jangan berbagi kredensi Anda dengan orang lain. Sebagai gantinya, tambahkan orang ke direktori Anda dan beri mereka akses ke direktori Anda Akun AWS.

**Untuk mengamankan Pengguna root akun AWS**

1.  Masuk ke [Konsol Manajemen AWS](https://console.aws.amazon.com/)sebagai pemilik akun dengan memilih **pengguna Root** dan memasukkan alamat Akun AWS email Anda. Di laman berikutnya, masukkan kata sandi.

   Untuk bantuan masuk dengan menggunakan pengguna root, lihat [Masuk sebagai pengguna root](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) di *AWS Sign-In Panduan Pengguna*.

1. Mengaktifkan autentikasi multi-faktor (MFA) untuk pengguna root Anda.

   Untuk petunjuk, lihat [Mengaktifkan perangkat MFA virtual untuk pengguna Akun AWS root (konsol) Anda](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) di Panduan Pengguna *IAM*.

**Berikan akses ke konsol penagihan**

Pengguna dan peran IAM dalam tidak Akun AWS dapat mengakses konsol Billing and Cost Management secara default. Ini benar bahkan jika mereka memiliki kebijakan IAM yang memberikan akses ke fitur Penagihan tertentu. Untuk memberikan akses, pengguna Akun AWS root harus terlebih dahulu mengaktifkan akses IAM.
**catatan**  
Sebagai praktik terbaik keamanan, kami menyarankan Anda menyediakan akses ke sumber daya Anda melalui federasi identitas dengan [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html). Saat Anda mengaktifkan Pusat Identitas IAM bersama dengan AWS Organizations, konsol Billing and Cost Management diaktifkan secara default dengan penagihan gabungan untuk semua di organisasi Anda. Akun AWS Untuk informasi selengkapnya, lihat [Mengkonsolidasikan penagihan AWS Organizations](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html) di Panduan Pengguna *Billing and Cost Management*.

1. Masuk ke Konsol Manajemen AWS dengan kredensi pengguna root Anda (khususnya, alamat email dan kata sandi yang Anda gunakan untuk membuat AWS akun Anda).

1. Pada bilah navigasi, pilih nama akun Anda, lalu pilih [Akun](https://console.aws.amazon.com/billing/home#/account).

1. **Gulir ke bawah halaman hingga Anda menemukan bagian **Pengguna IAM dan Akses Peran ke Informasi Penagihan**, lalu pilih Edit.**

1. Pilih kotak centang **Aktifkan Akses IAM** untuk mengaktifkan akses ke halaman konsol Manajemen Penagihan dan Biaya.

1. Pilih **Perbarui**.

    Halaman menampilkan pesan **IAM user/role akses ke informasi penagihan diaktifkan**.
**penting**  
Mengaktifkan akses IAM saja tidak memberikan izin apa pun bagi pengguna atau peran untuk melihat halaman konsol Billing and Cost Management. Anda juga harus melampirkan kebijakan berbasis identitas yang diperlukan ke peran IAM untuk memberikan akses ke konsol penagihan. Peran menyediakan kredensi sementara yang dapat diasumsikan pengguna saat diperlukan.

1. Gunakan Konsol Manajemen AWS untuk [membuat peran yang](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) dapat diasumsikan pengguna untuk mengakses konsol penagihan.

1. Pada halaman **Tambahkan izin** untuk peran tersebut, tambahkan izin ke daftar dan lihat detail tentang sumber daya Penagihan di situs Anda. Akun AWS

   Kebijakan AWS terkelola [Penagihan](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/managed-policies.html#security-iam-awsmanpol-Billing) memberi pengguna izin untuk melihat dan mengedit konsol Billing and Cost Management. Ini termasuk melihat penggunaan akun, memodifikasi anggaran dan metode pembayaran. Untuk contoh kebijakan lainnya yang dapat Anda lampirkan ke peran IAM untuk mengontrol akses ke informasi penagihan akun Anda, lihat [contoh kebijakan AWS penagihan](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html) di Panduan Pengguna *Billing and Cost Management*.

# Melihat Akun AWS ID Anda
<a name="console-account-id"></a>

Jika Anda masuk ke konsol, Anda dapat melihat ID akun untuk Anda Akun AWS menggunakan metode berikut.

## Untuk melihat Akun AWS ID Anda
<a name="console-account-id-section-1"></a>

------
#### [ Console ]

ID AWS akun ditampilkan saat Anda pergi ke **Dasbor** IAM di Akun AWS bagian tersebut. Anda juga dapat melihat ID akun Anda di bilah navigasi di kanan atas. Pilih nama pengguna Anda, dan ID akun ditampilkan di atas nama pengguna Anda.

![\[Kotak drop-down informasi akun dengan ID akun disorot\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/find-account-id.png)


------
#### [ AWS CLI ]

Gunakan perintah berikut untuk melihat ID pengguna, ID akun, dan ARN pengguna Anda:
+ [aws sts get-caller-identity](https://docs.aws.amazon.com/cli/latest/reference/sts/get-caller-identity.html)

------
#### [ API ]

Gunakan API berikut untuk melihat ID pengguna, ID akun, dan ARN pengguna Anda:
+ [GetCallerIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetCallerIdentity.html) 

------

# Menggunakan alias untuk ID Anda Akun AWS
<a name="console-account-alias"></a>

ID akun Anda adalah nomor 12 digit yang secara unik mengidentifikasi akun Anda. Secara default, pengguna IAM di akun masuk menggunakan URL web yang menyertakan ID akun. Jika mereka tidak memiliki URL, mereka dapat memberikan ID akun di halaman AWS login saat mereka masuk.

URL halaman masuk Anda memiliki format sebagai berikut, secara default.

```
https://Your_Account_ID.signin.aws.amazon.com/console/
```

Banyak orang menganggap kata-kata lebih mudah diingat daripada angka, jadi membuat alias untuk ID akun Anda dapat membantu pengguna IAM Anda masuk lebih mudah.

Jika Anda membuat Akun AWS alias untuk Akun AWS ID Anda, URL halaman masuk Anda terlihat seperti contoh berikut.

```
https://Your_Account_Alias.signin.aws.amazon.com/console/
```

**Pertimbangan sebelum membuat alias akun**
+ Anda hanya Akun AWS dapat memiliki satu alias. Jika Anda membuat alias baru untuk AWS akun Anda, alias baru akan menimpa alias sebelumnya, dan URL yang berisi alias sebelumnya berhenti berfungsi.
+ Alias akun harus berisi hanya digit, huruf kecil, dan tanda hubung. Untuk informasi selengkapnya tentang batasan entitas AWS akun, lihat[IAM dan AWS STS kuota](reference_iam-quotas.md).
+ Alias akun harus unik di semua produk Amazon Web Services dalam *partisi* jaringan tertentu.

  *Partisi* adalah grup Wilayah AWS . Setiap AWS akun dicakup ke satu partisi.

  Berikut ini adalah partisi yang didukung:
  + `aws`- AWS Wilayah
  + `aws-cn` - Wilayah Tiongkok
  + `aws-us-gov` - AWS GovCloud (US) Wilayah

**catatan**  
Alias akun bukanlah rahasia, dan mereka akan muncul di URL halaman masuk Anda yang menghadap publik. Jangan sertakan informasi sensitif apa pun dalam alias akun Anda.  
URL asli yang berisi Akun AWS ID Anda tetap aktif dan dapat digunakan setelah Anda membuat Akun AWS alias Anda.

# Membuat alias akun
<a name="account-alias-create"></a>

Untuk melakukan langkah-langkah berikut, Anda harus memiliki setidaknya izin IAM berikut:
+ `iam:ListAccountAliases`
+ `iam:CreateAccountAlias`

## Untuk membuat Akun AWS alias
<a name="console-account-alias-section-1"></a>

------
#### [ Console ]

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Dasbor**.

1. Di bagian **AWS Akun**, di samping **Alias Akun**, pilih **Buat**. Jika alias sudah ada, maka pilih **Edit**.

1. Di kotak dialog, masukkan nama yang ingin Anda gunakan untuk alias Anda, lalu pilih **Simpan perubahan**.

------
#### [ AWS CLI ]

Jalankan perintah berikut:
+ `[aws iam create-account-alias](https://docs.aws.amazon.com/cli/latest/reference/iam/create-account-alias.html)`

------
#### [ API ]

Untuk membuat alias untuk URL halaman Konsol Manajemen AWS masuk Anda, panggil operasi berikut:
+ `[CreateAccountAlias](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccountAlias.html)` 

------

# Menghapus alias akun
<a name="account-alias-delete"></a>

Untuk melakukan langkah-langkah berikut, Anda harus memiliki setidaknya izin IAM berikut:
+ `iam:ListAccountAliases`
+ `iam:DeleteAccountAlias`

## Untuk menghapus alias akun
<a name="console-account-alias-section-2"></a>

------
#### [ Console ]

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Dasbor**.

1. Di bagian **AWS Akun**, di samping **Alias Akun**, pilih **Hapus**. 

------
#### [ AWS CLI ]

Untuk menghapus alias Akun AWS ID, jalankan perintah berikut:
+ `[aws iam delete-account-alias](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-account-alias.html)`

Untuk mengonfirmasi bahwa alias akun dihapus, coba tampilkan alias Akun AWS ID Anda, dengan menjalankan perintah berikut: 
+ `[aws iam list-account-aliases](https://docs.aws.amazon.com/cli/latest/reference/iam/list-account-aliases.html)`

------
#### [ API ]

Untuk menghapus alias Akun AWS ID, panggil operasi berikut:
+ `[DeleteAccountAlias](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccountAlias.html)` 

Untuk mengonfirmasi bahwa alias akun dihapus mencoba menampilkan alias Akun AWS ID Anda, dengan memanggil operasi berikut:
+ `[ListAccountAliases](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccountAliases.html)` 

------

**catatan**  
Setelah menghapus alias akun Anda, satu-satunya URL masuk untuk akun Anda didasarkan pada ID akun Anda. Setiap upaya untuk terhubung ke URL alias akan gagal dan tidak dialihkan.

# Rencanakan akses ke AWS akun Anda
<a name="gs-identities"></a>

Saat menyiapkan AWS, rencanakan bagaimana Anda ingin orang mengakses AWS akun dan sumber daya Anda untuk menyiapkan solusi manajemen identitas yang dirancang dengan baik dan aman. 

**Sumber identitas**

Menurut praktik terbaik IAM, pengguna manusia dan beban kerja harus menggunakan kredensi sementara ketika mereka mengakses sumber daya Anda. AWS Kredensi sementara diberikan kepada identitas yang mengakses sumber daya Anda menggunakan peran IAM. Kedua pengguna federasi ke IAM dan pengguna di IAM Identity Center (baik federasi atau dibuat dalam direktori IAM Identity Center) menggunakan peran IAM untuk mengakses sumber daya.

Sebelum Anda mulai menggunakan AWS, rencanakan cara mengatur identitas Anda baik dengan:
+ Mengaktifkan IAM Identity Center dengan AWS Organizations dan menambahkan pengguna di IAM Identity Center langsung ke direktori organisasi.

  Untuk mempelajari cara menambahkan pengguna secara langsung ke direktori organisasi Pusat Identitas IAM, lihat [Menambahkan](https://docs.aws.amazon.com/singlesignon/latest/userguide/addusers.html) pengguna
+ Menggabungkan penyedia identitas eksternal Anda yang ada dengan IAM Identity Center atau IAM.

  Untuk mempelajari cara menggabungkan penyedia identitas eksternal ke direktori organisasi IAM Identity Center, gunakan tutorial [Memulai](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html) yang sesuai.

**Manajemen akses**

Identifikasi AWS sumber daya dan layanan yang akan diakses pengguna Anda dan tentukan izin akses dan kebijakan yang diperlukan untuk setiap pengguna, grup, atau peran.
+ Jika Anda menggunakan Pusat Identitas IAM, penyedia identitas IAM serta peran IAM dan kebijakan izin secara otomatis dibuat di setiap AWS akun di organisasi Anda. Peran dan izin ini selaras dengan izin yang Anda tentukan saat Anda menetapkan orang atau grup ke aplikasi atau akun tertentu. AWS 

  Untuk informasi selengkapnya, lihat [Menetapkan akses pengguna](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-assign-account-access-user.html) dan [Mengatur akses masuk tunggal ke aplikasi](https://docs.aws.amazon.com/singlesignon/latest/userguide/set-up-single-sign-on-access-to-applications.html) Anda.
+ Jika Anda menggabungkan penyedia identitas Anda secara langsung dengan IAM Akun AWS, Anda harus membuat peran bagi pengguna untuk diasumsikan dan dua kebijakan; kebijakan kepercayaan yang menentukan siapa yang dapat mengambil peran tersebut, dan kebijakan izin yang menentukan AWS tindakan dan sumber daya yang diizinkan atau ditolak oleh orang yang mengambil peran tersebut.

  Untuk informasi selengkapnya, lihat [Penyedia identitas dan federasi ke AWS](id_roles_providers.md)

# Kasus penggunaan untuk pengguna IAM
<a name="gs-identities-iam-users"></a>

Pengguna IAM yang Anda buat Akun AWS memiliki kredensi jangka panjang yang Anda kelola secara langsung.

Ketika datang untuk mengelola akses di AWS, pengguna IAM umumnya bukan pilihan terbaik. Ada beberapa alasan utama mengapa Anda harus menghindari mengandalkan pengguna IAM untuk sebagian besar kasus penggunaan Anda.

Pertama, pengguna IAM dirancang untuk akun individual, sehingga mereka tidak menskalakan dengan baik seiring pertumbuhan organisasi Anda. Mengelola izin dan keamanan untuk sejumlah besar pengguna IAM dapat dengan cepat menjadi tantangan.

Pengguna IAM juga tidak memiliki kemampuan visibilitas dan audit terpusat yang Anda dapatkan dengan solusi manajemen identitas lainnya AWS . Hal ini dapat membuatnya lebih menantang untuk menjaga keamanan dan kepatuhan terhadap peraturan.

Akhirnya, menerapkan praktik terbaik keamanan seperti otentikasi multi-faktor, kebijakan kata sandi, dan pemisahan peran jauh lebih mudah dengan pendekatan manajemen identitas yang lebih skalabel.

Alih-alih mengandalkan pengguna IAM, sebaiknya gunakan solusi yang lebih kuat seperti IAM Identity Center dengan AWS Organizations, atau identitas gabungan dari penyedia eksternal. Opsi ini akan memberi Anda kontrol, keamanan, dan efisiensi operasional yang lebih baik seiring pertumbuhan AWS lingkungan Anda.

Akibatnya, kami menyarankan Anda hanya menggunakan pengguna IAM untuk [kasus penggunaan yang tidak didukung oleh pengguna federasi](https://docs.aws.amazon.com//IAM/latest/UserGuide/id.html#id_which-to-choose). 

Daftar berikut mengidentifikasi kasus penggunaan spesifik yang memerlukan kredensi jangka panjang dengan pengguna IAM di. AWS Anda dapat menggunakan IAM untuk membuat pengguna IAM ini di bawah payung AWS akun Anda, dan menggunakan IAM untuk mengelola izin mereka. 
+ Akses darurat ke AWS akun Anda
+ Beban kerja yang tidak dapat menggunakan peran IAM
  + AWS CodeCommit akses
  + Akses Amazon Keyspaces (untuk Apache Cassandra)
+  AWS Klien pihak ketiga
+ AWS IAM Identity Center tidak tersedia untuk akun Anda dan Anda tidak memiliki penyedia identitas lain



# Buat pengguna IAM untuk akses darurat
<a name="getting-started-emergency-iam-user"></a>

*[Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* adalah identitas dalam diri Anda Akun AWS yang memiliki izin khusus untuk satu orang atau aplikasi. 

Memiliki pengguna IAM untuk akses darurat adalah salah satu alasan yang disarankan untuk membuat pengguna IAM sehingga Anda dapat mengakses Akun AWS jika penyedia identitas Anda tidak dapat diakses.

**catatan**  
Sebagai [praktik keamanan terbaik](best-practices.md), kami menyarankan Anda menyediakan akses ke sumber daya Anda melalui federasi identitas alih-alih membuat pengguna IAM. Untuk informasi tentang situasi tertentu di mana pengguna IAM diperlukan, lihat [Kapan membuat pengguna IAM (bukan peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose)).

## Untuk membuat pengguna IAM untuk akses darurat
<a name="getting-started-emergency-iam-user-section-1"></a>

**Izin minimum**  
Untuk melakukan langkah-langkah berikut, Anda harus memiliki setidaknya izin IAM berikut:  
`access-analyzer:ValidatePolicy`
`iam:AddUserToGroup`
`iam:AttachGroupPolicy`
`iam:CreateGroup`
`iam:CreateLoginProfile`
`iam:CreateUser`
`iam:GetAccountPasswordPolicy`
`iam:GetLoginProfile`
`iam:GetUser`
`iam:ListAttachedGroupPolicies`
`iam:ListAttachedUserPolicies`
`iam:ListGroupPolicies`
`iam:ListGroups`
`iam:ListGroupsForUser`
`iam:ListPolicies`
`iam:ListUserPolicies`
`iam:ListUsers`

------
#### [ Console ]<a name="gs-proc-iam-user-user"></a>

1. Ikuti prosedur masuk yang sesuai dengan jenis pengguna Anda seperti yang dijelaskan dalam topik [Cara](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) masuk AWS di *Panduan Pengguna AWS Masuk*.

1. Pada halaman **Beranda Konsol IAM**, di panel navigasi kiri, masukkan kueri Anda di kotak teks **Search IAM**.

1. Di panel navigasi, pilih **Pengguna** dan kemudian pilih **Buat pengguna**.
**catatan**  
Jika Anda mengaktifkan Pusat Identitas IAM, akan Konsol Manajemen AWS menampilkan pengingat bahwa yang terbaik adalah mengelola akses pengguna di Pusat Identitas IAM. Dalam prosedur ini, pengguna IAM yang Anda buat khusus digunakan hanya jika penyedia identitas Anda tidak tersedia.

1. Pada halaman **Tentukan detail pengguna**, di bawah **Rincian pengguna****, di Nama pengguna**, masukkan nama untuk pengguna baru. Ini adalah nama masuk mereka untuk AWS. Untuk contoh ini, masukkan**EmergencyAccess**.
**catatan**  
Nama pengguna dapat berupa kombinasi hingga 64 huruf, digit, dan karakter ini: plus (\$1), sama dengan (=), koma (,), titik (.), pada a keong (@), garis bawah (\$1), dan tanda hubung (-). Nama harus unik dalam akun. Grup tidak dibedakan berdasarkan huruf besar-kecil. Misalnya, Anda tidak dapat membuat dua pengguna yang diberi nama *TESTUSER* dan *testuser*. Ketika nama pengguna digunakan dalam kebijakan atau sebagai bagian dari ARN, nama tersebut peka huruf besar/kecil. Ketika nama pengguna muncul ke pelanggan di konsol, seperti selama proses login, nama pengguna tidak peka huruf besar/kecil.

1. Pilih kotak centang di sebelah **Berikan akses pengguna ke Konsol Manajemen AWS— *opsional*** dan kemudian pilih **Saya ingin membuat pengguna IAM**.

1. Di bawah **Kata sandi konsol**, pilih Kata **sandi yang dibuat otomatis**.

1. Kosongkan kotak centang di sebelah **Pengguna harus membuat kata sandi baru saat masuk berikutnya (disarankan)**. Karena pengguna IAM ini untuk akses darurat, administrator tepercaya mempertahankan kata sandi dan hanya menyediakannya saat diperlukan.

1. Pada halaman **Setel izin**, di bawah **opsi Izin**, pilih **Tambahkan pengguna ke grup**. Kemudian, di bawah **Grup pengguna**, pilih **Buat grup**.

1. Pada halaman **Buat grup pengguna**, di **Nama grup pengguna**, masukkan**EmergencyAccessGroup**. Kemudian, di bawah **Kebijakan izin**, pilih **AdministratorAccess**.

1. Pilih **Buat grup pengguna** untuk kembali ke halaman **Setel izin**. 

1. Di bawah **Grup pengguna**, pilih nama yang **EmergencyAccessGroup** Anda buat sebelumnya.

1. Pilih **Berikutnya** untuk melanjutkan ke halaman **Tinjauan dan buat**.

1. Pada halaman **Tinjau dan buat**, tinjau daftar keanggotaan grup pengguna yang akan ditambahkan ke pengguna baru. Ketika Anda siap untuk melanjutkan, pilih **Buat pengguna**.

1. Pada halaman **Ambil kata sandi**, pilih **Unduh file.csv untuk menyimpan file.csv** dengan informasi kredensi pengguna (URL koneksi, nama pengguna, dan kata sandi).

1. Simpan file ini untuk digunakan jika Anda perlu masuk ke IAM dan tidak memiliki akses ke penyedia identitas Anda.

Pengguna IAM baru ditampilkan dalam daftar **Pengguna**. Pilih tautan **Nama pengguna** untuk melihat detail pengguna. 

------
#### [ AWS CLI ]

1. Buat pengguna bernama**EmergencyAccess**.
   + [aws iam buat-pengguna](https://docs.aws.amazon.com/cli/latest/reference/iam/create-user.html)

   ```
   aws iam create-user \
      --user-name EmergencyAccess
   ```

1. (Opsional) Berikan akses pengguna ke Konsol Manajemen AWS. Ini memerlukan kata sandi. Untuk membuat kata sandi untuk pengguna IAM, Anda dapat menggunakan `--cli-input-json` parameter untuk meneruskan file JSON yang berisi kata sandi. Anda juga harus memberi pengguna [URL halaman masuk akun Anda](id_users_sign-in.md).
   + [aws iam create-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/create-login-profile.html)

     ```
      
     aws iam create-login-profile \
        --generate-cli-skeleton > create-login-profile.json
     ```
   + Buka `create-login-profile.json` file di editor teks dan masukkan kata sandi yang sesuai dengan kebijakan kata sandi Anda, lalu simpan file tersebut. Contoh: 

     ```
     {
      "UserName": "EmergencyAccess",
      "Password": "Ex@3dRA0djs",
      "PasswordResetRequired": false
     }
     ```
   + Gunakan `aws iam create-login-profile` perintah lagi, meneruskan `--cli-input-json` parameter untuk menentukan file JSON Anda.

     ```
     aws iam create-login-profile \
        --cli-input-json file://create-login-profile.json
     ```
**catatan**  
Jika kata sandi yang Anda berikan dalam file JSON melanggar kebijakan kata sandi akun Anda, Anda akan menerima kesalahan. `PassworPolicyViolation` Jika ini terjadi, tinjau [kebijakan kata sandi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html#default-policy-details) untuk akun Anda dan perbarui kata sandi di file JSON untuk memenuhi persyaratan.

1. Buat**EmergencyAccessGroup**, lampirkan kebijakan AWS terkelola `AdministratorAccess` ke grup, dan tambahkan **EmergencyAccess** pengguna ke grup. 
**catatan**  
*Kebijakan terkelola AWS * adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. Setiap kebijakan memiliki Nama Sumber Daya Amazon (ARN) sendiri yang menyertakan nama kebijakan. Misalnya, `arn:aws:iam::aws:policy/IAMReadOnlyAccess` adalah kebijakan yang AWS dikelola. Untuk informasi lebih lanjut tentang ARNs, lihat[IAM ARNs](reference_identifiers.md#identifiers-arns). Untuk mengetahui daftar kebijakan AWS terkelola Layanan AWS, lihat [kebijakan AWS terkelola](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/policy-list.html).
   + [aws iam membuat grup](https://docs.aws.amazon.com/cli/latest/reference/iam/create-group.html) 

     ```
     aws iam create-group \
        --group-name EmergencyAccessGroup
     ```
   + [aws iam attach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html)

     ```
     aws iam attach-group-policy \
        --policy-arn arn:aws:iam::aws:policy/AdministratorAccess \
        --group-name >EmergencyAccessGroup
     ```
   + [aws iam add-user-to-group](https://docs.aws.amazon.com/cli/latest/reference/iam/add-user-to-group.html) 

     ```
     aws iam add-user-to-group \
        --user-name EmergencyAccess \
        --group-name EmergencyAccessGroup
     ```
   + Jalankan perintah [aws iam get-group](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group.html) untuk mencantumkan **EmergencyAccessGroup** dan anggotanya.

     ```
     aws iam get-group \
        --group-name EmergencyAccessGroup
     ```

------

# Buat pengguna IAM untuk beban kerja yang tidak dapat menggunakan peran IAM
<a name="getting-started-workloads"></a>

**penting**  
Sebagai [praktik terbaik](best-practices.md#lock-away-credentials), kami menyarankan Anda meminta pengguna manusia Anda untuk menggunakan [kredensi sementara saat mengakses.](id_credentials_temp.md) AWS  
Atau, Anda dapat mengelola identitas pengguna Anda, termasuk pengguna administratif Anda, dengan [AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/getting-started.html). Kami menyarankan Anda menggunakan IAM Identity Center untuk mengelola akses ke akun dan izin Anda dalam akun tersebut. Jika Anda menggunakan penyedia identitas eksternal, Anda juga dapat mengonfigurasi izin akses untuk identitas pengguna di Pusat Identitas IAM.

Jika kasus penggunaan Anda mengharuskan pengguna IAM dengan akses terprogram dan kredensi jangka panjang, kami sarankan Anda membuat prosedur untuk memperbarui kunci akses bila diperlukan. Untuk informasi selengkapnya, lihat [Perbarui kunci akses](id-credentials-access-keys-update.md).

Untuk melakukan beberapa tugas manajemen akun dan layanan, Anda harus masuk menggunakan kredensi pengguna root. Untuk melihat tugas yang mengharuskan Anda masuk sebagai pengguna root, lihat[Tugas yang memerlukan kredensial pengguna root](id_root-user.md#root-user-tasks).

## Untuk membuat pengguna IAM untuk beban kerja yang tidak dapat menggunakan peran IAM
<a name="getting-started-workloads-section-1"></a>

**Izin minimum**  
Untuk melakukan langkah-langkah berikut, Anda harus memiliki setidaknya izin IAM berikut:  
`iam:AddUserToGroup`
`iam:AttachGroupPolicy`
`iam:CreateAccessKey`
`iam:CreateGroup`
`iam:CreateServiceSpecificCredential`
`iam:CreateUser`
`iam:GetAccessKeyLastUsed`
`iam:GetAccountPasswordPolicy`
`iam:GetAccountSummary`
`iam:GetGroup`
`iam:GetLoginProfile`
`iam:GetPolicy`
`iam:GetRole`
`iam:GetUser`
`iam:ListAccessKeys`
`iam:ListAttachedGroupPolicies`
`iam:ListAttachedUserPolicies`
`iam:ListGroupPolicies`
`iam:ListGroups`
`iam:ListGroupsForUser`
`iam:ListInstanceProfilesForRole`
`iam:ListMFADevices`
`iam:ListPolicies`
`iam:ListRoles`
`iam:ListRoleTags`
`iam:ListSSHPublicKeys`
`iam:ListServiceSpecificCredentials`
`iam:ListSigningCertificates`
`iam:ListUserPolicies`
`iam:ListUserTags`
`iam:ListUsers`
`iam:UploadSSHPublicKey`
`iam:UploadSigningCertificate`

------
#### [ Console ]

1. Ikuti prosedur masuk yang sesuai dengan jenis pengguna Anda seperti yang dijelaskan dalam topik [Cara](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) masuk AWS di *Panduan Pengguna AWS Masuk*.

1. Pada halaman **Beranda Konsol IAM**, di panel navigasi kiri, masukkan kueri Anda di kotak teks **Search IAM**.

1. Di panel navigasi, pilih **Pengguna** dan kemudian pilih **Buat pengguna**.

1. Pada halaman **Tentukan detail pengguna**, lakukan hal berikut:

   1. Untuk **Nama pengguna**, ketik ***WorkloadName***. Ganti ***WorkloadName***dengan nama beban kerja yang akan menggunakan akun.

   1. Pilih **Berikutnya**.

1. (Opsional) Pada halaman **Set Permissions**, lakukan hal berikut:

   1. Pilih **Tambahkan pengguna ke grup**.

   1. Pilih **Buat kelompok**.

   1. Dalam kotak dialog **Buat grup pengguna****, untuk Nama grup pengguna** ketikkan nama yang mewakili penggunaan beban kerja dalam grup. Untuk contoh ini, gunakan nama**Automation**.

   1. Di bawah **Kebijakan izin**, pilih kotak centang untuk kebijakan **PowerUserAccess**terkelola.
**Tip**  
Masukkan *Daya* ke dalam kotak pencarian **Kebijakan izin** untuk menemukan kebijakan terkelola dengan cepat.

   1. Pilih **Buat grup pengguna**.

   1. Kembali ke halaman dengan daftar grup IAM, pilih kotak centang untuk grup pengguna baru Anda. Pilih **Refresh** (Segarkan) jika Anda tidak melihat grup pengguna baru di dalam daftar.

   1. Pilih **Berikutnya**.

1. (Opsional) Di bagian **Tag**, tambahkan metadata ke pengguna dengan melampirkan tag sebagai pasangan nilai kunci. Untuk informasi selengkapnya, lihat [Tag untuk AWS Identity and Access Management sumber daya](id_tags.md).

1. Verifikasi keanggotaan grup pengguna untuk pengguna baru. Saat Anda siap untuk melanjutkan, pilih **Create user** (Buat pengguna).

1. Pemberitahuan status muncul memberi tahu Anda bahwa pengguna berhasil dibuat. Pilih **Lihat pengguna** untuk membuka halaman detail pengguna

1. Pilih tab **Security credentials.** Kemudian buat kredensional yang diperlukan untuk beban kerja.
   + **Kunci akses** —Pilih **Buat kunci akses** untuk menghasilkan dan mengunduh kunci akses untuk pengguna.
**penting**  
Ini adalah satu-satunya kesempatan Anda untuk melihat atau mengunduh kunci akses rahasia, dan Anda harus memberikan informasi ini kepada pengguna Anda sebelum mereka dapat menggunakan AWS API. Simpan access key ID baru pengguna dan secret access key di tempat yang aman dan terlindungi. **Anda tidak akan memiliki akses ke kunci rahasia lagi setelah langkah ini.** 
   + **Kunci publik SSH untuk AWS CodeCommit** —Pilih **Unggah kunci publik SSH untuk mengunggah kunci** publik SSH sehingga pengguna dapat berkomunikasi dengan CodeCommit repositori melalui SSH.
   + **HTTPS Git credentials for AWS CodeCommit** —Select **Generate credentials untuk menghasilkan** kumpulan kredensi pengguna yang unik untuk digunakan dengan repositori Git. Pilih **Unduh kredensi** untuk menyimpan nama pengguna dan kata sandi ke file.csv. Ini adalah satu-satunya waktu informasi tersedia. Jika Anda lupa atau kehilangan kata sandi, Anda harus mengatur ulang kata sandi.
   + **Kredensial untuk Amazon Keyspaces (untuk Apache Cassandra)** —Pilih Hasilkan kredensi untuk **menghasilkan kredensi** pengguna khusus layanan yang akan digunakan dengan Amazon Keyspaces. Pilih **Unduh kredensi** untuk menyimpan nama pengguna dan kata sandi ke file.csv. Ini adalah satu-satunya waktu informasi tersedia. Jika Anda lupa atau kehilangan kata sandi, Anda harus mengatur ulang kata sandi.
**penting**  
Kredensi khusus layanan adalah kredensi jangka panjang yang terkait dengan pengguna IAM tertentu dan hanya dapat digunakan untuk layanan yang mereka buat. Untuk memberikan izin peran IAM atau identitas gabungan untuk mengakses semua AWS sumber daya Anda menggunakan kredensi sementara, gunakan autentikasi dengan plugin AWS otentikasi SiGv4 untuk Amazon Keyspaces. *Untuk informasi selengkapnya lihat, [Menggunakan kredensi sementara untuk terhubung ke Amazon Keyspaces (untuk Apache Cassandra) menggunakan peran IAM dan plugin SiGv4 di](https://docs.aws.amazon.com/keyspaces/latest/devguide/access.credentials.html#temporary.credentials.IAM) Panduan Pengembang Amazon Keyspaces (untuk Apache Cassandra).* 
   + **Sertifikat penandatanganan X.509** —Pilih **Buat Sertifikat X.509** jika Anda perlu membuat permintaan protokol SOAP yang aman dan berada di Wilayah yang tidak didukung oleh. AWS Certificate Manager ACM adalah alat pilihan untuk menyediakan, mengelola, dan menerapkan sertifikat server Anda. Untuk informasi selengkapnya tentang penggunaan ACM, lihat [https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html).

Anda telah membuat pengguna dengan akses terprogram dan mengonfigurasinya dengan fungsi **PowerUserAccess**pekerjaan. Kebijakan izin pengguna ini memberikan akses penuh ke setiap layanan kecuali untuk IAM dan. AWS Organizations

Anda dapat menggunakan proses yang sama ini untuk memberikan beban kerja tambahan akses terprogram ke Akun AWS sumber daya Anda, jika beban kerja tidak dapat mengambil peran IAM. Prosedur ini menggunakan kebijakan **PowerUserAccess**terkelola untuk menetapkan izin. Untuk mengikuti praktik terbaik dengan hak istimewa terkecil, pertimbangkan untuk menggunakan kebijakan yang lebih ketat atau membuat kebijakan khusus yang membatasi akses hanya ke sumber daya yang diperlukan oleh program. Untuk mempelajari cara menggunakan kebijakan yang membatasi izin pengguna ke AWS sumber daya tertentu, lihat [Manajemen akses untuk AWS sumber daya](access.md) dan. [Contoh kebijakan berbasis identitas IAM](access_policies_examples.md) Untuk menambahkan pengguna tambahan ke grup pengguna setelah dibuat, lihat [Mengedit pengguna dalam grup IAM](id_groups_manage_add-remove-users.md).

------
#### [ AWS CLI ]

1. Buat pengguna bernama**Automation**.
   + [aws iam buat-pengguna](https://docs.aws.amazon.com/cli/latest/reference/iam/create-user.html)

   ```
                 aws iam create-user \
                     --user-name Automation
   ```

1. Buat grup pengguna IAM bernama**AutomationGroup**, lampirkan kebijakan AWS terkelola `PowerUserAccess` ke grup, lalu tambahkan **Automation** pengguna ke grup. 
**catatan**  
*Kebijakan terkelola AWS * adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. Setiap kebijakan memiliki Nama Sumber Daya Amazon (ARN) sendiri yang menyertakan nama kebijakan. Misalnya, `arn:aws:iam::aws:policy/IAMReadOnlyAccess` adalah kebijakan yang AWS dikelola. Untuk informasi lebih lanjut tentang ARNs, lihat[IAM ARNs](reference_identifiers.md#identifiers-arns). Untuk mengetahui daftar kebijakan AWS terkelola Layanan AWS, lihat [kebijakan AWS terkelola](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/policy-list.html).
   + [aws iam membuat grup](https://docs.aws.amazon.com/cli/latest/reference/iam/create-group.html) 

     ```
                       aws iam create-group \
                           --group-name AutomationGroup
     ```
   + [aws iam attach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html)

     ```
                       aws iam attach-group-policy \
                           --policy-arn arn:aws:iam::aws:policy/PowerUserAccess \
                           --group-name AutomationGroup
     ```
   + [aws iam add-user-to-group](https://docs.aws.amazon.com/cli/latest/reference/iam/add-user-to-group.html) 

     ```
                      aws iam add-user-to-group \
                          --user-name Automation \
                          --group-name AutomationGroup
     ```
   + Jalankan perintah [aws iam get-group](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group.html) untuk mencantumkan **AutomationGroup** dan anggotanya.

     ```
                     aws iam get-group \
                          --group-name AutomationGroup
     ```

1. Buat kredenal keamanan yang diperlukan untuk beban kerja.
   + **Buat kunci akses untuk pengujian** — [aws iam create-access-key](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html)

     ```
                            aws iam create-access-key \
                                --user-name Automation
     ```

     Output dari perintah ini menampilkan kunci akses rahasia dan ID kunci akses. Rekam dan simpan informasi ini di lokasi yang aman. Jika kredenal ini hilang, mereka tidak dapat dipulihkan, dan Anda harus membuat kunci akses baru.
**penting**  
Kunci akses pengguna IAM ini adalah kredensi jangka panjang yang menghadirkan risiko keamanan ke akun Anda. Setelah Anda menyelesaikan pengujian, kami sarankan Anda menghapus kunci akses ini. Jika Anda memiliki skenario di mana Anda mempertimbangkan kunci akses, selidiki apakah Anda dapat mengaktifkan MFA untuk pengguna IAM beban kerja Anda dan gunakan [aws sts get-session-token](https://docs.aws.amazon.com/cli/latest/reference/sts/get-session-token.html) untuk mendapatkan kredensi sementara untuk sesi tersebut alih-alih menggunakan kunci akses IAM.
   + **Unggah kunci publik SSH untuk AWS CodeCommit** — [aws](https://docs.aws.amazon.com/cli/latest/reference/iam/upload-ssh-public-key.html) iam upload-ssh-public-key

     Contoh berikut mengasumsikan bahwa Anda memiliki kunci publik SSH Anda disimpan dalam file. `sshkey.pub`

     ```
                            aws upload-ssh-public-key \
                                --user-name Automation \
                                --ssh-public-key-body file://sshkey.pub
     ```
   + **Unggah sertifikat penandatanganan X.509** [— aws iam upload-signing-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/upload-signing-certificate.html)

     Unggah sertifikat X.509 jika Anda perlu membuat permintaan protokol SOAP yang aman dan berada di Wilayah yang tidak didukung oleh. AWS Certificate Manager ACM adalah alat pilihan untuk menyediakan, mengelola, dan menerapkan sertifikat server Anda. Untuk informasi selengkapnya tentang penggunaan ACM, lihat [https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html).

     Contoh berikut mengasumsikan bahwa Anda memiliki sertifikat penandatanganan X.509 yang disimpan dalam file. `certificate.pem`

     ```
                           aws iam upload-signing-certificate \
                           --user-name Automation \
                           --certificate-body file://certificate.pem
     ```

Anda dapat menggunakan proses yang sama ini untuk memberikan beban kerja tambahan akses terprogram ke Akun AWS sumber daya Anda, jika beban kerja tidak dapat mengambil peran IAM. Prosedur ini menggunakan kebijakan **PowerUserAccess**terkelola untuk menetapkan izin. Untuk mengikuti praktik terbaik dengan hak istimewa terkecil, pertimbangkan untuk menggunakan kebijakan yang lebih ketat atau membuat kebijakan khusus yang membatasi akses hanya ke sumber daya yang diperlukan oleh program. Untuk mempelajari cara menggunakan kebijakan yang membatasi izin pengguna ke AWS sumber daya tertentu, lihat [Manajemen akses untuk AWS sumber daya](access.md) dan. [Contoh kebijakan berbasis identitas IAM](access_policies_examples.md) Untuk menambahkan pengguna tambahan ke grup pengguna setelah dibuat, lihat [Mengedit pengguna dalam grup IAM](id_groups_manage_add-remove-users.md).

------

# Gunakan otentikasi multi-faktor dengan identitas Anda
<a name="gs-identities-mfa"></a>

Menggunakan otentikasi multi-faktor (MFA) dengan identitas Anda adalah praktik terbaik IAM lainnya. MFA adalah lapisan keamanan tambahan yang mengharuskan pengguna untuk memberikan faktor otentikasi tambahan setelah memberikan nama pengguna dan kata sandi mereka untuk memverifikasi identitas mereka. Ini secara signifikan meningkatkan keamanan dengan membuatnya lebih sulit bagi penyerang untuk mendapatkan akses yang tidak sah, bahkan jika kata sandi pengguna dikompromikan. MFA secara luas diadopsi sebagai praktik terbaik untuk mengamankan akses ke akun online, layanan cloud, dan sumber daya sensitif lainnya. AWS mendukung MFA untuk pengguna root, pengguna IAM, pengguna di IAM Identity Center, Builder ID, dan pengguna federasi. Untuk keamanan tambahan, Anda dapat membuat kebijakan yang mengharuskan MFA dikonfigurasi sebelum mengizinkan pengguna mengakses sumber daya atau mengambil tindakan tertentu dan melampirkan kebijakan ini ke peran IAM Anda. IAM Identity Center hadir dengan MFA yang dihidupkan secara default sehingga semua pengguna di IAM Identity Center harus masuk dengan MFA selain nama pengguna dan kata sandi mereka.

**catatan**  
Semua Akun AWS jenis (akun mandiri, manajemen, dan anggota) memerlukan MFA untuk dikonfigurasi untuk pengguna root mereka. Pengguna harus mendaftarkan MFA dalam waktu 35 hari sejak upaya masuk pertama mereka untuk mengakses jika Konsol Manajemen AWS MFA belum diaktifkan.

Untuk informasi selengkapnya, lihat [Mengkonfigurasi MFA di Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/mfa-getting-started.html) dan. [AWS Otentikasi multi-faktor di IAM](id_credentials_mfa.md)

# Bersiaplah untuk izin dengan hak istimewa paling sedikit
<a name="getting-started-reduce-permissions"></a>

Menggunakan *izin hak istimewa paling rendah adalah rekomendasi praktik* terbaik IAM. Konsep izin hak istimewa paling rendah adalah memberi pengguna izin yang diperlukan untuk melakukan tugas dan tidak ada izin tambahan. Saat Anda menyiapkan, pertimbangkan bagaimana Anda akan mendukung izin hak istimewa paling sedikit. Pengguna root, pengguna administratif, dan pengguna IAM akses darurat memiliki izin kuat yang tidak diperlukan untuk tugas sehari-hari. Saat Anda mempelajari AWS dan menguji berbagai layanan, kami sarankan Anda membuat setidaknya satu pengguna tambahan di IAM Identity Center dengan izin yang lebih rendah yang dapat Anda gunakan dalam skenario yang berbeda. Anda dapat menggunakan kebijakan IAM untuk menentukan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu dan kemudian terhubung ke sumber daya tersebut dengan akun istimewa Anda yang lebih rendah.

Jika Anda menggunakan IAM Identity Center, pertimbangkan untuk menggunakan set izin IAM Identity Center untuk memulai. Untuk mempelajari selengkapnya, lihat [Membuat set izin](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) di *Panduan Pengguna Pusat Identitas IAM*. 

Jika Anda tidak menggunakan IAM Identity Center, gunakan peran IAM untuk menentukan izin untuk entitas IAM yang berbeda. Untuk mempelajari selengkapnya, lihat [Pembuatan peran IAM](id_roles_create.md).

Kedua peran IAM dan kumpulan izin Pusat Identitas IAM dapat menggunakan kebijakan AWS terkelola berdasarkan fungsi pekerjaan. Untuk detail tentang izin yang diberikan oleh kebijakan ini, lihat[AWS kebijakan terkelola untuk fungsi pekerjaan](access_policies_job-functions.md). 

**penting**  
Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan oleh semua pelanggan. AWS Setelah menyiapkan, kami menyarankan Anda menggunakan IAM Access Analyzer untuk membuat kebijakan hak istimewa paling sedikit berdasarkan aktivitas akses Anda yang masuk. AWS CloudTrail Untuk informasi selengkapnya tentang pembuatan kebijakan, lihat pembuatan [kebijakan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html).

Saat memulai, sebaiknya gunakan kebijakan AWS terkelola untuk memberikan izin. Setelah periode aktivitas sampel yang telah ditentukan sebelumnya (seperti 90 hari) berlalu, Anda dapat meninjau layanan yang diakses orang dan beban kerja. Kemudian Anda dapat membuat kebijakan terkelola pelanggan baru dengan izin yang dikurangi untuk mengganti kebijakan AWS terkelola. Kebijakan baru harus mencakup hanya layanan yang diakses selama periode sampel. Perbarui izin Anda untuk menghapus kebijakan AWS terkelola dan melampirkan kebijakan terkelola pelanggan baru yang Anda buat. 

# Meninjau informasi terakhir yang diakses untuk akun Anda AWS
<a name="getting-started-reduce-permissions-last-accessed"></a>

Anda dapat melihat informasi layanan yang terakhir diakses untuk IAM menggunakan konsol IAM, AWS CLI, atau AWS API. Untuk informasi penting tentang data, izin yan diperlukan, pemecahan masalah, dan region yang didukung lihat [Memperbaiki izin dalam AWS menggunakan informasi yang terakhir diakses](access_policies_last-accessed.md).

Anda dapat melihat informasi untuk jenis sumber daya berikut di IAM. Dalam setiap kejadian, informasi tersebut mencakup layanan yang diizinkan untuk periode pelaporan tertentu:
+ **Pengguna IAM** — Lihat terakhir kali pengguna mencoba mengakses setiap layanan yang diizinkan.
+ **Grup IAM** — Melihat informasi tentang terakhir kali anggota grup IAM mencoba mengakses setiap layanan yang diizinkan. Laporan ini juga mencakup jumlah total anggota yang mencoba mengaksesnya.
+ **Peran IAM** — Lihat terakhir kali seseorang menggunakan peran tersebut dalam upaya mengakses setiap layanan yang diizinkan.
+ **Kebijakan** – Melihat informasi terakhir kali pengguna atau peran mencoba mengakses setiap layanan yang diizinkan. Laporan ini juga mencakup jumlah total entitas yang mencoba mengaksesnya.

**catatan**  
Sebelum Anda melihat informasi akses untuk sumber daya di IAM, pastikan Anda memahami periode pelaporan, entitas yang dilaporkan, dan jenis kebijakan yang dievaluasi untuk informasi Anda. Untuk lebih detailnya, lihat [Hal yang perlu diketahui tentang informasi yang terakhir diakses](access_policies_last-accessed.md#access_policies_last-accessed-know).

Untuk informasi selengkapnya tentang informasi yang terakhir diakses, lihat [Memperbaiki izin dalam AWS menggunakan informasi yang terakhir diakses](access_policies_last-accessed.md).

## Untuk meninjau informasi yang terakhir diakses untuk Akun AWS
<a name="getting-started-reduce-permissions-last-accessed-proc"></a>

------
#### [ Console ]

1. Ikuti prosedur masuk yang sesuai dengan jenis pengguna Anda seperti yang dijelaskan dalam topik [Cara](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) masuk AWS di *Panduan Pengguna AWS Masuk*.

1. Pada halaman **Beranda Konsol IAM**, di panel navigasi kiri, masukkan kueri Anda di kotak teks **Search IAM**.

1. Di panel navigasi, pilih **Grup pengguna**, **Pengguna**, **Peran**, atau **Kebijakan**.

1. Pilih nama pengguna, grup pengguna, peran, atau kebijakan apa pun untuk membuka halaman **Ringkasannya** dan pilih tab **Terakhir Diakses**. Lihat informasi berikut, berdasarkan sumber daya yang Anda pilih:
   + **Grup pengguna** - Lihat daftar layanan yang dapat diakses oleh anggota grup pengguna. Anda juga dapat melihat kapan anggota terakhir mengakses layanan, kebijakan grup pengguna apa yang mereka gunakan, dan anggota grup pengguna mana yang membuat permintaan. Pilih nama kebijakan untuk dipelajari baik merupakan kebijakan terkelola atau kebijakan grup pengguna inline. Pilih nama anggota grup pengguna untuk melihat semua anggota grup pengguna dan kapan mereka terakhir kali mengakses layanan.
   + **Pengguna** – Lihat daftar layanan yang dapat diakses pengguna. Anda juga dapat melihat kapan mereka terakhir mengakses layanan, dan kebijakan apa yang saat ini terkait dengan pengguna. Pilih nama kebijakan untuk dipelajari baik ia merupakan kebijakan terkelola, kebijakan pengguna inline, atau kebijakan inline untuk grup pengguna.
   + **Peran** – Lihat daftar layanan yang dapat diakses oleh peran, kapan peran terakhir mengakses layanan, dan kebijakan apa yang digunakan. Pilih nama kebijakan untuk dipelajari baik ia merupakan kebijakan terkelola atau kebijakan peran selaras.
   + **Kebijakan** – Lihat daftar layanan dengan tindakan yang diperbolehkan dalam kebijakan. Anda juga dapat melihat kapan kebijakan terakhir digunakan untuk mengakses layanan, dan entitas (pengguna atau peran) mana yang menggunakan kebijakan tersebut. Tanggal **Terakhir diakses** juga mencakup kapan akses diberikan ke kebijakan ini melalui kebijakan lain. Pilih nama entitas untuk dipelajari yang sudah terlampirkan dengan kebijakan ini dan kapan terakhir kali mereka mengakses layanan.

1. Di kolom **Layanan** tabel, pilih nama [salah satu layanan yang menyertakan informasi tindakan yang terakhir diakses](access_policies_last-accessed-action-last-accessed.md) untuk melihat daftar tindakan manajemen yang telah dicoba diakses oleh entitas IAM. Anda dapat melihat Wilayah AWS dan stempel waktu yang menunjukkan kapan seseorang terakhir mencoba melakukan tindakan.

1. Kolom **Terakhir diakses** ditampilkan untuk layanan dan tindakan manajemen [layanan yang menyertakan informasi tindakan yang terakhir diakses](access_policies_last-accessed-action-last-accessed.md). Tinjau hasil-hasil berikut yang kemungkinan muncul dalam kolom ini. Hasil ini bervariasi tergantung pada apakah layanan atau tindakan diizinkan, diakses, dan apakah terlacak oleh AWS untuk informasi yang terakhir diakses.   
**<jumlah> hari yang lalu**  
Jumlah hari sejak layanan atau tindakan digunakan dalam periode pelacakan. Periode pelacakan layanan adalah selama 400 hari terakhir. Periode pelacakan untuk tindakan Amazon S3 dimulai pada 12 April 2020. Periode pelacakan untuk tindakan Amazon EC2, IAM, dan Lambda dimulai pada 7 April 2021. Periode pelacakan untuk semua layanan lainnya dimulai pada 23 Mei 2023. Untuk mempelajari selengkapnya tentang melacak tanggal mulai masing-masing Wilayah AWS, lihat[Tempat AWS melacak informasi terakhir yang diakses](access_policies_last-accessed.md#last-accessed_tracking-period).  
**Tidak diakses dalam periode pelacakan**  
Layanan atau tindakan yang dilacak belum digunakan oleh entitas dalam periode pelacakan.

   Anda dapat memiliki izin untuk tindakan yang tidak muncul dalam daftar. Ini dapat terjadi jika informasi pelacakan untuk tindakan saat ini tidak disertakan oleh AWS. Anda tidak diperkenankan mengambil keputusan izin hanya berdasarkan ketiadaan informasi pelacakan. Alih-alih, kami menyarankan agar Anda menggunakan informasi ini untuk menginformasikan dan mendukung strategi Anda secara keseluruhan untuk memberikan privilese paling sedikit. Periksa kebijakan Anda untuk mengonfirmasi bahwa tingkat akses sesuai.

------
#### [ AWS CLI ]

Anda dapat menggunakan AWS CLI untuk mengambil informasi tentang terakhir kali sumber daya IAM di Anda Akun AWS digunakan untuk mencoba mengakses AWS layanan dan tindakan Amazon S3, Amazon EC2, IAM, dan Lambda. Sumber daya IAM dapat berupa pengguna, grup pengguna, peran, atau kebijakan.
+ Hasilkan laporan untuk sumber daya IAM di file Akun AWS. Permintaan harus menyertakan ARN sumber daya IAM (pengguna, grup pengguna, peran, atau kebijakan) yang Anda inginkan laporannya. Anda dapat menentukan tingkat perincian yang ingin Anda buat dalam laporan untuk melihat detail akses baik untuk layanan maupun layanan beserta tindakan. Permintaan tersebut menghasilkan `job-id` yang kemudian dapat Anda gunakan di operasi `get-service-last-accessed-details` dan `get-service-last-accessed-details-with-entities` untuk memonitor `job-status` hingga pekerjaan selesai.
  + [detail aws iam generate-service-last-accessed](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-service-last-accessed-details.html)

  1. Dapatkan detail laporan menggunakan parameter `job-id` dari langkah sebelumnya.
     + [detail aws iam get-service-last-accessed](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-last-accessed-details.html)

     Operasi ini menghasilkan informasi berikut, berdasarkan jenis sumber daya dan tingkat IT yang Anda minta di `generate-service-last-accessed-details` operasi:
     + **Pengguna** – Menghasilkan daftar layanan yang dapat diakses oleh pengguna tertentu. Untuk setiap layanan, operasi menyatakan tanggal dan waktu upaya terakhir pengguna dan ARN pengguna.
     + **Grup pengguna** — Mengembalikan daftar layanan yang dapat diakses oleh anggota grup pengguna tertentu menggunakan kebijakan yang dilampirkan ke grup pengguna. Untuk setiap layanan, operasi menyatakan tanggal dan waktu percobaan terakhir yang dilakukan oleh anggota grup pengguna mana pun. Ia juga menyatakan ARN pengguna tersebut dan jumlah total anggota grup pengguna yang telah mencoba mengakses layanan. Gunakan [GetServiceLastAccessedDetailsWithEntities](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetailsWithEntities.html) untuk memperoleh daftar semua anggota.
     + **Peran** – Menghasilkan daftar layanan yang dapat diakses oleh peran tertentu. Untuk setiap layanan, operasi menyatakan tanggal dan waktu upaya terakhir peran dan ARN peran.
     + **Kebijakan** – Menghasilkan daftar layanan yang dapat diakses oleh kebijakan tertentu. Untuk setiap layanan, operasi menyatakan tanggal dan waktu percobaan terakhir entitas (pengguna atau peran) untuk mengakses layanan menggunakan kebijakan. Ia juga menyatakan ARN dari entitas tersebut dan jumlah total entitas yang mencoba mengakses.

  1. Pelajari lebih lanjut tentang entitas yang menggunakan izin grup pengguna atau kebijakan dalam upaya mengakses layanan tertentu. Operasi ini menghasilkan daftar entitas setiap ARN, ID, nama, jalur, jenis (pengguna atau peran), dan kapan mereka terakhir kali mencoba mengakses layanan. Anda juga dapat menggunakan operasi ini untuk pengguna dan peran, tetapi ia hanya menyatakan informasi tentang entitas tersebut.
     + [aws iam get-service-last-accessed - details-with-entities](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-last-accessed-details-with-entities.html)

  1. Pelajari lebih lanjut tentang kebijakan berbasis identitas yang digunakan oleh suatu identitas (pengguna, grup pengguna, atau peran) dalam upaya mengakses layanan tertentu. Saat Anda menetapkan identitas dan layanan, operasi ini menghasilkan daftar kebijakan izin yang dapat digunakan oleh identitas tersebut untuk mengakses layanan tertentu. Operasi ini memberikan status kebijakan terkini dan tidak bergantung pada laporan yang dihasilkan. Ini juga tidak menampilkan jenis kebijakan lain, seperti kebijakan berbasis sumber daya, daftar kontrol akses, kebijakan, batas izin IAM, atau AWS Organizations kebijakan sesi. Untuk informasi selengkapnya, lihat [Jenis kebijakan](access_policies.md#access_policy-types) atau [Evaluasi kebijakan untuk permintaan dalam satu akun](reference_policies_evaluation-logic_policy-eval-basics.md).
     + [aws iam list-policies-granting-service -akses](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies-granting-service-access.html)

------
#### [ API ]

Anda dapat menggunakan AWS API untuk mengambil informasi tentang terakhir kali sumber daya IAM digunakan untuk mencoba mengakses AWS layanan dan tindakan Amazon S3, Amazon EC2, IAM, dan Lambda. Sumber daya IAM dapat berupa pengguna, grup pengguna, peran, atau kebijakan. Anda dapat menentukan tingkat perincian yang ingin Anda buat dalam laporan untuk melihat baik layanan maupun layanan beserta tindakan. 

1. Buat laporan. Permintaan harus menyertakan ARN sumber daya IAM (pengguna, grup pengguna, peran, atau kebijakan) yang Anda inginkan laporannya. Ia menghasilkan `JobId` yang kemudian dapat Anda gunakan di operasi `GetServiceLastAccessedDetails` dan `GetServiceLastAccessedDetailsWithEntities` untuk memonitor `JobStatus` hingga pekerjaan selesai.
   + [GenerateServiceLastAccessedDetails](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateServiceLastAccessedDetails.html)

1. Dapatkan detail laporan menggunakan parameter `JobId` dari langkah sebelumnya.
   + [GetServiceLastAccessedDetails](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetails.html)

   Operasi ini menghasilkan informasi berikut, berdasarkan jenis sumber daya dan tingkat IT yang Anda minta di `GenerateServiceLastAccessedDetails` operasi:
   + **Pengguna** – Menghasilkan daftar layanan yang dapat diakses oleh pengguna tertentu. Untuk setiap layanan, operasi menyatakan tanggal dan waktu upaya terakhir pengguna dan ARN pengguna.
   + **Grup pengguna** — Mengembalikan daftar layanan yang dapat diakses oleh anggota grup pengguna tertentu menggunakan kebijakan yang dilampirkan ke grup pengguna. Untuk setiap layanan, operasi menyatakan tanggal dan waktu percobaan terakhir yang dilakukan oleh anggota grup pengguna mana pun. Ia juga menyatakan ARN pengguna tersebut dan jumlah total anggota grup pengguna yang telah mencoba mengakses layanan. Gunakan [GetServiceLastAccessedDetailsWithEntities](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetailsWithEntities.html) untuk memperoleh daftar semua anggota.
   + **Peran** – Menghasilkan daftar layanan yang dapat diakses oleh peran tertentu. Untuk setiap layanan, operasi menyatakan tanggal dan waktu upaya terakhir peran dan ARN peran.
   + **Kebijakan** – Menghasilkan daftar layanan yang dapat diakses oleh kebijakan tertentu. Untuk setiap layanan, operasi menyatakan tanggal dan waktu percobaan terakhir entitas (pengguna atau peran) untuk mengakses layanan menggunakan kebijakan. Ia juga menyatakan ARN dari entitas tersebut dan jumlah total entitas yang mencoba mengakses.

1. Pelajari lebih lanjut tentang entitas yang menggunakan izin grup pengguna atau kebijakan dalam upaya mengakses layanan tertentu. Operasi ini menghasilkan daftar entitas setiap ARN, ID, nama, jalur, jenis (pengguna atau peran), dan kapan mereka terakhir kali mencoba mengakses layanan. Anda juga dapat menggunakan operasi ini untuk pengguna dan peran, tetapi ia hanya menyatakan informasi tentang entitas tersebut.
   + [GetServiceLastAccessedDetailsWithEntities](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetailsWithEntities.html)

1. Pelajari lebih lanjut tentang kebijakan berbasis identitas yang digunakan oleh suatu identitas (pengguna, grup pengguna, atau peran) dalam upaya mengakses layanan tertentu. Saat Anda menetapkan identitas dan layanan, operasi ini menghasilkan daftar kebijakan izin yang dapat digunakan oleh identitas tersebut untuk mengakses layanan tertentu. Operasi ini memberikan status kebijakan terkini dan tidak bergantung pada laporan yang dihasilkan. Ini juga tidak menampilkan jenis kebijakan lain, seperti kebijakan berbasis sumber daya, daftar kontrol akses, kebijakan, batas izin IAM, atau AWS Organizations kebijakan sesi. Untuk informasi selengkapnya, lihat [Jenis kebijakan](access_policies.md#access_policy-types) atau [Evaluasi kebijakan untuk permintaan dalam satu akun](reference_policies_evaluation-logic_policy-eval-basics.md).
   + [ListPoliciesGrantingServiceAccess](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPoliciesGrantingServiceAccess.html)

------

# Menghasilkan kebijakan berdasarkan aktivitas akses
<a name="getting-started_reduce-permissions-edit-policy"></a>

Anda dapat menggunakan aktivitas akses yang direkam AWS CloudTrail untuk pengguna IAM atau peran IAM agar IAM Access Analyzer menghasilkan kebijakan terkelola pelanggan untuk mengizinkan akses hanya ke layanan yang dibutuhkan pengguna dan peran tertentu. 

Saat IAM Access Analyzer membuat kebijakan IAM, informasi akan dikembalikan untuk membantu Anda menyesuaikan kebijakan lebih lanjut. Dua kategori informasi dapat dihasilkan ketika kebijakan yang membuat:
+ **Kebijakan dengan informasi tingkat tindakan —** Untuk beberapa AWS layanan, seperti Amazon EC2, IAM Access Analyzer dapat mengidentifikasi tindakan yang ditemukan dalam acara CloudTrail Anda dan mencantumkan tindakan yang digunakan dalam kebijakan yang dihasilkannya. Untuk daftar layanan yang didukung, lihat[Layanan pembuatan kebijakan IAM Access Analyzer](access-analyzer-policy-generation-action-last-accessed-support.md). Untuk beberapa layanan, IAM Access Analyzer meminta Anda untuk menambahkan tindakan untuk layanan ke kebijakan yang dihasilkan.
+ **Kebijakan dengan informasi tingkat layanan —** IAM Access Analyzer menggunakan informasi yang [terakhir diakses](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_last-accessed.html) untuk membuat templat kebijakan dengan semua layanan yang baru digunakan. Saat menggunakan Konsol Manajemen AWS, kami meminta Anda untuk meninjau layanan dan menambahkan tindakan untuk menyelesaikan kebijakan.

## Untuk menghasilkan kebijakan berdasarkan aktivitas akses
<a name="getting-started_reduce-permissions-edit-policy-section-1"></a>

Dalam prosedur berikut, kami akan mengurangi izin yang diberikan ke peran agar sesuai dengan penggunaan pengguna. Saat Anda memilih pengguna, pilih pengguna yang penggunaannya mencontohkan peran tersebut. Banyak pelanggan menyiapkan akun pengguna uji dengan **PowerUser**izin dan kemudian meminta mereka melakukan serangkaian tugas tertentu untuk periode waktu yang singkat untuk menentukan akses apa yang diperlukan untuk melakukan tugas-tugas tersebut,

------
#### [ Console ]

1. Ikuti prosedur masuk yang sesuai dengan jenis pengguna Anda seperti yang dijelaskan dalam topik [Cara](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) masuk AWS di *Panduan Pengguna AWS Masuk*.

1. Pada halaman **Beranda Konsol IAM**, di panel navigasi kiri, masukkan kueri Anda di kotak teks **Search IAM**.

1. Di panel navigasi, pilih **Pengguna** dan kemudian pilih nama pengguna untuk masuk ke halaman detail pengguna.

1. Pada tab **Izin**, di bawah Buat kebijakan berdasarkan CloudTrail peristiwa, pilih **Buat kebijakan**. 

1. Pada halaman **Buat kebijakan**, konfigurasikan item berikut:
   + Untuk **Pilih periode waktu**, pilih **7 hari terakhir**.
   + **Untuk CloudTrail jejak yang akan dianalisis**, pilih Wilayah dan jejak tempat aktivitas pengguna ini direkam.
   + Pilih **Buat dan gunakan peran layanan baru**.

1. Pilih **Buat kebijakan** lalu tunggu hingga peran dibuat. Jangan me-refresh atau menjauh dari halaman konsol hingga muncul pesan notifikasi **pembuatan Kebijakan yang sedang berlangsung**.

1. Setelah kebijakan dibuat, Anda harus meninjau dan menyesuaikannya sesuai kebutuhan dengan akun IDs dan ARNs sumber daya. Selain itu, kebijakan yang dibuat secara otomatis mungkin tidak menyertakan informasi tingkat tindakan yang diperlukan untuk menyelesaikan kebijakan. Untuk informasi selengkapnya lihat, pembuatan [kebijakan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html).

   Misalnya, Anda dapat mengedit pernyataan pertama yang menyertakan `Allow` efek dan `NotAction` elemen untuk mengizinkan hanya tindakan Amazon EC2 dan Amazon S3. Untuk melakukan ini, ganti dengan pernyataan yang memiliki ID `FullAccessToSomeServices`. Kebijakan baru Anda bisa terlihat seperti contoh kebijakan berikut.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
         {
             "Sid": "FullAccessToSomeServices",
             "Effect": "Allow",
             "Action": [
                 "ec2:*",
                 "s3:*"
             ],
             "Resource": "*"
         },
         {
             "Effect": "Allow",
             "Action": [
                 "iam:CreateServiceLinkedRole",
                 "iam:DeleteServiceLinkedRole",
                 "iam:ListRoles",
                 "organizations:DescribeOrganization"
             ],
             "Resource": "*"
         }
     ]
   }
   ```

------

1. Untuk mendukung praktik terbaik [memberikan hak istimewa paling rendah](best-practices.md#grant-least-privilege), tinjau dan perbaiki kesalahan, peringatan, atau saran yang dikembalikan selama [validasi kebijakan](access_policies_policy-validator.md).

1. **Untuk mengurangi izin kebijakan Anda terhadap tindakan dan sumber daya tertentu, lihat acara Anda di CloudTrail riwayat Acara.** Di sana Anda dapat melihat informasi terperinci tentang tindakan dan sumber daya spesifik yang telah diakses oleh pengguna Anda. Untuk informasi selengkapnya, lihat [Melihat CloudTrail Acara di CloudTrail Konsol](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html) di *Panduan AWS CloudTrail Pengguna*.

1. Setelah meninjau dan memvalidasi kebijakan Anda, simpan dengan nama deskriptif. 

1. Arahkan ke halaman **Peran** dan pilih peran yang akan diambil orang saat mereka melakukan tugas yang diizinkan oleh kebijakan baru Anda.

1. Pilih tab **Izin**, lalu pilih **Tambahkan izin** dan pilih **Lampirkan** kebijakan.

1. Pada halaman **Lampirkan kebijakan izin**, di daftar **Kebijakan izin lainnya, pilih kebijakan** yang Anda buat, lalu pilih **Lampirkan kebijakan**.

1. Anda dikembalikan ke halaman Detail **peran.** ada dua kebijakan yang dilampirkan peran, kebijakan AWS terkelola sebelumnya, seperti **PowerUserAccess**, dan kebijakan baru Anda. Pilih kotak centang untuk kebijakan AWS terkelola, lalu pilih **Hapus**. Ketika diminta untuk mengonfirmasi penghapusan, pilih **Hapus**.

Pengguna IAM, prinsip federasi SAFL dan OIDC, serta beban kerja yang mengambil peran ini sekarang telah mengurangi akses sesuai dengan kebijakan baru yang Anda buat.

------
#### [ AWS CLI ]

Anda dapat menggunakan perintah berikut untuk menghasilkan kebijakan menggunakan AWS CLI. 

**Untuk membuat kebijakan**
+ [aws accessanalyzer start-policy-generation](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/start-policy-generation.html)

**Untuk melihat kebijakan yang dibuat**
+ [aws accessanalyzer get-generated-policy](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/get-generated-policy.html)

**Untuk membatalkan permintaan pembuatan kebijakan**
+ [aws accessanalyzer cancel-policy-generation](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/cancel-policy-generation.html)

**Untuk melihat daftar permintaan pembuatan kebijakan**
+ [aws accessanalyzer list-policy-generations](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/list-policy-generations.html)

------
#### [ API ]

Anda dapat menggunakan operasi berikut untuk membuat kebijakan menggunakan API AWS .

**Untuk membuat kebijakan**
+ [StartPolicyGeneration](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_StartPolicyGeneration.html)

**Untuk melihat kebijakan yang dibuat**
+ [GetGeneratedPolicy](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetGeneratedPolicy.html)

**Untuk membatalkan permintaan pembuatan kebijakan**
+ [CancelPolicyGeneration](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_CancelPolicyGeneration.html)

**Untuk melihat daftar permintaan pembuatan kebijakan**
+ [ListPolicyGenerations](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ListPolicyGenerations.html)

------

# Menggunakan pencarian untuk menemukan sumber daya IAM
<a name="console_search"></a>

Saat Anda mengerjakan temuan akses, Anda dapat menggunakan halaman pencarian konsol IAM sebagai opsi yang lebih cepat untuk menemukan sumber daya IAM. Anda dapat mencari sumber daya menggunakan nama sumber daya sebagian atau ARNs.

------
#### [ Console ]

Fitur pencarian konsol IAM dapat menemukan salah satu dari berikut ini:
+ Nama entitas IAM yang sesuai dengan kata kunci pencarian Anda (untuk pengguna, grup, peran, penyedia identitas, dan kebijakan)
+ Tugas yang cocok dengan kata kunci pencarian Anda

Fitur pencarian konsol IAM tidak mengembalikan informasi tentang Penganalisis Akses IAM.

Setiap baris dalam hasil pencarian adalah tautan aktif. Misalnya, Anda dapat memilih nama pengguna di hasil pencarian, yang membawa Anda ke laman detail pengguna tersebut. Atau Anda dapat memilih tautan tindakan, misalnya **Buat pengguna**, untuk menuju ke laman **Buat Pengguna**.

**catatan**  
Pencarian access key mengharuskan Anda mengetikkan access key ID penuh di kotak pencarian. Hasil pencarian menampilkan pengguna yang terkait dengan kunci tersebut. Dari sana Anda dapat menavigasi langsung ke halaman pengguna itu, di mana Anda dapat mengelola kunci akses.

Gunakan laman **Cari** di konsol IAM untuk menemukan item yang terkait dengan akun tersebut. 

**Untuk mencari item di konsol IAM**

1. Ikuti prosedur masuk yang sesuai dengan jenis pengguna Anda seperti yang dijelaskan dalam topik [Cara](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) masuk AWS di *Panduan Pengguna AWS Masuk*.

1. Pada halaman **Beranda Konsol IAM**, di panel navigasi kiri, masukkan kueri Anda di kotak teks **Search IAM**.

1. Di panel navigasi, pilih **Cari**. 

1. Di kotak **Cari** ketikkan kata kunci pencarian Anda.

1. Pilih tautan di daftar hasil pencarian untuk menavigasi ke bagian konsol yang sesuai. 

Ikon berikut mengidentifikasi jenis-jenis IT yang ditemukan dengan pencarian:


****  

| Ikon | Deskripsi | 
| --- | --- | 
|  ![\[a portrait outline on gray background\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/search_user.png)  | Pengguna IAM: | 
|  ![\[multiple portrait outlines on a blue background\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/search_group.png)  | Grup IAM | 
|  ![\[a magic wand icon on a navy background\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/search_role.png)  | IAM role | 
|  ![\[a document icon on an organe background\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/search_policy.png)  | Kebijakan IAM | 
|  ![\[a white start on an organe background\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/search_action.png)  | Tugas seperti “buat pengguna” atau “lampirkan kebijakan” | 
|  ![\[a white X on a red background\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/search_delete.png)  | Hasil dari kata kunci delete | 

**Contoh frase pencarian**

Anda dapat menggunakan frasa berikut dalam pencarian IAM. Ganti istilah dalam huruf miring dengan nama pengguna, grup, peran, kunci akses, kebijakan, atau penyedia identitas IAM yang sebenarnya yang ingin Anda temukan.
+ ***user\$1name*** atau ***group\$1name* ** atau ***role\$1name*** atau ***policy\$1name*** atau ***identity\$1provider\$1name***
+ ***access\$1key***
+ **add user *user\$1name* to groups** atau **add users to group *group\$1name***
+ **remove user *user\$1name* from groups**
+ **delete *user\$1name*** atau **delete *group\$1name*** atau **delete *role\$1name***, atau **delete *policy\$1name***, atau **delete *identity\$1provider\$1name***
+ **manage access keys *user\$1name***
+ **manage signing certificates *user\$1name***
+ **users**
+ **manage MFA for *user\$1name***
+ **manage password for *user\$1name***
+ **create role**
+ **password policy**
+ **edit trust policy for role *role\$1name***
+ **show policy document for role *role\$1name***
+ **attach policy to *role\$1name***
+ **create managed policy**
+ **create user**
+ **create group**
+ **attach policy to *group\$1name***
+ **attach entities to *policy\$1name***
+ **detach entities from *policy\$1name***

------