Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Identitas IAM
Identitas IAM dapat dikaitkan dengan satu atau lebih kebijakan, yang menentukan tindakan apa yang diizinkan untuk dilakukan identitas, pada AWS sumber daya mana, dan dalam kondisi apa. Identitas IAM termasuk pengguna IAM, grup IAM, dan peran IAM. Entitas IAM adalah jenis identitas yang mewakili pengguna manusia atau beban kerja terprogram yang dapat diautentikasi dan kemudian diberi wewenang untuk melakukan tindakan di. Akun AWS Entitas IAM mencakup pengguna IAM dan peran IAM. Untuk definisi istilah yang umum digunakan, lihat[Ketentuan](introduction_identity-management.md#intro-structure-terms).
Anda dapat menggabungkan identitas yang ada dari penyedia identitas eksternal. Identitas ini akan mengambil peran IAM untuk mengakses AWS sumber daya. Untuk informasi selengkapnya, lihat [Penyedia identitas dan federasi ke AWS](id_roles_providers.md).
Anda juga dapat menggunakan AWS IAM Identity Center untuk membuat dan mengelola identitas dan akses ke AWS sumber daya. Set izin IAM Identity Center secara otomatis membuat peran IAM yang diperlukan untuk menyediakan akses ke sumber daya. Untuk informasi lebih lanjut, lihat [Apa itu Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)?
Pengguna root akun AWS Itu adalah Akun AWS prinsip yang dibuat ketika Anda Akun AWS didirikan. Pengguna root memiliki akses ke semua AWS layanan dan sumber daya di akun. Untuk informasi selengkapnya, lihat [Pengguna root IAM](#id_root).
**catatan**
Ikuti [praktik terbaik Keamanan di IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices-use-cases.html) saat bekerja dengan identitas IAM.
Ikuti [praktik terbaik pengguna root untuk Anda Akun AWS](root-user-best-practices.md) saat bekerja dengan pengguna root.
Jika Anda mengalami masalah saat masuk, lihat [Masuk ke Konsol Manajemen AWS](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html).
## Pengguna root IAM
Saat pertama kali membuat Akun AWS, Anda mulai dengan satu identitas masuk yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya di akun. Identitas ini disebut *pengguna Akun AWS root*. Untuk informasi selengkapnya, lihat [pengguna root AWS akun.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
## Pengguna IAM:
*Pengguna IAM* adalah identitas dalam diri Anda Akun AWS yang memiliki izin khusus untuk satu orang atau aplikasi. Untuk informasi selengkapnya, lihat [pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html).
## Grup pengguna IAM
*Grup pengguna IAM* adalah identitas yang menentukan kumpulan pengguna IAM. Untuk informasi selengkapnya, lihat [Grup pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html).
## Peran IAM
*Peran IAM* adalah identitas dalam diri Anda Akun AWS yang memiliki izin khusus. Ini mirip dengan pengguna IAM, tetapi tidak terkait dengan orang tertentu. Untuk informasi selengkapnya, lihat [peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html).
# Pengguna root akun AWS
Saat pertama kali membuat akun Amazon Web Services (AWS), Anda mulai dengan satu identitas masuk yang memiliki akses lengkap ke semua AWS layanan dan sumber daya di akun. Identitas ini disebut *pengguna root AWS * akun. Alamat email dan kata sandi yang Anda gunakan untuk membuat Akun AWS adalah kredensil yang Anda gunakan untuk masuk sebagai pengguna root Anda.
+ Gunakan pengguna root hanya untuk melakukan tugas-tugas yang memerlukan izin tingkat root. Untuk daftar lengkap tugas yang mengharuskan Anda masuk sebagai pengguna root, lihat[Tugas yang memerlukan kredensial pengguna root](#root-user-tasks).
+ Ikuti [praktik terbaik pengguna root untuk Anda Akun AWS](root-user-best-practices.md).
+ Jika Anda mengalami masalah saat masuk, lihat [Masuk ke Konsol Manajemen AWS](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html).
**penting**
Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari Anda dan Anda mengikuti [praktik terbaik pengguna root untuk Anda Akun AWS](root-user-best-practices.md). Lindungi kredensial pengguna root Anda dan gunakan kredensial tersebut untuk melakukan tugas yang hanya dapat dilakukan pengguna root. Untuk daftar lengkap tugas yang mengharuskan Anda masuk sebagai pengguna root, lihat[Tugas yang memerlukan kredensial pengguna root](#root-user-tasks).
Meskipun MFA diberlakukan untuk pengguna root secara default, MFA memerlukan tindakan pelanggan untuk menambahkan MFA selama pembuatan akun awal atau seperti yang diminta saat masuk. Untuk informasi selengkapnya tentang penggunaan MFA untuk melindungi pengguna root, lihat. [Otentikasi multi-faktor untuk Pengguna root akun AWS](enable-mfa-for-root.md)
## Kelola akses root untuk akun anggota secara terpusat
Untuk membantu Anda mengelola kredensi dalam skala besar, Anda dapat mengamankan akses ke kredensi pengguna root untuk akun anggota secara terpusat. AWS Organizations Ketika Anda mengaktifkan AWS Organizations, Anda menggabungkan semua AWS akun Anda ke dalam organisasi untuk manajemen pusat. Memusatkan akses root memungkinkan Anda menghapus kredensi pengguna root dan melakukan tugas-tugas istimewa berikut pada akun anggota.
**Hapus kredensi pengguna root akun anggota**
Setelah Anda [memusatkan akses root untuk akun anggota](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html), Anda dapat memilih untuk menghapus kredensyal pengguna root dari akun anggota di Organizations Anda. Anda dapat menghapus kata sandi pengguna root, kunci akses, menandatangani sertifikat, dan menonaktifkan otentikasi multi-faktor (MFA). Akun baru yang Anda buat di Organizations tidak memiliki kredensi pengguna root secara default. Akun anggota tidak dapat masuk ke pengguna root mereka atau melakukan pemulihan kata sandi untuk pengguna root mereka kecuali pemulihan akun diaktifkan.
**Lakukan tugas istimewa yang memerlukan kredensi pengguna root**
Beberapa tugas hanya dapat dilakukan ketika Anda masuk sebagai pengguna root akun. Beberapa di antaranya [Tugas yang memerlukan kredensial pengguna root](#root-user-tasks) dapat dilakukan oleh akun manajemen atau administrator yang didelegasikan untuk IAM. Untuk mempelajari lebih lanjut tentang mengambil tindakan istimewa pada akun anggota, lihat[Lakukan tugas istimewa](id_root-user-privileged-task.md).
**Aktifkan pemulihan akun pengguna root**
Jika Anda perlu memulihkan kredensi pengguna root untuk akun anggota, akun manajemen Organisasi atau administrator yang didelegasikan dapat melakukan tugas istimewa **Izinkan pemulihan kata sandi**. Orang yang memiliki akses ke kotak masuk email pengguna root untuk akun anggota dapat [mengatur ulang kata sandi pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html) untuk memulihkan kredensyal pengguna root. Sebaiknya hapus kredensi pengguna root setelah Anda menyelesaikan tugas yang memerlukan akses ke pengguna root.
# Memusatkan akses root untuk akun anggota
Kredensi pengguna root adalah kredenal awal yang ditetapkan untuk masing-masing Akun AWS yang memiliki akses lengkap ke semua AWS layanan dan sumber daya di akun. Ketika Anda mengaktifkan AWS Organizations, Anda menggabungkan semua AWS akun Anda ke dalam organisasi untuk manajemen pusat. Setiap akun anggota memiliki pengguna root sendiri dengan izin default untuk melakukan tindakan apa pun di akun anggota. Kami menyarankan Anda mengamankan kredenal pengguna root secara terpusat dari penggunaan yang Akun AWS dikelola AWS Organizations untuk mencegah pemulihan kredensi pengguna root dan akses dalam skala besar.
Setelah Anda memusatkan akses root, Anda dapat memilih untuk menghapus kredensi pengguna root dari akun anggota di organisasi Anda. Anda dapat menghapus kata sandi pengguna root, kunci akses, menandatangani sertifikat, dan menonaktifkan otentikasi multi-faktor (MFA). Akun baru yang Anda buat tidak AWS Organizations memiliki kredensi pengguna root secara default. Akun anggota tidak dapat masuk ke pengguna root mereka atau melakukan pemulihan kata sandi untuk pengguna root mereka.
**catatan**
Sementara beberapa [Tugas yang memerlukan kredensial pengguna root](id_root-user.md#root-user-tasks) dapat dilakukan oleh akun manajemen atau administrator yang didelegasikan untuk IAM, beberapa tugas hanya dapat dilakukan ketika Anda masuk sebagai pengguna root akun.
Jika Anda perlu memulihkan kredensi pengguna root untuk akun anggota untuk melakukan salah satu tugas ini, ikuti langkah-langkahnya [Lakukan tugas istimewa](id_root-user-privileged-task.md) dan pilih **Izinkan pemulihan kata sandi**. Orang yang memiliki akses ke kotak masuk email pengguna root untuk akun anggota kemudian dapat mengikuti langkah-langkah untuk [mengatur ulang kata sandi pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html) dan masuk ke pengguna root akun anggota.
Sebaiknya hapus kredensi pengguna root setelah Anda menyelesaikan tugas yang memerlukan akses ke pengguna root.
## Prasyarat
Sebelum Anda memusatkan akses root, Anda harus memiliki akun yang dikonfigurasi dengan pengaturan berikut:
+ Anda harus memiliki izin IAM berikut:
+ `iam:GetAccessKeyLastUsed`
+ `iam:GetAccountSummary`
+ `iam:GetLoginProfile`
+ `iam:GetUser`
+ `iam:ListAccessKeys`
+ `iam:ListMFADevices`
+ `iam:ListSigningCertificates`
+ `sts:AssumeRoot`
**catatan**
Untuk mengaudit status kredensi pengguna root dari akun anggota, Anda dapat menggunakan kebijakan [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials) AWS terkelola untuk mengurangi izin saat Anda melakukan tugas istimewa di akun AWS Organizations anggota, atau menggunakan kebijakan apa pun yang dapat diakses. `iam:GetAccountSummary`
Untuk menghasilkan laporan informasi kredensi pengguna root, kebijakan lain hanya memerlukan `iam:GetAccountSummary` tindakan untuk menghasilkan output yang sama. Anda juga dapat membuat daftar atau mendapatkan informasi kredensi pengguna root individual, termasuk:
Apakah ada kata sandi pengguna root
Apakah kunci akses pengguna root hadir dan kapan terakhir digunakan
Apakah pengguna root telah mengaitkan sertifikat penandatanganan
Perangkat MFA terkait pengguna root
Daftar status kredensi pengguna root yang dikonsolidasikan
+ Anda harus mengelola Akun AWS masuk Anda [AWS Organizations](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_introduction.html).
+ Anda harus memiliki izin berikut untuk mengaktifkan fitur ini di organisasi Anda:
+ `iam:EnableOrganizationsRootCredentialsManagement`
+ `iam:EnableOrganizationsRootSessions`
+ `iam:ListOrganizationsFeatures`
+ `organizations:EnableAwsServiceAccess`
+ `organizations:ListAccountsForParent`
+ `organizations:RegisterDelegatedAdministrator`
+ Untuk memastikan fungsionalitas konsol yang optimal, sebaiknya aktifkan izin tambahan berikut:
+ `organizations:DescribeAccount`
+ `organizations:DescribeOrganization`
+ `organizations:ListAWSServiceAccessForOrganization`
+ `organizations:ListDelegatedAdministrators`
+ `organizations:ListOrganizationalUnitsForParent`
+ `organizations:ListParents`
+ `organizations:ListTagsForResource`
## Mengaktifkan akses root terpusat (konsol)
**Untuk mengaktifkan fitur ini untuk akun anggota di Konsol Manajemen AWS**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi konsol, pilih **Manajemen akses Root**, lalu pilih **Aktifkan**.
**catatan**
Jika Anda melihat **manajemen akses Root dinonaktifkan**, aktifkan akses tepercaya untuk AWS Identity and Access Management masuk AWS Organizations. Untuk detailnya, lihat [AWS IAM dan AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-iam.html) di *Panduan AWS Organizations Pengguna*.
1. Di bagian Kemampuan untuk mengaktifkan, pilih fitur mana yang akan diaktifkan.
+ Pilih **manajemen kredensi Root** untuk mengizinkan akun manajemen dan administrator yang didelegasikan untuk IAM menghapus kredensi pengguna root untuk akun anggota. Anda harus mengaktifkan tindakan root Privileged di akun anggota untuk memungkinkan akun anggota memulihkan kredensi pengguna root mereka setelah dihapus.
+ Pilih **tindakan root Privileged di akun anggota untuk memungkinkan akun** manajemen dan administrator yang didelegasikan untuk IAM untuk melakukan tugas-tugas tertentu yang memerlukan kredensi pengguna root.
1. (Opsional) Masukkan ID akun **administrator yang didelegasikan** yang berwenang untuk mengelola akses pengguna root dan mengambil tindakan istimewa pada akun anggota. Kami merekomendasikan akun yang ditujukan untuk tujuan keamanan atau manajemen.
1. Pilih **Aktifkan**.
## Mengaktifkan akses root terpusat ()AWS CLI
**Untuk mengaktifkan akses root terpusat dari AWS Command Line Interface ()AWS CLI**
1. Jika Anda belum mengaktifkan akses tepercaya untuk AWS Identity and Access Management in AWS Organizations, gunakan perintah berikut: [aws organizations enable-aws-service-access](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/enable-aws-service-access.html).
1. Gunakan perintah berikut untuk mengizinkan akun manajemen dan administrator yang didelegasikan menghapus kredensi pengguna root untuk akun anggota: [aws](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-organizations-root-credentials-management.html) iam -management. enable-organizations-root-credentials
1. [Gunakan perintah berikut untuk mengizinkan akun manajemen dan administrator yang didelegasikan untuk melakukan tugas-tugas tertentu yang memerlukan kredensi pengguna root: aws iam. enable-organizations-root-sessions](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-organizations-root-sessions.html)
1. (Opsional) Gunakan perintah berikut untuk mendaftarkan administrator yang didelegasikan: [aws organizations register-delegated-administrator](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/register-delegated-administrator.html).
Contoh berikut menetapkan akun 111111111111 sebagai administrator yang didelegasikan untuk layanan IAM.
```
aws organizations register-delegated-administrator
--service-principal iam.amazonaws.com
--account-id 111111111111
```
## Mengaktifkan akses root terpusat (API)AWS
**Untuk mengaktifkan akses root terpusat dari API AWS**
1. Jika Anda belum mengaktifkan akses tepercaya untuk AWS Identity and Access Management in AWS Organizations, gunakan perintah berikut: [Aktifkan AWSService Akses](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html).
1. Gunakan perintah berikut untuk mengizinkan akun manajemen dan administrator yang didelegasikan menghapus kredensi pengguna root untuk akun anggota:. [EnableOrganizationsRootCredentialsManagement](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableOrganizationsRootCredentialsManagement.html)
1. Gunakan perintah berikut untuk mengizinkan akun manajemen dan administrator yang didelegasikan untuk melakukan tugas-tugas tertentu yang memerlukan kredensi pengguna root:. [EnableOrganizationsRootSessions](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableOrganizationsRootSessions.html)
1. (Opsional) Gunakan perintah berikut untuk mendaftarkan administrator yang didelegasikan: [RegisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html).
## Langkah selanjutnya
Setelah Anda mengamankan kredensi istimewa secara terpusat untuk akun anggota di organisasi Anda, lihat [Lakukan tugas istimewa](id_root-user-privileged-task.md) untuk mengambil tindakan istimewa pada akun anggota.
# Lakukan tugas istimewa di akun AWS Organizations anggota
Akun AWS Organizations manajemen atau akun administrator yang didelegasikan untuk IAM dapat melakukan beberapa tugas istimewa pada akun anggota yang jika tidak memerlukan kredensil pengguna root. Dengan akses root terpusat, tugas-tugas ini dilakukan melalui sesi istimewa jangka pendek. Sesi ini menyediakan kredensil sementara yang mencakup tindakan istimewa tertentu, tanpa memerlukan login pengguna root di akun anggota.
Setelah meluncurkan sesi istimewa, Anda dapat menghapus kebijakan bucket Amazon S3 yang salah dikonfigurasi, menghapus kebijakan antrian Amazon SQS yang salah dikonfigurasi, menghapus kredensi pengguna root untuk akun anggota, dan mengaktifkan kembali kredensi pengguna root untuk akun anggota.
**catatan**
Untuk menggunakan akses root terpusat, Anda harus masuk melalui akun manajemen atau akun administrator yang didelegasikan sebagai pengguna IAM atau peran dengan `sts:AssumeRoot` izin yang diberikan secara eksplisit. Anda tidak dapat menggunakan kredensil pengguna root untuk menelepon. `sts:AssumeRoot`
## Prasyarat
Sebelum Anda dapat meluncurkan sesi istimewa, Anda harus memiliki pengaturan berikut:
+ Anda telah mengaktifkan akses root terpusat di organisasi Anda. Untuk langkah-langkah untuk mengaktifkan fitur ini, lihat[Memusatkan akses root untuk akun anggota](id_root-enable-root-access.md).
+ Akun manajemen atau akun administrator yang didelegasikan memiliki izin berikut: `sts:AssumeRoot`
## Mengambil tindakan istimewa pada akun anggota (konsol)
**Untuk meluncurkan sesi untuk tindakan istimewa di akun anggota di Konsol Manajemen AWS**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi konsol, pilih **Manajemen akses Root**.
1. Pilih nama dari daftar akun anggota, dan pilih **Ambil tindakan istimewa**.
1. Pilih tindakan istimewa yang ingin Anda ambil di akun anggota.
+ Pilih kebijakan bucket **Delete Amazon S3 untuk menghapus kebijakan bucket** yang salah konfigurasi yang menolak semua prinsipal mengakses bucket Amazon S3.
1. **Pilih **Browse S3** untuk memilih nama dari bucket yang dimiliki oleh akun anggota, dan pilih Pilih.**
1. Pilih **kebijakan Hapus bucket**.
1. Gunakan konsol Amazon S3 untuk memperbaiki kebijakan bucket setelah menghapus kebijakan yang salah konfigurasi. Untuk informasi selengkapnya, lihat [Menambahkan kebijakan bucket menggunakan konsol Amazon S3 di Panduan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) Pengguna *Amazon S3*.
+ Pilih kebijakan **Hapus Amazon SQS untuk menghapus kebijakan** berbasis sumber daya Amazon Simple Queue Service yang menolak semua prinsipal mengakses antrian Amazon SQS.
1. Masukkan nama antrian dalam nama antrian **SQS**, dan pilih **Hapus** kebijakan SQS.
1. Gunakan konsol Amazon SQS untuk memperbaiki kebijakan antrian setelah menghapus kebijakan yang salah konfigurasi. Untuk informasi selengkapnya, lihat [Mengonfigurasi kebijakan akses di Amazon](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-add-permissions.html) SQS di Panduan Pengembang *Amazon SQS*.
+ Pilih **Hapus kredenal root** untuk menghapus akses root dari akun anggota. Menghapus kredensi pengguna root menghapus kata sandi pengguna root, kunci akses, menandatangani sertifikat, dan menonaktifkan otentikasi multi-faktor (MFA) untuk akun anggota.
1. Pilih **Hapus kredenal root**.
+ Pilih **Izinkan pemulihan kata sandi** untuk memulihkan kredensi pengguna root untuk akun anggota.
Opsi ini hanya tersedia ketika akun anggota tidak memiliki kredensi pengguna root.
1. Pilih **Izinkan pemulihan kata sandi**.
1. Setelah mengambil tindakan istimewa ini, orang yang memiliki akses ke kotak masuk email pengguna root untuk akun anggota dapat [mengatur ulang kata sandi pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html) dan masuk ke pengguna root akun anggota.
## Mengambil tindakan istimewa pada akun anggota ()AWS CLI
**Untuk meluncurkan sesi untuk tindakan istimewa di akun anggota dari AWS Command Line Interface**
1. Gunakan perintah berikut untuk mengasumsikan sesi pengguna root: [aws sts assume-root](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/assume-root.html).
**catatan**
Titik akhir global tidak didukung untuk`sts:AssumeRoot`. Anda harus mengirim permintaan ini ke AWS STS titik akhir Regional. Untuk informasi selengkapnya, lihat [Kelola AWS STS dalam sebuah Wilayah AWS](id_credentials_temp_enable-regions.md).
Saat Anda meluncurkan sesi pengguna root istimewa untuk akun anggota, Anda harus menentukan `task-policy-arn` cakupan sesi ke tindakan istimewa yang akan dilakukan selama sesi. Anda dapat menggunakan salah satu kebijakan AWS terkelola berikut untuk mencakup tindakan sesi istimewa.
+ [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials)
+ [IAMCreateRootUserPassword](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMCreateRootUserPassword)
+ [IAMDeleteRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMDeleteRootUserCredentials)
+ [S3 UnlockBucketPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-S3UnlockBucketPolicy)
+ [SQSUnlockQueuePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SQSUnlockQueuePolicy)
Untuk membatasi tindakan yang dapat dilakukan oleh akun manajemen atau administrator yang didelegasikan selama sesi pengguna root istimewa, Anda dapat menggunakan kunci AWS STS kondisi [sts](reference_policies_iam-condition-keys.md#ck_taskpolicyarn):. TaskPolicyArn
Dalam contoh berikut, administrator yang didelegasikan mengasumsikan root untuk menghapus kredensi pengguna root untuk ID akun anggota. *111122223333*
```
aws sts assume-root \
--target-principal 111122223333 \
--task-policy-arn arn=arn:aws:iam::aws:policy/root-task/IAMDeleteRootUserCredentials \
--duration-seconds 900
```
1. Gunakan`SessionToken`,`AccessKeyId`, dan `SecretAccessKey` dari respons untuk melakukan tindakan istimewa di akun anggota. Anda dapat menghilangkan nama pengguna dan kata sandi dalam permintaan untuk default ke akun anggota.
+ **Periksa status kredenal pengguna root**. Gunakan perintah berikut untuk memeriksa status kredensi pengguna root untuk akun anggota.
+ [dapatkan-pengguna](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-user.html)
+ [get-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-login-profile.html)
+ [list-access-keys](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-access-keys.html)
+ [list-signing-certificates](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-signing-certificates.html)
+ [list-mfa-devices](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-mfa-devices.html)
+ [get-access-key-last-digunakan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-access-key-last-used.html)
+ **Hapus kredensial pengguna root**. Gunakan perintah berikut untuk menghapus akses root. Anda dapat menghapus kata sandi pengguna root, kunci akses, menandatangani sertifikat, dan menonaktifkan otentikasi multi-faktor (MFA) untuk menghapus semua akses ke dan pemulihan pengguna root.
+ [delete-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-login-profile.html)
+ [delete-access-key](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-access-key.html)
+ [delete-signing-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-signing-certificate.html)
+ [deactivate-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/deactivate-mfa-device.html)
+ **Hapus kebijakan bucket Amazon S3**. Gunakan perintah berikut untuk membaca, mengedit, dan menghapus kebijakan bucket yang salah konfigurasi yang menolak semua prinsipal mengakses bucket Amazon S3.
+ [daftar-ember](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/list-buckets.html)
+ [get-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/get-bucket-policy.html)
+ [put-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-bucket-policy.html)
+ [delete-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/delete-bucket-policy.html)
+ **Hapus kebijakan Amazon SQS.** Gunakan perintah berikut untuk melihat dan menghapus kebijakan berbasis sumber daya Amazon Simple Queue Service yang menolak semua prinsipal mengakses antrian Amazon SQS.
+ [daftar-antrian](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/list-queues.html)
+ [get-queue-url](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/get-queue-url.html)
+ [get-queue-attributes](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/get-queue-attributes.html)
+ [set-queue-attributes](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/set-queue-attributes.html)
+ **Izinkan pemulihan kata sandi**. Gunakan perintah berikut untuk melihat nama pengguna dan memulihkan kredensi pengguna root untuk akun anggota.
+ [get-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-login-profile.html)
+ [create-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-login-profile.html)
## Mengambil tindakan istimewa pada akun anggota (AWS API)
**Untuk meluncurkan sesi untuk tindakan istimewa di akun anggota dari API AWS**
1. Gunakan perintah berikut untuk mengasumsikan sesi pengguna root: [AssumeRoot](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoot.html).
**catatan**
Titik akhir global tidak didukung untuk AssumeRoot. Anda harus mengirim permintaan ini ke AWS STS titik akhir Regional. Untuk informasi selengkapnya, lihat [Kelola AWS STS dalam sebuah Wilayah AWS](id_credentials_temp_enable-regions.md).
Saat Anda meluncurkan sesi pengguna root istimewa untuk akun anggota, Anda harus menentukan `TaskPolicyArn` cakupan sesi ke tindakan istimewa yang akan dilakukan selama sesi. Anda dapat menggunakan salah satu kebijakan AWS terkelola berikut untuk mencakup tindakan sesi istimewa.
+ [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials)
+ [IAMCreateRootUserPassword](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMCreateRootUserPassword)
+ [IAMDeleteRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMDeleteRootUserCredentials)
+ [S3 UnlockBucketPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-S3UnlockBucketPolicy)
+ [SQSUnlockQueuePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SQSUnlockQueuePolicy)
Untuk membatasi tindakan yang dapat dilakukan oleh akun manajemen atau administrator yang didelegasikan selama sesi pengguna root istimewa, Anda dapat menggunakan kunci AWS STS kondisi [sts](reference_policies_iam-condition-keys.md#ck_taskpolicyarn):. TaskPolicyArn
Dalam contoh berikut, administrator yang didelegasikan mengasumsikan root untuk membaca, mengedit, dan menghapus kebijakan berbasis sumber daya yang salah konfigurasi untuk bucket Amazon S3 untuk ID akun anggota. *111122223333*
```
https://sts.us-east-2.amazonaws.com/
?Version=2011-06-15
&Action=AssumeRoot
&TargetPrincipal=111122223333
&PolicyArns.arn=arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy
&DurationSeconds 900
```
1. Gunakan`SessionToken`,`AccessKeyId`, dan `SecretAccessKey` dari respons untuk melakukan tindakan istimewa di akun anggota. Anda dapat menghilangkan nama pengguna dan kata sandi dalam permintaan untuk default ke akun anggota.
+ **Periksa status kredenal pengguna root**. Gunakan perintah berikut untuk memeriksa status kredensi pengguna root untuk akun anggota.
+ [GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)
+ [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)
+ [ListAccessKeys](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html)
+ [ListSigningCertificates](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListSigningCertificates.html)
+ [Daftar MFADevices](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListMFADevices.html)
+ [GetAccessKeyLastUsed](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html)
+ **Hapus kredensial pengguna root**. Gunakan perintah berikut untuk menghapus akses root. Anda dapat menghapus kata sandi pengguna root, kunci akses, menandatangani sertifikat, dan menonaktifkan otentikasi multi-faktor (MFA) untuk menghapus semua akses ke dan pemulihan pengguna root.
+ [DeleteLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html)
+ [DeleteAccessKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html)
+ [DeleteSigningCertificate](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteSigningCertificate.html)
+ [DeactivateMfaDevice](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html)
+ **Hapus kebijakan bucket Amazon S3**. Gunakan perintah berikut untuk membaca, mengedit, dan menghapus kebijakan bucket yang salah konfigurasi yang menolak semua prinsipal mengakses bucket Amazon S3.
+ [ListBuckets](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBuckets.html)
+ [GetBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html)
+ [PutBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html)
+ [DeleteBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html)
+ **Hapus kebijakan Amazon SQS.** Gunakan perintah berikut untuk melihat dan menghapus kebijakan berbasis sumber daya Amazon Simple Queue Service yang menolak semua prinsipal mengakses antrian Amazon SQS.
+ [ListQueues](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListQueues.html)
+ [GetQueueUrl](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueUrl.html)
+ [GetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueAttributes.html)
+ [SetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html)
+ **Izinkan pemulihan kata sandi**. Gunakan perintah berikut untuk melihat nama pengguna dan memulihkan kredensi pengguna root untuk akun anggota.
+ [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)
+ [CreateLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateLoginProfile.html)
# Otentikasi multi-faktor untuk Pengguna root akun AWS
**penting**
AWS merekomendasikan agar Anda menggunakan kunci sandi atau kunci keamanan untuk MFA, AWS sedapat mungkin karena mereka lebih tahan terhadap serangan seperti phishing. Untuk informasi selengkapnya, lihat [Kunci sandi dan kunci keamanan](#passkeys-security-keys-for-root).
Otentikasi multi-faktor (MFA) adalah mekanisme sederhana dan efektif untuk meningkatkan keamanan Anda. Faktor pertama — kata sandi Anda — adalah rahasia yang Anda hafal, juga dikenal sebagai faktor pengetahuan. Faktor lain dapat berupa faktor kepemilikan (sesuatu yang Anda miliki, seperti kunci keamanan) atau faktor warisan (sesuatu yang Anda miliki, seperti pemindaian biometrik). Untuk meningkatkan keamanan, kami sangat menyarankan Anda mengonfigurasi otentikasi multi-faktor (MFA) untuk membantu melindungi sumber daya Anda. AWS
**catatan**
Semua Akun AWS jenis (akun mandiri, manajemen, dan anggota) memerlukan MFA untuk dikonfigurasi untuk pengguna root mereka. Pengguna harus mendaftarkan MFA dalam waktu 35 hari sejak upaya masuk pertama mereka untuk mengakses jika Konsol Manajemen AWS MFA belum diaktifkan.
Anda dapat mengaktifkan MFA untuk pengguna Pengguna root akun AWS dan IAM. Saat Anda mengaktifkan MFA untuk pengguna root, itu hanya memengaruhi kredensi pengguna root. Untuk informasi selengkapnya tentang cara mengaktifkan MFA untuk pengguna IAM Anda, lihat. [AWS Otentikasi multi-faktor di IAM](id_credentials_mfa.md)
**catatan**
Akun AWS managed using AWS Organizations mungkin memiliki opsi untuk [mengelola akses root secara terpusat](id_root-user.md#id_root-user-access-management) untuk akun anggota untuk mencegah pemulihan kredensi dan akses dalam skala besar. Jika opsi ini diaktifkan, Anda dapat menghapus kredensi pengguna root dari akun anggota, termasuk kata sandi dan MFA, yang secara efektif mencegah masuk sebagai pengguna root, pemulihan kata sandi, atau pengaturan MFA. Atau, jika Anda lebih suka mempertahankan metode masuk berbasis kata sandi, amankan akun Anda dengan mendaftarkan MFA untuk meningkatkan perlindungan akun.
Sebelum Anda mengaktifkan MFA untuk pengguna root Anda, tinjau dan [perbarui pengaturan akun dan informasi kontak](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html) Anda untuk memastikan bahwa Anda memiliki akses ke email dan nomor telepon. Jika perangkat MFA Anda hilang, dicuri, atau tidak berfungsi, Anda masih dapat masuk sebagai pengguna akar dengan memverifikasi identitas menggunakan email dan nomor telepon tersebut. Untuk mempelajari tentang proses masuk menggunakan faktor autentikasi alternatif, lihat [Pulihkan identitas yang dilindungi MFA di IAM](id_credentials_mfa_lost-or-broken.md). Untuk menonaktifkan fitur ini, hubungi [AWS Dukungan](https://console.aws.amazon.com/support/home#/).
AWS mendukung jenis MFA berikut untuk pengguna root Anda:
+ [Kunci sandi dan kunci keamanan](#passkeys-security-keys-for-root)
+ [Aplikasi otentikator virtual](#virtual-auth-apps-for-root)
+ [Token TOTP perangkat keras](#hardware-totp-token-for-root)
## Kunci sandi dan kunci keamanan
AWS Identity and Access Management mendukung kunci sandi dan kunci keamanan untuk MFA. Berdasarkan standar FIDO, kunci sandi menggunakan kriptografi kunci publik untuk memberikan otentikasi yang kuat dan tahan phishing yang lebih aman daripada kata sandi. AWS mendukung dua jenis kunci sandi: kunci sandi terikat perangkat (kunci keamanan) dan kunci sandi yang disinkronkan.
+ **Kunci keamanan**: Ini adalah perangkat fisik, seperti YubiKey, digunakan sebagai faktor kedua untuk otentikasi. Satu kunci keamanan dapat mendukung beberapa akun pengguna root dan pengguna IAM.
+ **Kunci sandi yang disinkronkan**: Ini menggunakan pengelola kredensi dari penyedia seperti Google, Apple, akun Microsoft, dan layanan pihak ketiga seperti 1Password, Dashlane, dan Bitwarden sebagai faktor kedua.
Anda dapat menggunakan autentikator biometrik bawaan, seperti Touch ID di Apple MacBooks, untuk membuka kunci pengelola kredensi dan masuk. AWS Kunci sandi dibuat dengan penyedia pilihan Anda menggunakan sidik jari, wajah, atau PIN perangkat Anda. Anda juga dapat menggunakan kunci sandi otentikasi lintas perangkat (CDA) dari satu perangkat, seperti perangkat seluler atau kunci keamanan perangkat keras, untuk masuk di perangkat lain seperti laptop. Untuk informasi selengkapnya, lihat [otentikasi lintas perangkat](https://passkeys.dev/docs/reference/terms/#cross-device-authentication-cda) (CDA).
Anda dapat menyinkronkan kunci sandi di seluruh perangkat Anda untuk memfasilitasi masuk dengan AWS, meningkatkan kegunaan dan pemulihan. Untuk informasi selengkapnya tentang mengaktifkan kunci sandi dan kunci keamanan, lihat. [Aktifkan kunci sandi atau kunci keamanan untuk pengguna root (konsol)](enable-fido-mfa-for-root.md)
Aliansi FIDO menyimpan daftar semua [produk Bersertifikat FIDO](https://fidoalliance.org/certification/fido-certified-products/) yang kompatibel dengan spesifikasi FIDO.
## Aplikasi otentikator virtual
Aplikasi otentikator virtual berjalan di telepon atau perangkat lain dan mengemulasi perangkat fisik. Aplikasi otentikator virtual menerapkan [algoritma kata sandi satu kali berbasis waktu (TOTP)](https://datatracker.ietf.org/doc/html/rfc6238) dan mendukung beberapa token pada satu perangkat. Pengguna harus mengetikkan kode yang valid dari perangkat saat diminta saat masuk. Setiap token yang ditetapkan untuk pengguna harus unik. Pengguna tidak dapat mengetik kode dari token pengguna lain untuk mengautentikasi.
Kami menyarankan agar Anda menggunakan perangkat MFA virtual saat menunggu untuk mendapatkan persetujuan pembelian perangkat keras atau saat menunggu kedatangan perangkat keras Anda. Untuk daftar beberapa aplikasi yang didukung yang dapat Anda gunakan sebagai perangkat MFA virtual, lihat [Multi-Factor Authentication (MFA](https://aws.amazon.com/iam/features/mfa/?audit=2019q1)). Untuk petunjuk tentang pengaturan perangkat MFA virtual dengan AWS, lihat. [Aktifkan perangkat MFA virtual untuk pengguna root (konsol)](enable-virt-mfa-for-root.md)
## Token TOTP perangkat keras
Perangkat keras menghasilkan kode numerik enam digit berdasarkan algoritma [kata sandi satu kali berbasis waktu](https://datatracker.ietf.org/doc/html/rfc6238) (TOTP). Pengguna harus mengetik kode yang valid dari perangkat di halaman web kedua saat masuk. Setiap perangkat MFA yang ditetapkan ke pengguna harus unik. Pengguna tidak dapat mengetik kode dari perangkat pengguna lain untuk diautentikasi. Untuk informasi tentang perangkat MFA perangkat keras yang didukung, lihat [Multi-Factor Authentication (MFA](https://aws.amazon.com/iam/features/mfa/?audit=2019q1)). Untuk petunjuk tentang menyiapkan token TOTP perangkat keras dengan AWS, lihat. [Aktifkan token TOTP perangkat keras untuk pengguna root (konsol)](enable-hw-mfa-for-root.md)
Jika Anda ingin menggunakan perangkat MFA fisik, kami sarankan Anda menggunakan kunci keamanan FIDO sebagai alternatif perangkat TOTP perangkat keras. Kunci keamanan FIDO menawarkan manfaat tanpa persyaratan baterai, ketahanan phishing, dan mereka mendukung beberapa pengguna root dan IAM pada satu perangkat untuk meningkatkan keamanan.
**Topics**
+ [Kunci sandi dan kunci keamanan](#passkeys-security-keys-for-root)
+ [Aplikasi otentikator virtual](#virtual-auth-apps-for-root)
+ [Token TOTP perangkat keras](#hardware-totp-token-for-root)
+ [Aktifkan kunci sandi atau kunci keamanan untuk pengguna root (konsol)](enable-fido-mfa-for-root.md)
+ [Aktifkan perangkat MFA virtual untuk pengguna root (konsol)](enable-virt-mfa-for-root.md)
+ [Aktifkan token TOTP perangkat keras untuk pengguna root (konsol)](enable-hw-mfa-for-root.md)
# Aktifkan kunci sandi atau kunci keamanan untuk pengguna root (konsol)
Anda dapat mengonfigurasi dan mengaktifkan kunci sandi untuk pengguna root Anda dari Konsol Manajemen AWS satu-satunya, bukan dari AWS CLI atau AWS API.
**Untuk mengaktifkan kunci sandi atau kunci keamanan untuk pengguna root Anda (konsol)**
1. Buka [AWS Management Console](https://console.aws.amazon.com/) dan masuk menggunakan kredensi pengguna root Anda.
Untuk petunjuk, lihat [Masuk ke Konsol Manajemen AWS sebagai pengguna root](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) di *Panduan AWS Sign-In Pengguna*.
1. Di sisi kanan bilah navigasi, pilih nama akun Anda, lalu pilih **Kredensi keamanan**.
![\[Kredensi keamanan di menu navigasi\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)
1. **Pada pengguna root Anda Halaman **kredensial keamanan saya**, di bawah **Autentikasi multi-faktor (MFA), pilih Tetapkan perangkat MFA**.**
1. **Pada halaman **nama perangkat MFA, masukkan nama** **Perangkat**, pilih **Kunci Sandi atau Kunci Keamanan**, lalu pilih Berikutnya.**
1. Pada **Siapkan perangkat**, atur kunci sandi Anda. Buat passkey dengan data biometrik seperti wajah atau sidik jari Anda, dengan pin perangkat, atau dengan memasukkan kunci keamanan FIDO ke port USB komputer Anda dan mengetuknya.
1. Ikuti petunjuk di browser Anda untuk memilih penyedia kunci sandi atau tempat Anda ingin menyimpan kunci sandi untuk digunakan di seluruh perangkat Anda.
1. Pilih **Lanjutkan**.
Anda sekarang telah mendaftarkan passkey Anda untuk digunakan dengan AWS. Lain kali Anda menggunakan kredensi pengguna root Anda untuk masuk, Anda harus mengautentikasi dengan kunci sandi Anda untuk menyelesaikan proses masuk.
Untuk membantu memecahkan masalah dengan kunci keamanan FIDO Anda, lihat. [Memecahkan Masalah Kunci Sandi dan Kunci Keamanan FIDO](troubleshoot_mfa-fido.md)
# Aktifkan perangkat MFA virtual untuk pengguna root (konsol)
Anda dapat menggunakan Konsol Manajemen AWS untuk mengkonfigurasi dan mengaktifkan perangkat MFA virtual untuk pengguna root Anda. Untuk mengaktifkan perangkat MFA Akun AWS, Anda harus masuk AWS menggunakan kredenal pengguna root Anda.
**Untuk mengonfigurasi dan mengaktifkan perangkat MFA virtual untuk digunakan dengan pengguna akar Anda (konsol)**
1. Buka [AWS Management Console](https://console.aws.amazon.com/) dan masuk menggunakan kredensi pengguna root Anda.
Untuk petunjuk, lihat [Masuk ke Konsol Manajemen AWS sebagai pengguna root](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) di *Panduan AWS Sign-In Pengguna*.
1. Di sisi kanan bilah navigasi, pilih nama akun Anda, dan pilih **Kredensi keamanan**.
![\[Kredensi keamanan di menu navigasi\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)
1. **Di bagian **Multi-Factor Authentication (MFA), pilih Tetapkan** perangkat MFA.**
1. Di wizard, ketikkan **nama Perangkat**, pilih **Aplikasi Authenticator**, lalu pilih **Berikutnya**.
IAM menghasilkan dan menampilkan informasi konfigurasi untuk perangkat MFA virtual, termasuk grafik kode QR. Grafik adalah representasi kunci konfigurasi rahasia yang tersedia untuk entri manual pada perangkat yang tidak mendukung kode QR.
1. Buka aplikasi MFA virtual di perangkat.
Jika aplikasi MFA virtual mendukung beberapa perangkat atau akun MFA virtual, pilih opsi untuk membuat perangkat atau akun MFA virtual baru.
1. Cara termudah untuk mengonfigurasi aplikasi adalah menggunakan aplikasi untuk memindai kode QR. Jika Anda tidak dapat memindai kode, Anda dapat mengetik informasi konfigurasi secara manual. Kode QR dan kunci konfigurasi rahasia yang dihasilkan oleh IAM terikat dengan Anda Akun AWS dan tidak dapat digunakan dengan akun yang berbeda. Namun, mereka dapat digunakan kembali untuk mengonfigurasi perangkat MFA baru untuk akun Anda jika Anda kehilangan akses ke perangkat MFA asli.
+ Untuk menggunakan kode QR untuk mengonfigurasi perangkat MFA virtual, dari wizard, pilih **Tampilkan kode QR**. Lalu, ikuti petunjuk aplikasi untuk memindai kode. Misalnya, Anda mungkin perlu memilih ikon kamera atau memilih perintah seperti **Kode batang akun pemindaian**, lalu gunakan kamera perangkat untuk memindai kode QR.
+ Di wizard **Siapkan perangkat**, pilih **Tampilkan kunci rahasia**, lalu ketik kunci rahasia ke dalam aplikasi MFA Anda.
**penting**
Buat cadangan kode QR atau kunci konfigurasi rahasia yang aman, atau pastikan Anda mengaktifkan beberapa perangkat MFA untuk akun Anda. Anda dapat mendaftarkan hingga **delapan** perangkat MFA dari kombinasi [jenis MFA yang saat ini didukung dengan pengguna Anda Pengguna root akun AWS dan IAM](https://aws.amazon.com/iam/features/mfa/). Perangkat MFA virtual mungkin menjadi tidak tersedia, misalnya, jika Anda kehilangan ponsel cerdas tempat perangkat MFA virtual di-host. Jika itu terjadi dan Anda tidak dapat masuk ke akun Anda tanpa perangkat MFA tambahan yang terpasang pada pengguna atau bahkan oleh[Pemulihan perangkat MFA pengguna akar](id_credentials_mfa_lost-or-broken.md#root-mfa-lost-or-broken), Anda tidak akan dapat masuk ke akun Anda dan Anda harus [menghubungi layanan pelanggan untuk menghapus](https://support.aws.amazon.com/#/contacts/aws-mfa-support) perlindungan MFA untuk akun tersebut.
Alat mulai menghasilkan angka enam-digit.
1. Di wizard, di kotak **kode MFA 1**, ketik kata sandi satu kali yang saat ini muncul di perangkat MFA virtual. Tunggu hingga 30 detik untuk membuat kata sandi sekali pakai yang baru. Lalu ketikkan kata sandi satu kali kedua ke kotak **Kode MFA 2**. Pilih **Tambahkan MFA**.
**penting**
Kirim permintaan Anda segera setelah membuat kode. Jika Anda membuat kode dan kemudian menunggu terlalu lama untuk mengirim permintaan, perangkat MFA berhasil menghubungkan pengguna namun perangkat MFA tidak sinkron. Hal ini terjadi karena kata sandi sekali pakai berbasis-waktu kedaluwarsa setelah beberapa waktu. Jika ini terjadi, Anda dapat [menyinkronisasi ulang perangkat](id_credentials_mfa_sync.md).
Perangkat siap digunakan dengan AWS. Untuk informasi lebih lanjut tentang penggunaan MFA dengan Konsol Manajemen AWS, lihat [MFA mengaktifkan login](console_sign-in-mfa.md).
# Aktifkan token TOTP perangkat keras untuk pengguna root (konsol)
Anda dapat mengonfigurasi dan mengaktifkan perangkat MFA fisik untuk pengguna root Anda dari Konsol Manajemen AWS satu-satunya, bukan dari AWS CLI atau AWS API.
**catatan**
Anda mungkin melihat teks yang berbeda, seperti **Masuk menggunakan MFA** dan **Atasi masalah perangkat autentikasi Anda**. Namun, fitur yang sama disediakan. Dalam kedua kasus tersebut, jika Anda tidak dapat memverifikasi alamat email akun dan nomor telepon Anda menggunakan faktor otentikasi alternatif, hubungi [AWS Dukungan](https://aws.amazon.com/forms/aws-mfa-support)untuk menghapus pengaturan MFA Anda.
**Untuk mengaktifkan token TOTP perangkat keras untuk pengguna root Anda (konsol)**
1. Buka [AWS Management Console](https://console.aws.amazon.com/) dan masuk menggunakan kredensi pengguna root Anda.
Untuk petunjuk, lihat [Masuk ke Konsol Manajemen AWS sebagai pengguna root](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) di *Panduan AWS Sign-In Pengguna*.
1. Di sisi kanan bilah navigasi, pilih nama akun Anda, lalu pilih **Kredensi keamanan**.
![\[Kredensi keamanan di menu navigasi\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)
1. Perluas bagian **Multi-Factor Authentication (MFA)**.
1. Pilih **Tetapkan perangkat MFA**.
1. **Di wizard, ketik **nama Perangkat**, pilih **token TOTP Perangkat Keras**, lalu pilih Berikutnya.**
1. Di kotak **Nomor seri**, ketik nomor seri yang ditemukan di bagian belakang perangkat MFA.
1. Di kotak **Kode MFA 1**, ketik angka enam-digit yang ditampilkan oleh perangkat MFA. Anda mungkin perlu menekan tombol di bagian depan perangkat untuk menampilkan nomor.
![\[Dasbor IAM, Perangkat MFA\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/MFADevice.png)
1. Tunggu 30 detik saat perangkat menyegarkan kode, lalu ketik angka enam digit berikutnya ke kotak **Kode MFA 2**. Anda mungkin perlu menekan tombol di bagian depan perangkat untuk menampilkan nomor kedua.
1. Pilih **Tambahkan MFA**. Perangkat MFA sekarang dikaitkan dengan. Akun AWS
**penting**
Segera kirim permintaan Anda setelah membuat kode autentikasi. Jika Anda membuat kode dan kemudian menunggu terlalu lama untuk mengirim permintaan, perangkat MFA berhasil menghubungkan pengguna namun perangkat MFA tidak akan sinkron. Hal ini terjadi karena kata sandi sekali pakai berbasis-waktu kedaluwarsa setelah beberapa waktu. Jika ini terjadi, Anda dapat [mensinkronisasi ulang perangkat](id_credentials_mfa_sync.md).
Saat berikutnya Anda menggunakan kredensial pengguna akar Anda untuk masuk, Anda harus mengetik kode dari perangkat MFA.
# Ubah kata sandi untuk Pengguna root akun AWS
Anda dapat mengubah alamat email dan kata sandi dari [Kredensial Keamanan](https://console.aws.amazon.com/iam/home?#security_credential) atau halaman **Akun**. Anda juga dapat memilih **Lupa kata sandi?** pada halaman AWS login untuk mengatur ulang kata sandi Anda.
Untuk mengubah kata sandi pengguna root, Anda harus masuk sebagai Pengguna root akun AWS dan bukan sebagai pengguna IAM. Untuk mempelajari cara mengatur ulang kata sandi pengguna akar yang *lupa*, lihat [Setel ulang kata sandi pengguna root yang hilang atau terlupakan](reset-root-password.md).
Untuk melindungi kata sandi Anda, penting untuk mengikuti praktik terbaik ini:
+ Ubah kata sandi Anda secara berkala.
+ Jaga kerahasiaan kata sandi Anda karena siapa pun yang mengetahui kata sandi Anda dapat mengakses akun Anda.
+ Gunakan kata sandi yang berbeda AWS dari yang Anda gunakan di situs lain.
+ Hindari kata sandi yang mudah ditebak. Ini termasuk kata sandi seperti `secret`, `password`, `amazon`, atau `123456`. Hindari juga hal-hal seperti kata-kata kamus, nama Anda, alamat email, atau informasi pribadi lainnya yang dapat diperoleh seseorang dengan mudah.
**penting**
Akun AWS dikelola menggunakan AWS Organizations mungkin memiliki [akses root terpusat](id_root-user.md#id_root-user-access-management) yang diaktifkan untuk akun anggota. Akun anggota ini tidak memiliki kredensi pengguna root, tidak dapat masuk sebagai pengguna root, dan dicegah memulihkan kata sandi pengguna root. Hubungi administrator Anda jika Anda perlu melakukan tugas yang memerlukan kredensi pengguna root.
------
#### [ Konsol Manajemen AWS ]
**Untuk mengubah kata sandi bagi pengguna akar**
**Izin minimum**
Untuk melakukan langkah-langkah berikut, Anda harus memiliki setidaknya izin IAM berikut:
Anda harus masuk sebagai pengguna Akun AWS root, yang tidak memerlukan izin tambahan AWS Identity and Access Management (IAM). Anda tidak dapat melakukan langkah-langkah ini sebagai pengguna atau peran IAM.
1. Buka [AWS Management Console](https://console.aws.amazon.com/) dan masuk menggunakan kredensi pengguna root Anda.
Untuk petunjuk, lihat [Masuk ke Konsol Manajemen AWS sebagai pengguna root](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) di *Panduan AWS Sign-In Pengguna*.
1. Di sudut kanan atas konsol, pilih nama atau nomor akun Anda, lalu pilih **Kredensial Keamanan**.
1. Pada halaman **Akun**, di samping **Pengaturan akun**, pilih **Edit**. Anda diminta untuk mengautentikasi ulang untuk tujuan keamanan.
**catatan**
Jika Anda tidak melihat opsi **Edit**, kemungkinan Anda tidak masuk sebagai pengguna root untuk akun Anda. Anda tidak dapat mengubah setelan akun saat masuk sebagai pengguna atau peran IAM.
1. Pada halaman **Perbarui pengaturan akun**, di bawah **Kata Sandi**, pilih **Edit**.
1. Pada halaman **Perbarui kata sandi Anda**, isi kolom untuk **Kata sandi saat ini, Kata sandi** **baru**, dan **Konfirmasi kata sandi baru**.
**penting**
Pastikan untuk memilih kata sandi yang kuat. Meskipun Anda dapat menetapkan kebijakan kata sandi akun untuk pengguna IAM, kebijakan tersebut tidak berlaku untuk pengguna root.
AWS mengharuskan kata sandi Anda memenuhi ketentuan berikut:
+ Itu harus memiliki minimal 8 karakter dan maksimal 128 karakter.
+ Ini harus mencakup minimal tiga dari campuran tipe karakter berikut: huruf besar, huruf kecil, angka, dan\$1 @ \$1 \$1% ^ & \$1 () <> [] \$1\$1 \$1 \$1\$1-= simbol.
+ Itu tidak boleh identik dengan Akun AWS nama atau alamat email Anda.
1. Pilih **Simpan perubahan**.
------
#### [ AWS CLI or AWS SDK ]
Tugas ini tidak didukung di AWS CLI atau oleh operasi API dari salah satu AWS SDKs. Anda dapat melakukan tugas ini hanya dengan menggunakan Konsol Manajemen AWS.
------
# Setel ulang kata sandi pengguna root yang hilang atau terlupakan
Saat pertama kali membuat Akun AWS, Anda memberikan alamat email dan kata sandi. Ini adalah Pengguna root akun AWS kredensialmu. Jika Anda lupa kata sandi pengguna root Anda, Anda dapat mengatur ulang kata sandi dari file Konsol Manajemen AWS.
Akun AWS dikelola menggunakan AWS Organizations mungkin memiliki [akses root terpusat](id_root-user.md#id_root-user-access-management) yang diaktifkan untuk akun anggota. Akun anggota ini tidak memiliki kredensi pengguna root, tidak dapat masuk sebagai pengguna root, dan dicegah memulihkan kata sandi pengguna root. Hubungi administrator Anda jika Anda perlu melakukan tugas yang memerlukan kredensi pengguna root.
**penting**
**Mengalami masalah saat masuk AWS?** Pastikan Anda berada di [halaman masuk AWS](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html) yang benar untuk jenis pengguna Anda. Jika Anda adalah Pengguna root akun AWS (pemilik akun), Anda dapat masuk AWS menggunakan kredenal yang Anda atur saat membuat. Akun AWS Jika Anda adalah pengguna IAM, administrator akun Anda dapat memberi Anda kredensi yang dapat Anda gunakan untuk masuk. AWS Jika Anda perlu meminta dukungan, jangan gunakan tautan umpan balik di halaman ini, karena formulir diterima oleh tim AWS Dokumentasi, bukan Dukungan. Sebagai gantinya, pada halaman [Hubungi Kami](https://aws.amazon.com/contact-us/) pilih **Masih tidak dapat masuk ke AWS akun Anda** dan kemudian pilih salah satu opsi dukungan yang tersedia.
**Untuk mengatur ulang kata sandi pengguna root Anda**
1. Buka [AWS Management Console](https://console.aws.amazon.com/) dan masuk menggunakan kredensi pengguna root Anda.
Untuk petunjuk, lihat [Masuk ke Konsol Manajemen AWS sebagai pengguna root](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) di *Panduan AWS Sign-In Pengguna*.
**catatan**
Jika Anda masuk ke kredensi *pengguna [Konsol Manajemen AWS](https://console.aws.amazon.com/)dengan IAM*, maka Anda harus keluar sebelum Anda dapat mengatur ulang kata sandi pengguna root. Jika Anda melihat halaman masuk pengguna IAM khusus akun, pilih **Masuk menggunakan kredensial akun akar** di dekat bagian bawah halaman. Jika perlu, berikan alamat email akun Anda dan pilih **Selanjutnya** untuk mengakses halaman **Masuk ke pengguna akar**.
1. Pilih **Lupa kata sandi Anda?**.
**catatan**
Jika Anda adalah pengguna IAM, opsi ini tidak tersedia. **Lupa kata sandi Anda?** opsi hanya tersedia untuk akun pengguna root. Pengguna IAM harus meminta administrator mereka untuk mengatur ulang kata sandi yang terlupakan. Untuk informasi selengkapnya, lihat [Saya lupa kata sandi pengguna IAM untuk akun saya AWS](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html#troubleshoot-forgot-iam-password). Jika Anda masuk melalui portal AWS akses, lihat [Menyetel ulang kata sandi pengguna Pusat Identitas IAM Anda](https://docs.aws.amazon.com/singlesignon/latest/userguide/resetpassword-accessportal.html).
1. Masukkan alamat email yang terkait dengan akun tersebut. Kemudian berikan teks CAPTCHA dan pilih **Lanjutkan**.
1. Periksa email yang terkait dengan Anda Akun AWS untuk pesan dari Amazon Web Services. Email akan datang dari alamat yang berakhiran`@verify.signin.aws`. Ikuti petunjuk di dalam email. Jika Anda tidak melihat email di akun Anda, periksa folder spam Anda. Jika Anda tidak lagi memiliki akses ke email, lihat [Saya tidak memiliki akses ke email untuk AWS akun saya](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-troubleshooting.html#credentials-not-working-console) di *Panduan AWS Sign-In Pengguna*.
# Buat kunci akses untuk pengguna root
**Awas**
Kami sangat menyarankan agar Anda **tidak** membuat pasangan kunci akses untuk pengguna root Anda. Karena [hanya beberapa tugas yang memerlukan pengguna root](id_root-user.md#root-user-tasks) dan Anda biasanya jarang melakukan tugas-tugas tersebut, kami sarankan masuk ke Konsol Manajemen AWS untuk melakukan tugas pengguna root. Sebelum membuat kunci akses, tinjau [alternatif untuk kunci akses jangka panjang](security-creds-programmatic-access.md#security-creds-alternatives-to-long-term-access-keys).
Meskipun kami tidak merekomendasikannya, Anda dapat membuat kunci akses untuk pengguna root Anda sehingga Anda dapat menjalankan perintah di AWS Command Line Interface (AWS CLI) atau menggunakan operasi API dari salah satu kredensi pengguna root yang AWS SDKs menggunakan. Saat Anda membuat access key, Anda membuat access key ID dan secret access key sebagai satu set. Selama pembuatan kunci akses, AWS memberi Anda satu kesempatan untuk melihat dan mengunduh bagian kunci akses rahasia dari kunci akses. Jika Anda tidak mengunduhnya atau Anda kehilangannya, Anda dapat menghapus access key itu lalu membuat yang baru. Anda dapat membuat kunci akses pengguna root dengan konsol, AWS CLI, atau AWS API.
Access key yang baru dibuat memiliki status *aktif*, yang berarti bahwa Anda dapat menggunakan access key itu untuk panggilan CLI dan API. Anda dapat menetapkan hingga dua kunci akses ke pengguna root.
Kunci akses yang tidak digunakan harus dinonaktifkan. Setelah kunci akses tidak aktif, Anda tidak dapat menggunakannya untuk panggilan API. Kunci tidak aktif masih dihitung terhadap batas Anda. Anda dapat membuat atau menghapus access key kapan saja. Namun, ketika Anda menghapus access key, kunci tersebut hilang selamanya dan tidak dapat diambil kembali.
------
#### [ Konsol Manajemen AWS ]
**Untuk membuat kunci akses untuk Pengguna root akun AWS**
**Izin minimum**
Untuk melakukan langkah-langkah berikut, Anda harus memiliki setidaknya izin IAM berikut:
Anda harus masuk sebagai pengguna Akun AWS root, yang tidak memerlukan izin tambahan AWS Identity and Access Management (IAM). Anda tidak dapat melakukan langkah-langkah ini sebagai pengguna atau peran IAM.
1. Buka [AWS Management Console](https://console.aws.amazon.com/) dan masuk menggunakan kredensi pengguna root Anda.
Untuk petunjuk, lihat [Masuk ke Konsol Manajemen AWS sebagai pengguna root](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) di *Panduan AWS Sign-In Pengguna*.
1. Di sudut kanan atas konsol, pilih nama atau nomor akun Anda, lalu pilih **Kredensial Keamanan**.
1. Pada bagian **Access key**, pilih **Buat access key**. Jika opsi ini tidak tersedia, maka Anda sudah memiliki jumlah maksimum kunci akses. Anda harus menghapus salah satu kunci akses yang ada sebelum Anda dapat membuat kunci baru. Untuk informasi selengkapnya, lihat [Kuota Objek IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html#reference_iam-quotas-entities).
1. Pada halaman **Alternatives to root user access keys**, tinjau rekomendasi keamanan. Untuk melanjutkan, pilih kotak centang, lalu pilih **Buat kunci akses**.
1. Pada halaman **Retrieve access key**, ID **kunci Access** Anda akan ditampilkan.
1. Di bawah **Kunci akses rahasia**, pilih **Tampilkan** dan kemudian salin ID kunci akses dan kunci rahasia dari jendela browser Anda dan tempelkan di tempat yang aman. Atau, Anda dapat memilih **Unduh file.csv** yang akan mengunduh file bernama `rootkey.csv` yang berisi ID kunci akses dan kunci rahasia. Simpan file di tempat yang aman.
1. Pilih **Selesai**. Ketika Anda tidak lagi memerlukan kunci akses, [kami sarankan Anda menghapusnya](id_root-user_manage_delete-key.md), atau setidaknya pertimbangkan untuk menonaktifkannya sehingga tidak ada yang bisa menyalahgunakannya.
------
#### [ AWS CLI & SDKs ]
**Untuk membuat kunci akses untuk pengguna root**
**catatan**
Untuk menjalankan perintah berikut atau operasi API sebagai pengguna root, Anda harus sudah memiliki satu active access key pair. Jika Anda tidak memiliki kunci akses, buat kunci akses pertama menggunakan tombol Konsol Manajemen AWS. Kemudian, Anda dapat menggunakan kredensil dari kunci akses pertama dengan AWS CLI untuk membuat kunci akses kedua, atau untuk menghapus kunci akses.
+ AWS CLI: [aws iam create-access-key](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html)
**Example**
```
$ aws iam create-access-key
{
"AccessKey": {
"UserName": "MyUserName",
"AccessKeyId": "AKIAIOSFODNN7EXAMPLE",
"Status": "Active",
"SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
"CreateDate": "2021-04-08T19:30:16+00:00"
}
}
```
+ AWS API: [CreateAccessKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html)dalam *Referensi API IAM*.
------
# Hapus kunci akses untuk pengguna root
Anda dapat menggunakan Konsol Manajemen AWS, AWS CLI atau AWS API untuk menghapus kunci akses pengguna root.
------
#### [ Konsol Manajemen AWS ]
**Untuk menghapus kunci akses untuk pengguna root**
**Izin minimum**
Untuk melakukan langkah-langkah berikut, Anda harus memiliki setidaknya izin IAM berikut:
Anda harus masuk sebagai pengguna Akun AWS root, yang tidak memerlukan izin tambahan AWS Identity and Access Management (IAM). Anda tidak dapat melakukan langkah-langkah ini sebagai pengguna atau peran IAM.
1. Buka [AWS Management Console](https://console.aws.amazon.com/) dan masuk menggunakan kredensi pengguna root Anda.
Untuk petunjuk, lihat [Masuk ke Konsol Manajemen AWS sebagai pengguna root](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) di *Panduan AWS Sign-In Pengguna*.
1. Di sudut kanan atas konsol, pilih nama atau nomor akun Anda, lalu pilih **Kredensial Keamanan**.
1. Di bagian **Kunci akses**, pilih tombol akses yang ingin Anda hapus, lalu, di bawah **Tindakan**, pilih **Hapus**.
**catatan**
Atau, Anda dapat **Menonaktifkan** kunci akses, alih-alih menghapusnya secara permanen. Dengan cara ini Anda dapat melanjutkan menggunakannya di masa depan tanpa harus mengubah ID kunci atau kunci rahasia. Meskipun kuncinya tidak aktif, setiap upaya untuk menggunakannya dalam permintaan ke AWS API gagal dengan akses kesalahan ditolak.
1. Pada kotak dialog **Hapus**, pilih **Nonaktifkan**, masukkan ID kunci akses untuk mengonfirmasi bahwa Anda ingin menghapusnya, lalu pilih **Hapus**.
------
#### [ AWS CLI & SDKs ]
**Untuk menghapus kunci akses untuk pengguna root**
**Izin minimum**
Untuk melakukan langkah-langkah berikut, Anda harus memiliki setidaknya izin IAM berikut:
Anda harus masuk sebagai pengguna Akun AWS root, yang tidak memerlukan izin tambahan AWS Identity and Access Management (IAM). Anda tidak dapat melakukan langkah-langkah ini sebagai pengguna atau peran IAM.
+ AWS CLI: [aws iam delete-access-key](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html)
**Example**
```
$ aws iam delete-access-key \
--access-key-id AKIAIOSFODNN7EXAMPLE
```
Perintah ini tidak menghasilkan output saat berhasil.
+ AWS API: [DeleteAccessKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html)
------
## Tugas yang memerlukan kredensial pengguna root
Kami menyarankan Anda [mengonfigurasi pengguna administratif AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) untuk melakukan tugas sehari-hari dan mengakses AWS sumber daya. Namun, Anda dapat melakukan tugas yang tercantum di bawah ini hanya saat masuk sebagai pengguna root akun.
Untuk menyederhanakan pengelolaan kredensyal pengguna root istimewa di seluruh akun anggota di AWS Organizations, Anda dapat mengaktifkan akses root terpusat untuk membantu Anda mengamankan akses yang sangat istimewa secara terpusat ke akun Anda. Akun AWS[Kelola akses root untuk akun anggota secara terpusat](#id_root-user-access-management)memungkinkan Anda menghapus dan mencegah pemulihan kredensi pengguna root jangka panjang secara terpusat, meningkatkan keamanan akun di organisasi Anda. Setelah mengaktifkan fitur ini, Anda dapat melakukan tugas istimewa berikut di akun anggota.
+ Hapus kredensi pengguna root akun anggota untuk mencegah pemulihan akun pengguna root. Anda juga dapat mengizinkan pemulihan kata sandi untuk memulihkan kredensi pengguna root untuk akun anggota.
+ Hapus kebijakan bucket yang salah konfigurasi yang menolak semua prinsipal mengakses bucket Amazon S3.
+ Hapus kebijakan berbasis sumber daya Amazon Simple Queue Service yang menolak semua prinsipal mengakses antrian Amazon SQS.
**Tugas Manajemen Akun**
+ [Ubah Akun AWS pengaturan Anda.](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html) Standalone Akun AWS yang bukan bagian dari AWS Organizations memerlukan kredensyal root untuk memperbarui alamat email, kata sandi pengguna root, dan kunci akses pengguna root. Pengaturan akun lainnya, seperti nama akun, informasi kontak, kontak alternatif, preferensi mata uang pembayaran, dan Wilayah AWS, tidak memerlukan kredensi pengguna root.
**catatan**
AWS Organizations, dengan semua fitur diaktifkan, dapat digunakan untuk mengelola pengaturan akun anggota secara terpusat dari akun manajemen dan akun admin yang didelegasikan. Pengguna IAM resmi atau peran IAM di akun manajemen dan akun admin yang didelegasikan dapat menutup akun anggota dan memperbarui alamat email root, nama akun, informasi kontak, kontak alternatif, dan akun Wilayah AWS anggota.
+ [Tutup Anda Akun AWS.](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html) Standalone Akun AWS yang bukan bagian dari AWS Organizations memerlukan kredensi root untuk menutup akun. Dengan AWS Organizations, Anda dapat menutup akun anggota secara terpusat dari akun manajemen dan akun admin yang didelegasikan.
+ [Kembalikan izin pengguna IAM.](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) Jika satu-satunya administrator IAM secara tidak sengaja mencabut izinnya sendiri, Anda dapat masuk sebagai pengguna root untuk mengedit kebijakan dan memulihkan izin tersebut.
**Tugas Penagihan**
+ [Aktifkan akses IAM ke konsol Manajemen Penagihan dan Biaya](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/control-access-billing.html#ControllingAccessWebsite-Activate).
+ Beberapa tugas Penagihan terbatas pada pengguna root. Lihat [Mengelola](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/manage-account-payment.html) Panduan AWS Billing Pengguna Akun AWS di untuk informasi selengkapnya.
+ Lihat faktur pajak tertentu. Pengguna IAM dengan [aws-portal: ViewBilling](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#user-permissions) izin dapat melihat dan mengunduh faktur PPN dari AWS Eropa, tetapi tidak AWS Inc. atau (AISPL). Amazon Internet Services Private Limited
**AWS GovCloud (US) Tugas**
+ [Daftar AWS GovCloud (US)](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/getting-started-sign-up.html).
+ Minta kunci akses pengguna root AWS GovCloud (US) akun dari AWS Dukungan.
**Tugas Amazon EC2**
+ [Mendaftar sebagai penjual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ri-market-general.html) di Marketplace Instans Cadangan.
**AWS KMS Tugas**
+ Jika AWS Key Management Service kunci menjadi tidak dapat dikelola, administrator dapat memulihkannya dengan menghubungi Dukungan; Namun, Dukungan menanggapi nomor telepon utama pengguna root Anda untuk otorisasi dengan mengonfirmasi OTP tiket.
**Tugas Amazon Mechanical Turk**
+ [Tautkan Anda Akun AWS ke akun MTurk Pemohon Anda](https://docs.aws.amazon.com/AWSMechTurk/latest/AWSMechanicalTurkGettingStartedGuide/SetUp.html#accountlinking).
**Tugas Layanan Penyimpanan Sederhana Amazon**
+ [Konfigurasikan bucket Amazon S3 untuk mengaktifkan MFA (otentikasi multi-faktor)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html).
+ [Edit atau hapus kebijakan bucket Amazon S3 yang menyangkal semua prinsipal](https://aws.amazon.com/premiumsupport/knowledge-center/change-vpc-endpoint-s3-bucket-policy/).
Anda dapat menggunakan tindakan istimewa untuk membuka kunci bucket Amazon S3 dengan kebijakan bucket yang salah dikonfigurasi. Lihat perinciannya di [Lakukan tugas istimewa di akun AWS Organizations anggota](id_root-user-privileged-task.md).
**Tugas Layanan Antrian Sederhana Amazon**
+ [Mengedit atau menghapus kebijakan berbasis sumber daya Amazon SQS yang menyangkal semua](https://aws.amazon.com/premiumsupport/knowledge-center/sqs-queue-access-issues-deny-policy) prinsipal.
Anda dapat menggunakan tindakan istimewa untuk membuka kunci antrean Amazon SQS dengan kebijakan berbasis sumber daya yang salah dikonfigurasi. Lihat perinciannya di [Lakukan tugas istimewa di akun AWS Organizations anggota](id_root-user-privileged-task.md).
## Sumber daya tambahan
Untuk informasi selengkapnya tentang pengguna AWS root, lihat sumber daya berikut:
+ Untuk bantuan terkait masalah pengguna root, lihat[Memecahkan masalah dengan pengguna root](troubleshooting_root-user.md).
+ Untuk mengelola alamat email pengguna root secara terpusat AWS Organizations, lihat [Memperbarui alamat email pengguna root untuk akun anggota](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_update_primary_email.html) di *Panduan AWS Organizations Pengguna*.
Artikel berikut memberikan informasi tambahan tentang bekerja dengan pengguna root.
+ [Apa saja praktik terbaik untuk mengamankan sumber daya saya Akun AWS dan sumber dayanya?](https://repost.aws/knowledge-center/security-best-practices)
+ [Bagaimana cara membuat aturan EventBridge acara untuk memberi tahu saya bahwa pengguna root saya digunakan?](https://repost.aws/knowledge-center/root-user-account-eventbridge-rule)
+ [Memantau dan memberi tahu aktivitas Pengguna root akun AWS](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity/)
+ [Pantau aktivitas pengguna root IAM](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/monitor-iam-root-user-activity.html)
# Pengguna IAM:
**penting**
[Praktik terbaik](best-practices.md) IAM merekomendasikan agar Anda mengharuskan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara alih-alih menggunakan pengguna IAM dengan kredensi jangka panjang. Kami menyarankan Anda hanya menggunakan pengguna IAM untuk [kasus penggunaan tertentu](gs-identities-iam-users.md) yang tidak didukung oleh pengguna federasi.
*Pengguna IAM* adalah entitas yang Anda buat di. Akun AWS Pengguna IAM mewakili pengguna manusia atau beban kerja yang menggunakan pengguna IAM untuk berinteraksi dengan sumber daya. AWS Pengguna IAM terdiri dari nama dan kredensional.
Pengguna IAM dengan izin administrator tidak sama dengan. Pengguna root akun AWS Untuk informasi lebih lanjut tentang pengguna akar, lihat [Pengguna root akun AWS](id_root-user.md).
## Bagaimana AWS mengidentifikasi pengguna IAM
Saat Anda membuat pengguna IAM, IAM menciptakan cara-cara berikut untuk mengidentifikasi pengguna tersebut:
+ Sebuah “nama ramah” untuk pengguna IAM, yang merupakan nama yang Anda tentukan ketika Anda membuat pengguna IAM, seperti `Richard` atau. `Anaya` Ini adalah nama yang Anda lihat di Konsol Manajemen AWS. Karena nama pengguna IAM muncul di Amazon Resource Names (ARNs), kami tidak menyarankan untuk menyertakan informasi identifikasi pribadi dalam nama IAM. Lihat persyaratan dan batasan untuk nama IAM. [Persyaratan nama IAM](reference_iam-quotas.md#reference_iam-quotas-names)
+ Nama Sumber Daya Amazon (ARN) untuk pengguna IAM. Anda menggunakan ARN ketika Anda perlu mengidentifikasi pengguna IAM secara unik di semua. AWS Misalnya, Anda dapat menggunakan ARN untuk menentukan pengguna IAM sebagai `Principal` kebijakan IAM untuk bucket Amazon S3. ARN untuk pengguna IAM mungkin terlihat seperti berikut ini:
`arn:aws:iam::account-ID-without-hyphens:user/Richard`
+ Pengidentifikasi unik untuk pengguna IAM. ID ini dikembalikan hanya ketika Anda menggunakan API, Alat untuk Windows PowerShell, atau AWS CLI untuk membuat pengguna IAM; Anda tidak melihat ID ini di konsol.
Untuk informasi selengkapnya tentang pengidentifikasi ini, lihat [Pengidentifikasi IAM](reference_identifiers.md).
## Pengguna dan kredensialnya IAM
Anda dapat mengakses dengan berbagai AWS cara tergantung pada kredensi pengguna IAM:
+ [**Kata sandi konsol**](id_credentials_passwords.md): Kata sandi yang dapat diketik pengguna IAM untuk masuk ke sesi interaktif seperti. Konsol Manajemen AWS Menonaktifkan kata sandi (akses konsol) untuk pengguna IAM mencegah mereka masuk ke Konsol Manajemen AWS menggunakan kredenal masuk mereka. Hal ini tidak mengubah izin mereka atau mencegah mereka mengakses konsol menggunakan peran yang diasumsikan. Pengguna IAM dengan akses konsol diaktifkan juga dapat menggunakan kredensi yang sama ini untuk mengautentikasi untuk AWS CLI dan akses SDK menggunakan perintah. `aws login` AWS CLI Pengguna ini harus memiliki [SignInLocalDevelopmentAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SignInLocalDevelopmentAccess.html)izin. Lihat [Authentication and access credentials for the AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-authentication.html) in *Panduan AWS Command Line Interface Pengguna* untuk detail selengkapnya.
+ [**Kunci akses**](id_credentials_access-keys.md): Digunakan untuk melakukan panggilan terprogram ke AWS. Namun, ada alternatif yang lebih aman untuk dipertimbangkan sebelum Anda membuat kunci akses untuk pengguna IAM. Untuk informasi selengkapnya, lihat [Pertimbangan dan alternatif untuk kunci akses jangka panjang](https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#alternatives-to-long-term-access-keys) di. *Referensi Umum AWS* Jika pengguna IAM memiliki kunci akses aktif, mereka terus berfungsi dan mengizinkan akses melalui AWS CLI, Alat untuk Windows, AWS API PowerShell, atau AWS Console Mobile Application.
+ [**Kunci SSH untuk digunakan dengan CodeCommit**](id_credentials_ssh-keys.md): Kunci publik SSH dalam format OpenSSH yang dapat digunakan untuk diautentikasi dengan CodeCommit.
+ [**Sertifikat server**](id_credentials_server-certs.md): SSL/TLS sertifikat yang dapat Anda gunakan untuk mengautentikasi dengan beberapa AWS layanan. Kami menyarankan Anda menggunakan AWS Certificate Manager (ACM) untuk menyediakan, mengelola, dan menyebarkan sertifikat server Anda. Gunakan IAM hanya ketika Anda harus mendukung koneksi HTTPS di wilayah yang tidak didukung oleh ACM. Untuk mempelajari wilayah mana yang mendukung ACM, lihat [AWS Certificate Manager titik akhir dan kuota](https://docs.aws.amazon.com/general/latest/gr/acm.html) di. *Referensi Umum AWS*
Anda dapat memilih kredensial yang tepat untuk pengguna IAM Anda. Ketika Anda menggunakan Konsol Manajemen AWS untuk membuat pengguna IAM, Anda harus memilih untuk setidaknya menyertakan kata sandi konsol atau kunci akses. Secara default, pengguna IAM baru yang dibuat menggunakan AWS API AWS CLI atau tidak memiliki kredensi apa pun. Anda harus membuat jenis kredensi untuk pengguna IAM berdasarkan kasus penggunaan Anda.
Anda memiliki opsi berikut untuk mengelola kata sandi, kunci akses, dan perangkat otentikasi multi-faktor (MFA):
+ **[Kelola kata sandi untuk pengguna IAM Anda](id_credentials_passwords.md).** Buat dan ubah kata sandi yang mengizinkan akses ke Konsol Manajemen AWS. Atur kebijakan kata sandi untuk menerapkan kerumitan kata sandi minimum. Izinkan pengguna IAM untuk mengubah kata sandi mereka sendiri.
+ **[Kelola kunci akses untuk pengguna IAM Anda](id_credentials_access-keys.md).** Buat dan perbarui kunci akses untuk akses terprogram ke sumber daya di akun Anda.
+ **[Aktifkan otentikasi multi-faktor (MFA) untuk](id_credentials_mfa.md) pengguna IAM.** Sebagai [praktik terbaik](best-practices.md), kami menyarankan Anda memerlukan otentikasi multi-faktor untuk semua pengguna IAM di akun Anda. Dengan MFA, pengguna IAM harus memberikan dua bentuk identifikasi: Pertama, mereka memberikan kredensi yang merupakan bagian dari identitas pengguna mereka (kata sandi atau kunci akses). Selain itu, mereka menyediakan kode numerik sementara yang dihasilkan pada perangkat keras atau oleh aplikasi pada smartphone atau tablet.
+ **[Temukan kata sandi dan kunci akses yang tidak digunakan](id_credentials_finding-unused.md).** Siapa pun yang memiliki kata sandi atau kunci akses untuk akun Anda atau pengguna IAM di akun Anda memiliki akses ke AWS sumber daya Anda. [Praktik keamanan terbaik](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html) adalah menghapus kata sandi dan kunci akses saat pengguna IAM tidak lagi membutuhkannya.
+ **[Unduh laporan kredenal untuk akun Anda](id_credentials_getting-report.md).** Anda dapat membuat dan mengunduh laporan kredensial yang mencantumkan semua pengguna IAM di akun Anda dan status berbagai kredensial mereka, termasuk kata sandi, kunci akses, dan perangkat MFA. Untuk kata sandi dan access key, laporan kredensial menunjukkan bagaimana kata sandi atau access key telah digunakan baru-baru ini.
## Pengguna dan izin IAM
Secara default, pengguna IAM baru tidak memiliki [izin](access.md) untuk melakukan apa pun. Mereka tidak berwenang untuk melakukan AWS operasi apa pun atau mengakses AWS sumber daya apa pun. Keuntungan memiliki pengguna IAM individual adalah Anda dapat memberikan izin secara individu kepada setiap pengguna. Anda dapat menetapkan izin administratif untuk beberapa pengguna, yang kemudian dapat mengelola AWS sumber daya Anda dan bahkan dapat membuat dan mengelola pengguna IAM lainnya. Namun, dalam kebanyakan kasus, Anda ingin membatasi izin pengguna hanya pada tugas (AWS tindakan atau operasi) dan sumber daya yang diperlukan untuk pekerjaan itu.
Bayangkan seorang pengguna bernama Diego. Saat Anda membuat pengguna IAM`Diego`, Anda membuat kata sandi untuknya dan melampirkan izin yang memungkinkannya meluncurkan EC2 instance Amazon tertentu dan membaca (`GET`) informasi dari tabel di database Amazon RDS. Untuk prosedur tentang cara membuat pengguna IAM dan memberi mereka kredensional dan izin awal, lihat. [Buat pengguna IAM di Akun AWS](id_users_create.md) Untuk prosedur tentang cara mengubah izin untuk pengguna yang sudah ada, lihat [Mengubah izin untuk pengguna IAM](id_users_change-permissions.md). Untuk prosedur tentang cara mengubah kata sandi atau access key pengguna, lihat [Kata sandi pengguna di AWS](id_credentials_passwords.md) dan [Kelola access key untuk pengguna IAM](id_credentials_access-keys.md).
Anda juga dapat menambahkan batas izin ke pengguna IAM Anda. Batas izin adalah fitur lanjutan yang memungkinkan Anda menggunakan kebijakan AWS terkelola untuk membatasi izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada pengguna atau peran IAM. Untuk informasi selengkapnya tentang tipe dan penggunaan kebijakan, lihat [Kebijakan dan izin di AWS Identity and Access Management](access_policies.md).
## Pengguna dan akun IAM
Setiap pengguna IAM dikaitkan dengan satu dan hanya satu Akun AWS. Karena pengguna IAM didefinisikan dalam Anda Akun AWS, mereka tidak perlu memiliki metode pembayaran yang tersimpan. AWS Setiap AWS aktivitas yang dilakukan oleh pengguna IAM di akun Anda akan ditagih ke akun Anda.
Jumlah dan ukuran sumber daya IAM dalam AWS akun terbatas. Untuk informasi selengkapnya, lihat [IAM dan AWS STS kuota](reference_iam-quotas.md).
## Pengguna IAM sebagai akun layanan
Pengguna IAM adalah sumber daya di IAM yang memiliki kredensial dan izin terkait. Pengguna IAM dapat mewakili seseorang atau aplikasi yang menggunakan kredensialnya untuk membuat permintaan. AWS Ini biasanya disebut sebagai *akun layanan*. Jika Anda memilih untuk menggunakan kredensial jangka panjang seorang pengguna IAM di aplikasi Anda, **jangan menyematkan kunci akses secara langsung ke kode aplikasi Anda.** Itu AWS SDKs dan AWS Command Line Interface memungkinkan Anda untuk meletakkan kunci akses di lokasi yang diketahui sehingga Anda tidak harus menyimpannya dalam kode. Untuk informasi selengkapnya, lihat [Mengelola Kunci Akses Pengguna IAM dengan Benar](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html#iam-user-access-keys) di. *Referensi Umum AWS* Atau, sebagai praktik terbaik, Anda dapat [menggunakan kredensial keamanan sementara (peran IAM) alih-alih kunci akses jangka panjang](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html#use-roles).
# Cara pengguna IAM masuk AWS
Untuk masuk ke Konsol Manajemen AWS sebagai pengguna IAM, Anda harus memberikan ID akun atau alias akun Anda selain nama pengguna dan kata sandi Anda. Saat administrator Anda membuat pengguna IAM di konsol, seharusnya mereka mengirimkan kredensial masuk Anda, termasuk nama pengguna Anda dan URL ke halaman masuk akun Anda yang mencakup ID akun atau alias akun Anda.
```
https://My_AWS_Account_ID.signin.aws.amazon.com/console/
```
**Kiat**
Untuk membuat bookmark untuk halaman masuk akun di browser web, Anda harus mengetikkan URL masuk secara manual untuk akun Anda di entri bookmark. Jangan gunakan fitur bookmark browser web karena pengalihan dapat mengaburkan URL masuk.
Anda juga dapat masuk di titik akhir masuk umum berikut dan mengetikkan ID akun atau alias akun Anda secara manual:
```
[https://console.aws.amazon.com/](https://console.aws.amazon.com/)
```
Untuk kenyamanan, halaman AWS masuk menggunakan cookie browser untuk mengingat nama pengguna IAM dan informasi akun. Lain kali pengguna pergi ke halaman mana pun di Konsol Manajemen AWS, konsol menggunakan cookie untuk mengarahkan pengguna ke halaman masuk akun.
Anda hanya memiliki akses ke AWS sumber daya yang ditentukan administrator dalam kebijakan yang dilampirkan ke identitas pengguna IAM Anda. Untuk bekerja di konsol, Anda harus memiliki izin untuk melakukan tindakan yang dilakukan konsol, seperti membuat daftar dan membuat AWS sumber daya. Untuk informasi selengkapnya, lihat [Manajemen akses untuk AWS sumber daya](access.md) dan [Contoh kebijakan berbasis identitas IAM](access_policies_examples.md).
**catatan**
Jika organisasi Anda memiliki sistem identitas yang sudah ada, Anda mungkin ingin membuat satu sistem sekali masuk (SSO). SSO memberi pengguna akses ke Konsol Manajemen AWS akun Anda tanpa mengharuskan mereka memiliki identitas pengguna IAM. SSO juga menghilangkan kebutuhan pengguna untuk masuk ke situs organisasi Anda dan secara AWS terpisah. Untuk informasi selengkapnya, lihat [Aktifkan akses broker identitas khusus ke AWS konsol](id_roles_providers_enable-console-custom-url.md).
**Detail login login masuk CloudTrail**
Jika Anda mengaktifkan CloudTrail untuk mencatat peristiwa login ke log Anda, Anda harus mengetahui caranya CloudTrail memilih tempat untuk mencatat peristiwa.
+ Jika pengguna Anda masuk langsung ke konsol, mereka diarahkan ke titik akhir masuk global atau regional, berdasarkan apakah konsol layanan yang dipilih mendukung wilayah. Misalnya, halaman beranda konsol utama mendukung wilayah, jadi jika Anda masuk ke URL berikut ini:
```
https://alias.signin.aws.amazon.com/console
```
Anda dialihkan ke titik akhir masuk regional seperti`https://us-east-2.signin.aws.amazon.com`, menghasilkan entri CloudTrail log regional di log wilayah pengguna:
Di sisi lain, konsol Amazon S3 tidak mendukung wilayah, jadi jika Anda masuk ke URL berikut ini
```
https://alias.signin.aws.amazon.com/console/s3
```
AWS mengarahkan Anda ke titik akhir masuk global di`https://signin.aws.amazon.com`, menghasilkan entri log global. CloudTrail
+ Anda dapat secara manual meminta titik akhir masuk regional tertentu dengan masuk ke beranda konsol utama yang diaktifkan wilayah menggunakan sintaks URL seperti berikut ini:
```
https://alias.signin.aws.amazon.com/console?region=ap-southeast-1
```
AWS mengarahkan Anda ke titik akhir masuk `ap-southeast-1` regional dan menghasilkan peristiwa log regional. CloudTrail
Untuk informasi selengkapnya tentang CloudTrail dan IAM, lihat [Mencatat peristiwa IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html) dengan. CloudTrail
Jika pengguna memerlukan akses terprogram untuk bekerja dengan akun Anda, Anda dapat membuat access key pair (ID kunci akses dan kunci akses rahasia) untuk setiap pengguna. Namun, ada alternatif yang lebih aman untuk dipertimbangkan sebelum Anda membuat kunci akses untuk pengguna. Untuk informasi selengkapnya, lihat [Pertimbangan dan alternatif untuk kunci akses jangka panjang](https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#alternatives-to-long-term-access-keys) di. *Referensi Umum AWS*
## Sumber daya tambahan
Sumber daya berikut dapat membantu Anda mempelajari lebih lanjut tentang AWS login.
+ [Panduan Pengguna AWS Masuk](https://docs.aws.amazon.com/signin/latest/userguide/what-is-sign-in.html) membantu Anda memahami berbagai cara masuk ke Amazon Web Services (AWS), tergantung pada jenis pengguna Anda.
+ Anda dapat mendaftar hingga lima identitas berbeda secara bersamaan dalam satu browser web di file. Konsol Manajemen AWS Untuk detailnya, lihat [Masuk ke beberapa akun](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/multisession.html) di *Panduan Konsol Manajemen AWS Memulai*.
# MFA mengaktifkan login
Pengguna yang dikonfigurasi dengan perangkat [otentikasi multi-faktor (MFA) harus](id_credentials_mfa.md) menggunakan perangkat MFA mereka untuk masuk ke perangkat MFA. Konsol Manajemen AWS Setelah pengguna memasukkan kredensialnya masuk, AWS periksa akun pengguna untuk melihat apakah MFA diperlukan untuk pengguna tersebut.
**penting**
Jika Anda menggunakan kunci akses dan kredenal kunci rahasia untuk Konsol Manajemen AWS akses langsung dengan panggilan AWS STS [https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)API, MFA TIDAK akan diperlukan. Untuk informasi selengkapnya, lihat [Menggunakan kunci akses dan kredensil kunci rahasia untuk akses konsol](securing_access-keys.md#console-access-security-keys).
Topik berikut memberikan informasi tentang bagaimana pengguna menyelesaikan masuk saat MFA diperlukan.
**Topics**
+ [Beberapa perangkat MFA diaktifkan](#console_sign-in-multiple-mfa)
+ [Kunci keamanan FIDO](#console_sign-in-mfa-fido)
+ [Perangkat MFA virtual](#console_sign-in-mfa-virtual)
+ [Token TOTP perangkat keras](#console_sign-in-mfa-hardware)
## Beberapa perangkat MFA diaktifkan
Jika pengguna masuk Konsol Manajemen AWS sebagai pengguna Akun AWS root atau pengguna IAM dengan beberapa perangkat MFA diaktifkan untuk akun itu, mereka hanya perlu menggunakan satu perangkat MFA untuk masuk. Setelah pengguna mengautentikasi dengan kata sandi pengguna, mereka memilih jenis perangkat MFA mana yang ingin mereka gunakan untuk menyelesaikan otentikasi. Kemudian pengguna diminta untuk mengautentikasi dengan jenis perangkat yang mereka pilih.
## Kunci keamanan FIDO
Jika MFA diperlukan untuk pengguna, akan muncul halaman masuk kedua. Pengguna perlu mengetuk kunci keamanan FIDO.
**catatan**
Pengguna Google Chrome tidak boleh memilih salah satu opsi yang tersedia pada pop-up yang meminta **Verifikasi identitas Anda dengan amazon.com**. Anda hanya perlu mengetuk tombol keamanan.
Tidak seperti perangkat MFA lainnya, kunci keamanan FIDO tidak keluar dari sinkron. Administrator dapat menonaktifkan kunci keamanan FIDO jika hilang atau rusak. Untuk informasi selengkapnya, lihat [Menonaktifkan perangkat MFA (konsol)](id_credentials_mfa_disable.md#deactive-mfa-console).
Untuk informasi tentang browser yang mendukung WebAuthn dan perangkat yang mendukung FIDO yang AWS mendukung, lihat. [Konfigurasi yang didukung untuk menggunakan kunci sandi dan kunci keamanan](id_credentials_mfa_fido_supported_configurations.md)
## Perangkat MFA virtual
Jika MFA diperlukan untuk pengguna, akan muncul halaman masuk kedua. Di kotak **kode MFA** pengguna harus memasukkan kode numerik yang diberikan oleh aplikasi MFA.
Jika kode MFA sudah benar, pengguna dapat mengakses Konsol Manajemen AWS. Jika kode salah, pengguna dapat mencoba kembali dengan kode lain.
Perangkat MFA virtual bisa jadi tidak sinkron. Jika pengguna tidak dapat masuk ke Konsol Manajemen AWS setelah beberapa kali mencoba, pengguna diminta untuk menyinkronkan perangkat MFA virtual. Pengguna dapat mengikuti perintah di layar untuk menyinkronkan perangkat MFA virtual. Untuk informasi tentang cara menyinkronkan perangkat atas nama pengguna di perangkat Anda Akun AWS, lihat[Sinkronisasi ulang perangkat MFA virtual dan perangkat keras](id_credentials_mfa_sync.md).
## Token TOTP perangkat keras
Jika MFA diperlukan untuk pengguna, akan muncul halaman masuk kedua. Dalam kotak **kode MFA**, pengguna harus memasukkan kode numerik yang disediakan oleh token TOTP perangkat keras.
Jika kode MFA sudah benar, pengguna dapat mengakses Konsol Manajemen AWS. Jika kode salah, pengguna dapat mencoba kembali dengan kode lain.
Token TOTP perangkat keras bisa tidak sinkron. Jika pengguna tidak dapat masuk Konsol Manajemen AWS setelah beberapa kali mencoba, pengguna diminta untuk menyinkronkan perangkat token MFA. Pengguna dapat mengikuti perintah di layar untuk menyinkronkan perangkat token MFA. Untuk informasi tentang cara menyinkronkan perangkat atas nama pengguna di perangkat Anda Akun AWS, lihat[Sinkronisasi ulang perangkat MFA virtual dan perangkat keras](id_credentials_mfa_sync.md).
# Buat pengguna IAM di Akun AWS
**penting**
[Praktik terbaik](best-practices.md) IAM merekomendasikan agar Anda mengharuskan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara alih-alih menggunakan pengguna IAM dengan kredensi jangka panjang. Kami menyarankan Anda hanya menggunakan pengguna IAM untuk [kasus penggunaan tertentu](gs-identities-iam-users.md) yang tidak didukung oleh pengguna federasi.
Proses pembuatan pengguna IAM dan memungkinkan pengguna untuk melakukan tugas terdiri dari langkah-langkah berikut:
1. Buat [pengguna di Konsol Manajemen AWSAWS CLI, Alat](getting-started-workloads.md) untuk Windows PowerShell, atau menggunakan operasi AWS API. Jika Anda membuat pengguna di Konsol Manajemen AWS, maka langkah 1-4 ditangani secara otomatis, berdasarkan pilihan Anda. Jika Anda membuat pengguna IAM secara terprogram, maka Anda harus melakukan masing-masing langkah tersebut secara individual.
1. Buat kredensial untuk pengguna, tergantung pada jenis akses yang diperlukan pengguna:
+ **Aktifkan akses konsol — *opsional***: Jika pengguna perlu mengakses Konsol Manajemen AWS, [buat kata sandi untuk pengguna](id_credentials_passwords_admin-change-user.md). Menonaktifkan akses konsol untuk pengguna mencegah mereka masuk ke Konsol Manajemen AWS menggunakan nama pengguna dan kata sandi mereka. Hal ini tidak mengubah izin mereka atau mencegah mereka mengakses konsol menggunakan peran yang diasumsikan.
**Tip**
Buat hanya kredenal yang dibutuhkan pengguna. Misalnya, untuk pengguna yang membutuhkan akses hanya melalui Konsol Manajemen AWS, jangan membuat kunci akses.
1. Berikan izin pengguna untuk melakukan tugas yang diperlukan. Kami menyarankan Anda menempatkan pengguna IAM Anda dalam grup dan mengelola izin melalui kebijakan yang dilampirkan ke grup tersebut. Namun, Anda juga dapat memberikan izin dengan melampirkan kebijakan izin langsung ke pengguna. Jika Anda menggunakan konsol untuk menambahkan pengguna, Anda dapat menyalin izin dari pengguna yang ada ke pengguna baru.
Anda juga dapat menambahkan [batas izin](access_policies_boundaries.md) untuk membatasi izin pengguna dengan menentukan kebijakan yang menentukan izin maksimum yang dapat dimiliki pengguna. Batas izin tidak memberikan izin apa pun.
Untuk petunjuk cara membuat kebijakan izin khusus yang akan digunakan untuk memberikan izin atau menetapkan batas izin, lihat. [Tentukan izin IAM khusus dengan kebijakan terkelola pelanggan](access_policies_create.md)
1. (Opsional) Tambahkan metadata ke pengguna dengan melampirkan tag. Untuk informasi selengkapnya tentang menggunakan tag di IAM, lihat [Tag untuk AWS Identity and Access Management sumber daya](id_tags.md).
1. Berikan informasi masuk yang diperlukan kepada pengguna. Ini mencakup kata sandi dan URL konsol untuk halaman masuk akun tempat pengguna memberikan kredensial tersebut. Untuk informasi selengkapnya, lihat [Cara pengguna IAM masuk AWS](id_users_sign-in.md).
1. (Opsional) Konfigurasi [Multi-Factor Authentication (MFA)](id_credentials_mfa.md) bagi pengguna. MFA mengharuskan pengguna untuk memberikan one-time-use kode setiap kali dia masuk ke dalam. Konsol Manajemen AWS
1. (Opsional) Berikan izin kepada pengguna IAM untuk mengelola kredensi keamanan mereka sendiri. (Secara default, pengguna IAM tidak memiliki izin untuk mengelola kredensialnya sendiri.) Untuk informasi selengkapnya, lihat [Izinkan pengguna IAM untuk mengubah kata sandi mereka sendiri](id_credentials_passwords_enable-user-change.md).
**catatan**
Jika Anda menggunakan konsol untuk membuat pengguna dan Anda memilih **Pengguna harus membuat kata sandi baru saat masuk berikutnya (disarankan)**, pengguna memiliki izin yang diperlukan.
Untuk informasi tentang izin yang Anda butuhkan untuk membuat pengguna, lihat [Izin diperlukan untuk mengakses sumber daya IAM](access_permissions-required.md).
Untuk petunjuk cara membuat pengguna IAM untuk kasus penggunaan tertentu, lihat topik berikut:
+ [Buat pengguna IAM untuk akses darurat](getting-started-emergency-iam-user.md)
+ [Buat pengguna IAM untuk beban kerja yang tidak dapat menggunakan peran IAM](getting-started-workloads.md)
# Lihat pengguna IAM
Anda dapat mencantumkan pengguna IAM di grup IAM Anda Akun AWS atau di grup IAM tertentu, dan mencantumkan semua grup IAM tempat pengguna berada. Untuk informasi tentang izin yang Anda butuhkan untuk membuat daftar pengguna, lihat [Izin diperlukan untuk mengakses sumber daya IAM](access_permissions-required.md).
## Untuk mencantumkan semua pengguna IAM di akun Anda
------
#### [ Console ]
1. Ikuti prosedur masuk yang sesuai dengan jenis pengguna Anda seperti yang dijelaskan dalam topik [Cara](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) masuk AWS di *Panduan Pengguna AWS Masuk*.
1. Pada halaman **Beranda Konsol IAM**, di panel navigasi kiri, masukkan kueri Anda di kotak teks **Search IAM**.
1. Di panel navigasi, pilih **Users** (Pengguna).
Konsol menampilkan pengguna IAM di file Anda Akun AWS.
------
#### [ AWS CLI ]
Jalankan perintah berikut:
+ `[aws iam list-users](https://docs.aws.amazon.com/cli/latest/reference/iam/list-users.html)`
------
#### [ API ]
Panggil operasi berikut:
+ `[ListUsers](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html)`
------
## Untuk daftar pengguna IAM dalam grup IAM
------
#### [ Console ]
1. Ikuti prosedur masuk yang sesuai dengan jenis pengguna Anda seperti yang dijelaskan dalam topik [Cara](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) masuk AWS di *Panduan Pengguna AWS Masuk*.
1. Pada halaman **Beranda Konsol IAM**, di panel navigasi kiri, masukkan kueri Anda di kotak teks **Search IAM**.
1. Pada panel navigasi, pilih **User groups** (Grup pengguna).
1. Pilih nama grup pengguna.
Pengguna IAM yang merupakan anggota grup terdaftar di tab **Pengguna**.
------
#### [ AWS CLI ]
Jalankan perintah berikut:
+ `[aws iam get-group](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group.html)`
------
#### [ API ]
Panggil operasi berikut:
+ `[GetGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetGroup.html)`
------
## Untuk mencantumkan semua grup IAM tempat pengguna berada
------
#### [ Console ]
1. Ikuti prosedur masuk yang sesuai dengan jenis pengguna Anda seperti yang dijelaskan dalam topik [Cara](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) masuk AWS di *Panduan Pengguna AWS Masuk*.
1. Pada halaman **Beranda Konsol IAM**, di panel navigasi kiri, masukkan kueri Anda di kotak teks **Search IAM**.
1. Di panel navigasi, pilih **Users** (Pengguna).
1. Dalam daftar **Pengguna**, pilih nama pengguna IAM.
1. Pilih tab **Grup** untuk menampilkan daftar grup yang menyertakan pengguna saat ini.
------
#### [ AWS CLI ]
Jalankan perintah berikut:
+ `[aws iam list-groups-for-user](https://docs.aws.amazon.com/cli/latest/reference/iam/list-groups-for-user.html)`
------
#### [ API ]
Panggil operasi berikut:
+ `[ListGroupsForUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupsForUser.html)`
------
## Langkah selanjutnya
Setelah Anda memiliki daftar pengguna IAM Anda, Anda dapat mengganti nama, menghapus, atau menonaktifkan pengguna IAM menggunakan prosedur berikut.
+ [Ganti nama pengguna IAM](id_users_rename.md)
+ [Menghapus atau menonaktifkan pengguna IAM](id_users_remove.md)
# Ganti nama pengguna IAM
**catatan**
Sebagai [praktik terbaik](best-practices.md), kami menyarankan Anda meminta pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara. Jika Anda mengikuti praktik terbaik, Anda tidak mengelola pengguna dan grup IAM. Sebaliknya, pengguna dan grup Anda dikelola di luar AWS dan dapat mengakses AWS sumber daya sebagai *identitas federasi*. Identitas federasi adalah pengguna dari direktori pengguna perusahaan Anda, penyedia identitas web, AWS Directory Service, direktori Pusat Identitas, atau pengguna mana pun yang mengakses AWS layanan dengan menggunakan kredensi yang disediakan melalui sumber identitas. Identitas federasi menggunakan grup yang ditentukan oleh penyedia identitas mereka. Jika Anda menggunakan AWS IAM Identity Center, lihat [Mengelola identitas di Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html) di *Panduan AWS IAM Identity Center Pengguna* untuk informasi tentang membuat pengguna dan grup di Pusat Identitas IAM.
Amazon Web Services menawarkan beberapa alat untuk mengelola pengguna IAM di Anda Akun AWS. Anda dapat mencantumkan pengguna IAM di akun Anda atau di grup pengguna, atau daftar semua grup IAM yang menjadi anggota pengguna. Anda dapat mengganti nama atau mengubah jalur pengguna IAM. Jika Anda beralih menggunakan identitas federasi alih-alih pengguna IAM, Anda dapat menghapus pengguna IAM dari AWS akun Anda, atau menonaktifkan pengguna.
Untuk informasi lebih lanjut tentang menambahkan, mengubah, atau menghapus kebijakan terkelola untuk pengguna IAM, lihat [Mengubah izin untuk pengguna IAM](id_users_change-permissions.md). Untuk informasi tentang mengelola kebijakan inline untuk pengguna IAM, lihat [Menambahkan dan menghapus izin identitas IAM](access_policies_manage-attach-detach.md), [Edit kebijakan IAM](access_policies_manage-edit.md), dan [Hapus kebijakan IAM](access_policies_manage-delete.md). Sebagai praktik terbaik, gunakan kebijakan terkelola alih-alih kebijakan inline. *AWS kebijakan terkelola* memberikan izin untuk banyak kasus penggunaan umum. Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan oleh semua pelanggan. AWS Oleh karena itu, kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan [kebijakan terkelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) yang spesifik untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat [AWS kebijakan terkelola](access_policies_managed-vs-inline.md#aws-managed-policies). Untuk informasi selengkapnya tentang kebijakan AWS terkelola yang dirancang untuk fungsi pekerjaan tertentu, lihat[AWS kebijakan terkelola untuk fungsi pekerjaan](access_policies_job-functions.md).
Untuk mempelajari tentang memvalidasi kebijakan IAM, lihat. [Validasi kebijakan IAM](access_policies_policy-validator.md)
**Tip**
[IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) dapat menganalisis layanan dan tindakan yang digunakan peran IAM Anda, dan kemudian menghasilkan kebijakan berbutir halus yang dapat Anda gunakan. Setelah menguji setiap kebijakan yang dihasilkan, Anda dapat menerapkan kebijakan tersebut ke lingkungan produksi. Ini memastikan bahwa Anda hanya memberikan izin yang diperlukan untuk beban kerja Anda. Untuk informasi selengkapnya tentang pembuatan kebijakan, lihat pembuatan [kebijakan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html).
Untuk informasi tentang mengelola kata sandi pengguna IAM, lihat[Kelola kata sandi untuk pengguna IAM](id_credentials_passwords_admin-change-user.md).
## Mengubah nama pengguna IAM
Untuk mengubah nama atau jalur pengguna, Anda harus menggunakan AWS CLI, Alat untuk Windows PowerShell, atau AWS API. Tidak ada opsi di konsol untuk mengubah nama pengguna. Untuk informasi tentang izin yang Anda butuhkan untuk mengubah nama pengguna, lihat [Izin diperlukan untuk mengakses sumber daya IAM](access_permissions-required.md).
Saat Anda mengubah nama atau alur pengguna, hal berikut terjadi:
+ Kebijakan apa pun yang terlampir pada pengguna akan tetap melekat ke pengguna dengan nama baru.
+ Pengguna tetap berada di grup IAM yang sama dengan nama baru.
+ ID unik untuk pengguna tetap sama. Untuk informasi lebih lanjut tentang unik IDs, lihat[Pengidentifikasi unik](reference_identifiers.md#identifiers-unique-ids).
+ Semua kebijakan sumber daya atau peran yang mengacu pada pengguna *sebagai utama* (pengguna diberi akses) secara otomatis diperbarui untuk menggunakan nama atau jalur baru. Misalnya, setiap kebijakan berbasis antrean di Amazon SQS atau kebijakan berbasis sumber daya di Amazon S3 diperbarui secara otomatis untuk menggunakan nama dan jalur baru.
IAM tidak secara otomatis memperbarui kebijakan yang merujuk ke pengguna *sebagai sumber daya* untuk menggunakan nama atau alur baru; Anda harus melakukannya secara manual. Misalnya, bayangkan pengguna tersebut `Richard` memiliki kebijakan terlampir padanya yang memungkinkannya mengelola kredensial keamanannya. Jika administrator mengubah nama `Richard` untuk `Rich`, administrator juga perlu memperbarui kebijakan tersebut untuk mengubah sumber daya dari:
```
arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Richard
```
ke ini:
```
arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Rich
```
Hal ini juga berlaku jika administrator mengubah alur; administrator perlu memperbarui kebijakan agar mencerminkan jalur baru bagi pengguna.
### Untuk mengganti nama pengguna
+ AWS CLI: [aws iam update-user](https://docs.aws.amazon.com/cli/latest/reference/iam/update-user.html)
+ AWS API: [UpdateUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateUser.html)
# Menghapus atau menonaktifkan pengguna IAM
[Praktik terbaik](best-practices.md#remove-credentials) merekomendasikan agar Anda menghapus pengguna IAM yang tidak digunakan dari Anda. Akun AWS Jika Anda ingin mempertahankan kredensi pengguna IAM untuk penggunaan di masa mendatang, alih-alih menghapusnya dari akun, Anda dapat menonaktifkan akses pengguna. Untuk informasi selengkapnya, lihat [Menonaktifkan pengguna IAM](#id_users_deactivating).
**Awas**
Setelah pengguna IAM dan kunci aksesnya dihapus, mereka tidak dapat dipulihkan atau dipulihkan.
## Prasyarat — Lihat akses pengguna IAM
Sebelum Anda menghapus pengguna, tinjau aktivitas tingkat layanan terbaru mereka. Ini membantu mencegah penghapusan akses dari kepala sekolah (orang atau aplikasi) yang menggunakannya. Untuk informasi selengkapnya perihal melihat informasi yang terakhir diakses, lihat [Memperbaiki izin dalam AWS menggunakan informasi yang terakhir diakses](access_policies_last-accessed.md).
## Menghapus pengguna IAM (konsol)
Ketika Anda menggunakan Konsol Manajemen AWS untuk menghapus pengguna IAM, IAM secara otomatis menghapus informasi terkait berikut:
+ Pengidentifikasi pengguna IAM
+ Setiap keanggotaan grup — yaitu, pengguna IAM dihapus dari grup mana pun yang menjadi anggota pengguna IAM
+ Kata sandi apa pun yang terkait dengan pengguna IAM
+ Semua kebijakan inline yang disematkan di pengguna IAM (kebijakan yang diterapkan pada pengguna IAM menggunakan izin grup pengguna tidak terpengaruh)
**catatan**
IAM menghapus kebijakan terkelola apa pun yang dilampirkan ke pengguna IAM saat Anda menghapus pengguna, tetapi tidak menghapus kebijakan terkelola.
+ Semua perangkat MFA yang terkait
### Untuk menghapus pengguna IAM (konsol)
------
#### [ Console ]
1. Ikuti prosedur masuk yang sesuai dengan jenis pengguna Anda seperti yang dijelaskan dalam topik [Cara](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) masuk AWS di *Panduan Pengguna AWS Masuk*.
1. Pada halaman **Beranda Konsol IAM**, di panel navigasi kiri, masukkan kueri Anda di kotak teks **Search IAM**.
1. Di panel navigasi, pilih **Pengguna**, lalu pilih kotak centang di sebelah nama pengguna IAM yang ingin Anda hapus.
1. Pilih **Hapus** di bagian atas halaman.
**catatan**
Jika ada pengguna yang memiliki kunci akses aktif, Anda harus menonaktifkan kunci akses sebelum menghapus pengguna. Untuk informasi selengkapnya, lihat [Untuk menonaktifkan kunci akses untuk pengguna IAM](access-keys-admin-managed.md#admin-deactivate-access-key).
1. Dalam kotak dialog konfirmasi, masukkan nama pengguna dalam bidang input teks untuk mengonfirmasi penghapusan pengguna. Pilih **Hapus**.
Konsol menampilkan pemberitahuan status bahwa pengguna IAM telah dihapus.
------
## Menghapus pengguna IAM (AWS CLI)
Berbeda dengan Konsol Manajemen AWS, ketika Anda menghapus pengguna IAM dengan AWS CLI, Anda harus menghapus item yang dilampirkan ke pengguna IAM secara manual. Prosedur ini menggambarkan proses.
**Untuk menghapus pengguna IAM dari Akun AWS ()AWS CLI**
1. Hapus kata sandi pengguna, jika pengguna memilikinya.
`[aws iam delete-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-login-profile.html)`
1. Hapus kunci akses pengguna, jika pengguna memilikinya.
`[aws iam list-access-keys](https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html)` (untuk mencantumkan kunci akses pengguna) dan `[aws iam delete-access-key](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html)`
1. Hapus sertifikat masuk pengguna. Perhatikan bahwa ketika Anda menghapus kredensial keamanan, akan hilang selamanya dan tidak dapat dipulihkan.
`[aws iam list-signing-certificates](https://docs.aws.amazon.com/cli/latest/reference/iam/list-signing-certificates.html)` (untuk mencantumkan sertifikat masuk pengguna) dan `[aws iam delete-signing-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-signing-certificate.html)`
1. Hapus kunci publik SSH pengguna, jika pengguna memilikinya.
`[aws iam list-ssh-public-keys](https://docs.aws.amazon.com/cli/latest/reference/iam/list-ssh-public-keys.html)` (untuk mencantumkan kunci publik SSH pengguna) dan `[aws iam delete-ssh-public-key](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-ssh-public-key.html)`
1. Hapus kredensial Git pengguna.
`[aws iam list-service-specific-credentials](https://docs.aws.amazon.com/cli/latest/reference/iam/list-service-specific-credentials.html)` (untuk mencantumkan kredensial git pengguna) dan `[aws iam delete-service-specific-credential](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-service-specific-credential.html)`
1. Nonaktifkan perangkat Multi-Factor Authentication (MFA) pengguna, jika pengguna memilikinya.
`[aws iam list-mfa-devices](https://docs.aws.amazon.com/cli/latest/reference/iam/list-mfa-devices.html)` (untuk mencantumkan perangkat MFA pengguna), `[aws iam deactivate-mfa-device](https://docs.aws.amazon.com/cli/latest/reference/iam/deactivate-mfa-device.html)` (untuk menonaktifkan perangkat), dan `[aws iam delete-virtual-mfa-device](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-virtual-mfa-device.html)` (untuk menghapus perangkat MFA virtual secara permanen)
1. Hapus kebijakan inline pengguna.
`[aws iam list-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-user-policies.html)` (untuk mencantumkan kebijakan inline bagi pengguna) dan [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-user-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-user-policy.html) (untuk menghapus kebijakan)
1. Lepaskan kebijakan terkelola yang melekat pada pengguna.
`[aws iam list-attached-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-user-policies.html)` (untuk mencantumkan kebijakan terkelola yang melekat pada pengguna) dan [https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html) (untuk melepaskan kebijakan)
1. Hapus pengguna dari grup IAM apa pun.
`[aws iam list-groups-for-user](https://docs.aws.amazon.com/cli/latest/reference/iam/list-groups-for-user.html)`(untuk mencantumkan grup IAM yang menjadi milik pengguna) dan `[aws iam remove-user-from-group](https://docs.aws.amazon.com/cli/latest/reference/iam/remove-user-from-group.html)`
1. Hapus pengguna.
`[aws iam delete-user](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-user.html)`
## Menonaktifkan pengguna IAM
Anda mungkin perlu menonaktifkan pengguna IAM saat mereka sementara jauh dari perusahaan Anda. Anda dapat meninggalkan kredensi pengguna IAM mereka di tempat dan masih memblokir akses mereka. AWS
Untuk menonaktifkan pengguna, buat dan lampirkan kebijakan untuk menolak akses pengguna. AWS Anda dapat memulihkan akses pengguna nanti.
Berikut adalah dua contoh kebijakan penolakan yang dapat Anda lampirkan ke pengguna untuk menolak akses mereka.
Kebijakan berikut tidak termasuk batas waktu. Anda harus menghapus kebijakan untuk memulihkan akses pengguna.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "*",
"Resource": "*"
}
]
}
```
------
Kebijakan berikut mencakup kondisi yang memulai kebijakan pada 24 Desember 2024 pukul 23.59 (UTC) dan berakhir pada 28 Februari 2025 pukul 23.59 (UTC).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"DateGreaterThan": {"aws:CurrentTime": "2024-12-24T23:59:59Z"},
"DateLessThan": {"aws:CurrentTime": "2025-02-28T23:59:59Z"}
}
}
]
}
```
------
# Kontrol akses pengguna IAM ke Konsol Manajemen AWS
Pengguna IAM dengan izin yang masuk ke Anda Akun AWS melalui Konsol Manajemen AWS dapat mengakses AWS sumber daya Anda. Daftar berikut menunjukkan cara-cara yang dapat Anda berikan kepada pengguna IAM akses ke Akun AWS sumber daya Anda melalui. Konsol Manajemen AWS Ini juga menunjukkan bagaimana pengguna IAM dapat mengakses fitur AWS akun lain melalui AWS situs web.
**catatan**
Tidak ada biaya untuk menggunakan IAM.
**The Konsol Manajemen AWS**
Anda membuat kata sandi untuk setiap pengguna IAM yang membutuhkan akses ke file. Konsol Manajemen AWS Pengguna mengakses konsol melalui halaman masuk berkemampuan IAM Akun AWS . Untuk informasi tentang mengakses halaman login, lihat [Cara masuk di AWS Sign-In](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) *Panduan Pengguna*. AWS Untuk informasi tentang cara membuat kata sandi, lihat [Kata sandi pengguna di AWS](id_credentials_passwords.md).
Anda dapat mencegah pengguna IAM mengakses Konsol Manajemen AWS dengan menghapus kata sandi mereka. Hal ini mencegah mereka masuk ke dalam Konsol Manajemen AWS menggunakan kredensi masuk mereka. Hal ini tidak mengubah izin mereka atau mencegah mereka mengakses konsol menggunakan peran yang diasumsikan. Jika pengguna memiliki kunci akses aktif, mereka terus berfungsi dan mengizinkan akses melalui AWS CLI, Alat untuk Windows, AWS API PowerShell, atau AWS Console Mobile Application.
** AWS Sumber daya Anda, seperti instans Amazon EC2, bucket Amazon S3, dan sebagainya**
Bahkan jika pengguna IAM Anda memiliki kata sandi, mereka masih memerlukan izin untuk mengakses AWS sumber daya Anda. Saat Anda membuat pengguna IAM, pengguna tersebut tidak memiliki izin secara default. Untuk memberi pengguna IAM izin yang mereka butuhkan, Anda melampirkan kebijakan kepada mereka. Jika Anda memiliki banyak pengguna IAM yang melakukan tugas yang sama dengan sumber daya yang sama, Anda dapat menetapkan pengguna IAM tersebut ke grup. Kemudian tetapkan izin untuk grup tersebut. Untuk informasi tentang membuat pengguna dan grup IAM, lihat[Identitas IAM](id.md). Untuk informasi tentang menggunakan kebijakan untuk mengatur izin, lihat [Manajemen akses untuk AWS sumber daya](access.md).
**AWS Forum Diskusi**
Siapa pun dapat membaca tulisan di [Forum Diskusi AWS](https://forums.aws.amazon.com/). Pengguna yang ingin memposting pertanyaan atau komentar ke Forum AWS Diskusi dapat melakukannya menggunakan nama pengguna mereka. Saat pertama kali pengguna memposting ke Forum AWS Diskusi, pengguna diminta untuk memasukkan nama panggilan dan alamat email. Hanya pengguna yang dapat menggunakan nama panggilan itu di Forum AWS Diskusi.
**Informasi Akun AWS penagihan dan penggunaan Anda**
Anda dapat memberi pengguna akses informasi Akun AWS penagihan dan penggunaan Anda. Untuk informasi selengkapnya, lihat [Mengontrol Akses ke Informasi Penagihan Anda](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/control-access-billing.html) di *Panduan AWS Billing Pengguna*.
**Informasi Akun AWS profil Anda**
Pengguna tidak dapat mengakses informasi Akun AWS profil Anda.
**Kredensi Akun AWS keamanan Anda**
Pengguna tidak dapat mengakses Akun AWS kredensil keamanan Anda.
**catatan**
Kebijakan IAM mengontrol akses terlepas dari antarmuka. Misalnya, Anda dapat memberikan pengguna dengan kata sandi untuk mengakses Konsol Manajemen AWS. Kebijakan untuk pengguna tersebut (atau grup apa pun yang dimiliki pengguna) akan mengontrol apa yang dapat dilakukan pengguna di Konsol Manajemen AWS. Atau, Anda bisa memberi pengguna kunci AWS akses untuk melakukan panggilan API AWS. Kebijakan ini akan mengontrol tindakan mana yang dapat pengguna hubungi melalui perpustakaan atau klien yang menggunakan access key tersebut untuk autentikasi.
# Mengubah izin untuk pengguna IAM
[Anda dapat mengubah izin untuk pengguna IAM di Anda Akun AWS dengan mengubah keanggotaan grupnya, dengan menyalin izin dari pengguna yang ada, dengan melampirkan kebijakan langsung ke pengguna, atau dengan menetapkan batas izin.](access_policies_boundaries.md) Batas izin mengontrol izin maksimum yang dapat dimiliki pengguna. Batas izin adalah AWS fitur lanjutan.
Untuk informasi tentang izin yang Anda butuhkan untuk memodifikasi izin pengguna, lihat [Izin diperlukan untuk mengakses sumber daya IAM](access_permissions-required.md).
**Topics**
+ [Lihat akses pengguna](#users-modify_prerequisites)
+ [Menghasilkan kebijakan berdasarkan aktivitas akses pengguna](#users_change_permissions-gen-policy)
+ [Menambahkan izin ke pengguna (konsol)](#users_change_permissions-add-console)
+ [Mengubah izin untuk pengguna (konsol)](#users_change_permissions-change-console)
+ [Untuk menghapus kebijakan izin dari pengguna (konsol)](#users_change_permissions-remove-policy-console)
+ [Untuk menghapus batas izin dari pengguna (konsol)](#users_change_permissions-remove-boundary-console)
+ [Menambahkan dan menghapus izin pengguna (AWS CLI atau AWS API)](#users_change_permissions-add-programmatic)
## Lihat akses pengguna
Sebelum mengubah izin pengguna, Anda harus meninjau aktivitas tingkat-layanan terakhirnya. Ini penting karena Anda tidak ingin menghapus akses dari (orang atau aplikasi) utama yang menggunakannya. Untuk informasi selengkapnya tentang melihat informasi yang terakhir diakses, lihat [Memperbaiki izin dalam AWS menggunakan informasi yang terakhir diakses](access_policies_last-accessed.md).
## Menghasilkan kebijakan berdasarkan aktivitas akses pengguna
Terkadang Anda dapat memberikan izin ke entitas IAM (pengguna atau peran) di luar yang mereka butuhkan. Untuk membantu Anda menyaring izin yang Anda berikan, Anda dapat membuat kebijakan IAM yang didasarkan pada aktivitas akses untuk entitas. IAM Access Analyzer meninjau AWS CloudTrail log Anda dan menghasilkan templat kebijakan yang berisi izin yang telah digunakan oleh entitas dalam rentang tanggal yang ditentukan. Anda dapat menggunakan templat untuk membuat kebijakan terkelola dengan izin berbutir halus, lalu melampirkannya ke entitas IAM. Dengan begitu, Anda hanya memberikan izin yang dibutuhkan pengguna atau peran untuk berinteraksi dengan AWS sumber daya untuk kasus penggunaan spesifik Anda. Untuk mempelajari selengkapnya, lihat Pembuatan [kebijakan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html).
## Menambahkan izin ke pengguna (konsol)
IAM menawarkan tiga cara untuk menambahkan kebijakan izin kepada pengguna:
+ **Tambahkan pengguna IAM ke grup IAM** — Jadikan pengguna sebagai anggota grup. Kebijakan dari grup melekat ke pengguna.
+ **Salin izin dari pengguna IAM yang ada** — Salin semua keanggotaan grup, kebijakan terkelola terlampir, kebijakan sebaris, dan batasan izin yang ada dari pengguna sumber.
+ **Lampirkan kebijakan langsung ke pengguna IAM** — Lampirkan kebijakan terkelola langsung ke pengguna. Untuk pengelolaan izin yang lebih mudah, lampirkan kebijakan Anda ke grup, lalu jadikan anggota pengguna IAM dari grup yang sesuai.
**penting**
Jika pengguna memiliki batas izin, maka Anda tidak dapat menambahkan lebih banyak izin kepada pengguna daripada yang diizinkan oleh batas izin.
### Untuk menambahkan izin dengan menambahkan pengguna IAM ke grup
Menambahkan pengguna IAM ke grup IAM akan segera memperbarui izin pengguna dengan izin yang ditentukan untuk grup tersebut.
------
#### [ Console ]
1. Ikuti prosedur masuk yang sesuai dengan jenis pengguna Anda seperti yang dijelaskan dalam topik [Cara](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) masuk AWS di *Panduan Pengguna AWS Masuk*.
1. Pada halaman **Beranda Konsol IAM**, di panel navigasi kiri, masukkan kueri Anda di kotak teks **Search IAM**.
1. Di panel navigasi, pilih **Users** (Pengguna).
1. Dalam daftar **Pengguna**, pilih nama pengguna IAM.
1. Pilih tab **Grup** untuk menampilkan daftar grup yang menyertakan pengguna saat ini.
1. Pilih **Tambahkan pengguna ke grup**.
1. Pilih kotak centang untuk setiap grup yang Anda ingin pengguna bergabung. Daftar ini menunjukkan nama masing-masing grup dan kebijakan yang diterima pengguna jika telah menjadi anggota grup tersebut.
1. (Opsional) Anda dapat memilih **Buat grup** untuk menentukan grup baru. Ini berguna jika Anda ingin menambahkan pengguna ke grup dengan kebijakan terlampir yang berbeda dari grup yang ada:
1. Di tab baru, untuk **Nama grup pengguna**, ketikkan nama untuk grup baru Anda.
**catatan**
Jumlah dan ukuran sumber daya IAM dalam AWS akun terbatas. Untuk informasi selengkapnya, lihat [IAM dan AWS STS kuota](reference_iam-quotas.md). Nama grup dapat berupa kombinasi hingga 128 huruf, digit, dan karakter ini: plus (\$1), sama dengan (=), koma (,), titik (.), tanda a keong (@), dan tanda hubung (-). Nama harus unik dalam akun. Grup tidak dibedakan berdasarkan huruf besar-kecil. Misalnya, Anda tidak dapat membuat dua grup yang diberi nama *TESTGROUP* dan *testgroup*.
1. Pilih satu atau beberapa kotak centang untuk kebijakan terkelola yang ingin dilampirkan ke grup. Anda juga dapat membuat kebijakan pengelolaan baru dengan memilih **Buat kebijakan**. Jika Anda melakukannya, kembali ke tab atau jendela browser ini ketika kebijakan baru selesai; pilih **Segarkan**; lalu pilih kebijakan baru untuk dilekatkan ke grup Anda. Untuk informasi selengkapnya, lihat [Tentukan izin IAM khusus dengan kebijakan terkelola pelanggan](access_policies_create.md).
1. Pilih **Buat grup pengguna**.
1. Kembali ke tab asal, muat ulang daftar grup Anda. Kemudian pilih kotak centang untuk grup baru Anda.
1. Pilih **Tambahkan pengguna ke grup**.
Konsol menampilkan pesan status yang memberi tahu Anda bahwa pengguna telah ditambahkan ke grup yang Anda tentukan.
------
### Untuk menambahkan izin dengan menyalin dari pengguna IAM lain
Jika Anda memilih untuk menambahkan izin ke pengguna IAM dengan menyalin izin, IAM akan menyalin semua keanggotaan grup, kebijakan terkelola terlampir, kebijakan sebaris, dan batasan izin yang ada dari pengguna yang ditentukan dan langsung menerapkannya ke pengguna yang dipilih saat ini.
------
#### [ Console ]
1. Ikuti prosedur masuk yang sesuai dengan jenis pengguna Anda seperti yang dijelaskan dalam topik [Cara](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) masuk AWS di *Panduan Pengguna AWS Masuk*.
1. Pada halaman **Beranda Konsol IAM**, di panel navigasi kiri, masukkan kueri Anda di kotak teks **Search IAM**.
1. Di panel navigasi, pilih **Users** (Pengguna).
1. Dalam daftar **Pengguna**, pilih nama pengguna IAM.
1. Pada tab **Izin** pilih dan pilih **Tambahkan izin**.
1. Pada halaman **Tambahkan izin**, pilih **Salin izin**. Daftar ini menampilkan pengguna IAM yang tersedia bersama dengan keanggotaan grup dan kebijakan terlampir mereka.
1. Pilih tombol radio di samping pengguna yang izinnya ingin Anda salin.
1. Pilih **Berikutnya** untuk melihat daftar perubahan yang akan dilakukan pada pengguna. Lalu, pilih **Tambahkan izin**.
Konsol menampilkan pesan status yang memberi tahu Anda bahwa izin telah disalin dari pengguna IAM yang Anda tentukan.
------
### Untuk menambahkan izin dengan melampirkan kebijakan langsung ke pengguna IAM
Anda dapat melampirkan kebijakan terkelola langsung ke pengguna IAM. Izin yang diperbarui diterapkan segera.
------
#### [ Console ]
1. Ikuti prosedur masuk yang sesuai dengan jenis pengguna Anda seperti yang dijelaskan dalam topik [Cara](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) masuk AWS di *Panduan Pengguna AWS Masuk*.
1. Pada halaman **Beranda Konsol IAM**, di panel navigasi kiri, masukkan kueri Anda di kotak teks **Search IAM**.
1. Di panel navigasi, pilih **Users** (Pengguna).
1. Dalam daftar **Pengguna**, pilih nama pengguna IAM.
1. Pada tab **Izin**, pilih dan pilih **Tambahkan izin**.
1. Pada halaman **Tambahkan izin**, pilih **Lampirkan kebijakan secara langsung**. Daftar **kebijakan izin menampilkan kebijakan** yang tersedia beserta jenis kebijakan dan entitas terlampirnya.
1. Pilih tombol radio di sebelah **Nama kebijakan** yang ingin Anda lampirkan.
1. Pilih **Berikutnya** untuk melihat daftar perubahan yang akan dilakukan pada pengguna. Lalu, pilih **Tambahkan izin**.
Konsol menampilkan pesan status yang memberi tahu Anda bahwa kebijakan telah ditambahkan ke pengguna IAM yang Anda tentukan.
------
### Untuk mengatur batas izin untuk pengguna IAM
Batas izin adalah fitur lanjutan untuk mengelola izin yang digunakan untuk mengatur izin maksimum AWS yang dapat dimiliki pengguna IAM. Menetapkan batas izin segera membatasi izin pengguna IAM ke batas, terlepas dari izin lain yang diberikan.
------
#### [ Console ]
1. Ikuti prosedur masuk yang sesuai dengan jenis pengguna Anda seperti yang dijelaskan dalam topik [Cara](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) masuk AWS di *Panduan Pengguna AWS Masuk*.
1. Pada halaman **Beranda Konsol IAM**, di panel navigasi kiri, masukkan kueri Anda di kotak teks **Search IAM**.
1. Di panel navigasi, pilih **Users** (Pengguna).
1. Dalam daftar **Pengguna**, pilih nama pengguna IAM yang batas izinnya ingin Anda ubah.
1. Pilih tab **Izin**. Jika perlu, buka bagian **batas Izin dan kemudian pilih **Tetapkan** batas** izin.
1. Pada halaman **Setel batas izin**, di bawah Kebijakan **izin pilih kebijakan** yang ingin Anda gunakan untuk batas izin.
1. Pilih **Tetapkan batas**.
Konsol menampilkan pesan status yang memberi tahu Anda bahwa batas izin telah ditambahkan.
------
## Mengubah izin untuk pengguna (konsol)
IAM memungkinkan Anda mengubah izin yang terkait dengan pengguna dalam cara berikut:
+ **Edit kebijakan izin** – Edit kebijakan inline pengguna, kebijakan inline grup pengguna, atau edit kebijakan yang terkelola yang dilampirkan pada pengguna secara langsung atau dari grup. Jika pengguna memiliki batas izin, maka Anda tidak dapat memberikan izin lebih dari yang diizinkan oleh kebijakan yang digunakan sebagai batas izin pengguna.
+ **Mengubah batas izin** – Ubah kebijakan yang digunakan sebagai batas izin bagi pengguna. Ini dapat memperluas atau membatasi izin maksimum yang dapat dimiliki pengguna.
### Mengedit kebijakan izin yang terlampir pada pengguna
Mengubah izin segera memperbarui akses pengguna.
------
#### [ Console ]
1. Ikuti prosedur masuk yang sesuai dengan jenis pengguna Anda seperti yang dijelaskan dalam topik [Cara](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) masuk AWS di *Panduan Pengguna AWS Masuk*.
1. Pada halaman **Beranda Konsol IAM**, di panel navigasi kiri, masukkan kueri Anda di kotak teks **Search IAM**.
1. Di panel navigasi, pilih **Users** (Pengguna).
1. Dalam daftar **Pengguna**, pilih nama pengguna IAM yang batas izinnya ingin Anda ubah.
1. Pilih tab **Izin**. Jika perlu, buka bagian **batas Izin**.
1. Pilih nama kebijakan yang ingin Anda edit untuk melihat perincian tentang kebijakan tersebut. Pilih tab **Entitas yang dilampirkan** untuk melihat entitas lain (pengguna, grup, dan peran IAM) yang mungkin terpengaruh jika Anda mengedit kebijakan.
1. Pilih **Tab Izin** dan meninjau izin yang diberikan oleh kebijakan. Untuk membuat perubahan pada izin, pilih **Edit**.
1. Edit kebijakan dan selesaikan rekomendasi [validasi kebijakan](access_policies_policy-validator.md) apa pun. Untuk informasi selengkapnya, lihat [Edit kebijakan IAM](access_policies_manage-edit.md).
1. Pilih **Berikutnya**, tinjau ringkasan kebijakan, lalu pilih **Simpan perubahan**.
Konsol menampilkan pesan status yang memberi tahu Anda bahwa kebijakan telah diperbarui.
------
### Untuk mengubah batas izin bagi pengguna
Mengubah batas izin akan segera memperbarui akses pengguna.
------
#### [ Console ]
1. Ikuti prosedur masuk yang sesuai dengan jenis pengguna Anda seperti yang dijelaskan dalam topik [Cara](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) masuk AWS di *Panduan Pengguna AWS Masuk*.
1. Pada halaman **Beranda Konsol IAM**, di panel navigasi kiri, masukkan kueri Anda di kotak teks **Search IAM**.
1. Di panel navigasi, pilih **Users** (Pengguna).
1. Dalam daftar **Pengguna**, pilih nama pengguna IAM yang batas izinnya ingin Anda ubah.
1. Pilih tab **Izin**. Jika perlu, buka bagian **Batas izin** lalu pilih **Ubah batas**.
1. Pilih kebijakan yang ingin Anda gunakan untuk batasan izin.
1. Pilih **Tetapkan batas**.
Konsol menampilkan pesan status yang memberi tahu Anda bahwa batas izin telah diubah.
------
## Untuk menghapus kebijakan izin dari pengguna (konsol)
Menghapus kebijakan izin akan segera memperbarui akses pengguna.
------
#### [ Console ]
1. Ikuti prosedur masuk yang sesuai dengan jenis pengguna Anda seperti yang dijelaskan dalam topik [Cara](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) masuk AWS di *Panduan Pengguna AWS Masuk*.
1. Pada halaman **Beranda Konsol IAM**, di panel navigasi kiri, masukkan kueri Anda di kotak teks **Search IAM**.
1. Di panel navigasi, pilih **Users** (Pengguna).
1. Pilih nama pengguna yang kebijakan izinnya ingin Anda hapus.
1. Pilih tab **Izin**.
1. Jika Anda ingin menghapus izin dengan menghapus kebijakan yang ada, lihat kolom **Terlampir melalui** untuk memahami cara pengguna mendapatkan kebijakan tersebut sebelum memilih **Hapus** untuk menghapus kebijakan:
+ Jika kebijakan berlaku karena keanggotaan grup, maka memilih **Hapus** akan menghapus pengguna dari grup. Ingatlah bahwa Anda mungkin memiliki beberapa kebijakan yang terlampir pada satu grup. Jika Anda menghapus pengguna dari grup, pengguna kehilangan akses ke *semua* kebijakan yang diterima melalui keanggotaan grup tersebut.
+ Jika kebijakan tersebut merupakan kebijakan terkelola yang dilampirkan langsung ke pengguna, maka memilih **Hapus** akan melepaskan kebijakan dari pengguna. Hal ini tidak memengaruhi kebijakan itu sendiri atau entitas lainnya yang mungkin menyertai kebijakan tersebut.
+ Jika kebijakan tersebut merupakan kebijakan yang disematkan sebaris, maka memilih **Hapus** akan menghapus kebijakan dari IAM. Kebijakan inline yang dilampirkan langsung ke pengguna hanya ada pada pengguna tersebut.
Jika kebijakan diberikan kepada pengguna melalui keanggotaan grup, konsol akan menampilkan pesan status yang memberi tahu Anda bahwa pengguna IAM telah dihapus dari grup IAM. Jika kebijakan langsung dilampirkan atau sebaris, pesan status akan memberi tahu Anda bahwa kebijakan tersebut telah dihapus.
------
## Untuk menghapus batas izin dari pengguna (konsol)
Menghapus batas izin akan segera memperbarui akses pengguna.
------
#### [ Console ]
1. Ikuti prosedur masuk yang sesuai dengan jenis pengguna Anda seperti yang dijelaskan dalam topik [Cara](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) masuk AWS di *Panduan Pengguna AWS Masuk*.
1. Pada halaman **Beranda Konsol IAM**, di panel navigasi kiri, masukkan kueri Anda di kotak teks **Search IAM**.
1. Di panel navigasi, pilih **Users** (Pengguna).
1. Dalam daftar **Pengguna**, pilih nama pengguna IAM yang batas izinnya ingin Anda hapus.
1. Pilih tab **Izin**. Jika perlu, buka bagian **batas Izin**.
1. Pilih **Ubah batas**. **Untuk mengonfirmasi bahwa Anda ingin menghapus batas izin, dalam dialog konfirmasi, pilih Hapus batas.**
Konsol menampilkan pesan status yang memberi tahu Anda bahwa batas izin telah dihapus.
------
## Menambahkan dan menghapus izin pengguna (AWS CLI atau AWS API)
Untuk menambah atau menghapus izin secara terprogram, Anda harus menambahkan atau menghapus keanggotaan grup, melampirkan atau melepaskan kebijakan terkelola, atau menambahkan atau menghapus kebijakan inline. Untuk informasi selengkapnya, lihat topik berikut:
+ [Mengedit pengguna dalam grup IAM](id_groups_manage_add-remove-users.md)
+ [Menambahkan dan menghapus izin identitas IAM](access_policies_manage-attach-detach.md)
# Kata sandi pengguna di AWS
Anda dapat mengelola kata sandi untuk pengguna IAM di akun Anda. Pengguna IAM membutuhkan kata sandi untuk mengakses file. Konsol Manajemen AWS Pengguna tidak memerlukan kata sandi untuk mengakses AWS sumber daya secara terprogram dengan menggunakan AWS CLI, Alat untuk Windows PowerShell, atau. AWS SDKs APIs Untuk lingkungan tersebut, Anda memiliki opsi untuk menetapkan kunci [akses](id_credentials_access-keys.md) pengguna IAM. Namun, ada alternatif lain yang lebih aman untuk mengakses kunci yang kami sarankan Anda pertimbangkan terlebih dahulu. Untuk informasi selengkapnya, lihat [AWS kredensi keamanan](security-creds.md).
**catatan**
Jika salah satu pengguna IAM Anda kehilangan atau lupa kata sandi mereka, Anda *tidak dapat* mengambilnya dari IAM. Tergantung pada pengaturan Anda, baik pengguna atau administrator harus membuat kata sandi baru.
**Topics**
+ [Menetapkan kebijakan kata sandi akun untuk pengguna IAM](id_credentials_passwords_account-policy.md)
+ [Kelola kata sandi untuk pengguna IAM](id_credentials_passwords_admin-change-user.md)
+ [Izinkan pengguna IAM untuk mengubah kata sandi mereka sendiri](id_credentials_passwords_enable-user-change.md)
+ [Bagaimana pengguna IAM mengubah kata sandi mereka sendiri](id_credentials_passwords_user-change-own.md)
# Menetapkan kebijakan kata sandi akun untuk pengguna IAM
Anda dapat menetapkan kebijakan kata sandi khusus Akun AWS untuk menentukan persyaratan kompleksitas dan periode rotasi wajib untuk kata sandi pengguna IAM Anda. Jika Anda tidak menetapkan kebijakan kata sandi khusus, kata sandi pengguna IAM harus memenuhi kebijakan AWS kata sandi default. Untuk informasi selengkapnya, lihat [Opsi kebijakan kata sandi kustom](#password-policy-details).
**Topics**
+ [Aturan untuk menetapkan kebijakan kata sandi](#password-policy-rules)
+ [Izin yang diperlukan untuk menetapkan kebijakan kata sandi](#default-policy-permissions-required)
+ [Kebijakan kata sandi bawaan](#default-policy-details)
+ [Opsi kebijakan kata sandi kustom](#password-policy-details)
+ [Untuk menetapkan kebijakan kata sandi (konsol)](#IAMPasswordPolicy)
+ [Untuk mengubah kebijakan kata sandi (konsol)](#id_credentials_passwords_account-policy-section-1)
+ [Untuk menghapus kebijakan kata sandi khusus (konsol)](#id_credentials_passwords_account-policy-section-2)
+ [Mengatur kebijakan kata sandi (AWS CLI)](#PasswordPolicy_CLI)
+ [Menyetel kebijakan kata sandi (AWS API)](#PasswordPolicy_API)
## Aturan untuk menetapkan kebijakan kata sandi
Kebijakan kata sandi IAM tidak berlaku untuk Pengguna root akun AWS kata sandi atau kunci akses pengguna IAM. Jika kata sandi kedaluwarsa, pengguna IAM tidak dapat masuk Konsol Manajemen AWS tetapi dapat terus menggunakan kunci aksesnya.
Saat Anda membuat atau mengubah kebijakan kata sandi, sebagian besar pengaturan kebijakan kata sandi diterapkan saat pengguna Anda mengubah kata sandinya. Namun, beberapa pengaturan diterapkan dengan segera. Sebagai contoh:
+ Saat persyaratan panjang dan jenis karakter minimum berubah, pengaturan ini diterapkan di lain waktu saat pengguna Anda mengubah kata sandinya. Pengguna tidak dipaksa untuk mengubah kata sandi yang sudah ada, sekalipun kata sandi yang sudah ada tidak mematuhi kebijakan kata sandi yang diperbarui.
+ Saat Anda menetapkan periode kedaluwarsa kata sandi, periode kedaluwarsa tersebut akan segera diberlakukan. Misalnya, anggaplah Anda mengatur masa kedaluwarsa kata sandi selama 90 hari. Dalam hal ini, kata sandi kedaluwarsa untuk semua pengguna IAM yang kata sandinya sudah lebih lama dari 90 hari. Pengguna tersebut harus mengubah kata sandi saat masuk lagi.
Anda tidak dapat membuat “kebijakan penguncian” untuk mengunci pengguna keluar dari akun setelah sejumlah percobaan masuk gagal yang ditentukan. Untuk keamanan yang lebih baik, kami sarankan Anda menggabungkan kebijakan kata sandi yang kuat dengan multi-factor authentication (MFA). Untuk informasi lebih lanjut tentang MFA, lihat [AWS Otentikasi multi-faktor di IAM](id_credentials_mfa.md).
## Izin yang diperlukan untuk menetapkan kebijakan kata sandi
Anda harus mengonfigurasikan izin untuk mengizinkan entitas IAM (pengguna atau peran) untuk melihat atau mengedit kebijakan kata sandi akun mereka. Anda dapat menyertakan tindakan kebijakan kata sandi berikut dalam kebijakan IAM:
+ `iam:GetAccountPasswordPolicy` – Memungkinkan entitas untuk melihat kebijakan kata sandi untuk akun mereka
+ `iam:DeleteAccountPasswordPolicy` – Memungkinkan entitas untuk menghapus kebijakan kata sandi kustom untuk akun mereka dan kembali ke kebijakan kata sandi default
+ `iam:UpdateAccountPasswordPolicy` – Memungkinkan entitas untuk membuat atau mengubah kebijakan kata sandi untuk akun mereka
Kebijakan berikut memungkinkan akses penuh untuk melihat dan mengedit kebijakan kata sandi akun. Untuk mempelajari cara membuat kebijakan IAM menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat kebijakan menggunakan editor JSON](access_policies_create-console.md#access_policies_create-json-editor).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "FullAccessPasswordPolicy",
"Effect": "Allow",
"Action": [
"iam:GetAccountPasswordPolicy",
"iam:DeleteAccountPasswordPolicy",
"iam:UpdateAccountPasswordPolicy"
],
"Resource": "*"
}
]
}
```
------
Untuk informasi tentang izin yang diperlukan bagi pengguna IAM untuk mengubah kata sandi mereka sendiri, lihat [Izinkan pengguna IAM untuk mengubah kata sandi mereka sendiri](id_credentials_passwords_enable-user-change.md).
## Kebijakan kata sandi bawaan
Jika administrator tidak menetapkan kebijakan kata sandi khusus, kata sandi pengguna IAM harus memenuhi kebijakan AWS kata sandi default.
Kebijakan kata sandi default memberlakukan kondisi berikut:
+ Panjang kata sandi minimum adalah 8 karakter dan panjang maksimal 128 karakter
+ Minimal tiga dari campuran tipe karakter berikut: huruf besar, huruf kecil, angka, dan karakter non-alfanumerik () `! @ # $ % ^ & * ( ) _ + - = [ ] { } | '`
+ Tidak identik dengan Akun AWS nama atau alamat email Anda
+ Jangan pernah kedaluwarsa kata sandi
## Opsi kebijakan kata sandi kustom
Saat Anda mengonfigurasi kebijakan kata sandi khusus untuk akun Anda, Anda dapat menentukan kondisi berikut:
+ **Panjang minimum kata sandi** – Anda dapat menentukan minimal 6 karakter dan maksimal 128 karakter.
+ **Kekuatan kata sandi** - Anda dapat memilih salah satu kotak centang berikut untuk menentukan kekuatan kata sandi pengguna IAM Anda:
+ Memerlukan setidaknya satu huruf besar dari alfabet Latin (A—Z)
+ Memerlukan setidaknya satu huruf kecil dari alfabet Latin (a-z)
+ Diperlukan setidaknya satu angka
+ Diperlukan setidaknya satu karakter nonalfanumerik `! @ # $ % ^ & * ( ) _ + - = [ ] { } | '`
+ **Aktifkan kedaluwarsa kata sandi** — Anda dapat memilih dan menentukan minimal 1 dan maksimum 1.095 hari bahwa kata sandi pengguna IAM valid setelah disetel. Misalnya, jika Anda menentukan kedaluwarsa 90 hari, itu langsung berdampak pada semua pengguna Anda. Untuk pengguna dengan kata sandi yang lebih tua dari 90 hari, ketika mereka masuk ke konsol setelah perubahan, mereka harus menetapkan kata sandi baru. Pengguna dengan kata sandi berusia 75-89 hari menerima Konsol Manajemen AWS peringatan tentang kedaluwarsa kata sandi mereka. Pengguna IAM dapat mengubah kata sandi mereka kapan saja jika mereka memiliki izin. Saat mereka mengatur kata sandi baru, periode kedaluwarsa kata sandi tersebut dimulai ulang. Pengguna IAM hanya dapat memiliki satu kata sandi yang valid dalam satu waktu.
+ **Kedaluwarsa kata sandi memerlukan pengaturan ulang administrator** - Pilih opsi ini untuk mencegah pengguna IAM menggunakan Konsol Manajemen AWS untuk memperbarui kata sandi mereka sendiri setelah kata sandi kedaluwarsa. Sebelum Anda memilih opsi ini, konfirmasikan bahwa Anda Akun AWS memiliki lebih dari satu pengguna dengan izin administratif untuk mengatur ulang kata sandi pengguna IAM. Administrator dengan `iam:UpdateLoginProfile` izin dapat mengatur ulang kata sandi pengguna IAM. Pengguna IAM dengan `iam:ChangePassword` izin dan kunci akses aktif dapat mengatur ulang kata sandi konsol pengguna IAM mereka sendiri secara terprogram. Jika Anda menghapus kotak centang ini, pengguna IAM dengan kata sandi kedaluwarsa masih harus menetapkan kata sandi baru sebelum mereka dapat mengakses. Konsol Manajemen AWS
+ **Izinkan pengguna mengubah kata sandi mereka sendiri** - Anda dapat mengizinkan semua pengguna IAM di akun Anda untuk mengubah kata sandi mereka sendiri. Ini memberi pengguna akses ke `iam:ChangePassword` tindakan hanya untuk pengguna mereka dan `iam:GetAccountPasswordPolicy` tindakan. Opsi ini tidak melampirkan kebijakan izin untuk setiap pengguna. Sebaliknya, IAM menerapkan izin di tingkat akun untuk semua pengguna. Atau, Anda hanya dapat mengizinkan beberapa pengguna untuk mengelola kata sandi mereka sendiri. Untuk melakukannya, Anda menghapus kotak centang ini. Untuk informasi selengkapnya tentang penggunaan kebijakan untuk membatasi siapa yang dapat mengelola kata sandi, lihat [Izinkan pengguna IAM untuk mengubah kata sandi mereka sendiri](id_credentials_passwords_enable-user-change.md).
+ **Cegah penggunaan ulang kata sandi** – Anda dapat mencegah pengguna IAM menggunakan kembali jumlah tertentu dari kata sandi sebelumnya. Anda dapat menentukan jumlah minimum 1 dan jumlah maksimum 24 dari kata sandi sebelumnya yang dapat diulang.
## Untuk menetapkan kebijakan kata sandi (konsol)
Anda dapat menggunakan kebijakan Konsol Manajemen AWS untuk membuat, mengubah, atau menghapus kata sandi khusus. Perubahan pada kebijakan kata sandi berlaku untuk pengguna IAM baru yang dibuat setelah perubahan kebijakan ini dan pengguna IAM yang ada saat mereka mengubah kata sandi mereka.
------
#### [ Console ]
1. Ikuti prosedur masuk yang sesuai dengan jenis pengguna Anda seperti yang dijelaskan dalam topik [Cara](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) masuk AWS di *Panduan Pengguna AWS Masuk*.
1. Pada halaman **Beranda Konsol IAM**, di panel navigasi kiri, masukkan kueri Anda di kotak teks **Search IAM**.
1. Di panel navigasi, pilih **Pengaturan akun**.
1. Di bagian **Kebijakan kata sandi**, pilih **Edit**.
1. Pilih **Kustom** untuk menggunakan kebijakan kata sandi khusus.
1. Pilih opsi yang ingin Anda terapkan ke kebijakan kata sandi Anda dan pilih **Simpan perubahan**.
1. Konfirmasikan bahwa Anda ingin menetapkan kebijakan kata sandi khusus dengan memilih **Setel kustom**.
Konsol menampilkan pesan status yang memberi tahu Anda bahwa persyaratan kata sandi untuk pengguna IAM telah diperbarui..
------
## Untuk mengubah kebijakan kata sandi (konsol)
Anda dapat menggunakan kebijakan Konsol Manajemen AWS untuk membuat, mengubah, atau menghapus kata sandi khusus. Perubahan pada kebijakan kata sandi berlaku untuk pengguna IAM baru yang dibuat setelah perubahan kebijakan ini dan pengguna IAM yang ada saat mereka mengubah kata sandi mereka.
------
#### [ Console ]
1. Ikuti prosedur masuk yang sesuai dengan jenis pengguna Anda seperti yang dijelaskan dalam topik [Cara](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) masuk AWS di *Panduan Pengguna AWS Masuk*.
1. Pada halaman **Beranda Konsol IAM**, di panel navigasi kiri, masukkan kueri Anda di kotak teks **Search IAM**.
1. Di panel navigasi, pilih **Pengaturan akun**.
1. Di bagian **Kebijakan kata sandi**, pilih **Edit**.
1. Pilih opsi yang ingin Anda terapkan ke kebijakan kata sandi Anda dan pilih **Simpan perubahan**.
1. Konfirmasikan bahwa Anda ingin menetapkan kebijakan kata sandi khusus dengan memilih **Setel kustom**.
Konsol menampilkan pesan status yang memberi tahu Anda bahwa persyaratan kata sandi untuk pengguna IAM telah diperbarui.
------
## Untuk menghapus kebijakan kata sandi khusus (konsol)
Anda dapat menggunakan kebijakan Konsol Manajemen AWS untuk membuat, mengubah, atau menghapus kata sandi khusus. Perubahan pada kebijakan kata sandi berlaku untuk pengguna IAM baru yang dibuat setelah perubahan kebijakan ini dan pengguna IAM yang ada saat mereka mengubah kata sandi mereka.
------
#### [ Console ]
1. Ikuti prosedur masuk yang sesuai dengan jenis pengguna Anda seperti yang dijelaskan dalam topik [Cara](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) masuk AWS di *Panduan Pengguna AWS Masuk*.
1. Pada halaman **Beranda Konsol IAM**, di panel navigasi kiri, masukkan kueri Anda di kotak teks **Search IAM**.
1. Di panel navigasi, pilih **Pengaturan akun**.
1. Di bagian **Kebijakan kata sandi**, pilih **Edit**.
1. Pilih **IAM default** untuk menghapus kebijakan kata sandi kustom dan pilih **Simpan perubahan**.
1. Konfirmasikan bahwa Anda ingin mengatur kebijakan kata sandi default IAM dengan memilih **Set default**.
Konsol menampilkan pesan status yang memberi tahu Anda bahwa kebijakan kata sandi disetel ke default IAM.
------
## Mengatur kebijakan kata sandi (AWS CLI)
Anda dapat menggunakan AWS Command Line Interface untuk menetapkan kebijakan kata sandi.
**Untuk mengelola kebijakan kata sandi akun kustom dari AWS CLI**
Jalankan perintah berikut.
+ Untuk membuat atau mengubah kebijakan kata sandi kustom: [https://docs.aws.amazon.com/cli/latest/reference/iam/update-account-password-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/update-account-password-policy.html)
+ Untuk melihat kebijakan kata sandi: [https://docs.aws.amazon.com/cli/latest/reference/iam/get-account-password-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-account-password-policy.html)
+ Untuk menghapus kebijakan kata sandi khusus: [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-account-password-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-account-password-policy.html)
## Menyetel kebijakan kata sandi (AWS API)
Anda dapat menggunakan operasi AWS API untuk menetapkan kebijakan kata sandi.
**Untuk mengelola kebijakan kata sandi akun kustom dari AWS API**
Hubungi operasi berikut ini:
+ Untuk membuat atau mengubah kebijakan kata sandi kustom: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccountPasswordPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccountPasswordPolicy.html)
+ Untuk melihat kebijakan kata sandi: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountPasswordPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountPasswordPolicy.html)
+ Untuk menghapus kebijakan kata sandi khusus: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccountPasswordPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccountPasswordPolicy.html)
# Kelola kata sandi untuk pengguna IAM
Pengguna IAM yang menggunakan Konsol Manajemen AWS untuk bekerja dengan AWS sumber daya harus memiliki kata sandi untuk masuk. Anda dapat membuat, mengubah, atau menghapus kata sandi untuk pengguna IAM di AWS akun Anda.
Setelah Anda menetapkan kata sandi untuk pengguna, pengguna dapat masuk ke Konsol Manajemen AWS menggunakan URL masuk untuk akun Anda, yang terlihat seperti ini:
```
https://12-digit-AWS-account-ID or alias.signin.aws.amazon.com/console
```
Untuk informasi selengkapnya tentang cara pengguna IAM masuk Konsol Manajemen AWS, lihat [Cara masuk AWS di](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) *Panduan AWS Sign-In Pengguna*.
Sekalipun pengguna Anda memiliki kata sandi, mereka masih memerlukan izin untuk mengakses sumber daya AWS Anda. Secara default, pengguna tidak memiliki izin. Untuk memberi pengguna Anda izin yang mereka butuhkan, Anda menetapkan kebijakan untuk mereka atau ke grup yang mereka miliki. Untuk informasi tentang membuat pengguna dan grup, lihat [Identitas IAM](id.md). Untuk informasi tentang menggunakan kebijakan untuk mengatur izin, lihat [Mengubah izin untuk pengguna IAM](id_users_change-permissions.md).
Anda dapat memberikan izin kepada pengguna untuk mengubah kata sandi mereka sendiri. Untuk informasi selengkapnya, lihat [Izinkan pengguna IAM untuk mengubah kata sandi mereka sendiri](id_credentials_passwords_enable-user-change.md). Untuk informasi tentang cara pengguna mengakses halaman login akun Anda, lihat [Cara masuk AWS di](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) *Panduan AWS Sign-In Pengguna*.
**Topics**
+ [Membuat, mengubah, atau menghapus kata sandi pengguna IAM (konsol)](#id_credentials_passwords_admin-change-user_console)
## Membuat, mengubah, atau menghapus kata sandi pengguna IAM (konsol)
Anda dapat menggunakan Konsol Manajemen AWS untuk mengelola kata sandi untuk pengguna IAM Anda.
Kebutuhan akses pengguna Anda dapat berubah seiring waktu. Anda mungkin perlu mengaktifkan pengguna yang dimaksudkan untuk akses CLI agar memiliki akses konsol, mengubah kata sandi pengguna karena mereka menerima email dengan kredensialnya, atau menghapus pengguna saat mereka meninggalkan organisasi Anda atau tidak lagi memerlukan akses. AWS
### Untuk membuat kata sandi pengguna IAM (konsol)
Gunakan prosedur ini untuk memberikan akses konsol pengguna dengan membuat kata sandi yang terkait dengan nama pengguna.
------
#### [ Console ]
1. Ikuti prosedur masuk yang sesuai dengan jenis pengguna Anda seperti yang dijelaskan dalam topik [Cara](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) masuk AWS di *Panduan Pengguna AWS Masuk*.
1. Pada halaman **Beranda Konsol IAM**, di panel navigasi kiri, masukkan kueri Anda di kotak teks **Search IAM**.
1. Di panel navigasi, pilih **Pengguna**.
1. Pilih nama pengguna yang kata sandinya ingin Anda buat.
1. Pilih tab **Security credentials**, lalu di bawah **Console sign-in**, pilih **Aktifkan** akses konsol.
1. Di kotak dialog **Aktifkan akses konsol**, pilih **Setel ulang kata sandi**, lalu pilih apakah IAM membuat kata sandi atau membuat kata sandi khusus:
+ Untuk membuat IAM membuat kata sandi, pilih **Kata sandi yang dibuat otomatis**.
+ Untuk membuat kata sandi kustom, pilih **Kata sandi kustom**, dan ketik kata sandi.
**catatan**
Kata sandi yang Anda buat harus memenuhi [kebijakan kata sandi](id_credentials_passwords_account-policy.md) akun.
1. Untuk meminta pengguna membuat kata sandi baru saat masuk, pilih **Memerlukan perubahan kata sandi saat masuk berikutnya**.
1. Untuk meminta pengguna segera menggunakan kata sandi baru, pilih **Cabut sesi konsol aktif**. Ini melampirkan kebijakan inline ke pengguna IAM yang menolak akses pengguna ke sumber daya jika kredensialnya lebih lama dari waktu yang ditentukan oleh kebijakan.
1. Pilih **Atur Ulang Kata Sandi**
1. Dialog **kata sandi Konsol** memberi tahu Anda bahwa Anda telah mengaktifkan kata sandi baru pengguna. Untuk melihat kata sandi sehingga Anda dapat membagikannya dengan pengguna, pilih **Tampilkan** di kotak dialog **Kata sandi konsol**. Pilih **Unduh file.csv** untuk mengunduh file dengan kredensi pengguna.
**penting**
Untuk alasan keamanan, Anda tidak dapat mengakses kata sandi setelah menyelesaikan langkah ini, tetapi Anda dapat membuat kata sandi baru kapan saja.
Konsol menampilkan pesan status yang memberi tahu Anda bahwa akses konsol telah diaktifkan.
------
### Untuk mengubah kata sandi bagi pengguna IAM (konsol)
Gunakan prosedur ini untuk memperbarui kata sandi yang terkait dengan nama pengguna.
------
#### [ Console ]
1. Ikuti prosedur masuk yang sesuai dengan jenis pengguna Anda seperti yang dijelaskan dalam topik [Cara](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) masuk AWS di *Panduan Pengguna AWS Masuk*.
1. Pada halaman **Beranda Konsol IAM**, di panel navigasi kiri, masukkan kueri Anda di kotak teks **Search IAM**.
1. Di panel navigasi, pilih **Pengguna**.
1. Pilih nama pengguna yang kata sandinya ingin Anda ubah.
1. Pilih tab **Security credentials**, lalu di bawah **Console sign-in**, pilih **Kelola** akses konsol.
1. Di kotak dialog **Kelola akses konsol**, pilih **Setel ulang kata sandi**, lalu pilih apakah IAM membuat kata sandi atau membuat kata sandi khusus:
+ Untuk membuat IAM membuat kata sandi, pilih **Kata sandi yang dibuat otomatis**.
+ Untuk membuat kata sandi kustom, pilih **Kata sandi kustom**, dan ketik kata sandi.
**catatan**
Kata sandi yang Anda buat harus memenuhi [kebijakan kata sandi](id_credentials_passwords_account-policy.md) akun.
1. Untuk meminta pengguna membuat kata sandi baru saat masuk, pilih **Memerlukan perubahan kata sandi saat masuk berikutnya**.
1. Untuk meminta pengguna segera menggunakan kata sandi baru, pilih **Cabut sesi konsol aktif**. Ini melampirkan kebijakan inline ke pengguna IAM yang menolak akses pengguna ke sumber daya jika kredensialnya lebih lama dari waktu yang ditentukan oleh kebijakan.
1. Pilih **Atur Ulang Kata Sandi**
1. Dialog **kata sandi Konsol** memberi tahu Anda bahwa Anda telah mengaktifkan kata sandi baru pengguna. Untuk melihat kata sandi sehingga Anda dapat membagikannya dengan pengguna, pilih **Tampilkan** di kotak dialog **Kata sandi konsol**. Pilih **Unduh file.csv** untuk mengunduh file dengan kredensi pengguna.
**penting**
Untuk alasan keamanan, Anda tidak dapat mengakses kata sandi setelah menyelesaikan langkah ini, tetapi Anda dapat membuat kata sandi baru kapan saja.
Konsol menampilkan pesan status yang memberi tahu Anda bahwa akses konsol telah diperbarui.
------
### Untuk menghapus (menonaktifkan) kata sandi pengguna IAM (konsol)
Gunakan prosedur ini untuk menghapus kata sandi yang terkait dengan nama pengguna, menghapus akses konsol untuk pengguna.
**penting**
Anda dapat mencegah pengguna IAM mengakses Konsol Manajemen AWS dengan menghapus kata sandi mereka. Ini mencegah mereka masuk ke Konsol Manajemen AWS menggunakan kredensi masuk mereka. Hal ini tidak mengubah izin mereka atau mencegah mereka mengakses konsol menggunakan peran yang diasumsikan. Jika pengguna memiliki kunci akses aktif, mereka terus berfungsi dan mengizinkan akses melalui AWS CLI, Alat untuk Windows, AWS API PowerShell, atau AWS Console Mobile Application.
------
#### [ Console ]
1. Ikuti prosedur masuk yang sesuai dengan jenis pengguna Anda seperti yang dijelaskan dalam topik [Cara](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) masuk AWS di *Panduan Pengguna AWS Masuk*.
1. Pada halaman **Beranda Konsol IAM**, di panel navigasi kiri, masukkan kueri Anda di kotak teks **Search IAM**.
1. Di panel navigasi, pilih **Pengguna**.
1. Pilih nama pengguna yang kata sandinya ingin Anda hapus.
1. Pilih tab **Security credentials**, lalu di bawah **Console sign-in**, pilih **Kelola** akses konsol.
1. Untuk meminta pengguna berhenti menggunakan konsol segera, pilih **Cabut sesi konsol aktif**. Ini melampirkan kebijakan inline ke pengguna IAM yang menolak akses pengguna ke sumber daya jika kredensialnya lebih lama dari waktu yang ditentukan oleh kebijakan.
1. Pilih **Nonaktifkan akses**
Konsol menampilkan pesan status yang memberi tahu Anda bahwa akses konsol telah dinonaktifkan.
------
### Membuat, mengubah, atau menghapus kata sandi pengguna IAM ()AWS CLI
Anda dapat menggunakan AWS CLI API untuk mengelola kata sandi bagi pengguna IAM Anda.
**Untuk membuat kata sandi (AWS CLI)**
1. (Opsional) Untuk menentukan apakah pengguna memiliki kata sandi, jalankan perintah ini: [aws iam get-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/get-login-profile.html)
1. Untuk membuat kata sandi, jalankan perintah ini: [aws iam create-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/create-login-profile.html)
**Untuk mengubah kata sandi pengguna (AWS CLI)**
1. (Opsional) Untuk menentukan apakah pengguna memiliki kata sandi, jalankan perintah ini: [aws iam get-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/get-login-profile.html)
1. Untuk mengubah kata sandi, jalankan perintah ini: [aws iam update-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/update-login-profile.html)
**Untuk menghapus (menonaktifkan) kata sandi pengguna (AWS CLI)**
1. (Opsional) Untuk menentukan apakah pengguna memiliki kata sandi, jalankan perintah ini: [aws iam get-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/get-login-profile.html)
1. (Opsional) Untuk menentukan kapan kata sandi terakhir digunakan, jalankan perintah ini: [aws iam get-user](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user.html)
1. Untuk menghapus kata sandi, jalankan perintah ini: [aws iam delete-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-login-profile.html)
**penting**
Ketika Anda menghapus kata sandi pengguna, pengguna tidak bisa lagi masuk ke Konsol Manajemen AWS. Jika pengguna memiliki kunci akses aktif, mereka terus berfungsi dan mengizinkan akses melalui AWS CLI, Alat untuk Windows PowerShell, atau panggilan fungsi AWS API. Saat Anda menggunakan AWS CLI, Alat untuk Windows PowerShell, atau AWS API untuk menghapus pengguna dari Anda Akun AWS, Anda harus terlebih dahulu menghapus kata sandi menggunakan operasi ini. Untuk informasi selengkapnya, lihat [Menghapus pengguna IAM (AWS CLI)](id_users_remove.md#id_users_deleting_cli).
**Untuk mencabut sesi konsol aktif pengguna sebelum waktu yang ditentukan ()AWS CLI**
1. [Untuk menyematkan kebijakan sebaris yang mencabut sesi konsol aktif pengguna IAM sebelum waktu yang ditentukan, gunakan kebijakan sebaris berikut dan jalankan perintah ini: aws iam put-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-policy.html)
Kebijakan inline ini menolak semua izin dan menyertakan kunci kondisi. `aws:TokenIssueTime` Ini mencabut sesi konsol aktif pengguna sebelum waktu yang ditentukan dalam `Condition` elemen kebijakan sebaris. Ganti nilai kunci `aws:TokenIssueTime` kondisi dengan nilai Anda sendiri.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"DateLessThan": {
"aws:TokenIssueTime": "2014-05-07T23:47:00Z"
}
}
}
}
```
------
1. [(Opsional) Untuk mencantumkan nama kebijakan sebaris yang disematkan pada pengguna IAM, jalankan perintah ini: aws iam list-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-user-policies.html)
1. [(Opsional) Untuk melihat kebijakan inline bernama yang disematkan di pengguna IAM, jalankan perintah ini: aws iam get-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user-policy.html)
### Membuat, mengubah, atau menghapus kata sandi pengguna (AWS API) IAM
Anda dapat menggunakan AWS API untuk mengelola kata sandi bagi pengguna IAM Anda.
**Untuk membuat kata sandi (AWS API)**
1. (Opsional) Untuk menentukan apakah pengguna memiliki kata sandi, hubungi operasi ini: [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)
1. Untuk membuat kata sandi, hubungi operasi ini: [CreateLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateLoginProfile.html)
**Untuk mengubah kata sandi pengguna (AWS API)**
1. (Opsional) Untuk menentukan apakah pengguna memiliki kata sandi, hubungi operasi ini: [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)
1. Untuk mengubah kata sandi, hubungi operasi ini: [UpdateLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateLoginProfile.html)
**Untuk menghapus (menonaktifkan) kata sandi pengguna (AWS API)**
1. (Opsional) Untuk menentukan apakah pengguna memiliki kata sandi, jalankan perintah ini: [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)
1. (Opsional) Untuk menentukan kapan kata sandi terakhir digunakan, jalankan perintah ini: [GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)
1. Untuk menghapus kata sandi, jalankan perintah ini: [DeleteLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html)
**penting**
Ketika Anda menghapus kata sandi pengguna, pengguna tidak bisa lagi masuk ke Konsol Manajemen AWS. Jika pengguna memiliki kunci akses aktif, mereka terus berfungsi dan mengizinkan akses melalui AWS CLI, Alat untuk Windows PowerShell, atau panggilan fungsi AWS API. Saat Anda menggunakan AWS CLI, Alat untuk Windows PowerShell, atau AWS API untuk menghapus pengguna dari Anda Akun AWS, Anda harus terlebih dahulu menghapus kata sandi menggunakan operasi ini. Untuk informasi selengkapnya, lihat [Menghapus pengguna IAM (AWS CLI)](id_users_remove.md#id_users_deleting_cli).
**Untuk mencabut sesi konsol aktif pengguna sebelum waktu tertentu (API)AWS**
1. Untuk menyematkan kebijakan sebaris yang mencabut sesi konsol aktif pengguna IAM sebelum waktu yang ditentukan, gunakan kebijakan sebaris berikut dan jalankan perintah ini: [PutUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPolicy.html)
Kebijakan inline ini menolak semua izin dan menyertakan kunci kondisi. `aws:TokenIssueTime` Ini mencabut sesi konsol aktif pengguna sebelum waktu yang ditentukan dalam `Condition` elemen kebijakan sebaris. Ganti nilai kunci `aws:TokenIssueTime` kondisi dengan nilai Anda sendiri.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"DateLessThan": {
"aws:TokenIssueTime": "2014-05-07T23:47:00Z"
}
}
}
}
```
------
1. (Opsional) Untuk mencantumkan nama kebijakan sebaris yang disematkan di pengguna IAM, jalankan perintah ini: [ListUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html)
1. (Opsional) Untuk melihat kebijakan inline bernama yang disematkan di pengguna IAM, jalankan perintah ini: [GetUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUserPolicy.html)
# Izinkan pengguna IAM untuk mengubah kata sandi mereka sendiri
**catatan**
Pengguna dengan identitas federasi akan menggunakan proses yang ditentukan oleh penyedia identitas mereka untuk mengubah kata sandi mereka. Sebagai [praktik terbaik](best-practices.md), mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara.
Anda dapat memberikan izin kepada pengguna IAM untuk mengubah kata sandi mereka sendiri untuk masuk ke. Konsol Manajemen AWS Anda dapat melakukannya dengan salah satu dari dua cara berikut:
+ [Izinkan semua pengguna IAM di akun untuk mengubah kata sandi mereka sendiri](#proc_letalluserschangepassword).
+ [Izinkan pengguna IAM terpilih untuk mengubah kata sandi mereka sendiri.](#proc_letselectuserschangepassword). Dalam skenario ini, Anda menonaktifkan opsi bagi semua pengguna untuk mengubah kata sandi mereka sendiri menggunakan kebijakan IAM untuk memberikan izin hanya kepada beberapa pengguna. Pendekatan ini memungkinkan pengguna untuk mengubah kartu sandi mereka sendiri dan secara opsional kredensial lainnya seperti kunci akses mereka sendiri.
**penting**
Kami sarankan Anda [menetapkan kebijakan kata sandi khusus](id_credentials_passwords_account-policy.md) yang memerlukan pengguna IAM untuk membuat kata sandi yang kuat.
## Untuk mengizinkan pengguna IAM mengubah kata sandi mereka sendiri
------
#### [ Console ]
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, klik **Pengaturan akun**.
1. Di bagian **Kebijakan kata sandi**, pilih **Edit**.
1. Pilih **Kustom** untuk menggunakan kebijakan kata sandi khusus.
1. Pilih **Izinkan pengguna mengubah kata sandi mereka sendiri**, lalu pilih **Simpan perubahan**. Ini memungkinkan semua pengguna di akun mengakses `iam:ChangePassword` tindakan hanya untuk pengguna mereka dan `iam:GetAccountPasswordPolicy` tindakan.
1. Berikan petunjuk berikut kepada pengguna untuk mengubah kata sandi mereka: [Bagaimana pengguna IAM mengubah kata sandi mereka sendiri](id_credentials_passwords_user-change-own.md).
------
#### [ AWS CLI ]
Jalankan perintah berikut:
+ `[aws iam update-account-password-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/update-account-password-policy.html)`
------
#### [ API ]
Untuk membuat alias untuk URL halaman Konsol Manajemen AWS masuk Anda, panggil operasi berikut:
+ `[UpdateAccountPasswordPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccountPasswordPolicy.html)`
------
## Untuk mengizinkan pengguna IAM terpilih untuk mengubah kata sandi mereka sendiri
------
#### [ Console ]
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, klik **Pengaturan akun**.
1. Di bagian **Kebijakan kata sandi**, pastikan bahwa **Perbolehkan pengguna mengubah kata sandi mereka sendiri** tidak dipilih. Jika kotak centang ini dipilih, semua pengguna dapat mengubah kata sandi mereka sendiri. (Lihat prosedur sebelumnya.)
1. Buat pengguna yang seharusnya diperbolehkan untuk mengubah kata sandi mereka sendiri, jika mereka belum ada. Lihat perinciannya di [Buat pengguna IAM di Akun AWS](id_users_create.md).
1. (Opsional) Buat grup IAM untuk pengguna yang diizinkan untuk mengubah kata sandi mereka, lalu tambahkan pengguna dari langkah sebelumnya ke grup. Lihat perinciannya di [Grup pengguna IAM](id_groups.md).
1. Tetapkan kebijakan berikut kepada grup. Untuk informasi selengkapnya, lihat [Kelola kebijakan IAM](access_policies_manage.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:GetAccountPasswordPolicy",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:ChangePassword",
"Resource": "arn:aws:iam::*:user/${aws:username}"
}
]
}
```
------
Kebijakan ini memberikan akses ke [ChangePassword](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ChangePassword.html)tindakan, yang memungkinkan pengguna hanya mengubah kata sandi mereka sendiri dari konsol AWS CLI, Alat untuk Windows PowerShell, atau API. Juga memberikan akses ke tindakan [GetAccountPasswordPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountPasswordPolicy.html), yang memungkinkan pengguna melihat kebijakan kata sandi saat ini; izin ini diperlukan agar pengguna dapat melihat kebijakan kata sandi akun di halaman **Ubah kata sandi**. Pengguna harus diizinkan untuk membaca kebijakan kata sandi saat ini untuk memastikan bahwa kata sandi yang diubah memenuhi persyaratan kebijakan.
1. Berikan petunjuk berikut kepada pengguna untuk mengubah kata sandi mereka: [Bagaimana pengguna IAM mengubah kata sandi mereka sendiri](id_credentials_passwords_user-change-own.md).
------
### Untuk informasi lebih lanjut
Untuk informasi selengkapnya tentang mengelola kredensial, lihat topik berikut:
+ [Izinkan pengguna IAM untuk mengubah kata sandi mereka sendiri](#id_credentials_passwords_enable-user-change)
+ [Kata sandi pengguna di AWS](id_credentials_passwords.md)
+ [Menetapkan kebijakan kata sandi akun untuk pengguna IAM](id_credentials_passwords_account-policy.md)
+ [Kelola kebijakan IAM](access_policies_manage.md)
+ [Bagaimana pengguna IAM mengubah kata sandi mereka sendiri](id_credentials_passwords_user-change-own.md)
# Bagaimana pengguna IAM mengubah kata sandi mereka sendiri
Jika Anda telah diberikan izin untuk mengubah kata sandi pengguna IAM Anda sendiri, Anda dapat menggunakan halaman khusus Konsol Manajemen AWS untuk melakukan ini. Anda juga dapat menggunakan AWS CLI atau AWS API.
**Topics**
+ [Izin diperlukan](#change-own-passwords-permissions-required)
+ [Cara pengguna IAM mengubah kata sandi mereka sendiri (konsol)](#ManagingUserPwdSelf-Console)
+ [Bagaimana pengguna IAM mengubah kata sandi (AWS CLI atau AWS API) mereka sendiri](#ManagingUserPwdSelf-CLIAPI)
## Izin diperlukan
Untuk mengubah kata sandi untuk pengguna IAM Anda sendiri, Anda harus memiliki izin dari kebijakan berikut: [AWS: Memungkinkan pengguna IAM untuk mengubah kata sandi konsol mereka sendiri di halaman kredensi Keamanan](reference_policies_examples_aws_my-sec-creds-self-manage-password-only.md).
## Cara pengguna IAM mengubah kata sandi mereka sendiri (konsol)
Prosedur berikut menjelaskan bagaimana pengguna IAM dapat menggunakan Konsol Manajemen AWS untuk mengubah kata sandi mereka sendiri.
**Untuk mengubah kata sandi pengguna IAM Anda sendiri (konsol)**
1. Gunakan ID AWS akun atau alias akun, nama pengguna IAM, dan kata sandi Anda untuk masuk ke konsol [IAM](https://console.aws.amazon.com/iam).
**catatan**
Untuk kenyamanan Anda, halaman AWS masuk menggunakan cookie browser untuk mengingat nama pengguna IAM dan informasi akun Anda. Jika Anda sebelumnya masuk sebagai pengguna yang berbeda, pilih **Masuk ke akun lain** dekat bagian bawah halaman untuk kembali ke halaman masuk utama. Dari sana, Anda dapat mengetikkan ID AWS akun atau alias akun Anda untuk diarahkan ke halaman login pengguna IAM untuk akun Anda.
Untuk mendapatkan Akun AWS ID Anda, hubungi administrator Anda.
1. Di bilah navigasi di kanan atas, pilih nama pengguna Anda, lalu pilih **Kredensi keamanan**.
![\[AWS Tautan kredensi Keamanan Konsol Manajemen\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)
1. **Pada tab **Kredensial AWS IAM, pilih Perbarui** kata sandi.**
1. Untuk **Kata sandi saat ini**, masukkan kata sandi Anda saat ini. Masukkan kata sandi baru untuk **Kata sandi baru** dan **Konfirmasi kata sandi baru**. Kemudian pilih **Perbarui kata sandi**.
**catatan**
Kata sandi baru harus memenuhi persyaratan kebijakan kata sandi akun. Untuk informasi selengkapnya, lihat [Menetapkan kebijakan kata sandi akun untuk pengguna IAM](id_credentials_passwords_account-policy.md).
## Bagaimana pengguna IAM mengubah kata sandi (AWS CLI atau AWS API) mereka sendiri
Prosedur berikut menjelaskan bagaimana pengguna IAM dapat menggunakan AWS CLI atau AWS API untuk mengubah kata sandi mereka sendiri.
**Untuk mengubah kata sandi IAM Anda sendiri, gunakan cara berikut:**
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/change-password.html](https://docs.aws.amazon.com/cli/latest/reference/iam/change-password.html)
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ChangePassword.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ChangePassword.html)
# Kelola access key untuk pengguna IAM
**penting**
Sebagai [praktik terbaik](best-practices.md), gunakan kredensi keamanan sementara (seperti peran IAM) alih-alih membuat kredensi jangka panjang seperti kunci akses. Sebelum membuat kunci akses, tinjau [alternatif untuk kunci akses jangka panjang](security-creds-programmatic-access.md#security-creds-alternatives-to-long-term-access-keys).
Kunci akses adalah kredensi jangka panjang untuk pengguna IAM atau. Pengguna root akun AWS Anda dapat menggunakan kunci akses untuk menandatangani permintaan terprogram ke AWS CLI atau AWS API (secara langsung atau menggunakan AWS SDK). Untuk informasi selengkapnya, lihat [Akses terprogram dengan kredensi AWS keamanan](security-creds-programmatic-access.md).
Access key terdiri dari dua bagian: access key ID (misalnya, `AKIAIOSFODNN7EXAMPLE`) dan secret access key (misalnya, `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`). Anda harus menggunakan ID kunci akses dan kunci akses rahasia bersama-sama untuk mengautentikasi permintaan Anda.
Saat Anda membuat pasangan access key, simpan access key ID dan secret access key di lokasi yang aman. Kunci akses rahasia hanya dapat diambil pada saat Anda membuatnya. Jika Anda kehilangan secret access key, Anda harus menghapus access key dan membuat access key baru. Untuk instruksi lebih lanjut, lihat[Perbarui kunci akses](id-credentials-access-keys-update.md).
Anda dapat memiliki maksimal dua kunci akses per pengguna.
**penting**
Pengguna IAM dengan kunci akses adalah risiko keamanan akun. Kelola kunci akses Anda dengan aman. Jangan berikan kunci akses Anda kepada pihak yang tidak berwenang, bahkan untuk membantu [menemukan pengenal akun Anda](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html). Dengan melakukan tindakan ini, Anda mungkin memberi seseorang akses permanen ke akun Anda.
Saat bekerja dengan kunci akses, perhatikan hal-hal berikut:
**JANGAN** gunakan kredensi root akun Anda untuk membuat kunci akses.
**JANGAN** menaruh kunci akses atau informasi kredensi dalam file aplikasi Anda.
**JANGAN** sertakan file yang berisi kunci akses atau informasi kredensi di area proyek Anda.
Kunci akses atau informasi kredensi yang disimpan dalam file AWS kredensial bersama disimpan dalam teks biasa.
## Rekomendasi pemantauan
Setelah membuat kunci akses:
+ Gunakan AWS CloudTrail untuk memantau penggunaan kunci akses dan mendeteksi upaya akses yang tidak sah. Untuk informasi selengkapnya, lihat [Mencatat panggilan IAM dan AWS STS API dengan AWS CloudTrail](cloudtrail-integration.md).
+ Siapkan CloudWatch alarm untuk memberi tahu administrator untuk upaya akses yang ditolak untuk membantu mendeteksi aktivitas berbahaya. Untuk informasi selengkapnya, lihat [Panduan CloudWatch Pengguna Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
+ Tinjau, perbarui, dan hapus kunci akses secara teratur sesuai kebutuhan.
Topik berikut merinci tugas manajemen yang terkait dengan kunci akses.
**Topics**
+ [Rekomendasi pemantauan](#monitor-access-keys)
+ [Kontrol penggunaan kunci akses dengan melampirkan kebijakan inline ke pengguna IAM](access-keys_inline-policy.md)
+ [Izin diperlukan untuk mengelola kunci akses](access-keys_required-permissions.md)
+ [Bagaimana pengguna IAM dapat mengelola kunci akses mereka sendiri](access-key-self-managed.md)
+ [Bagaimana administrator IAM dapat mengelola kunci akses pengguna IAM](access-keys-admin-managed.md)
+ [Perbarui kunci akses](id-credentials-access-keys-update.md)
+ [Kunci akses aman](securing_access-keys.md)
# Kontrol penggunaan kunci akses dengan melampirkan kebijakan inline ke pengguna IAM
Sebagai praktik terbaik, kami menyarankan agar [beban kerja menggunakan kredensional sementara dengan peran IAM](best-practices.md#bp-workloads-use-roles) untuk mengakses. AWS Pengguna IAM dengan kunci akses harus diberi akses hak istimewa paling sedikit dan mengaktifkan [otentikasi multi-faktor (MFA](id_credentials_mfa.md)). Untuk informasi selengkapnya tentang mengasumsikan peran IAM, lihat. [Metode untuk mengambil peran](id_roles_manage-assume.md)
Namun, jika Anda membuat uji bukti konsep otomatisasi layanan atau kasus penggunaan jangka pendek lainnya, dan Anda memilih untuk menjalankan beban kerja menggunakan pengguna IAM dengan kunci akses, kami sarankan Anda [menggunakan ketentuan kebijakan untuk lebih membatasi akses](best-practices.md#use-policy-conditions) kredensi pengguna IAM mereka.
Dalam situasi ini, Anda dapat membuat kebijakan terikat waktu yang kedaluwarsa kredensialnya setelah waktu yang ditentukan atau, jika Anda menjalankan beban kerja dari jaringan aman, Anda dapat menggunakan kebijakan pembatasan IP.
Untuk kedua kasus penggunaan ini, Anda dapat menggunakan kebijakan inline yang dilampirkan ke pengguna IAM yang memiliki kunci akses.
**Untuk mengonfigurasi kebijakan terikat waktu bagi pengguna IAM**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Pengguna** dan kemudian pilih pengguna untuk kasus penggunaan jangka pendek. Jika Anda belum membuat pengguna, Anda dapat [membuat pengguna](getting-started-workloads.md) sekarang.
1. Pada halaman **Detail** pengguna, pilih tab **Izin**.
1. Pilih **Tambahkan izin**, lalu pilih **Buat kebijakan sebaris**.
1. Di bagian **Editor kebijakan**, pilih **JSON** untuk menampilkan editor JSON.
1. Di editor JSON, masukkan kebijakan berikut, ganti nilai `aws:CurrentTime` stempel waktu dengan tanggal dan waktu kedaluwarsa yang Anda inginkan:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"DateGreaterThan": {
"aws:CurrentTime": "2025-03-01T00:12:00Z"
}
}
}
]
}
```
------
Kebijakan ini menggunakan `Deny` efek untuk membatasi semua tindakan pada semua sumber daya setelah tanggal yang ditentukan. `DateGreaterThan`Kondisi membandingkan waktu saat ini dengan stempel waktu yang Anda tetapkan.
1. Pilih **Berikutnya** untuk melanjutkan ke halaman **Tinjauan dan buat**. Di Rincian **kebijakan**, di bawah **Nama kebijakan**, masukkan nama untuk kebijakan tersebut, lalu pilih **Buat kebijakan**.
Setelah kebijakan dibuat, kebijakan akan ditampilkan di tab **Izin** untuk pengguna. Ketika waktu saat ini lebih besar dari atau sama dengan waktu yang ditentukan dalam kebijakan, pengguna tidak akan lagi memiliki akses ke AWS sumber daya. Pastikan untuk memberi tahu pengembang beban kerja tentang tanggal kedaluwarsa yang Anda tentukan untuk kunci akses ini.
**Untuk mengonfigurasi kebijakan pembatasan IP untuk pengguna IAM**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Pengguna** dan kemudian pilih pengguna yang akan menjalankan beban kerja dari jaringan aman. Jika Anda belum membuat pengguna, Anda dapat [membuat pengguna](getting-started-workloads.md) sekarang.
1. Pada halaman **Detail** pengguna, pilih tab **Izin**.
1. Pilih **Tambahkan izin**, lalu pilih **Buat kebijakan sebaris**.
1. Di bagian **Editor kebijakan**, pilih **JSON** untuk menampilkan editor JSON.
1. Salin kebijakan IAM berikut ke editor JSON, dan ubah publik IPv4 atau IPv6 alamat, atau rentang sesuai kebutuhan Anda. Anda dapat menggunakan [https://checkip.amazonaws.com/](https://checkip.amazonaws.com/)untuk menentukan alamat IP publik Anda saat ini. Anda dapat menentukan alamat IP individual, atau rentang alamat IP menggunakan notasi garis miring. Untuk informasi selengkapnya, lihat [aws:SourceIp](reference_policies_condition-keys.md#condition-keys-sourceip).
**catatan**
Alamat IP tidak boleh dikaburkan oleh VPN atau server proxy.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid":"IpRestrictionIAMPolicyForIAMUser",
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"203.0.113.0/24",
"2001:DB8:1234:5678::/64",
"203.0.114.1"
]
},
"BoolIfExists": {
"aws:ViaAWSService": "false"
}
}
}
]
}
```
------
Contoh kebijakan ini menolak penggunaan kunci akses pengguna IAM dengan kebijakan ini diterapkan, kecuali permintaan tersebut berasal dari jaringan (ditentukan dalam notasi CIDR) “203.0.113.0/24”, “2001:: 1234:5678DB8: :/64”, atau alamat IP spesifik “203.0.114.1”
1. Pilih **Berikutnya** untuk melanjutkan ke halaman **Tinjauan dan buat**. Di Rincian **kebijakan**, di bawah **Nama kebijakan**, masukkan nama untuk kebijakan tersebut, lalu pilih **Buat kebijakan**.
Setelah kebijakan dibuat, kebijakan akan ditampilkan di tab **Izin** untuk pengguna.
Anda juga dapat menerapkan kebijakan ini sebagai kebijakan kontrol layanan (SCP) di beberapa AWS akun AWS Organizations, kami sarankan menggunakan kondisi tambahan, `aws:PrincipalArn` untuk membuat pernyataan kebijakan ini hanya berlaku untuk pengguna IAM dalam AWS akun yang tunduk pada SCP ini. Kebijakan berikut mencakup pembaruan itu:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "IpRestrictionServiceControlPolicyForIAMUsers",
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"203.0.113.0/24",
"2001:DB8:1234:5678::/64",
"203.0.114.1"
]
},
"BoolIfExists": {
"aws:ViaAWSService": "false"
},
"ArnLike": {
"aws:PrincipalArn": "arn:aws:iam::*:user/*"
}
}
}
]
}
```
------
# Izin diperlukan untuk mengelola kunci akses
**catatan**
`iam:TagUser`adalah izin opsional untuk menambahkan dan mengedit deskripsi untuk kunci akses. Untuk informasi selengkapnya, lihat [Tag pengguna IAM](id_tags_users.md)
Untuk membuat kunci akses untuk pengguna IAM Anda sendiri, Anda harus memiliki izin dari kebijakan berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateOwnAccessKeys",
"Effect": "Allow",
"Action": [
"iam:CreateAccessKey",
"iam:GetUser",
"iam:ListAccessKeys",
"iam:TagUser"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
}
]
}
```
------
Untuk memperbarui kunci akses untuk pengguna IAM Anda sendiri, Anda harus memiliki izin dari kebijakan berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ManageOwnAccessKeys",
"Effect": "Allow",
"Action": [
"iam:CreateAccessKey",
"iam:DeleteAccessKey",
"iam:GetAccessKeyLastUsed",
"iam:GetUser",
"iam:ListAccessKeys",
"iam:UpdateAccessKey",
"iam:TagUser"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
}
]
}
```
------
# Bagaimana pengguna IAM dapat mengelola kunci akses mereka sendiri
Administrator IAM dapat memberikan izin kepada pengguna IAM untuk mengelola sendiri kunci akses mereka dengan melampirkan kebijakan yang dijelaskan di dalamnya. [Izin diperlukan untuk mengelola kunci akses](access-keys_required-permissions.md)
Dengan izin ini, pengguna IAM dapat menggunakan prosedur berikut untuk membuat, mengaktifkan, menonaktifkan, dan menghapus kunci akses yang terkait dengan nama pengguna mereka.
**Topics**
+ [Buat kunci akses untuk Anda sendiri (konsol)](#Using_CreateAccessKey)
+ [Nonaktifkan kunci akses Anda (konsol)](#deactivate-access-key-seccreds)
+ [Aktifkan kunci akses Anda (konsol)](#activate-access-key-seccreds)
+ [Hapus kunci akses Anda (konsol)](#delete-access-key-seccreds)
## Buat kunci akses untuk Anda sendiri (konsol)
Jika Anda telah diberikan izin yang sesuai, Anda dapat menggunakan tombol Konsol Manajemen AWS untuk membuat kunci akses untuk diri Anda sendiri.
**Untuk membuat kunci akses Anda sendiri (konsol)**
1. Gunakan ID AWS akun atau alias akun, nama pengguna IAM, dan kata sandi Anda untuk masuk ke konsol [IAM](https://console.aws.amazon.com/iam).
**catatan**
Untuk kenyamanan Anda, halaman AWS masuk menggunakan cookie browser untuk mengingat nama pengguna IAM dan informasi akun Anda. Jika Anda sebelumnya masuk sebagai pengguna yang berbeda, pilih **Masuk ke akun lain** dekat bagian bawah halaman untuk kembali ke halaman masuk utama. Dari sana, Anda dapat mengetikkan ID AWS akun atau alias akun Anda untuk diarahkan ke halaman login pengguna IAM untuk akun Anda.
Untuk mendapatkan Akun AWS ID Anda, hubungi administrator Anda.
1. Di bilah navigasi di kanan atas, pilih nama pengguna Anda, lalu pilih **Kredensi keamanan**.
![\[AWS Tautan kredensi Keamanan Konsol Manajemen\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)
1. Pada bagian **Access key**, pilih **Buat access key**. Jika Anda sudah memiliki dua kunci akses, tombol ini dinonaktifkan dan Anda harus menghapus kunci akses sebelum Anda dapat membuat yang baru.
1. Pada halaman **praktik terbaik & alternatif kunci Access**, pilih kasus penggunaan Anda untuk mempelajari opsi tambahan yang dapat membantu Anda menghindari pembuatan kunci akses jangka panjang. Jika Anda menentukan bahwa kasus penggunaan Anda masih memerlukan kunci akses, pilih **Lainnya** dan kemudian pilih **Berikutnya**.
1. (Opsional) Tetapkan nilai tag deskripsi untuk kunci akses. Ini menambahkan pasangan nilai kunci tag ke pengguna IAM Anda. Ini dapat membantu Anda mengidentifikasi dan memperbarui kunci akses nanti. Kunci tag diatur ke id kunci akses. Nilai tag diatur ke deskripsi kunci akses yang Anda tentukan. Setelah selesai, pilih **Buat kunci akses**.
1. Pada halaman **Ambil kunci akses**, pilih **Tampilkan** untuk mengungkapkan nilai kunci akses rahasia pengguna Anda, atau **Unduh file.csv.** Ini adalah satu-satunya kesempatan untuk menyimpan secret access key Anda. Setelah menyimpan kunci akses rahasia di lokasi yang aman, pilih **Selesai**.
## Nonaktifkan kunci akses Anda (konsol)
Jika Anda telah diberikan izin yang sesuai, Anda dapat menggunakan tombol Konsol Manajemen AWS untuk menonaktifkan kunci akses Anda.
**Untuk menonaktifkan kunci akses**
1. Gunakan ID AWS akun atau alias akun, nama pengguna IAM, dan kata sandi Anda untuk masuk ke konsol [IAM](https://console.aws.amazon.com/iam).
**catatan**
Untuk kenyamanan Anda, halaman AWS masuk menggunakan cookie browser untuk mengingat nama pengguna IAM dan informasi akun Anda. Jika Anda sebelumnya masuk sebagai pengguna yang berbeda, pilih **Masuk ke akun lain** dekat bagian bawah halaman untuk kembali ke halaman masuk utama. Dari sana, Anda dapat mengetikkan ID AWS akun atau alias akun Anda untuk diarahkan ke halaman login pengguna IAM untuk akun Anda.
Untuk mendapatkan Akun AWS ID Anda, hubungi administrator Anda.
1. Di bilah navigasi di kanan atas, pilih nama pengguna Anda, lalu pilih **Kredensi keamanan**.
![\[AWS Tautan kredensi Keamanan Konsol Manajemen\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)
1. Di bagian **Kunci akses** temukan kunci yang ingin Anda nonaktifkan, lalu pilih **Tindakan**, lalu pilih **Nonaktifkan**. Saat diminta konfirmasi, pilih **Deactivate** (Nonaktifkan). Access key yang dinonaktifkan masih diperhitungkan dalam batas dua access key Anda.
## Aktifkan kunci akses Anda (konsol)
Jika Anda telah diberikan izin yang sesuai, Anda dapat menggunakan tombol Konsol Manajemen AWS untuk mengaktifkan kunci akses Anda.
**Untuk mengaktifkan kunci akses**
1. Gunakan ID AWS akun atau alias akun, nama pengguna IAM, dan kata sandi Anda untuk masuk ke konsol [IAM](https://console.aws.amazon.com/iam).
**catatan**
Untuk kenyamanan Anda, halaman AWS masuk menggunakan cookie browser untuk mengingat nama pengguna IAM dan informasi akun Anda. Jika Anda sebelumnya masuk sebagai pengguna yang berbeda, pilih **Masuk ke akun lain** dekat bagian bawah halaman untuk kembali ke halaman masuk utama. Dari sana, Anda dapat mengetikkan ID AWS akun atau alias akun Anda untuk diarahkan ke halaman login pengguna IAM untuk akun Anda.
Untuk mendapatkan Akun AWS ID Anda, hubungi administrator Anda.
1. Di bilah navigasi di kanan atas, pilih nama pengguna Anda, lalu pilih **Kredensi keamanan**.
![\[AWS Tautan kredensi Keamanan Konsol Manajemen\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)
1. Di bagian **Kunci akses**, temukan kunci untuk mengaktifkan, lalu pilih **Tindakan**, lalu pilih **Aktifkan**.
## Hapus kunci akses Anda (konsol)
Jika Anda telah diberikan izin yang sesuai, Anda dapat menggunakan tombol Konsol Manajemen AWS untuk menghapus kunci akses Anda.
**Untuk menghapus kunci akses saat Anda tidak lagi membutuhkannya**
1. Gunakan ID AWS akun atau alias akun, nama pengguna IAM, dan kata sandi Anda untuk masuk ke konsol [IAM](https://console.aws.amazon.com/iam).
**catatan**
Untuk kenyamanan Anda, halaman AWS masuk menggunakan cookie browser untuk mengingat nama pengguna IAM dan informasi akun Anda. Jika Anda sebelumnya masuk sebagai pengguna yang berbeda, pilih **Masuk ke akun lain** dekat bagian bawah halaman untuk kembali ke halaman masuk utama. Dari sana, Anda dapat mengetikkan ID AWS akun atau alias akun Anda untuk diarahkan ke halaman login pengguna IAM untuk akun Anda.
Untuk mendapatkan Akun AWS ID Anda, hubungi administrator Anda.
1. Di bilah navigasi di kanan atas, pilih nama pengguna Anda, lalu pilih **Kredensi keamanan**.
![\[AWS Tautan kredensi Keamanan Konsol Manajemen\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)
1. Di bagian **Kunci akses**, cari kunci yang ingin Anda hapus, lalu pilih **Tindakan**, lalu pilih **Hapus**. Ikuti instruksi dalam dialog untuk pertama **Nonaktifkan** dan kemudian konfirmasikan penghapusan. Sebaiknya verifikasi bahwa access key tidak lagi digunakan sebelum Anda menghapusnya secara permanen.
# Bagaimana administrator IAM dapat mengelola kunci akses pengguna IAM
Administrator IAM dapat membuat, mengaktifkan, menonaktifkan, dan menghapus kunci akses yang terkait dengan pengguna IAM individu. Mereka juga dapat mencantumkan pengguna IAM di akun yang memiliki kunci akses dan menemukan pengguna IAM mana yang memiliki kunci akses tertentu.
**Topics**
+ [Untuk membuat kunci akses untuk pengguna IAM](#admin-create-access-key)
+ [Untuk menonaktifkan kunci akses untuk pengguna IAM](#admin-deactivate-access-key)
+ [Untuk mengaktifkan kunci akses untuk pengguna IAM](#admin-activate-access-key)
+ [Untuk menghapus kunci akses untuk pengguna IAM](#admin-delete-access-key)
+ [Untuk membuat daftar kunci akses untuk pengguna IAM](#admin-list-access-key)
+ [Untuk membuat daftar kunci akses untuk pengguna IAM](#admin-list-access-key)
+ [Untuk menampilkan semua kunci akses IDs bagi pengguna di akun Anda](#admin-list-all-access-keys)
+ [Untuk menggunakan ID kunci akses untuk menemukan pengguna](#admin-find-user-access-keys)
+ [Untuk menemukan penggunaan terbaru dari ID kunci akses](#admin-find-most-recent-use-access-keys)
## Untuk membuat kunci akses untuk pengguna IAM
------
#### [ Console ]
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Users** (Pengguna).
1. Pilih nama pengguna untuk membuka halaman detail pengguna.
1. Pada tab **Security credentials**, di bagian **Access keys**, pilih **Create Access** Key.
Jika tombol dinonaktifkan, maka Anda harus menghapus salah satu kunci yang ada sebelum Anda dapat membuat yang baru.
1. Pada halaman **Praktik & Alternatif Terbaik Kunci Akses**, tinjau praktik dan alternatif terbaik. Pilih kasus penggunaan Anda untuk mempelajari opsi tambahan yang dapat membantu Anda menghindari pembuatan kunci akses jangka panjang.
1. Jika Anda menentukan bahwa kasus penggunaan Anda masih memerlukan kunci akses, pilih **Lainnya** dan kemudian pilih **Berikutnya**.
1. **(Opsional)** Pada halaman **Setel tag deskripsi**, Anda dapat menambahkan tag deskripsi ke kunci akses untuk membantu melacak kunci akses Anda. Pilih **Buat tombol akses**.
1. Pada **halaman Retrieve access key**, pilih **Tampilkan** untuk mengungkapkan nilai kunci akses rahasia pengguna Anda.
1. Untuk menyimpan ID kunci akses dan kunci akses rahasia ke `.csv` file ke lokasi aman di komputer Anda, pilih tombol **Unduh file.csv**.
**penting**
Ini adalah satu-satunya waktu Anda untuk melihat atau mengunduh kunci akses yang baru dibuat dan Anda tidak dapat memulihkannya. Pastikan Anda menjaga kunci akses Anda dengan aman.
Saat Anda membuat kunci akses untuk pengguna Anda, key pair tersebut aktif secara default, dan pengguna Anda dapat langsung menggunakan pasangan tersebut.
------
#### [ AWS CLI ]
Jalankan perintah berikut:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html)
------
#### [ API ]
Panggil operasi berikut:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html)
------
## Untuk menonaktifkan kunci akses untuk pengguna IAM
------
#### [ Console ]
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Users** (Pengguna).
1. Pilih nama pengguna untuk membuka halaman detail pengguna.
1. **Pada tab **Security credentials**, di bagian **Access keys**, pilih menu drop-down **Actions**, lalu pilih Nonaktifkan.**
1. **Di kotak dialog **Nonaktifkan**, konfirmasikan bahwa Anda ingin menonaktifkan kunci akses dengan memilih Nonaktifkan**
Setelah kunci akses dinonaktifkan, itu tidak dapat lagi digunakan oleh panggilan API. Anda dapat mengaktifkannya lagi jika diperlukan.
------
#### [ AWS CLI ]
Jalankan perintah berikut:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html)
------
#### [ API ]
Panggil operasi berikut:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html)
------
## Untuk mengaktifkan kunci akses untuk pengguna IAM
------
#### [ Console ]
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Users** (Pengguna).
1. Pilih nama pengguna untuk membuka halaman detail pengguna.
1. **Pada tab **Security credentials**, di bagian **Access keys**, pilih menu drop-down **Actions**, lalu pilih Activate.**
Setelah kunci akses diaktifkan, itu dapat digunakan oleh panggilan API. Anda dapat menonaktifkannya lagi jika diperlukan.
------
#### [ AWS CLI ]
Jalankan perintah berikut:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html)
------
#### [ API ]
Panggil operasi berikut:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html)
------
## Untuk menghapus kunci akses untuk pengguna IAM
Setelah kunci akses dinonaktifkan, jika tidak lagi diperlukan, hapus.
------
#### [ Console ]
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Users** (Pengguna).
1. Pilih nama pengguna untuk membuka halaman detail pengguna.
1. **Pada tab **Security credentials**, di bagian **Access keys**, pilih menu drop-down **Actions** untuk tombol akses tidak aktif, lalu pilih Delete.**
1. Di kotak dialog **Hapus**, konfirmasikan bahwa Anda ingin menghapus kunci akses dengan memasukkan ID kunci akses di bidang input teks dan kemudian memilih **Hapus**.
Setelah kunci akses dihapus, itu tidak dapat dipulihkan.
------
#### [ AWS CLI ]
Jalankan perintah berikut:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html)
------
#### [ API ]
Panggil operasi berikut:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html)
------
## Untuk membuat daftar kunci akses untuk pengguna IAM
Anda dapat melihat daftar kunci akses yang IDs terkait dengan pengguna IAM.
------
#### [ Console ]
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Users** (Pengguna).
1. Pilih nama pengguna untuk membuka halaman detail pengguna.
1. Pada tab **Security credentials**, bagian **Access keys** mencantumkan tombol akses untuk pengguna.
Setiap pengguna IAM dapat memiliki dua kunci akses.
------
#### [ AWS CLI ]
Jalankan perintah berikut:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html](https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html)
------
#### [ API ]
Panggil operasi berikut:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html)
------
## Untuk membuat daftar kunci akses untuk pengguna IAM
Anda dapat melihat daftar kunci akses yang IDs terkait dengan pengguna IAM.
------
#### [ Console ]
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Users** (Pengguna).
1. Pilih nama pengguna untuk membuka halaman detail pengguna.
1. Pada tab **Security credentials**, bagian **Access keys** mencantumkan kunci akses IDs untuk pengguna termasuk status setiap tombol yang ditampilkan.
**catatan**
Hanya access key ID pengguna yang terlihat. Secret access key hanya dapat diambil kembali saat kunci dibuat.
Setiap pengguna IAM dapat memiliki dua kunci akses.
------
#### [ AWS CLI ]
Jalankan perintah berikut:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html](https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html)
------
#### [ API ]
Panggil operasi berikut:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html)
------
## Untuk menampilkan semua kunci akses IDs bagi pengguna di akun Anda
Anda dapat melihat daftar kunci akses IDs untuk pengguna di Akun AWS.
------
#### [ Console ]
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Users** (Pengguna).
1. Pilih nama pengguna untuk membuka halaman detail pengguna.
1. Jika perlu, tambahkan kolom **access key ID** pada tabel pengguna dengan menyelesaikan langkah-langkah berikut:
1. Di atas tabel di paling kanan, pilih ikon **Preferensi** (![\[Preferences icon\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/console-settings-icon.console.png)).
1. Di kotak dialog **Preferensi**, di bawah **Pilih kolom yang terlihat**, aktifkan **ID kunci akses**.
1. Pilih **Konfirmasi** untuk kembali ke daftar pengguna. Daftar diperbarui untuk menyertakan ID kunci akses.
1. Kolom **ID kunci Access** menunjukkan status setiap kunci akses, diikuti dengan ID-nya; misalnya, **`Active - AKIAIOSFODNN7EXAMPLE`**atau **`Inactive - AKIAI44QH8DHBEXAMPLE`**.
Anda dapat menggunakan informasi ini untuk melihat dan menyalin kunci akses IDs untuk pengguna dengan satu atau dua kunci akses. Kolom ditampilkan **`-`**untuk pengguna tanpa kunci akses.
**catatan**
Secret access key hanya dapat diambil kembali saat kunci dibuat.
Setiap pengguna IAM dapat memiliki dua kunci akses.
------
## Untuk menggunakan ID kunci akses untuk menemukan pengguna
Anda dapat menggunakan ID kunci akses untuk menemukan pengguna di akun Anda Akun AWS.
------
#### [ Console ]
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, di kotak pencarian, masukkan **ID kunci akses**, misalnyaAKIAI44QH8DHBEXAMPLE.
1. Pengguna IAM yang dikaitkan dengan ID kunci akses muncul di panel navigasi. Pilih nama pengguna untuk membuka halaman detail pengguna.
------
## Untuk menemukan penggunaan terbaru dari ID kunci akses
Penggunaan kunci akses terbaru ditampilkan dalam daftar pengguna di halaman pengguna IAM, di halaman detail pengguna, dan merupakan bagian dari laporan kredensi.
------
#### [ Console ]
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dalam daftar pengguna, lihat kolom **Access key last used**.
Jika kolom tidak ditampilkan, pilih ikon **Preferensi** (![\[Preferences icon\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/console-settings-icon.console.png)) dan di bawah **Pilih kolom yang terlihat**, aktifkan **Kunci akses terakhir digunakan** untuk menampilkan kolom.
1. (opsional) Di panel navigasi, di bawah **Laporan akses**, pilih **Laporan kredenal** untuk mengunduh laporan yang menyertakan kunci akses informasi yang terakhir digunakan untuk semua pengguna IAM di akun Anda.
1. (opsional) Pilih pengguna IAM untuk melihat detail pengguna. Bagian **Ringkasan** mencakup kunci akses IDs, statusnya, dan kapan terakhir kali digunakan.
------
#### [ AWS CLI ]
Jalankan perintah berikut:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html)
------
#### [ API ]
Panggil operasi berikut:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html)
------
# Perbarui kunci akses
Sebagai [praktik keamanan terbaik](best-practices.md#update-access-keys), kami menyarankan Anda memperbarui kunci akses pengguna IAM saat diperlukan, seperti ketika seorang karyawan meninggalkan perusahaan Anda. Pengguna IAM dapat memperbarui kunci akses mereka sendiri jika mereka telah diberikan izin yang diperlukan.
Untuk detail tentang pemberian izin kepada pengguna IAM untuk memperbarui kunci akses mereka sendiri, lihat. [AWS: Memungkinkan pengguna IAM untuk mengelola kata sandi, kunci akses, dan kunci publik SSH mereka sendiri di halaman kredensi Keamanan](reference_policies_examples_aws_my-sec-creds-self-manage-pass-accesskeys-ssh.md) Anda juga dapat menerapkan kebijakan kata sandi ke akun Anda untuk mengharuskan semua pengguna IAM Anda memperbarui kata sandi mereka secara berkala dan seberapa sering mereka harus melakukannya. Untuk informasi selengkapnya, lihat [Menetapkan kebijakan kata sandi akun untuk pengguna IAM](id_credentials_passwords_account-policy.md).
**catatan**
Jika Anda kehilangan secret access key, Anda harus menghapus access key dan membuat access key baru. Kunci akses rahasia hanya dapat diambil pada saat Anda membuatnya. Gunakan prosedur ini untuk menonaktifkan dan kemudian mengganti kunci akses yang hilang dengan kredensi baru.
**Topics**
+ [Memperbarui kunci akses pengguna IAM (konsol)](#rotating_access_keys_console)
+ [Memperbarui kunci akses (AWS CLI)](#rotating_access_keys_cli)
+ [Memperbarui kunci akses (AWS API)](#rotating_access_keys_api)
## Memperbarui kunci akses pengguna IAM (konsol)
Anda dapat memperbarui kunci akses dari file Konsol Manajemen AWS.
**Untuk memperbarui kunci akses untuk pengguna IAM tanpa mengganggu aplikasi Anda (konsol)**
1. Meskipun access key pertama masih aktif, buat access key kedua.
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Pengguna**.
1. Pilih nama pengguna yang dimaksud, lalu pilih tab **Kredensial keamanan**.
1. Pada bagian **Access key**, pilih **Buat access key**. Pada halaman **Praktik & alternatif terbaik kunci Akses**, pilih **Lainnya**, lalu pilih **Berikutnya**.
1. (Opsional) Tetapkan nilai tag deskripsi untuk kunci akses untuk menambahkan pasangan nilai kunci tag ke pengguna IAM ini. Ini dapat membantu Anda mengidentifikasi dan memperbarui kunci akses nanti. Kunci tag diatur ke id kunci akses. Nilai tag diatur ke deskripsi kunci akses yang Anda tentukan. Setelah selesai, pilih **Buat kunci akses**.
1. Pada halaman **Ambil kunci akses**, pilih **Tampilkan** untuk mengungkapkan nilai kunci akses rahasia pengguna Anda, atau **Unduh file.csv.** Ini adalah satu-satunya kesempatan untuk menyimpan secret access key Anda. Setelah menyimpan kunci akses rahasia di lokasi yang aman, pilih **Selesai**.
Saat Anda membuat kunci akses untuk pengguna Anda, key pair tersebut aktif secara default, dan pengguna Anda dapat langsung menggunakan pasangan tersebut. Pada titik ini, pengguna memiliki dua access key aktif.
1. Perbarui semua aplikasi dan alat untuk menggunakan access key baru.
1. Tentukan apakah kunci akses pertama masih digunakan dengan meninjau informasi yang **terakhir digunakan** untuk kunci akses tertua. Salah satu pendekatannya adalah dengan menunggu beberapa hari kemudian memeriksa access key lama untuk penggunaan apa pun sebelum melanjutkan.
1. Bahkan jika Informasi **terakhir yang digunakan** menunjukkan bahwa kunci lama tidak pernah digunakan, kami sarankan Anda tidak segera menghapus kunci akses pertama. Sebagai gantinya, pilih **Tindakan** dan kemudian pilih **Nonaktifkan** untuk menonaktifkan kunci akses pertama.
1. Gunakan hanya access key baru untuk mengonfirmasi bahwa aplikasi Anda berfungsi. Aplikasi dan alat apa pun yang masih menggunakan kunci akses asli akan berhenti berfungsi pada saat ini karena mereka tidak lagi memiliki akses ke AWS sumber daya. Jika Anda menemukan aplikasi atau alat seperti itu, Anda dapat mengaktifkan kembali kunci akses pertama. Lalu kembali ke [Step 3](#id_credentials_access-keys-key-still-in-use) dan perbarui aplikasi ini untuk menggunakan kunci baru.
1. Setelah Anda menunggu beberapa waktu untuk memastikan bahwa semua aplikasi dan alat telah diperbarui, Anda dapat menghapus access key pertama:
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Pengguna**.
1. Pilih nama pengguna yang dimaksud, lalu pilih tab **Kredensial keamanan**.
1. Di bagian **Kunci akses** untuk kunci akses yang ingin Anda hapus, pilih **Tindakan**, lalu pilih **Hapus**. Ikuti instruksi dalam dialog untuk pertama **Nonaktifkan** dan kemudian konfirmasikan penghapusan.
**Untuk menentukan kunci akses mana yang perlu diperbarui atau dihapus (konsol)**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Pengguna**.
1. Jika perlu, tambahkan kolom **Usia access key** pada tabel pengguna dengan menyelesaikan langkah-langkah berikut:
1. Di atas tabel di ujung kanan, pilih ikon pengaturan (![\[Settings icon\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/console-settings-icon.console.png)).
1. Di **Kelola kolom**, pilih **Usia access key**.
1. Pilih **Tutup** untuk kembali ke daftar pengguna.
1. Kolom **Usia access key** menunjukkan jumlah hari sejak access key aktif tertua dibuat. Anda dapat menggunakan informasi ini untuk menemukan pengguna dengan kunci akses yang mungkin perlu diperbarui atau dihapus. Kolom menampilkan **Tidak ada** untuk pengguna yang tidak memiliki access key.
## Memperbarui kunci akses (AWS CLI)
Anda dapat memperbarui kunci akses dari file AWS Command Line Interface.
**Untuk memperbarui kunci akses tanpa mengganggu aplikasi Anda ()AWS CLI**
1. Meskipun access key pertama masih aktif, buat access key kedua, yang secara default aktif. Jalankan perintah berikut:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html)
Pada titik ini, pengguna memiliki dua access key aktif.
1. Perbarui semua aplikasi dan alat untuk menggunakan access key baru.
1. Tentukan apakah access key pertama masih digunakan dengan perintah ini:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html)
Salah satu pendekatannya adalah dengan menunggu beberapa hari kemudian memeriksa access key lama untuk penggunaan apa pun sebelum melanjutkan.
1. Bahkan jika langkah [Step 3](#step-determine-use) tidak menunjukkan penggunaan kunci lama, kami sarankan agar Anda tidak segera menghapus access key pertama. Alih-alih, ubah status access key pertama ke `Inactive` menggunakan perintah ini:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html)
1. Gunakan hanya access key baru untuk mengonfirmasi bahwa aplikasi Anda berfungsi. Aplikasi dan alat apa pun yang masih menggunakan kunci akses asli akan berhenti berfungsi pada saat ini karena mereka tidak lagi memiliki akses ke AWS sumber daya. Jika Anda menemukan aplikasi atau alat seperti itu, Anda dapat mengubah statusnya kembali `Active` untuk mengaktifkan kembali kunci akses pertama. Lalu kembali ke langkah [Step 2](#step-update-apps) dan perbarui aplikasi ini untuk menggunakan kunci baru.
1. Setelah Anda menunggu beberapa waktu untuk memastikan bahwa semua aplikasi dan alat telah diperbarui, Anda dapat menghapus access key pertama dengan perintah ini:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html)
## Memperbarui kunci akses (AWS API)
Anda dapat memperbarui kunci akses menggunakan AWS API.
**Untuk memperbarui kunci akses tanpa mengganggu aplikasi Anda (API)AWS**
1. Meskipun access key pertama masih aktif, buat access key kedua, yang secara default aktif. Hubungi operasi berikut ini:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html)
Pada titik ini, pengguna memiliki dua access key aktif.
1. Perbarui semua aplikasi dan alat untuk menggunakan access key baru.
1. Tentukan apakah access key pertama masih digunakan dengan menghubungi operasi ini:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html)
Salah satu pendekatannya adalah dengan menunggu beberapa hari kemudian memeriksa access key lama untuk penggunaan apa pun sebelum melanjutkan.
1. Bahkan jika langkah [Step 3](#step-determine-use-2) tidak menunjukkan penggunaan kunci lama, kami sarankan agar Anda tidak segera menghapus access key pertama. Alih-alih, ubah status access key pertama ke `Inactive` dengan operasi ini:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html)
1. Gunakan hanya access key baru untuk mengonfirmasi bahwa aplikasi Anda berfungsi. Aplikasi dan alat apa pun yang masih menggunakan kunci akses asli akan berhenti berfungsi pada saat ini karena mereka tidak lagi memiliki akses ke AWS sumber daya. Jika Anda menemukan aplikasi atau alat seperti itu, Anda dapat mengubah statusnya kembali `Active` untuk mengaktifkan kembali kunci akses pertama. Lalu kembali ke langkah [Step 2](#step-update-apps-2) dan perbarui aplikasi ini untuk menggunakan kunci baru.
1. Setelah Anda menunggu beberapa waktu untuk memastikan bahwa semua aplikasi dan alat telah diperbarui, Anda dapat menghapus access key pertama dengan memanggil operasi ini:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html)
# Kunci akses aman
Siapa pun yang memiliki kunci akses Anda memiliki tingkat akses yang sama ke AWS sumber daya Anda seperti yang Anda lakukan. Akibatnya, AWS berupaya keras untuk melindungi kunci akses Anda, dan, sesuai dengan [model tanggung jawab bersama kami,](https://aws.amazon.com/compliance/shared-responsibility-model/) Anda juga harus melakukannya.
Perluas bagian berikut untuk panduan untuk membantu Anda melindungi kunci akses Anda.
**catatan**
Organisasi Anda mungkin memiliki persyaratan dan kebijakan keamanan yang berbeda dari yang dijelaskan dalam topik ini. Saran yang diberikan di sini dimaksudkan sebagai pedoman umum.
## Hapus (atau jangan buat) kunci Pengguna root akun AWS akses
**Salah satu cara terbaik untuk melindungi akun Anda adalah dengan tidak memiliki kunci akses untuk Anda Pengguna root akun AWS.** Kecuali Anda harus memiliki kunci akses pengguna root (yang jarang terjadi), yang terbaik adalah tidak membuatnya. Sebagai gantinya, buat pengguna administratif AWS IAM Identity Center untuk tugas administratif harian.Untuk informasi tentang cara membuat pengguna administratif di Pusat Identitas IAM, lihat [Memulai](https://docs.aws.amazon.com//singlesignon/latest/userguide/getting-started.html) di Panduan Pengguna Pusat Identitas *IAM*.
Jika Anda sudah memiliki kunci akses pengguna root untuk akun Anda, kami sarankan yang berikut: Temukan tempat di aplikasi Anda di mana Anda saat ini menggunakan kunci akses (jika ada), dan ganti kunci akses pengguna root dengan kunci akses pengguna IAM. Kemudian nonaktifkan dan hapus kunci akses pengguna root. Untuk informasi selengkapnya tentang cara memperbarui kunci akses, lihat [Perbarui kunci akses](id-credentials-access-keys-update.md)
## Gunakan kredensil keamanan sementara (peran IAM) alih-alih kunci akses jangka panjang
Dalam banyak skenario, Anda tidak memerlukan access key jangka panjang yang tidak pernah kedaluwarsa (seperti yang Anda lakukan dengan pengguna IAM). Sebagai gantinya, Anda dapat membuat IAM role dan membuat kredensial keamanan sementara. Kredensial keamanan sementara terdiri dari access key ID dan secret access key, tetapi mereka juga menyertakan token keamanan yang menunjukkan kapan kredensial kedaluwarsa.
Kunci akses jangka panjang, seperti yang terkait dengan pengguna IAM dan pengguna root, tetap valid sampai Anda mencabutnya secara manual. Namun, kredensi keamanan sementara yang diperoleh melalui peran IAM dan fitur lain dari AWS Security Token Service kedaluwarsa setelah periode waktu yang singkat. Gunakan kredensial keamanan sementara untuk membantu mengurangi risiko Anda jika kredensial terekspos secara tidak sengaja.
Gunakan IAM role dan kredensial keamanan sementara dalam skenario berikut:
+ **Anda memiliki aplikasi atau AWS CLI skrip yang berjalan pada instans Amazon EC2.** Jangan gunakan kunci akses langsung di aplikasi Anda. Jangan memberikan access key ke aplikasi, menyematkannya di aplikasi, atau membiarkan aplikasi membaca access key dari sumber mana pun. [Sebagai gantinya, tentukan peran IAM yang memiliki izin yang sesuai untuk aplikasi Anda dan luncurkan instans Amazon Elastic Compute Cloud (Amazon EC2) dengan peran untuk EC2.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) Melakukan hal ini akan mengaitkan IAM role dengan instans Amazon EC2. Praktik ini juga memungkinkan aplikasi untuk mendapatkan kredensi keamanan sementara yang pada gilirannya dapat digunakan untuk melakukan panggilan terprogram. AWS The AWS SDKs and the AWS Command Line Interface (AWS CLI) bisa mendapatkan kredensi sementara dari peran secara otomatis.
+ **Anda perlu memberikan akses lintas akun.** Gunakan IAM role untuk membangun kepercayaan antar akun, lalu berikan izin terbatas kepada pengguna dalam satu akun untuk mengakses akun tepercaya. Untuk informasi selengkapnya, lihat [Tutorial IAM: Delegasikan akses di seluruh AWS akun menggunakan peran IAM](tutorial_cross-account-with-roles.md).
+ **Anda memiliki aplikasi seluler.** Jangan menyematkan kunci akses dengan aplikasi, bahkan di penyimpanan terenkripsi. Sebagai gantinya, gunakan [Amazon Cognito](https://aws.amazon.com/cognito/) untuk mengelola identitas pengguna di aplikasi Anda. Layanan ini memungkinkan Anda mengautentikasi pengguna menggunakan Login with Amazon, Facebook, Google, atau penyedia identitas yang kompatibel dengan OpenID Connect (OIDC). Anda kemudian dapat menggunakan penyedia kredensial Amazon Cognito untuk mengelola kredensial yang digunakan aplikasi Anda untuk membuat permintaan ke AWS.
+ **Anda ingin bergabung AWS dan organisasi Anda mendukung SAFL 2.0.** Jika Anda bekerja untuk organisasi yang memiliki penyedia identitas yang mendukung SAML 2.0, konfigurasi penyedia untuk menggunakan SAML. Anda dapat menggunakan SALL untuk bertukar informasi otentikasi dengan AWS dan mendapatkan kembali satu set kredensi keamanan sementara. Untuk informasi selengkapnya, lihat [Federasi SAMP 2.0](id_roles_providers_saml.md).
+ **Anda ingin bergabung ke dalam AWS dan organisasi Anda memiliki toko identitas lokal.** Jika pengguna dapat mengautentikasi di dalam organisasi Anda, Anda dapat menulis aplikasi yang dapat mengeluarkan kredensi keamanan sementara untuk akses ke sumber daya. AWS Untuk informasi selengkapnya, lihat [Aktifkan akses broker identitas khusus ke AWS konsol](id_roles_providers_enable-console-custom-url.md).
+ **Gunakan kondisi dalam kebijakan IAM untuk hanya mengizinkan akses dari jaringan yang diharapkan.** Anda dapat membatasi di mana dan bagaimana kunci akses Anda digunakan dengan menerapkan [kebijakan IAM dengan kondisi](reference_policies_elements_condition_operators.md) yang menentukan dan hanya mengizinkan jaringan yang diharapkan, seperti alamat IP publik atau Virtual Private Clouds (VPCs). Dengan cara ini Anda tahu kunci akses hanya dapat digunakan dari jaringan yang diharapkan dan dapat diterima.
**catatan**
Apakah Anda menggunakan instans Amazon EC2 dengan aplikasi yang memerlukan akses terprogram ke sumber daya? AWS Jika demikian, gunakan [peran IAM untuk EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html).
## Kelola kunci akses pengguna IAM dengan benar
Jika Anda harus membuat kunci akses untuk akses terprogram AWS, buat mereka untuk pengguna IAM, memberikan pengguna hanya izin yang mereka butuhkan.
Perhatikan tindakan pencegahan ini untuk membantu melindungi kunci akses pengguna IAM:
+ **Jangan menanamkan kunci akses langsung ke kode.** [Alat [AWS SDKs](https://aws.amazon.com/tools/#sdk)dan Baris AWS Perintah](https://aws.amazon.com/tools/#cli) memungkinkan Anda untuk menempatkan kunci akses di lokasi yang diketahui sehingga Anda tidak perlu menyimpannya dalam kode.
Letakkan access key di salah satu lokasi berikut:
+ **File AWS kredensialnya.** Itu AWS SDKs dan secara AWS CLI otomatis menggunakan kredensil yang Anda simpan di file AWS kredensial.
Untuk informasi tentang menggunakan file AWS kredensial, lihat dokumentasi untuk SDK Anda. *Contohnya termasuk [Set AWS Credentials dan Region](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/setup-credentials.html) dalam *Panduan AWS SDK untuk Java Pengembang* dan [Konfigurasi dan file kredensi](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) di Panduan Pengguna.AWS Command Line Interface *
Untuk menyimpan kredensil untuk AWS SDK untuk .NET dan AWS Tools for Windows PowerShell, kami sarankan Anda menggunakan SDK Store. Untuk informasi selengkapnya, lihat [Menggunakan Penyimpanan SDK](https://docs.aws.amazon.com/sdk-for-net/v3/developer-guide/sdk-store.html) di *Panduan Developer AWS SDK untuk .NET *.
+ **Variabel lingkungan.** Pada sistem multi-tenant, pilih variabel lingkungan pengguna, bukan variabel lingkungan sistem.
Untuk informasi selengkapnya tentang menggunakan variabel lingkungan untuk menyimpan kredensial, lihat [Variabel Lingkungan](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-envvars.html) di *Panduan Pengguna AWS Command Line Interface *.
+ **Gunakan tombol akses yang berbeda untuk aplikasi yang berbeda.** Lakukan ini sehingga Anda dapat mengisolasi izin dan mencabut kunci akses untuk aplikasi individual jika diekspos. Memiliki kunci akses terpisah untuk aplikasi yang berbeda juga menghasilkan entri yang berbeda dalam file [AWS CloudTrail](https://aws.amazon.com/cloudtrail/)log. Konfigurasi ini memudahkan Anda untuk menentukan aplikasi mana yang melakukan tindakan tertentu.
+ **Perbarui tombol akses bila diperlukan.** Jika ada risiko bahwa kunci akses dapat dikompromikan, perbarui kunci akses dan hapus kunci akses sebelumnya. Untuk detailnya, lihat [Perbarui kunci akses](id-credentials-access-keys-update.md)
+ **Hapus kunci akses yang tidak digunakan.** Jika pengguna keluar dari organisasi Anda, hapus pengguna IAM yang sesuai sehingga pengguna tidak dapat lagi mengakses sumber daya Anda. Untuk mengetahui kapan kunci akses terakhir digunakan, gunakan [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html)API (AWS CLI command: [https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html)).
+ **Gunakan kredensi sementara dan konfigurasikan autentikasi multi-faktor untuk operasi API Anda yang paling sensitif.** Dengan kebijakan IAM, Anda dapat menentukan operasi API mana yang diizinkan untuk dipanggil oleh pengguna. Dalam beberapa kasus, Anda mungkin menginginkan keamanan tambahan yang mengharuskan pengguna diautentikasi dengan AWS MFA sebelum Anda mengizinkan mereka melakukan tindakan yang sangat sensitif. Misalnya, Anda mungkin memiliki kebijakan yang memungkinkan pengguna untuk melakukan Amazon EC2 `RunInstances`, `DescribeInstances`, dan `StopInstances`. Tetapi Anda mungkin ingin membatasi tindakan destruktif seperti `TerminateInstances` dan memastikan bahwa pengguna dapat melakukan tindakan itu hanya jika mereka mengautentikasi dengan perangkat AWS MFA. Untuk informasi selengkapnya, lihat [Akses API aman dengan MFA](id_credentials_mfa_configure-api-require.md).
## Akses aplikasi seluler menggunakan tombol AWS akses
Anda dapat mengakses serangkaian AWS layanan dan fitur terbatas menggunakan aplikasi AWS seluler. Aplikasi seluler membantu Anda mendukung respons insiden saat bepergian. Untuk informasi selengkapnya dan untuk mengunduh aplikasi, lihat [AWS Console Mobile Application](https://aws.amazon.com/console/mobile/).
Anda dapat masuk ke aplikasi seluler menggunakan kata sandi konsol atau access key Anda. Sebagai praktik terbaik, jangan gunakan access key pengguna root. Sebagai gantinya, kami sangat menyarankan bahwa selain menggunakan kata sandi atau kunci biometrik pada perangkat seluler Anda, Anda membuat pengguna IAM khusus untuk mengelola AWS sumber daya menggunakan aplikasi seluler. Jika perangkat seluler hilang, Anda dapat menghapus akses pengguna IAM.
**Untuk masuk menggunakan access key (aplikasi seluler)**
1. Buka aplikasi di perangkat seluler Anda.
1. Jika ini pertama kalinya Anda menambahkan identitas ke perangkat, pilih **Add an identity** (Tambahkan identitas), lalu pilih **Access key**.
Jika Anda telah masuk menggunakan identitas lain, pilih ikon menu dan pilih **Switch identity** (Ganti identitas). Kemudian pilih **Sign in as a different identity** (Masuk sebagai identitas yang berbeda), lalu **Access key**.
1. Di halaman **Access key**, masukkan informasi Anda:
+ **Access key ID** – Masukkan access key ID Anda.
+ **Secret access key** – Masukkan secret access key Anda.
+ **Nama identitas** – Masukkan nama identitas yang akan muncul di aplikasi seluler. Ini tidak harus cocok dengan nama pengguna IAM Anda.
+ **PIN Identitas** – Buat nomor identifikasi pribadi (PIN) yang akan Anda gunakan untuk masuk di masa mendatang.
**catatan**
Jika Anda mengaktifkan biometrik untuk aplikasi AWS seluler, Anda akan diminta untuk menggunakan sidik jari atau pengenalan wajah untuk verifikasi, bukan PIN. Jika biometrik gagal, Anda mungkin diminta memasukkan PIN.
1. Pilih **Verify and add keys** (Verifikasi dan tambahkan kunci).
Sekarang Anda dapat mengakses set sumber daya tertentu menggunakan aplikasi seluler.
## Informasi Terkait
Topik berikut memberikan panduan untuk menyiapkan AWS SDKs dan AWS CLI menggunakan kunci akses:
+ [Menetapkan AWS kredensi dan Wilayah](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/setup-credentials.html) *dalam Panduan Pengembang AWS SDK untuk Java *
+ [Menggunakan SDK Store](https://docs.aws.amazon.com/sdk-for-net/v3/developer-guide/sdk-store.html) di Panduan *AWS SDK untuk .NET Pengembang*
+ [https://docs.aws.amazon.com/aws-sdk-php/v2/guide/credentials.html](https://docs.aws.amazon.com/aws-sdk-php/v2/guide/credentials.html)
+ [Konfigurasi](https://boto3.amazonaws.com/v1/documentation/api/latest/guide/quickstart.html#configuration) dalam dokumentasi Boto 3 (AWS SDK untuk Python)
+ [Menggunakan AWS Kredensial](https://docs.aws.amazon.com/powershell/latest/userguide/specifying-your-aws-credentials.html) *di Panduan Pengguna AWS Tools for Windows PowerShell *
+ [File konfigurasi dan kredensi](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) di *AWS Command Line Interface Panduan Pengguna*
+ [Memberikan akses menggunakan peran IAM dalam Panduan](https://docs.aws.amazon.com/sdk-for-net/latest/developer-guide/net-dg-hosm.html) *Pengembang AWS SDK untuk .NET *
+ [Konfigurasikan peran IAM untuk Amazon EC2](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/java-dg-roles.html) di *AWS SDK for Java 2.x*
## Menggunakan kunci akses dan kredensil kunci rahasia untuk akses konsol
Dimungkinkan untuk menggunakan kunci akses dan kredenal kunci rahasia untuk Konsol Manajemen AWS akses langsung, bukan hanya. AWS CLI Ini dapat dicapai dengan menggunakan panggilan AWS STS [https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)API. Dengan membuat URL konsol menggunakan kredensi sementara dan token yang disediakan oleh`GetFederationToken`, prinsipal IAM dapat mengakses konsol. Untuk informasi selengkapnya, lihat [Aktifkan akses broker identitas khusus ke AWS konsol](id_roles_providers_enable-console-custom-url.md).
Perlu diklarifikasi bahwa ketika masuk ke konsol secara langsung menggunakan IAM atau kredenal pengguna root dengan MFA diaktifkan, MFA akan diperlukan. Namun, jika metode yang dijelaskan di atas (menggunakan kredensil sementara dengan`GetFederationToken`) digunakan, MFA TIDAK akan diperlukan.
## Mengaudit access key
Anda dapat meninjau kunci AWS akses dalam kode Anda untuk menentukan apakah kunci tersebut berasal dari akun yang Anda miliki. Anda dapat meneruskan ID kunci akses menggunakan [https://docs.aws.amazon.com/cli/latest/reference/sts/get-access-key-info.html](https://docs.aws.amazon.com/cli/latest/reference/sts/get-access-key-info.html) AWS CLI perintah atau operasi [https://docs.aws.amazon.com/STS/latest/APIReference/API_GetAccessKeyInfo.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetAccessKeyInfo.html) AWS API.
Operasi AWS CLI dan AWS API mengembalikan ID dari Akun AWS kunci akses milik. Kunci akses yang IDs dimulai dengan `AKIA` adalah kredensil jangka panjang untuk pengguna IAM atau. Pengguna root akun AWS Kunci akses yang IDs dimulai dengan `ASIA` adalah kredensil sementara yang dibuat menggunakan AWS STS operasi. Jika akun dalam tanggapan ini adalah milik Anda, Anda dapat masuk sebagai pengguna utama dan meninjau kunci akses pengguna utama Anda. Lalu, Anda dapat menarik [laporan kredensial](id_credentials_getting-report.md) untuk mempelajari pengguna IAM mana yang memilikinya. Untuk mengetahui siapa yang meminta kredensi sementara untuk kunci `ASIA` akses, lihat AWS STS peristiwa di log Anda CloudTrail .
Untuk tujuan keamanan, Anda dapat [meninjau AWS CloudTrail log](cloudtrail-integration.md#cloudtrail-integration_signin-tempcreds) untuk mengetahui siapa yang melakukan tindakan AWS. Anda dapat menggunakan kunci syarat `sts:SourceIdentity` dalam peran kebijakan kepercayaan untuk mengharuskan pengguna menentukan identias saat mereka mengasumsikan sebuah peran. Misalnya, Anda dapat meminta agar pengguna IAM menentukan nama pengguna mereka sendiri sebagai identitas sumber mereka. Ini dapat membantu Anda menentukan pengguna mana yang melakukan tindakan tertentu di AWS. Untuk informasi selengkapnya, lihat [`sts:SourceIdentity`](reference_policies_iam-condition-keys.md#ck_sourceidentity).
Operasi ini tidak menunjukkan status access key. Kuncinya mungkin aktif, tidak aktif, atau dihapus. Kunci aktif mungkin tidak memiliki izin untuk melakukan operasi. Memberikan access key yang dihapus mungkin akan kembali sebagai kesalahan bahwa kunci tidak ada.
# AWS Otentikasi multi-faktor di IAM
Untuk meningkatkan keamanan, kami menyarankan Anda mengonfigurasi otentikasi multi-faktor (MFA) untuk membantu melindungi sumber daya Anda. AWS Anda dapat mengaktifkan MFA untuk semua Akun AWS, termasuk akun mandiri, akun manajemen, dan akun anggota, serta untuk pengguna IAM Anda. Pengguna root akun AWS Kami menyarankan Anda menggunakan MFA tahan phishing seperti kunci sandi dan kunci keamanan bila memungkinkan. Autentikator berbasis FIDO ini menggunakan kriptografi kunci publik dan tahan terhadap serangan phishing, dan memutar ulang man-in-the-middle, memberikan tingkat keamanan yang lebih kuat daripada opsi berbasis TOTP.
MFA diberlakukan untuk semua jenis akun untuk pengguna root mereka. Untuk informasi selengkapnya, lihat [Amankan kredensi pengguna root AWS Organizations akun Anda](root-user-best-practices.md#ru-bp-organizations).
Saat Anda mengaktifkan MFA untuk pengguna akar, itu hanya memengaruhi kredensial pengguna akar. Pengguna IAM di akun memiliki identitas berbeda dengan kredensial mereka sendiri, dan setiap identitas memiliki konfigurasi MFA-nya sendiri. Untuk informasi selengkapnya tentang penggunaan MFA untuk melindungi pengguna root, lihat. [Otentikasi multi-faktor untuk Pengguna root akun AWS](enable-mfa-for-root.md)
Pengguna Anda Pengguna root akun AWS dan IAM dapat mendaftarkan hingga delapan perangkat MFA jenis apa pun. Mendaftarkan beberapa perangkat MFA dapat memberikan fleksibilitas dan membantu Anda mengurangi risiko gangguan akses jika perangkat hilang atau rusak. Anda hanya perlu satu perangkat MFA untuk masuk ke Konsol Manajemen AWS atau membuat sesi melalui. AWS CLI
**catatan**
Kami menyarankan Anda meminta pengguna manusia Anda untuk menggunakan kredensil sementara saat mengakses. AWS Sudahkah Anda mempertimbangkan untuk menggunakan AWS IAM Identity Center? Anda dapat menggunakan Pusat Identitas IAM untuk mengelola akses ke beberapa secara terpusat Akun AWS dan memberi pengguna akses masuk tunggal yang dilindungi MFA ke semua akun yang ditetapkan dari satu tempat. Dengan IAM Identity Center, Anda dapat membuat dan mengelola identitas pengguna di IAM Identity Center atau dengan mudah terhubung ke penyedia identitas kompatibel SAMP 2.0 yang ada. Untuk informasi selengkapnya, lihat [Apa itu Pusat Identitas IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dalam *Panduan Pengguna AWS IAM Identity Center *.
MFA menambahkan keamanan ekstra yang mengharuskan pengguna untuk memberikan otentikasi unik dari mekanisme AWS MFA yang didukung selain kredensi masuk mereka ketika mereka mengakses situs web atau layanan. AWS
## Jenis MFA
AWS mendukung jenis MFA berikut:
**Contents**
+ [Kunci sandi dan kunci keamanan](#passkeys-security-keys-for-iam-users)
+ [Aplikasi otentikator virtual](#virtual-auth-apps-for-iam-users)
+ [Token TOTP perangkat keras](#hardware-totp-token-for-iam-users)
### Kunci sandi dan kunci keamanan
AWS Identity and Access Management mendukung kunci sandi dan kunci keamanan untuk MFA. Berdasarkan standar FIDO, kunci sandi menggunakan kriptografi kunci publik untuk memberikan otentikasi yang kuat dan tahan phishing yang lebih aman daripada kata sandi. AWS mendukung dua jenis kunci sandi: kunci sandi terikat perangkat (kunci keamanan) dan kunci sandi yang disinkronkan.
+ **Kunci keamanan**: Ini adalah perangkat fisik, seperti YubiKey, digunakan sebagai faktor kedua untuk otentikasi. Satu kunci keamanan dapat mendukung beberapa akun pengguna root dan pengguna IAM.
+ **Kunci sandi yang disinkronkan**: Ini menggunakan pengelola kredensi dari penyedia seperti Google, Apple, akun Microsoft, dan layanan pihak ketiga seperti 1Password, Dashlane, dan Bitwarden sebagai faktor kedua.
Anda dapat menggunakan autentikator biometrik bawaan, seperti Touch ID di Apple MacBooks, untuk membuka kunci pengelola kredensi dan masuk. AWS Kunci sandi dibuat dengan penyedia pilihan Anda menggunakan sidik jari, wajah, atau PIN perangkat Anda. Anda juga dapat menggunakan kunci sandi otentikasi lintas perangkat (CDA) dari satu perangkat, seperti perangkat seluler atau kunci keamanan perangkat keras, untuk masuk di perangkat lain seperti laptop. Untuk informasi selengkapnya, lihat [otentikasi lintas perangkat](https://passkeys.dev/docs/reference/terms/#cross-device-authentication-cda) (CDA).
Anda dapat menyinkronkan kunci sandi di seluruh perangkat Anda untuk memfasilitasi masuk dengan AWS, meningkatkan kegunaan dan pemulihan. Untuk informasi selengkapnya tentang mengaktifkan kunci sandi dan kunci keamanan, lihat. [Aktifkan kunci sandi atau kunci keamanan untuk pengguna root (konsol)](enable-fido-mfa-for-root.md)
Aliansi FIDO menyimpan daftar semua [produk Bersertifikat FIDO](https://fidoalliance.org/certification/fido-certified-products/) yang kompatibel dengan spesifikasi FIDO.
### Aplikasi otentikator virtual
Aplikasi otentikator virtual berjalan di telepon atau perangkat lain dan mengemulasi perangkat fisik. Aplikasi otentikator virtual mengimplementasikan [algoritma kata sandi satu kali berbasis waktu (TOTP)](https://datatracker.ietf.org/doc/html/rfc6238) dan mendukung beberapa token pada satu perangkat. Pengguna harus mengetikkan kode yang valid dari perangkat saat diminta saat masuk. Setiap token yang ditetapkan untuk pengguna harus unik. Pengguna tidak dapat mengetik kode dari token pengguna lain untuk mengautentikasi.
Kami menyarankan Anda menggunakan MFA tahan phishing [seperti kunci sandi atau kunci](#passkeys-security-keys-for-iam-users) keamanan untuk perlindungan terkuat. Jika Anda belum dapat menggunakan kunci sandi atau kunci keamanan, kami sarankan Anda menggunakan perangkat MFA virtual sebagai tindakan sementara sambil menunggu persetujuan pembelian perangkat keras atau saat Anda menunggu perangkat keras Anda tiba. Untuk daftar beberapa aplikasi yang didukung yang dapat Anda gunakan sebagai perangkat MFA virtual, lihat [Multi-Factor Authentication (MFA](https://aws.amazon.com/iam/features/mfa/?audit=2019q1)).
Untuk petunjuk tentang pengaturan perangkat MFA virtual untuk pengguna IAM, lihat. [Tetapkan perangkat MFA virtual di Konsol Manajemen AWS](id_credentials_mfa_enable_virtual.md)
**catatan**
Perangkat MFA virtual yang tidak ditetapkan di Akun AWS Anda akan dihapus saat Anda menambahkan perangkat MFA virtual baru baik melalui atau selama Konsol Manajemen AWS proses masuk. Perangkat MFA virtual yang tidak ditetapkan adalah perangkat di akun Anda tetapi tidak digunakan oleh pengguna root akun atau pengguna IAM untuk proses masuk. Mereka dihapus sehingga perangkat MFA virtual baru dapat ditambahkan ke akun Anda. Ini juga memungkinkan Anda untuk menggunakan kembali nama perangkat.
Untuk melihat perangkat MFA virtual yang tidak ditetapkan di akun Anda, Anda dapat menggunakan perintah [atau [list-virtual-mfa-devices](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-virtual-mfa-devices.html)AWS CLI](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListVirtualMFADevices.html)panggilan API.
Untuk menonaktifkan perangkat MFA virtual, Anda dapat menggunakan perintah [atau [deactivate-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/deactivate-mfa-device.html)AWS CLI](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html)panggilan API. Perangkat akan menjadi tidak ditugaskan.
[Untuk melampirkan perangkat MFA virtual yang tidak ditetapkan ke Akun AWS pengguna root atau pengguna IAM, Anda memerlukan kode otentikasi yang dihasilkan oleh perangkat bersama dengan perintah atau panggilan API [enable-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-mfa-device.html)AWS CLI .](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html)
### Token TOTP perangkat keras
Perangkat keras menghasilkan kode numerik enam digit berdasarkan algoritma [kata sandi satu kali berbasis waktu](https://datatracker.ietf.org/doc/html/rfc6238) (TOTP). Pengguna harus mengetik kode yang valid dari perangkat di halaman web kedua saat masuk.
Token ini digunakan secara eksklusif dengan Akun AWS. Anda hanya dapat menggunakan token yang memiliki benih token unik mereka dibagikan dengan AWS aman. Benih token adalah kunci rahasia yang dihasilkan pada saat produksi token. Token yang dibeli dari sumber lain tidak akan berfungsi dengan IAM. Untuk memastikan kompatibilitas, Anda harus membeli perangkat MFA perangkat keras Anda dari salah satu tautan berikut: [Token OTP atau kartu tampilan [OTP](https://www.amazon.com/SafeNet-IDProve-Card-Amazon-Services/dp/B00J4NGUO4)](https://www.amazon.com/SafeNet-IDProve-Time-based-6-Digit-Services/dp/B002CRN5X8).
+ Setiap perangkat MFA yang ditetapkan ke pengguna harus unik. Pengguna tidak dapat mengetik kode dari perangkat pengguna lain untuk diautentikasi. Untuk informasi tentang perangkat MFA perangkat keras yang didukung, lihat [Multi-Factor Authentication (MFA](https://aws.amazon.com/iam/features/mfa/?audit=2019q1)).
+ Jika Anda ingin menggunakan perangkat MFA fisik, kami sarankan Anda menggunakan kunci keamanan sebagai alternatif perangkat TOTP perangkat keras. Kunci keamanan tidak memiliki persyaratan baterai, tahan phishing, dan mendukung banyak pengguna pada satu perangkat.
Anda dapat mengaktifkan kunci sandi atau kunci keamanan dari Konsol Manajemen AWS satu-satunya, bukan dari AWS CLI atau AWS API. Sebelum Anda dapat mengaktifkan kunci keamanan, Anda harus memiliki akses fisik ke perangkat.
Untuk petunjuk tentang menyiapkan token TOTP perangkat keras untuk pengguna IAM, lihat. [Tetapkan token TOTP perangkat keras di Konsol Manajemen AWS](id_credentials_mfa_enable_physical.md)
**catatan**
**MFA berbasis pesan teks SMS** - AWS mengakhiri dukungan untuk mengaktifkan otentikasi multi-faktor SMS (MFA). [Kami menyarankan agar pelanggan yang memiliki pengguna IAM yang menggunakan MFA berbasis pesan teks SMS beralih ke salah satu metode alternatif berikut[: Kunci sandi atau kunci keamanan, perangkat MFA virtual (berbasis perangkat lunak), atau](id_credentials_mfa_enable_fido.md)[perangkat MFA](id_credentials_mfa_enable_virtual.md) perangkat keras.](id_credentials_mfa_enable_physical.md) Anda dapat mengidentifikasi pengguna di akun Anda dengan perangkat MFA SMS yang ditetapkan. Di konsol IAM, pilih **Pengguna** dari panel navigasi, dan cari pengguna dengan **SMS** dalam kolom tabel **MFA**.
## Rekomendasi MFA
Untuk membantu mengamankan AWS identitas Anda, ikuti rekomendasi ini untuk otentikasi MFA.
+ Kami menyarankan Anda menggunakan MFA yang tahan phishing, seperti [kunci sandi dan kunci keamanan, sebagai perangkat](#passkeys-security-keys-for-iam-users) MFA Anda. Autentikator berbasis FIDO ini memberikan perlindungan terkuat terhadap serangan seperti phishing.
+ Kami menyarankan Anda mengaktifkan beberapa perangkat MFA untuk Pengguna root akun AWS dan pengguna IAM di Anda. Akun AWS Ini memungkinkan Anda untuk meningkatkan bilah keamanan di Anda Akun AWS dan menyederhanakan pengelolaan akses ke pengguna yang sangat istimewa, seperti. Pengguna root akun AWS
+ Anda dapat mendaftarkan hingga **delapan** perangkat MFA dari kombinasi [jenis MFA yang saat ini didukung dengan pengguna Anda Pengguna root akun AWS dan IAM](https://aws.amazon.com/iam/features/mfa/). Dengan beberapa perangkat MFA, Anda hanya perlu satu perangkat MFA untuk masuk ke Konsol Manajemen AWS atau membuat sesi melalui sebagai pengguna tersebut AWS CLI . Pengguna IAM harus mengautentikasi dengan perangkat MFA yang ada untuk mengaktifkan atau menonaktifkan perangkat MFA tambahan.
+ Jika perangkat MFA hilang, dicuri, atau tidak dapat diakses, Anda dapat menggunakan salah satu perangkat MFA yang tersisa untuk mengakses tanpa melakukan prosedur Akun AWS pemulihan. Akun AWS Jika perangkat MFA hilang atau dicuri, perangkat tersebut harus dipisahkan dari kepala IAM yang terkait dengannya.
+ Penggunaan beberapa MFAs memungkinkan karyawan Anda di lokasi yang tersebar secara geografis atau bekerja dari jarak jauh untuk menggunakan MFA berbasis perangkat keras untuk mengakses AWS tanpa harus mengoordinasikan pertukaran fisik perangkat keras tunggal antara karyawan.
+ Penggunaan perangkat MFA tambahan untuk prinsipal IAM memungkinkan Anda untuk menggunakan satu atau lebih MFAs untuk penggunaan sehari-hari, sementara juga menjaga perangkat MFA fisik di lokasi fisik yang aman seperti lemari besi atau brankas untuk cadangan dan redundansi.
**Catatan**
Anda tidak dapat meneruskan informasi MFA untuk kunci keamanan atau kunci sandi ke operasi AWS STS API untuk meminta kredensi sementara. Anda dapat memperoleh kredensil untuk digunakan dengan AWS CLI dan AWS SDKs saat menggunakan kunci keamanan atau kunci sandi dengan menjalankan perintah. `aws login`
Anda tidak dapat menggunakan AWS CLI perintah atau operasi AWS API untuk mengaktifkan [kunci keamanan FIDO](id_credentials_mfa_enable_fido.md).
Anda tidak dapat menggunakan nama yang sama untuk lebih dari satu pengguna root atau perangkat IAM MFA.
## Sumber daya tambahan
Sumber daya berikut dapat membantu Anda mempelajari lebih lanjut tentang MFA.
+ Untuk informasi selengkapnya tentang menggunakan MFA untuk mengakses AWS, lihat. [MFA mengaktifkan login](console_sign-in-mfa.md)
+ Anda dapat memanfaatkan Pusat Identitas IAM untuk mengaktifkan akses MFA yang aman ke portal akses AWS Anda, aplikasi terintegrasi IAM Identity Center, dan aplikasi. AWS CLI Untuk informasi selengkapnya, lihat [Mengaktifkan MFA di Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/mfa-getting-started.html).
# Tetapkan kunci sandi atau kunci keamanan di Konsol Manajemen AWS
Kunci sandi adalah jenis [perangkat otentikasi multi-faktor (MFA)](id_credentials_mfa.md) yang dapat Anda gunakan untuk melindungi sumber daya Anda. AWS AWS mendukung kunci sandi yang disinkronkan dan kunci sandi terikat perangkat yang juga dikenal sebagai kunci keamanan.
Kunci sandi yang disinkronkan memungkinkan pengguna IAM untuk mengakses kredensi masuk FIDO mereka di banyak perangkat mereka, bahkan yang baru, tanpa harus mendaftarkan ulang setiap perangkat di setiap akun. Kunci sandi yang disinkronkan mencakup manajer kredensi pihak pertama seperti Google, Apple, dan Microsoft dan manajer kredensi pihak ketiga seperti 1Password, Dashlane, dan Bitwarden sebagai faktor kedua. Anda juga dapat menggunakan biometrik pada perangkat (misalnya, TouchID, FaceID) untuk membuka kunci pengelola kredensi pilihan Anda untuk menggunakan kunci sandi.
Atau, kunci sandi yang terikat perangkat terikat ke kunci keamanan FIDO yang Anda colokkan ke port USB di komputer Anda, lalu ketuk saat diminta untuk menyelesaikan proses masuk dengan aman. Jika Anda sudah menggunakan kunci keamanan FIDO dengan layanan lain, dan memiliki [konfigurasi yang AWS didukung](id_credentials_mfa_fido_supported_configurations.md) (misalnya, Seri YubiKey 5 dari Yubico), Anda juga dapat menggunakannya dengan. AWS Jika tidak, Anda perlu membeli kunci keamanan FIDO jika Anda ingin menggunakan WebAuthn untuk AWS MFA di. Selain itu, kunci keamanan FIDO dapat mendukung beberapa pengguna IAM atau root pada perangkat yang sama, meningkatkan utilitas mereka untuk keamanan akun. Untuk spesifikasi dan informasi pembelian untuk kedua jenis perangkat, lihat [Autentikasi Multi-Faktor](https://aws.amazon.com/iam/details/mfa/).
Anda dapat mendaftarkan hingga **delapan** perangkat MFA dari kombinasi [jenis MFA yang saat ini didukung dengan pengguna Anda Pengguna root akun AWS dan IAM](https://aws.amazon.com/iam/features/mfa/). Dengan beberapa perangkat MFA, Anda hanya perlu satu perangkat MFA untuk masuk ke Konsol Manajemen AWS atau membuat sesi melalui sebagai pengguna tersebut AWS CLI . Kami menyarankan Anda mendaftarkan beberapa perangkat MFA. Misalnya, Anda dapat mendaftarkan autentikator bawaan dan juga mendaftarkan kunci keamanan yang Anda simpan di lokasi yang aman secara fisik. Jika Anda tidak dapat menggunakan autentikator bawaan Anda, maka Anda dapat menggunakan kunci keamanan terdaftar Anda. Untuk aplikasi autentikator, kami juga menyarankan untuk mengaktifkan fitur pencadangan atau sinkronisasi cloud di aplikasi tersebut untuk membantu Anda menghindari kehilangan akses ke akun jika Anda kehilangan atau merusak perangkat Anda dengan aplikasi autentikator.
**catatan**
Kami menyarankan Anda meminta pengguna manusia Anda untuk menggunakan kredensi sementara saat mengakses. AWS Pengguna Anda dapat bergabung AWS dengan penyedia identitas tempat mereka mengautentikasi dengan kredensi perusahaan dan konfigurasi MFA mereka. Untuk mengelola akses ke AWS dan aplikasi bisnis, kami sarankan Anda menggunakan IAM Identity Center. Untuk informasi selengkapnya, lihat [Panduan Pengguna Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html).
**Topics**
+ [Izin diperlukan](#enable-fido-mfa-for-iam-user-permissions-required)
+ [Aktifkan kunci sandi atau kunci keamanan untuk pengguna IAM Anda sendiri (konsol)](#enable-fido-mfa-for-own-iam-user)
+ [Aktifkan kunci sandi atau kunci keamanan untuk pengguna IAM lain (konsol)](#enable-fido-mfa-for-iam-user)
+ [Ganti kunci sandi atau kunci keamanan](#replace-fido-mfa)
+ [Konfigurasi yang didukung untuk menggunakan kunci sandi dan kunci keamanan](id_credentials_mfa_fido_supported_configurations.md)
## Izin diperlukan
Untuk mengelola kunci sandi FIDO untuk pengguna IAM Anda sendiri sambil melindungi tindakan sensitif terkait MFA, Anda harus memiliki izin dari kebijakan berikut:
**catatan**
Nilai ARN adalah nilai statis dan bukan merupakan indikator protokol apa yang digunakan untuk mendaftarkan autentikator. Kami telah menghentikan U2F, jadi semua implementasi baru digunakan. WebAuthn
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowManageOwnUserMFA",
"Effect": "Allow",
"Action": [
"iam:DeactivateMFADevice",
"iam:EnableMFADevice",
"iam:GetUser",
"iam:ListMFADevices",
"iam:ResyncMFADevice"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
},
{
"Sid": "DenyAllExceptListedIfNoMFA",
"Effect": "Deny",
"NotAction": [
"iam:EnableMFADevice",
"iam:GetUser",
"iam:ListMFADevices",
"iam:ResyncMFADevice"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "false"
}
}
}
]
}
```
------
## Aktifkan kunci sandi atau kunci keamanan untuk pengguna IAM Anda sendiri (konsol)
Anda dapat mengaktifkan kunci sandi atau kunci keamanan untuk pengguna IAM Anda sendiri dari Konsol Manajemen AWS satu-satunya, bukan dari AWS CLI atau AWS API. Sebelum Anda dapat mengaktifkan kunci keamanan, Anda harus memiliki akses fisik ke perangkat.
**Untuk mengaktifkan kunci sandi atau kunci keamanan untuk pengguna IAM Anda sendiri (konsol)**
1. Gunakan ID AWS akun atau alias akun, nama pengguna IAM, dan kata sandi Anda untuk masuk ke konsol [IAM](https://console.aws.amazon.com/iam).
**catatan**
Untuk kenyamanan Anda, halaman AWS masuk menggunakan cookie browser untuk mengingat nama pengguna dan informasi akun IAM Anda. Jika Anda sebelumnya masuk sebagai pengguna yang berbeda, pilih **Masuk ke akun lain** dekat bagian bawah halaman untuk kembali ke halaman masuk utama. Dari sana, Anda dapat mengetikkan ID AWS akun atau alias akun Anda untuk diarahkan ke halaman login pengguna IAM untuk akun Anda.
Untuk mendapatkan Akun AWS ID Anda, hubungi administrator Anda.
1. Di bilah navigasi di kanan atas, pilih nama pengguna Anda, lalu pilih **Kredensi keamanan**.
![\[Konsol Manajemen AWS Tautan kredensi keamanan\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)
1. Pada halaman pengguna IAM yang dipilih, pilih tab **Security credentials**.
1. **Di bawah **Autentikasi multi-faktor (MFA)**, pilih Tetapkan perangkat MFA.**
1. **Pada halaman **nama perangkat MFA, masukkan nama** **Perangkat**, pilih **Kunci Sandi atau Kunci Keamanan**, lalu pilih Berikutnya.**
1. Pada **Siapkan perangkat**, atur kunci sandi Anda. Buat passkey dengan data biometrik seperti wajah atau sidik jari Anda, dengan pin perangkat, atau dengan memasukkan kunci keamanan FIDO ke port USB komputer Anda dan mengetuknya.
1. Ikuti petunjuk di browser Anda dan kemudian pilih **Lanjutkan**.
Anda sekarang telah mendaftarkan kunci sandi atau kunci keamanan Anda untuk digunakan. AWS Untuk informasi tentang menggunakan MFA dengan Konsol Manajemen AWS, lihat. [MFA mengaktifkan login](console_sign-in-mfa.md)
## Aktifkan kunci sandi atau kunci keamanan untuk pengguna IAM lain (konsol)
Anda dapat mengaktifkan kunci sandi atau keamanan untuk pengguna IAM lain dari Konsol Manajemen AWS satu-satunya, bukan dari AWS CLI atau AWS API.
**Untuk mengaktifkan kunci sandi atau keamanan untuk pengguna IAM lain (konsol)**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Users** (Pengguna).
1. Di bawah **Pengguna**, pilih nama pengguna yang ingin Anda aktifkan MFA.
1. Pada halaman pengguna IAM yang dipilih, pilih tab **Security Credentials**.
1. **Di bawah **Autentikasi multi-faktor (MFA)**, pilih Tetapkan perangkat MFA.**
1. **Pada halaman **nama perangkat MFA, masukkan nama** **Perangkat**, pilih **Kunci Sandi atau Kunci Keamanan**, lalu pilih Berikutnya.**
1. Pada **Siapkan perangkat**, atur kunci sandi Anda. Buat passkey dengan data biometrik seperti wajah atau sidik jari Anda, dengan pin perangkat, atau dengan memasukkan kunci keamanan FIDO ke port USB komputer Anda dan mengetuknya.
1. Ikuti petunjuk di browser Anda dan kemudian pilih **Lanjutkan**.
Anda sekarang telah mendaftarkan kunci sandi atau kunci keamanan untuk digunakan oleh pengguna IAM lain. AWS Untuk informasi tentang menggunakan MFA dengan Konsol Manajemen AWS, lihat. [MFA mengaktifkan login](console_sign-in-mfa.md)
## Ganti kunci sandi atau kunci keamanan
Anda dapat memiliki hingga delapan perangkat MFA dari kombinasi [jenis MFA yang saat ini didukung](https://aws.amazon.com/iam/features/mfa/) yang ditetapkan untuk pengguna pada satu waktu dengan pengguna Anda Pengguna root akun AWS dan IAM. Jika pengguna kehilangan autentikator FIDO atau perlu menggantinya karena alasan apa pun, Anda harus terlebih dahulu menonaktifkan autentikator FIDO lama. Kemudian Anda dapat menambahkan perangkat MFA baru untuk pengguna.
+ Untuk menonaktifkan perangkat yang saat ini dikaitkan dengan pengguna IAM, lihat. [Nonaktifkan perangkat MFA](id_credentials_mfa_disable.md)
+ Untuk menambahkan kunci keamanan FIDO baru untuk pengguna IAM, lihat. [Aktifkan kunci sandi atau kunci keamanan untuk pengguna IAM Anda sendiri (konsol)](#enable-fido-mfa-for-own-iam-user)
Jika Anda tidak memiliki akses ke kunci sandi atau kunci keamanan baru, Anda dapat mengaktifkan perangkat MFA virtual baru atau token TOTP perangkat keras. Lihat salah satu dari yang berikut untuk petunjuk:
+ [Tetapkan perangkat MFA virtual di Konsol Manajemen AWS](id_credentials_mfa_enable_virtual.md)
+ [Tetapkan token TOTP perangkat keras di Konsol Manajemen AWS](id_credentials_mfa_enable_physical.md)
# Konfigurasi yang didukung untuk menggunakan kunci sandi dan kunci keamanan
Anda dapat menggunakan kunci sandi FIDO2 terikat perangkat, juga dikenal sebagai kunci keamanan, sebagai metode otentikasi multi-faktor (MFA) dengan IAM menggunakan konfigurasi yang didukung saat ini. Ini termasuk FIDO2 perangkat yang didukung oleh IAM dan browser yang mendukung FIDO2. Sebelum mendaftarkan FIDO2 perangkat, periksa apakah Anda menggunakan versi browser dan sistem operasi (OS) terbaru. Fitur dapat berperilaku berbeda di berbagai browser, autentikator, dan klien OS. Jika pendaftaran perangkat Anda gagal pada satu browser, Anda dapat mencoba mendaftar dengan browser lain.
FIDO2 adalah standar otentikasi terbuka dan perpanjangan dari FIDO U2F, menawarkan tingkat keamanan yang sama tinggi berdasarkan kriptografi kunci publik. FIDO2 terdiri dari spesifikasi W3C Web Authentication (WebAuthn API) dan FIDO Alliance Client-to-Authenticator Protocol (CTAP), sebuah protokol lapisan aplikasi. CTAP memungkinkan komunikasi antara klien atau platform, seperti browser atau sistem operasi, dengan autentikator eksternal. Saat Anda mengaktifkan autentikator Bersertifikat FIDO AWS, kunci keamanan akan membuat key pair baru untuk digunakan dengan saja. AWS Pertama, Anda memasukkan kredensial Anda. Saat diminta, Anda mengetuk kunci keamanan, yang merespons tantangan otentikasi yang dikeluarkan oleh. AWS Untuk mempelajari lebih lanjut tentang FIDO2 standar, lihat [FIDO2Proyek](https://en.wikipedia.org/wiki/FIDO2_Project).
## FIDO2 perangkat yang didukung oleh AWS
IAM mendukung perangkat FIDO2 keamanan yang terhubung ke perangkat Anda melalui USB,Bluetooth, atau NFC. IAM juga mendukung otentikator platform seperti TouchID atau FaceID. IAM tidak mendukung pendaftaran passkey lokal untuk Windows Hello. Untuk membuat dan menggunakan kunci sandi, pengguna Windows harus menggunakan [otentikasi lintas perangkat](https://passkeys.dev/docs/reference/terms/#cross-device-authentication-cda) di mana Anda menggunakan kunci sandi dari satu perangkat seperti perangkat seluler atau kunci keamanan perangkat keras untuk masuk di perangkat lain seperti laptop.
**catatan**
AWS memerlukan akses ke port USB fisik di komputer Anda untuk memverifikasi FIDO2 perangkat Anda. Kunci keamanan tidak akan berfungsi dengan mesin virtual, koneksi jarak jauh, atau mode penyamaran browser.
Aliansi FIDO menyimpan daftar semua [FIDO2produk](https://fidoalliance.org/certification/fido-certified-products/) yang kompatibel dengan spesifikasi FIDO.
## Browser yang mendukung FIDO2
Ketersediaan perangkat FIDO2 keamanan yang berjalan di browser web tergantung pada kombinasi browser dan sistem operasi. Browser berikut saat ini mendukung penggunaan kunci keamanan:
****
| Browser web | macOS 10.15\$1 | Windows 10 | Linux | iOS 14.5\$1 | Android 7\$1 |
| --- | --- | --- | --- | --- | --- |
| Chrome | Ya | Ya | Ya | Ya | Tidak |
| Safari | Ya | Tidak | Tidak | Ya | Tidak |
| Edge | Ya | Ya | Tidak | Ya | Tidak |
| Firefox | Ya | Ya | Tidak | Ya | Tidak |
**catatan**
Sebagian besar versi Firefox yang saat ini mendukung FIDO2 tidak mengaktifkan dukungan secara default. Untuk petunjuk tentang mengaktifkan FIDO2 dukungan di Firefox, lihat[Memecahkan Masalah Kunci Sandi dan Kunci Keamanan FIDO](troubleshoot_mfa-fido.md).
Firefox di macOS mungkin tidak sepenuhnya mendukung alur kerja otentikasi lintas perangkat untuk kunci sandi. Anda mungkin mendapatkan prompt untuk menyentuh kunci keamanan alih-alih melanjutkan dengan otentikasi lintas perangkat. Sebaiknya gunakan browser lain, seperti Chrome atau Safari, untuk masuk dengan kunci sandi di macOS.
Untuk informasi selengkapnya tentang dukungan browser untuk perangkat FIDO2 -Certified seperti YubiKey, lihat [Sistem operasi dan dukungan browser web untuk FIDO2 dan U2F](https://support.yubico.com/hc/en-us/articles/360016615020-Operating-system-and-web-browser-support-for-FIDO2-and-U2F).
### Plugin peramban
AWS hanya mendukung browser yang mendukung FIDO2 secara native. AWS tidak mendukung penggunaan plugin untuk menambahkan dukungan FIDO2 browser. Beberapa plugin browser tidak kompatibel dengan FIDO2 standar dan dapat menyebabkan hasil yang tidak terduga dengan kunci FIDO2 keamanan.
Untuk informasi tentang menonaktifkan plugin peramban dan tips pemecahan masalah lainnya, lihat [Saya tidak dapat mengaktifkan kunci keamanan FIDO saya](troubleshoot_mfa-fido.md#troubleshoot_mfa-fido-cant-enable).
## Sertifikasi perangkat
Kami menangkap dan menetapkan sertifikasi terkait perangkat, seperti validasi FIPS dan tingkat sertifikasi FIDO, hanya selama pendaftaran kunci keamanan. Sertifikasi perangkat Anda diambil dari [Layanan Metadata Aliansi FIDO](https://fidoalliance.org/metadata/) (MDS). Jika status sertifikasi atau tingkat kunci keamanan Anda berubah, itu tidak akan tercermin dalam tag perangkat secara otomatis. Untuk memperbarui informasi sertifikasi perangkat, daftarkan perangkat lagi untuk mengambil informasi sertifikasi yang diperbarui.
AWS menyediakan jenis sertifikasi berikut sebagai kunci kondisi selama pendaftaran perangkat, diperoleh dari FIDO MDS: FIPS-140-2, FIPS-140-3, dan tingkat sertifikasi FIDO. Anda memiliki kemampuan untuk menentukan pendaftaran autentikator tertentu dalam kebijakan IAM mereka, berdasarkan jenis dan tingkat sertifikasi pilihan Anda. Untuk informasi selengkapnya, lihat kebijakan di bawah ini.
### Contoh kebijakan untuk sertifikasi perangkat
Kasus penggunaan berikut menunjukkan contoh kebijakan yang memungkinkan Anda mendaftarkan perangkat MFA dengan sertifikasi FIPS.
**Topics**
+ [Kasus penggunaan 1: Izinkan mendaftarkan hanya perangkat yang memiliki sertifikasi FIPS-140-2 L2](#id_credentials_mfa_fido_certifications_policies_use_case_1)
+ [Kasus penggunaan 2: Izinkan mendaftarkan perangkat yang memiliki sertifikasi FIPS-140-2 L2 dan FIDO L1](#id_credentials_mfa_fido_certifications_policies_use_case_2)
+ [Kasus penggunaan 3: Izinkan mendaftarkan perangkat yang memiliki sertifikasi FIPS-140-2 L2 atau FIPS-140-3 L2](#id_credentials_mfa_fido_certifications_policies_use_case_3)
+ [Kasus penggunaan 4: Izinkan mendaftarkan perangkat yang memiliki sertifikasi FIPS-140-2 L2 dan mendukung jenis MFA lainnya seperti otentikator virtual dan TOTP perangkat keras](#id_credentials_mfa_fido_certifications_policies_use_case_4)
#### Kasus penggunaan 1: Izinkan mendaftarkan hanya perangkat yang memiliki sertifikasi FIPS-140-2 L2
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "iam:EnableMFADevice",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:RegisterSecurityKey" : "Create"
}
}
},
{
"Effect": "Allow",
"Action": "iam:EnableMFADevice",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:RegisterSecurityKey" : "Activate",
"iam:FIDO-FIPS-140-2-certification": "L2"
}
}
}
]
}
```
------
#### Kasus penggunaan 2: Izinkan mendaftarkan perangkat yang memiliki sertifikasi FIPS-140-2 L2 dan FIDO L1
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "iam:EnableMFADevice",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:RegisterSecurityKey" : "Create"
}
}
},
{
"Effect": "Allow",
"Action": "iam:EnableMFADevice",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:RegisterSecurityKey" : "Activate",
"iam:FIDO-FIPS-140-2-certification": "L2",
"iam:FIDO-certification": "L1"
}
}
}
]
}
```
------
#### Kasus penggunaan 3: Izinkan mendaftarkan perangkat yang memiliki sertifikasi FIPS-140-2 L2 atau FIPS-140-3 L2
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "iam:EnableMFADevice",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:RegisterSecurityKey" : "Create"
}
}
},
{
"Effect": "Allow",
"Action": "iam:EnableMFADevice",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:RegisterSecurityKey" : "Activate",
"iam:FIDO-FIPS-140-2-certification": "L2"
}
}
},
{
"Effect": "Allow",
"Action": "iam:EnableMFADevice",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:RegisterSecurityKey" : "Activate",
"iam:FIDO-FIPS-140-3-certification": "L2"
}
}
}
]
}
```
------
#### Kasus penggunaan 4: Izinkan mendaftarkan perangkat yang memiliki sertifikasi FIPS-140-2 L2 dan mendukung jenis MFA lainnya seperti otentikator virtual dan TOTP perangkat keras
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:EnableMFADevice",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:RegisterSecurityKey": "Create"
}
}
},
{
"Effect": "Allow",
"Action": "iam:EnableMFADevice",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:RegisterSecurityKey": "Activate",
"iam:FIDO-FIPS-140-2-certification": "L2"
}
}
},
{
"Effect": "Allow",
"Action": "iam:EnableMFADevice",
"Resource": "*",
"Condition": {
"Null": {
"iam:RegisterSecurityKey": "true"
}
}
}
]
}
```
------
## AWS CLI dan AWS API
AWS mendukung penggunaan kunci sandi dan kunci keamanan hanya di. Konsol Manajemen AWS Menggunakan kunci sandi dan kunci keamanan untuk MFA tidak didukung di [AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/)API [AWS dan](https://aws.amazon.com/tools/), atau untuk akses [ke operasi API yang dilindungi MFA](id_credentials_mfa_configure-api-require.md).
## Sumber daya tambahan
+ Untuk informasi selengkapnya tentang penggunaan kunci sandi dan kunci keamanan AWS, lihat[Tetapkan kunci sandi atau kunci keamanan di Konsol Manajemen AWS](id_credentials_mfa_enable_fido.md).
+ Untuk bantuan dalam memecahkan masalah kunci sandi dan kunci keamanan, lihat. AWS[Memecahkan Masalah Kunci Sandi dan Kunci Keamanan FIDO](troubleshoot_mfa-fido.md)
+ Untuk informasi industri umum tentang FIDO2 dukungan, lihat [FIDO2 Proyek](https://en.wikipedia.org/wiki/FIDO2_Project).
# Tetapkan perangkat MFA virtual di Konsol Manajemen AWS
**penting**
AWS merekomendasikan agar Anda menggunakan kunci sandi atau kunci keamanan untuk MFA, AWS sedapat mungkin. Untuk informasi selengkapnya, lihat [Tetapkan kunci sandi atau kunci keamanan di Konsol Manajemen AWS](id_credentials_mfa_enable_fido.md).
Anda dapat menggunakan ponsel atau perangkat lain sebagai perangkat Autentikasi Multi-Faktor (MFA). Untuk melakukannya, pasang aplikasi seluler yang sesuai dengan [RFC 6238, algoritma TOTP berbasis-standar (kata sandi satu kali berbasis waktu)](https://datatracker.ietf.org/doc/html/rfc6238). Aplikasi ini menghasilkan kode otentikasi enam digit. Karena autentikator dapat berjalan di perangkat seluler yang tidak aman, dan kode tersebut berpotensi dibagikan dengan pihak yang tidak berwenang, MFA berbasis TOTP tidak memberikan tingkat keamanan yang sama dengan opsi tahan phishing seperti kunci keamanan dan kunci sandi. [FIDO2](https://en.wikipedia.org/wiki/FIDO_Alliance#FIDO2) Kami menyarankan Anda menggunakan kunci sandi atau kunci keamanan untuk MFA untuk perlindungan terkuat terhadap serangan seperti phishing.
Jika Anda belum dapat menggunakan kunci sandi atau kunci keamanan, kami sarankan Anda menggunakan perangkat MFA virtual sebagai tindakan sementara saat Anda menunggu persetujuan pembelian perangkat keras atau perangkat keras Anda tiba.
Sebagian besar aplikasi MFA virtual mendukung pembuatan beberapa perangkat virtual, memungkinkan Anda menggunakan aplikasi yang sama untuk beberapa Akun AWS atau pengguna. Anda dapat mendaftarkan hingga **delapan** perangkat MFA dari kombinasi [jenis MFA apa pun dengan pengguna Anda Pengguna root akun AWS dan IAM](https://aws.amazon.com/iam/features/mfa/). Anda hanya perlu satu perangkat MFA untuk masuk ke Konsol Manajemen AWS atau membuat sesi melalui. AWS CLI Kami menyarankan Anda mendaftarkan beberapa perangkat MFA. Untuk aplikasi autentikator, kami juga menyarankan untuk mengaktifkan fitur pencadangan atau sinkronisasi cloud untuk membantu Anda menghindari kehilangan akses ke akun jika perangkat Anda hilang atau rusak.
AWS membutuhkan aplikasi MFA virtual yang menghasilkan OTP enam digit. Untuk daftar aplikasi-aplikasi MFA virtual yang dapat Anda gunakan, lihat [Autentikasi Multi-Faktor](https://aws.amazon.com/iam/features/mfa/?audit=2019q1).
**Topics**
+ [Izin diperlukan](#mfa_enable_virtual_permissions-required)
+ [Aktifkan perangkat MFA virtual untuk pengguna IAM (konsol)](#enable-virt-mfa-for-iam-user)
+ [Ganti perangkat MFA virtual](#replace-virt-mfa)
## Izin diperlukan
Untuk mengelola perangkat MFA virtual untuk pengguna IAM Anda, Anda harus memiliki izin dari kebijakan berikut: [AWS: Memungkinkan pengguna IAM yang diautentikasi MFA untuk mengelola perangkat MFA mereka sendiri di halaman kredensi Keamanan](reference_policies_examples_aws_my-sec-creds-self-manage-mfa-only.md).
## Aktifkan perangkat MFA virtual untuk pengguna IAM (konsol)
Anda dapat menggunakan IAM di Konsol Manajemen AWS untuk mengaktifkan dan mengelola perangkat MFA virtual untuk pengguna IAM di akun Anda. Anda dapat melampirkan tanda ke sumber daya IAM, termasuk perangkat MFA virtual, untuk mengidentifikasi, mengatur, dan mengontrol akses ke perangkat tersebut. Anda dapat menandai perangkat MFA virtual hanya ketika Anda menggunakan AWS CLI atau AWS API. Untuk mengaktifkan dan mengelola perangkat MFA menggunakan AWS API AWS CLI atau, lihat. [Tetapkan perangkat MFA di AWS CLI atau API AWS](id_credentials_mfa_enable_cliapi.md) Untuk informasi selengkapnya tentang menandai sumber daya IAM, lihat. [Tag untuk AWS Identity and Access Management sumber daya](id_tags.md)
**catatan**
Anda harus memiliki akses fisik ke perangkat keras yang akan menjadi host perangkat MFA virtual pengguna untuk mengonfigurasi MFA. Misalnya, Anda dapat mengonfigurasi MFA untuk pengguna yang akan menggunakan perangkat MFA virtual yang berjalan di smartphone. Dalam hal ini, Anda harus memiliki smartphone yang tersedia untuk menyelesaikan wizard. Oleh karena itu, Anda mungkin ingin membiarkan pengguna mengonfigurasi dan mengelola perangkat MFA virtual mereka sendiri. Dalam kasus tersebut, Anda harus memberikan izin kepada pengguna untuk melakukan tindakan IAM yang diperlukan. Untuk informasi selengkapnya dan contoh kebijakan IAM yang memberikan izin ini, lihat kebijakan [Tutorial IAM: Izinkan pengguna untuk mengelola kredensi dan pengaturan MFA mereka](tutorial_users-self-manage-mfa-and-creds.md) dan contoh. [AWS: Memungkinkan pengguna IAM yang diautentikasi MFA untuk mengelola perangkat MFA mereka sendiri di halaman kredensi Keamanan](reference_policies_examples_aws_my-sec-creds-self-manage-mfa-only.md)
**Untuk mengaktifkan perangkat MFA virtual untuk pengguna IAM (konsol)**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Users** (Pengguna).
1. Dalam daftar **Pengguna**, pilih nama pengguna IAM.
1. Pilih tab **Kredensial Keamanan**. **Di bawah **Autentikasi multi-faktor (MFA)**, pilih Tetapkan perangkat MFA.**
1. Di wizard, ketikkan **nama Perangkat**, pilih **Aplikasi Authenticator**, lalu pilih **Berikutnya**.
IAM menghasilkan dan menampilkan informasi konfigurasi untuk perangkat MFA virtual, termasuk grafik kode QR. Grafik adalah representasi “kunci konfigurasi rahasia” yang tersedia untuk entri manual pada perangkat yang tidak mendukung kode QR.
1. Buka aplikasi MFA virtual Anda. Untuk daftar aplikasi-aplikasi MFA virtual yang dapat Anda gunakan untuk hosting perangkat MFA virtual, lihat [Autentikasi Multi-Faktor](https://aws.amazon.com/iam/details/mfa/).
Jika aplikasi MFA virtual mendukung beberapa perangkat atau akun MFA virtual, pilih opsi untuk membuat perangkat atau akun MFA virtual baru.
1. Tentukan apakah aplikasi MFA mendukung kode QR, kemudian lakukan salah satu hal berikut:
+ Dari wizard, pilih **Tampilkan kode QR**, lalu gunakan aplikasi untuk memindai kode QR. Ini mungkin ikon kamera atau opsi **Pindai kode** yang menggunakan kamera perangkat untuk memindai kode.
+ Dari wizard, pilih **Tampilkan kunci rahasia**, lalu ketik kunci rahasia ke dalam aplikasi MFA Anda.
Saat Anda selesai, perangkat MFA virtual mulai membuat kata sandi sekali pakai.
1. Pada halaman **Siapkan perangkat**, di kotak **kode MFA 1**, ketik kata sandi satu kali yang saat ini muncul di perangkat MFA virtual. Tunggu hingga 30 detik untuk membuat kata sandi sekali pakai yang baru. Lalu ketikkan kata sandi satu kali kedua ke kotak **Kode MFA 2**. Pilih **Tambahkan MFA**.
**penting**
Kirimkan permintaan Anda segera setelah membuat kode. Jika Anda membuat kode dan kemudian menunggu terlalu lama untuk mengirim permintaan, perangkat MFA berhasil menghubungkan pengguna namun perangkat MFA tidak sinkron. Hal ini terjadi karena kata sandi sekali pakai berbasis-waktu kedaluwarsa setelah beberapa waktu. Jika ini terjadi, Anda dapat [menyinkronisasi ulang perangkat](id_credentials_mfa_sync.md).
Perangkat MFA virtual sekarang siap digunakan. AWS Untuk informasi tentang menggunakan MFA dengan Konsol Manajemen AWS, lihat. [MFA mengaktifkan login](console_sign-in-mfa.md)
**catatan**
Perangkat MFA virtual yang tidak ditetapkan di Akun AWS Anda akan dihapus saat Anda menambahkan perangkat MFA virtual baru baik melalui atau selama Konsol Manajemen AWS proses masuk. Perangkat MFA virtual yang tidak ditetapkan adalah perangkat di akun Anda tetapi tidak digunakan oleh pengguna root akun atau pengguna IAM untuk proses masuk. Mereka dihapus sehingga perangkat MFA virtual baru dapat ditambahkan ke akun Anda. Ini juga memungkinkan Anda untuk menggunakan kembali nama perangkat.
Untuk melihat perangkat MFA virtual yang tidak ditetapkan di akun Anda, Anda dapat menggunakan perintah [atau [list-virtual-mfa-devices](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-virtual-mfa-devices.html)AWS CLI](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListVirtualMFADevices.html)panggilan API.
Untuk menonaktifkan perangkat MFA virtual, Anda dapat menggunakan perintah [atau [deactivate-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/deactivate-mfa-device.html)AWS CLI](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html)panggilan API. Perangkat akan menjadi tidak ditugaskan.
[Untuk melampirkan perangkat MFA virtual yang tidak ditetapkan ke Akun AWS pengguna root atau pengguna IAM, Anda memerlukan kode otentikasi yang dihasilkan oleh perangkat bersama dengan perintah atau panggilan API [enable-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-mfa-device.html)AWS CLI .](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html)
## Ganti perangkat MFA virtual
Pengguna Anda Pengguna root akun AWS dan IAM dapat mendaftarkan hingga **delapan** perangkat MFA dari kombinasi jenis MFA apa pun. Jika pengguna kehilangan perangkat atau perlu menggantinya karena alasan apa pun, nonaktifkan perangkat lama. Kemudian Anda dapat menambahkan perangkat baru untuk pengguna.
+ Untuk menonaktifkan perangkat yang saat ini terkait dengan pengguna IAM lain, lihat [Nonaktifkan perangkat MFA](id_credentials_mfa_disable.md).
+ Untuk menambahkan perangkat MFA virtual pengganti bagi pengguna IAM lain, ikuti langkah-langkah dalam prosedur [Aktifkan perangkat MFA virtual untuk pengguna IAM (konsol)](#enable-virt-mfa-for-iam-user) di atas.
+ Untuk menambahkan perangkat MFA virtual pengganti untuk Pengguna root akun AWS, ikuti langkah-langkah dalam prosedur. [Aktifkan perangkat MFA virtual untuk pengguna root (konsol)](enable-virt-mfa-for-root.md)
# Tetapkan token TOTP perangkat keras di Konsol Manajemen AWS
**penting**
AWS merekomendasikan agar Anda menggunakan kunci sandi atau kunci keamanan untuk MFA, AWS sedapat mungkin. Untuk informasi selengkapnya, lihat [Tetapkan kunci sandi atau kunci keamanan di Konsol Manajemen AWS](id_credentials_mfa_enable_fido.md).
Token TOTP perangkat keras menghasilkan kode numerik enam digit berdasarkan algoritma kata sandi satu kali berbasis waktu (TOTP). Pengguna harus memasukkan kode yang valid dari perangkat saat diminta selama proses masuk. Setiap perangkat MFA yang ditetapkan ke pengguna harus unik; pengguna tidak dapat mengetikkan kode dari perangkat pengguna lain untuk diautentikasi. Perangkat MFA tidak dapat dibagikan di seluruh akun atau pengguna.
Token TOTP perangkat keras dan [kunci keamanan FIDO](id_credentials_mfa_enable_fido.md) adalah perangkat fisik yang Anda beli. Perangkat MFA perangkat keras menghasilkan kode TOTP untuk otentikasi saat Anda masuk. AWS Mereka mengandalkan baterai, yang mungkin perlu penggantian dan sinkronisasi ulang AWS seiring waktu. Kunci keamanan FIDO, yang menggunakan kriptografi kunci publik, tidak memerlukan baterai dan menawarkan proses otentikasi yang mulus. Kami merekomendasikan penggunaan kunci keamanan FIDO untuk ketahanan phishing mereka, yang memberikan alternatif yang lebih aman untuk perangkat TOTP. Selain itu, kunci keamanan FIDO dapat mendukung beberapa pengguna IAM atau root pada perangkat yang sama, meningkatkan utilitas mereka untuk keamanan akun. Untuk spesifikasi dan informasi pembelian untuk kedua jenis perangkat, lihat [Autentikasi Multi-Faktor](https://aws.amazon.com/iam/details/mfa/).
Anda dapat mengaktifkan token TOTP perangkat keras untuk pengguna IAM dari, baris perintah Konsol Manajemen AWS, atau API IAM. Untuk mengaktifkan perangkat MFA untuk Anda Pengguna root akun AWS, lihat. [Aktifkan token TOTP perangkat keras untuk pengguna root (konsol)](enable-hw-mfa-for-root.md)
Anda dapat mendaftarkan hingga **delapan** perangkat MFA dari kombinasi [jenis MFA yang saat ini didukung dengan pengguna Anda Pengguna root akun AWS dan IAM](https://aws.amazon.com/iam/features/mfa/). Dengan beberapa perangkat MFA, Anda hanya perlu satu perangkat MFA untuk masuk ke Konsol Manajemen AWS atau membuat sesi melalui sebagai pengguna tersebut AWS CLI .
**penting**
Kami menyarankan Anda mengaktifkan beberapa perangkat MFA untuk pengguna Anda untuk melanjutkan akses ke akun Anda jika perangkat MFA hilang atau tidak dapat diakses.
**catatan**
Jika Anda ingin mengaktifkan perangkat MFA dari baris perintah, gunakan. [https://docs.aws.amazon.com/cli/latest/reference/iam/enable-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/enable-mfa-device.html) Untuk mengaktifkan perangkat MFA dengan API IAM, gunakan operasi. [https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html)
**Topics**
+ [Izin diperlukan](#enable-hw-mfa-for-iam-user-permissions-required)
+ [Aktifkan token TOTP perangkat keras untuk pengguna IAM Anda sendiri (konsol)](#enable-hw-mfa-for-own-iam-user)
+ [Aktifkan token TOTP perangkat keras untuk pengguna IAM lain (konsol)](#enable-hw-mfa-for-iam-user)
+ [Ganti perangkat MFA fisik](#replace-phys-mfa)
## Izin diperlukan
Untuk mengelola token TOTP perangkat keras untuk pengguna IAM Anda sendiri sambil melindungi tindakan sensitif terkait MFA, Anda harus memiliki izin dari kebijakan berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowManageOwnUserMFA",
"Effect": "Allow",
"Action": [
"iam:DeactivateMFADevice",
"iam:EnableMFADevice",
"iam:GetUser",
"iam:ListMFADevices",
"iam:ResyncMFADevice"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
},
{
"Sid": "DenyAllExceptListedIfNoMFA",
"Effect": "Deny",
"NotAction": [
"iam:EnableMFADevice",
"iam:GetUser",
"iam:ListMFADevices",
"iam:ResyncMFADevice"
],
"Resource": "arn:aws:iam::*:user/${aws:username}",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "false"
}
}
}
]
}
```
------
## Aktifkan token TOTP perangkat keras untuk pengguna IAM Anda sendiri (konsol)
Anda dapat mengaktifkan token TOTP perangkat keras Anda sendiri dari. Konsol Manajemen AWS
**catatan**
Sebelum Anda dapat mengaktifkan token TOTP perangkat keras, Anda harus memiliki akses fisik ke perangkat.
**Untuk mengaktifkan token TOTP perangkat keras untuk pengguna IAM Anda sendiri (konsol)**
1. Gunakan ID AWS akun atau alias akun, nama pengguna IAM, dan kata sandi Anda untuk masuk ke konsol [IAM](https://console.aws.amazon.com/iam).
**catatan**
Untuk kenyamanan Anda, halaman AWS masuk menggunakan cookie browser untuk mengingat nama pengguna dan informasi akun IAM Anda. Jika Anda sebelumnya masuk sebagai pengguna yang berbeda, pilih **Masuk ke akun lain** dekat bagian bawah halaman untuk kembali ke halaman masuk utama. Dari sana, Anda dapat mengetikkan ID AWS akun atau alias akun Anda untuk diarahkan ke halaman login pengguna IAM untuk akun Anda.
Untuk mendapatkan Akun AWS ID Anda, hubungi administrator Anda.
1. Di bilah navigasi di kanan atas, pilih nama pengguna Anda, lalu pilih **Kredensi keamanan**.
![\[Konsol Manajemen AWS Tautan kredensi keamanan\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)
1. **Pada tab **Kredensial AWS IAM**, di **bagian Otentikasi Multi-faktor (MFA), pilih Tetapkan perangkat MFA**.**
1. **Di wizard, ketikkan **nama Perangkat**, pilih **token TOTP Perangkat Keras**, lalu pilih Berikutnya.**
1. Ketik nomor seri perangkat. Nomor seri biasanya ada di bagian belakang perangkat.
1. Di kotak **Kode MFA 1**, ketik angka enam-digit yang ditampilkan oleh perangkat MFA. Anda mungkin perlu menekan tombol di bagian depan perangkat untuk menampilkan nomor.
![\[Dasbor IAM, Perangkat MFA\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/MFADevice.png)
1. Tunggu 30 detik saat perangkat menyegarkan kode, lalu ketik angka enam digit berikutnya ke kotak **Kode MFA 2**. Anda mungkin perlu menekan tombol di bagian depan perangkat untuk menampilkan nomor kedua.
1. Pilih **Tambahkan MFA**.
**penting**
Segera kirim permintaan Anda setelah membuat kode autentikasi. Jika Anda membuat kode dan kemudian menunggu terlalu lama untuk mengirim permintaan, perangkat MFA berhasil menghubungkan pengguna namun perangkat MFA tidak akan sinkron. Hal ini terjadi karena kata sandi sekali pakai berbasis-waktu kedaluwarsa setelah beberapa waktu. Jika ini terjadi, Anda dapat [menyinkronisasi ulang perangkat](id_credentials_mfa_sync.md).
Perangkat siap digunakan dengan AWS. Untuk informasi lebih lanjut tentang penggunaan MFA dengan Konsol Manajemen AWS, lihat [MFA mengaktifkan login](console_sign-in-mfa.md).
## Aktifkan token TOTP perangkat keras untuk pengguna IAM lain (konsol)
Anda dapat mengaktifkan token TOTP perangkat keras untuk pengguna IAM lain dari. Konsol Manajemen AWS
**Untuk mengaktifkan token TOTP perangkat keras untuk pengguna IAM lain (konsol)**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Users** (Pengguna).
1. Pilih nama pengguna yang ingin Anda aktifkan MFA.
1. Pilih tab **Kredensial Keamanan**. **Di bawah **Autentikasi multi-faktor (MFA)**, pilih Tetapkan perangkat MFA.**
1. **Di wizard, ketikkan **nama Perangkat**, pilih **token TOTP Perangkat Keras**, lalu pilih Berikutnya.**
1. Ketik nomor seri perangkat. Nomor seri biasanya ada di bagian belakang perangkat.
1. Di kotak **Kode MFA 1**, ketik angka enam-digit yang ditampilkan oleh perangkat MFA. Anda mungkin perlu menekan tombol di bagian depan perangkat untuk menampilkan nomor.
![\[Dasbor IAM, Perangkat MFA\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/MFADevice.png)
1. Tunggu 30 detik saat perangkat menyegarkan kode, lalu ketik angka enam digit berikutnya ke kotak **Kode MFA 2**. Anda mungkin perlu menekan tombol di bagian depan perangkat untuk menampilkan nomor kedua.
1. Pilih **Tambahkan MFA**.
**penting**
Segera kirim permintaan Anda setelah membuat kode autentikasi. Jika Anda membuat kode dan kemudian menunggu terlalu lama untuk mengirim permintaan, perangkat MFA berhasil menghubungkan pengguna namun perangkat MFA tidak akan sinkron. Hal ini terjadi karena kata sandi sekali pakai berbasis-waktu kedaluwarsa setelah beberapa waktu. Jika ini terjadi, Anda dapat [menyinkronisasi ulang perangkat](id_credentials_mfa_sync.md).
Perangkat siap digunakan dengan AWS. Untuk informasi lebih lanjut tentang penggunaan MFA dengan Konsol Manajemen AWS, lihat [MFA mengaktifkan login](console_sign-in-mfa.md).
## Ganti perangkat MFA fisik
Anda dapat memiliki hingga delapan perangkat MFA dari kombinasi [jenis MFA yang saat ini didukung](https://aws.amazon.com/iam/features/mfa/) yang ditetapkan untuk pengguna pada satu waktu dengan pengguna Anda Pengguna root akun AWS dan IAM. Jika pengguna kehilangan perangkat atau perlu mengganti karena alasan apa pun, Anda harus menonaktifkan perangkat lama terlebih dahulu. Kemudian Anda dapat menambahkan perangkat baru untuk pengguna.
+ Untuk menonaktifkan perangkat yang saat ini terkait dengan pengguna, lihat [Nonaktifkan perangkat MFA](id_credentials_mfa_disable.md).
+ Untuk menambahkan token TOTP perangkat keras pengganti untuk pengguna IAM, ikuti langkah-langkah dalam prosedur [Aktifkan token TOTP perangkat keras untuk pengguna IAM lain (konsol)](#enable-hw-mfa-for-iam-user) sebelumnya dalam topik ini.
+ Untuk menambahkan token TOTP perangkat keras pengganti untuk Pengguna root akun AWS, ikuti langkah-langkah dalam prosedur [Aktifkan token TOTP perangkat keras untuk pengguna root (konsol)](enable-hw-mfa-for-root.md) sebelumnya dalam topik ini.
# Tetapkan perangkat MFA di AWS CLI atau API AWS
Anda dapat menggunakan AWS CLI perintah atau operasi AWS API untuk mengaktifkan perangkat MFA virtual untuk pengguna IAM. Anda tidak dapat mengaktifkan perangkat MFA untuk Pengguna root akun AWS dengan AWS CLI, AWS API, Alat untuk Windows PowerShell, atau alat baris perintah lainnya. Namun, Anda dapat menggunakan Konsol Manajemen AWS untuk mengaktifkan perangkat MFA untuk pengguna root.
Saat Anda mengaktifkan perangkat MFA dari Konsol Manajemen AWS, konsol melakukan beberapa langkah untuk Anda. Jika Anda malah membuat perangkat virtual menggunakan AWS CLI, Alat untuk Windows PowerShell, atau AWS API, maka Anda harus melakukan langkah-langkah secara manual dan dalam urutan yang benar. Misalnya, untuk membuat perangkat MFA virtual, Anda harus membuat objek IAM dan mengekstrak kode sebagai sebuah string atau grafik kode QR. Kemudian Anda harus menyinkronkan perangkat dan mengaitkannya dengan pengguna IAM. Lihat bagian **Contoh** [Baru- IAMVirtual MFADevice](https://docs.aws.amazon.com/powershell/latest/reference/Index.html?page=New-IAMVirtualMFADevice.html&tocid=New-IAMVirtualMFADevice) untuk lebih jelasnya. Untuk perangkat fisik, Anda melompati langkah pembuatan dan langsung menuju sinkronisasi perangkat dan mengaitkannya dengan pengguna.
Anda dapat melampirkan tanda ke sumber daya IAM, termasuk perangkat MFA virtual, untuk mengidentifikasi, mengatur, dan mengontrol akses ke perangkat tersebut. Anda dapat menandai perangkat MFA virtual hanya ketika Anda menggunakan AWS CLI atau AWS API.
Pengguna IAM yang menggunakan SDK atau CLI dapat mengaktifkan perangkat MFA tambahan dengan memanggil atau [https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html)menonaktifkan perangkat MFA yang ada dengan menelepon. [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html) Untuk melakukan ini dengan sukses, mereka harus terlebih dahulu memanggil [https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html)dan mengirimkan kode MFA dengan perangkat MFA yang ada. Panggilan ini mengembalikan kredensi keamanan sementara yang kemudian dapat digunakan untuk menandatangani operasi API yang memerlukan otentikasi MFA. Untuk contoh permintaan dan respons, lihat [`GetSessionToken`—kredensial sementara untuk pengguna di](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html#api_getsessiontoken) lingkungan yang tidak tepercaya.
**Untuk membuat entitas perangkat virtual di IAM untuk mewakili perangkat MFA virtual**
Perintah ini memberikan ARN untuk perangkat yang digunakan untuk menggantikan nomor seri dalam banyak perintah berikut.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/create-virtual-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/create-virtual-mfa-device.html)
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateVirtualMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateVirtualMFADevice.html)
**Untuk mengaktifkan perangkat MFA untuk digunakan AWS**
Perintah ini menyinkronkan perangkat dengan AWS dan mengaitkannya dengan pengguna. Jika perangkat ini virtual, gunakan ARN perangkat virtual sebagai nomor seri.
**penting**
Segera kirim permintaan Anda setelah membuat kode autentikasi. Jika Anda membuat kode dan kemudian menunggu terlalu lama untuk mengirim permintaan, perangkat MFA berhasil menghubungkan pengguna namun perangkat MFA tidak akan sinkron. Hal ini terjadi karena kata sandi sekali pakai berbasis-waktu kedaluwarsa setelah beberapa waktu. Jika ini terjadi, Anda dapat mensinkronisasi ulang perangkat menggunakan perintah yang dijelaskan di bawah ini.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/enable-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/enable-mfa-device.html)
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html)
**Untuk menonaktifkan perangkat**
Gunakan perintah ini untuk memisahkan perangkat dari pengguna dan menonaktifkannya. Jika perangkat ini virtual, gunakan ARN perangkat virtual sebagai nomor seri. Anda juga harus menghapus perangkat virtual secara terpisah.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/deactivate-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/deactivate-mfa-device.html)
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html)
**Untuk mencantumkan entitas perangkat MFA virtual**
Gunakan perintah ini untuk mencantumkan entitas perangkat MFA virtual.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/list-virtual-mfa-devices.html](https://docs.aws.amazon.com/cli/latest/reference/iam/list-virtual-mfa-devices.html)
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListVirtualMFADevices.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListVirtualMFADevices.html)
**Untuk menandai perangkat MFA virtual**
Gunakan perintah ini untuk menandai perangkat MFA virtual.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/tag-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/tag-mfa-device.html)
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_TagMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_TagMFADevice.html)
**Untuk mencantumkan tanda perangkat MFA virtual**
Gunakan perintah ini untuk mencantumkan tanda yang terpasang ke perangkat MFA virtual.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/list-mfa-device-tags.html](https://docs.aws.amazon.com/cli/latest/reference/iam/list-mfa-device-tags.html)
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListMFADeviceTags.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListMFADeviceTags.html)
**Untuk menghapus tanda perangkat MFA virtual**
Gunakan perintah ini untuk menghapus tanda yang terpasang ke perangkat MFA virtual.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/untag-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/untag-mfa-device.html)
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UntagMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UntagMFADevice.html)
**Untuk mensinkronkan ulang perangkat MFA**
Gunakan perintah ini jika perangkat menghasilkan kode yang tidak diterima oleh AWS. Jika perangkat ini virtual, gunakan ARN perangkat virtual sebagai nomor seri.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/resync-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/resync-mfa-device.html)
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResyncMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResyncMFADevice.html)
**Untuk menghapus entitas perangkat MFA virtual di IAM**
Setelah perangkat diputus kaitannya dari pengguna, Anda dapat menghapus entitas perangkat.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-virtual-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-virtual-mfa-device.html)
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteVirtualMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteVirtualMFADevice.html)
**Untuk memulihkan perangkat MFA virtual yang hilang atau tidak berfungsi**
Terkadang, perangkat pengguna yang meng-host aplikasi MFA virtual hilang, diganti, atau tidak berfungsi. Jika ini terjadi, pengguna tidak dapat memulihkannya sendiri. Pengguna harus menghubungi administrator untuk menonaktifkan perangkat. Lihat informasi yang lebih lengkap di [Pulihkan identitas yang dilindungi MFA di IAM](id_credentials_mfa_lost-or-broken.md).
# Periksa status MFA
Gunakan konsol IAM untuk memeriksa apakah pengguna IAM Pengguna root akun AWS atau IAM mengaktifkan perangkat MFA yang valid.
**Untuk memeriksa status MFA dari pengguna akar**
1. Masuk ke Konsol Manajemen AWS dengan kredensi pengguna root Anda dan kemudian buka konsol IAM di. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Di bilah navigasi di kanan atas, pilih nama pengguna Anda, lalu pilih **Kredensi keamanan**.
1. Periksa di bawah **Autentikasi Multi-Faktor (MFA)** untuk melihat apakah MFA diaktifkan atau dinonaktifkan. Jika MFA belum diaktifkan, simbol peringatan (![\[Alert icon\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/console-alert-icon.console.png)) akann ditampilkan
Jika Anda ingin mengaktifkan MFA untuk akun, lihat salah satu hal berikut:
+ [Aktifkan perangkat MFA virtual untuk pengguna root (konsol)](enable-virt-mfa-for-root.md)
+ [Aktifkan kunci sandi atau kunci keamanan untuk pengguna root (konsol)](enable-fido-mfa-for-root.md)
+ [Aktifkan token TOTP perangkat keras untuk pengguna root (konsol)](enable-hw-mfa-for-root.md)
**Untuk memeriksa status MFA pengguna IAM**
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Pengguna**.
1. Jika perlu, tambahkan kolom **MFA** pada tabel pengguna dengan menyelesaikan langkah-langkah berikut:
1. Di atas tabel di ujung kanan, pilih ikon pengaturan (![\[Settings icon\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/console-settings-icon.console.png)).
1. Di **Kelola Kolom**, pilih **MFA**.
1. (Opsional) Kosongkan kotak centang untuk judul kolom apa pun yang tidak ingin Anda tampilkan di tabel pengguna.
1. Pilih **Tutup** untuk kembali ke daftar pengguna.
1. Kolom **MFA** kmemberi tahu Anda tentang perangkat MFA yang diaktifkan. **Jika tidak ada perangkat MFA yang aktif untuk pengguna, konsol akan menampilkan None.** **Jika pengguna mengaktifkan perangkat MFA, kolom **MFA** menunjukkan jenis perangkat yang diaktifkan dengan nilai **Virtual**, **Kunci Keamanan**, Perangkat **Keras**, atau SMS.**
**catatan**
AWS mengakhiri dukungan untuk mengaktifkan otentikasi multi-faktor SMS (MFA). [[Kami menyarankan agar pelanggan yang memiliki pengguna IAM yang menggunakan MFA berbasis pesan teks SMS beralih ke salah satu metode alternatif berikut[: perangkat MFA virtual (berbasis perangkat lunak), kunci keamanan FIDO, atau perangkat MFA perangkat keras](id_credentials_mfa_enable_virtual.md).](id_credentials_mfa_enable_physical.md)](id_credentials_mfa_enable_fido.md) Anda dapat mengidentifikasi pengguna di akun Anda dengan perangkat MFA SMS yang ditetapkan. Untuk melakukannya, kunjungi konsol IAM, pilih **Pengguna** dari panel navigasi, dan cari pengguna dengan **SMS** di kolom **MFA** di tabel.
1. Untuk melihat informasi tambahan tentang perangkat MFA untuk pengguna, pilih nama pengguna yang status MFA ingin Anda periksa. Kemudian pilih tab **Kredensial keamanan**.
1. Jika tidak ada perangkat MFA yang aktif untuk pengguna, konsol menampilkan Tidak ada perangkat **MFA. Tetapkan perangkat MFA untuk meningkatkan keamanan lingkungan AWS Anda di bagian** **Autentikasi Multi-faktor (**MFA). Jika pengguna mengaktifkan perangkat MFA, bagian **Autentikasi Multi-faktor (MFA**) menunjukkan detail tentang perangkat:
+ Nama perangkat
+ Jenis perangkat
+ Pengenal untuk perangkat, seperti nomor seri untuk perangkat fisik atau ARN AWS untuk perangkat virtual
+ Saat perangkat dibuat
Untuk menghapus atau menyinkronkan ulang perangkat, pilih tombol radio di sebelah perangkat dan pilih **Hapus** atau **Sinkronkan Ulang**.
Untuk informasi lebih lanjut dalam mengaktifkan MFA, lihat hal berikut:
+ [Tetapkan perangkat MFA virtual di Konsol Manajemen AWS](id_credentials_mfa_enable_virtual.md)
+ [Tetapkan kunci sandi atau kunci keamanan di Konsol Manajemen AWS](id_credentials_mfa_enable_fido.md)
+ [Tetapkan token TOTP perangkat keras di Konsol Manajemen AWS](id_credentials_mfa_enable_physical.md)
# Sinkronisasi ulang perangkat MFA virtual dan perangkat keras
Anda dapat menggunakan AWS untuk menyinkronkan ulang perangkat otentikasi multi-faktor virtual dan perangkat keras (MFA) Anda. Jika perangkat Anda tidak disinkronkan saat Anda mencoba menggunakannya, upaya masuk gagal dan IAM meminta Anda untuk mensinkronkan ulang perangkat tersebut.
**catatan**
Kunci keamanan FIDO tidak keluar dari sinkron. Jika kunci keamanan FIDO hilang atau rusak, Anda dapat menonaktifkannya. Untuk petunjuk cara menonaktifkan jenis perangkat MFA, lihat [Untuk menonaktifkan perangkat MFA untuk pengguna IAM lainnya (konsol)](id_credentials_mfa_disable.md#deactivate-mfa-for-user).
Sebagai AWS administrator, Anda dapat menyinkronkan ulang perangkat MFA virtual dan perangkat keras pengguna IAM Anda jika mereka keluar dari sinkronisasi.
Jika perangkat Pengguna root akun AWS MFA tidak berfungsi, Anda dapat menyinkronkan ulang perangkat menggunakan konsol IAM dengan atau tanpa menyelesaikan proses masuk. Jika Anda tidak berhasil menyinkronkan ulang perangkat Anda, Anda mungkin perlu menghapus kaitannya dan mengaitkannya kembali. Untuk informasi lebih lanjut tentang cara melakukan ini, lihat [Nonaktifkan perangkat MFA](id_credentials_mfa_disable.md) dan[AWS Otentikasi multi-faktor di IAM](id_credentials_mfa.md).
**Topics**
+ [Izin diperlukan](#id_credentials_mfa_sync_console-permissions-required)
+ [Mensinkronisasi ulang perangkat MFA virtual dan perangkat keras (konsol IAM)](#id_credentials_mfa_sync_console)
+ [Menyinkronkan ulang perangkat MFA virtual dan perangkat keras (AWS CLI)](#id_credentials_mfa_sync_cli)
+ [Menyinkronkan ulang perangkat MFA virtual dan perangkat keras (API)AWS](#id_credentials_mfa_sync_api)
## Izin diperlukan
Untuk menyinkronkan ulang perangkat MFA virtual atau perangkat keras untuk pengguna IAM Anda sendiri, Anda harus memiliki izin dari kebijakan berikut. Kebijakan ini tidak mengizinkan Anda untuk membuat atau menonaktifkan perangkat.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowListActions",
"Effect": "Allow",
"Action": [
"iam:ListVirtualMFADevices"
],
"Resource": "*"
},
{
"Sid": "AllowUserToViewAndManageTheirOwnUserMFA",
"Effect": "Allow",
"Action": [
"iam:ListMFADevices",
"iam:ResyncMFADevice"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
},
{
"Sid": "BlockAllExceptListedIfNoMFA",
"Effect": "Deny",
"NotAction": [
"iam:ListMFADevices",
"iam:ListVirtualMFADevices",
"iam:ResyncMFADevice"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "false"
}
}
}
]
}
```
------
## Mensinkronisasi ulang perangkat MFA virtual dan perangkat keras (konsol IAM)
Anda dapat menggunakan konsol IAM untuk mengsinkronisasi ulang perangkat MFA virtual dan perangkat keras.
**Untuk mensinkronkan perangkat keras atau MFA virtual untuk pengguna IAM Anda sendiri (konsol)**
1. Gunakan ID AWS akun atau alias akun, nama pengguna IAM, dan kata sandi Anda untuk masuk ke konsol [IAM](https://console.aws.amazon.com/iam).
**catatan**
Untuk kenyamanan Anda, halaman AWS masuk menggunakan cookie browser untuk mengingat nama pengguna IAM dan informasi akun Anda. Jika Anda sebelumnya masuk sebagai pengguna yang berbeda, pilih **Masuk ke akun lain** dekat bagian bawah halaman untuk kembali ke halaman masuk utama. Dari sana, Anda dapat mengetikkan ID AWS akun atau alias akun Anda untuk diarahkan ke halaman login pengguna IAM untuk akun Anda.
Untuk mendapatkan Akun AWS ID Anda, hubungi administrator Anda.
1. Di bilah navigasi di kanan atas, pilih nama pengguna Anda, lalu pilih **Kredensi keamanan**.
![\[AWS Tautan kredensi Keamanan Konsol Manajemen\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)
1. **Pada tab **kredensi AWS IAM**, di bagian **Otentikasi Multi-faktor (MFA), pilih tombol radio di sebelah perangkat MFA** dan pilih Resinkronisasi.**
1. Ketik dua kode berikutnya yang dibuat secara berurutan dari perangkat ke dalam **Kode MFA 1** dan **Kode MFA 2**. Kemudian pilih **Resinkronisasi**.
**penting**
Kirimkan permintaan Anda segera setelah membuat kode. Jika Anda membuat kode lalu menunggunya terlalu lama untuk mengirimkan permintaan, permintaan tersebut muncul untuk bekerja tetapi perangkat tetap tidak sinkron. Hal ini terjadi karena kata sandi sekali pakai berbasis-waktu kedaluwarsa setelah beberapa waktu.
**Untuk mensinkronisasi ulang perangkat MFA virtual atau perangkat keras untuk pengguna IAM lainnya (konsol)**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Pengguna**, lalu pilih nama pengguna yang perangkat MFA perlu disinkronisasi ulang.
1. Pilih tab **Kredensial keamanan**. **Di bagian **Otentikasi Multi-faktor (MFA)**, pilih tombol radio di sebelah perangkat MFA dan pilih Resinkronisasi.**
1. Ketik dua kode berikutnya yang dibuat secara berurutan dari perangkat ke dalam **Kode MFA 1** dan **Kode MFA 2**. Kemudian pilih **Resinkronisasi**.
**penting**
Kirimkan permintaan Anda segera setelah membuat kode. Jika Anda membuat kode lalu menunggunya terlalu lama untuk mengirimkan permintaan, permintaan tersebut muncul untuk bekerja tetapi perangkat tetap tidak sinkron. Hal ini terjadi karena kata sandi sekali pakai berbasis-waktu kedaluwarsa setelah beberapa waktu.
**Untuk mensinkronkan ulang MFA pengguna akar Anda sebelum masuk (konsol)**
1. Di halaman **Masuk Amazon Web Services Dengan Perangkat Autentikasi**, pilih **Ada masalah dengan perangkat autentikasi Anda? Klik di sini**.
**catatan**
Anda mungkin melihat teks yang berbeda, seperti **Masuk menggunakan MFA** dan **Atasi masalah perangkat autentikasi Anda**. Namun, fitur yang sama disediakan.
1. Di bagian **Sinkronkan ulang Dengan Server Kami**, ketikkan dua kode berikutnya yang dibuat secara berurutan dari perangkat ke dalam **Kode MFA 1** dan **Kode MFA 2**. Lalu, pilih **Sinkronkan ulang perangkat autentikasi**.
1. Jika perlu, ketikkan kata sandi Anda kembali dan pilih **Masuk**. Lalu selesaikan proses masuk menggunakan perangkat MFA Anda.
**Untuk mensinkronkan ulang MFA pengguna akar Anda setelah masuk (konsol)**
1. Masuk ke [konsol IAM](https://console.aws.amazon.com/iam/) sebagai pemilik akun dengan memilih **pengguna Root** dan memasukkan alamat Akun AWS email Anda. Di laman berikutnya, masukkan kata sandi.
**catatan**
Sebagai pengguna root, Anda tidak dapat masuk ke halaman **pengguna Masuk sebagai IAM**. Jika Anda melihat halaman **Masuk sebagai pengguna IAM**, pilih **Masuk menggunakan email pengguna root** di dekat bagian bawah halaman. Untuk bantuan masuk sebagai pengguna root, lihat [Masuk ke Konsol Manajemen AWS sebagai pengguna root](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to- root-user-sign-in-tutorial.html) di *Panduan AWS Sign-In Pengguna*.
1. Di sisi kanan bilah navigasi, pilih nama akun Anda, lalu pilih **Kredensi keamanan**. Jika perlu, pilih **Continue to Security credentials**.
![\[Kredensi keamanan di menu navigasi\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)
1. Perluas bagian **Multi-Factor Authentication (MFA)** di halaman.
1. Pilih tombol radio di sebelah perangkat dan pilih **Resinkronisasi**.
1. **Di kotak dialog perangkat **MFA Resinkronisasi**, ketik dua kode berikutnya yang dihasilkan secara berurutan dari perangkat ke dalam kode MFA 1 dan **kode MFA** 2.** Kemudian pilih **Resinkronisasi**.
**penting**
Kirimkan permintaan Anda segera setelah membuat kode. Jika Anda membuat kode lalu menunggunya terlalu lama untuk membuat mengirimkan permintaan, perangkat MFA berhasil dikaitkan dengan pengguna, tetapi perangkat MFA tidak sinkron. Hal ini terjadi karena kata sandi sekali pakai berbasis-waktu kedaluwarsa setelah beberapa waktu.
## Menyinkronkan ulang perangkat MFA virtual dan perangkat keras (AWS CLI)
Anda dapat menyinkronkan ulang perangkat MFA virtual dan perangkat keras dari AWS CLI.
**Untuk menyinkronkan ulang perangkat MFA virtual atau perangkat keras untuk pengguna IAM ()AWS CLI**
Pada prompt perintah, keluarkan perintah [aws iam: resync-mfa-device](https://docs.aws.amazon.com/cli/latest/reference/iam/resync-mfa-device.html)
+ Perangkat MFA virtual: Menentukan Amazon Resource Name (ARN) dari perangkat sebagai nomor seri.
```
aws iam resync-mfa-device --user-name Richard --serial-number arn:aws:iam::123456789012:mfa/RichardsMFA --authentication-code1 123456 --authentication-code2 987654
```
+ Perangkat MFA perangkat keras: Menentukan nomor seri perangkat keras sebagai nomor seri. Formatnya khusus vendor. Misalnya, Anda dapat membeli token gemalto dari Amazon. Nomor serinya biasa terdiri atas empat huruf, diikuti empat angka.
```
aws iam resync-mfa-device --user-name Richard --serial-number ABCD12345678 --authentication-code1 123456 --authentication-code2 987654
```
**penting**
Kirimkan permintaan Anda segera setelah membuat kode. Jika Anda membuat kode lalu menunggunya terlalu lama untuk mengirimkan permintaan, permintaan gagal karena kode kedaluwarsa setelah beberapa saat.
## Menyinkronkan ulang perangkat MFA virtual dan perangkat keras (API)AWS
IAM memiliki panggilan API yang melakukan sinkronisasi. Dalam hal ini, kami menyarankan agar Anda memberikan izin pengguna perangkat MFA virtual dan perangkat keras untuk mengakses panggilan API ini. Kemudian buat alat berdasarkan panggilan API sehingga pengguna Anda dapat mensinkronisasi ulang perangkat mereka kapan pun diperlukan.
**Untuk menyinkronkan ulang perangkat MFA virtual atau perangkat keras untuk pengguna IAM (API)AWS**
+ Kirim MFADevice permintaan [Resinkronisasi](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResyncMFADevice.html).
# Nonaktifkan perangkat MFA
Jika Anda mengalami masalah saat masuk dengan perangkat otentikasi multi-faktor (MFA) sebagai pengguna IAM, hubungi administrator Anda untuk mendapatkan bantuan.
Sebagai administrator, Anda dapat menonaktifkan perangkat untuk pengguna IAM lainnya. Ini memungkinkan pengguna masuk tanpa menggunakan MFA. Anda dapat melakukannya sebagai solusi sementara saat perangkat MFA diganti, atau jika perangkat tidak tersedia untuk sementara. Namun, kami menyarankan Anda untuk mengaktifkan perangkat baru untuk pengguna sesegera mungkin. Untuk mempelajari cara mengaktifkan perangkat MFA baru, lihat [AWS Otentikasi multi-faktor di IAM](id_credentials_mfa.md).
**catatan**
Jika Anda menggunakan API atau AWS CLI menghapus pengguna dari Anda Akun AWS, Anda harus menonaktifkan atau menghapus perangkat MFA pengguna. Anda membuat perubahan ini sebagai bagian dari proses penghapusan pengguna. Untuk informasi selengkapnya tentang menghapus pengguna, lihat[Menghapus atau menonaktifkan pengguna IAM](id_users_remove.md).
**Topics**
+ [Menonaktifkan perangkat MFA (konsol)](#deactive-mfa-console)
+ [Menonaktifkan perangkat MFA (AWS CLI)](#deactivate-mfa-cli)
+ [Menonaktifkan perangkat MFA (API)AWS](#deactivate-mfa-api)
## Menonaktifkan perangkat MFA (konsol)
**Untuk menonaktifkan perangkat MFA untuk pengguna IAM lainnya (konsol)**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Pengguna**.
1. Untuk menonaktifkan perangkat MFA bagi pengguna, pilih nama pengguna yang MFAnya ingin Anda hapus.
1. Pilih tab **Kredensial keamanan**.
1. **Di bawah **Autentikasi multi-faktor (MFA)**, pilih tombol radio di sebelah perangkat MFA, pilih Hapus, lalu pilih **Hapus**.**
Perangkat dihapus dari AWS. Ini tidak dapat digunakan untuk masuk atau mengotentikasi permintaan sampai diaktifkan kembali dan dikaitkan dengan AWS pengguna atau. Pengguna root akun AWS
**Untuk menonaktifkan perangkat MFA untuk Pengguna root akun AWS (konsol)**
1. Masuk ke [konsol IAM](https://console.aws.amazon.com/iam/) sebagai pemilik akun dengan memilih **pengguna Root** dan memasukkan alamat Akun AWS email Anda. Di laman berikutnya, masukkan kata sandi.
**catatan**
Sebagai pengguna root, Anda tidak dapat masuk ke halaman **pengguna Masuk sebagai IAM**. Jika Anda melihat halaman **Masuk sebagai pengguna IAM**, pilih **Masuk menggunakan email pengguna root** di dekat bagian bawah halaman. Untuk bantuan masuk sebagai pengguna root, lihat [Masuk ke Konsol Manajemen AWS sebagai pengguna root](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to- root-user-sign-in-tutorial.html) di *Panduan AWS Sign-In Pengguna*.
1. Di sisi kanan bilah navigasi, pilih nama akun Anda, lalu pilih **Kredensi keamanan**. Jika perlu, pilih **Continue to Security credentials**.
![\[Kredensi keamanan di menu navigasi\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)
1. **Di bagian **Otentikasi multi-faktor (MFA)**, pilih tombol radio di sebelah perangkat MFA yang ingin Anda nonaktifkan dan pilih Hapus.**
1. Pilih **Hapus**.
Perangkat MFA dinonaktifkan untuk file. Akun AWS Periksa email yang terkait dengan Anda Akun AWS untuk pesan konfirmasi dari Amazon Web Services. Email tersebut memberi tahu Anda bahwa Autentikasi Multi-Faktor (MFA) Amazon Web Services Anda telah dinonaktifkan. Pesan akan datang dari `@amazon.com` atau`@aws.amazon.com`.
**catatan**
Perangkat MFA virtual yang tidak ditetapkan di Akun AWS Anda akan dihapus saat Anda menambahkan perangkat MFA virtual baru baik melalui atau selama Konsol Manajemen AWS proses masuk. Perangkat MFA virtual yang tidak ditetapkan adalah perangkat di akun Anda tetapi tidak digunakan oleh pengguna root akun atau pengguna IAM untuk proses masuk. Mereka dihapus sehingga perangkat MFA virtual baru dapat ditambahkan ke akun Anda. Ini juga memungkinkan Anda untuk menggunakan kembali nama perangkat.
## Menonaktifkan perangkat MFA (AWS CLI)
**Untuk menonaktifkan perangkat MFA untuk pengguna IAM ()AWS CLI**
+ Jalankan perintah ini: [https://docs.aws.amazon.com/cli/latest/reference/iam/deactivate-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/deactivate-mfa-device.html)
## Menonaktifkan perangkat MFA (API)AWS
**Untuk menonaktifkan perangkat MFA untuk pengguna IAM (API)AWS**
+ Hubungi operasi ini: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html)
# Pulihkan identitas yang dilindungi MFA di IAM
Jika perangkat [MFA virtual atau token TOTP perangkat](id_credentials_mfa_enable_virtual.md) [keras](id_credentials_mfa_enable_physical.md) Anda tampaknya berfungsi dengan baik, tetapi Anda tidak dapat menggunakannya untuk mengakses AWS sumber daya Anda, itu mungkin tidak sinkronisasi dengan. AWS Untuk informasi tentang sinkronisasi perangkat MFA virtual atau MFA perangkat keras, lihat [Sinkronisasi ulang perangkat MFA virtual dan perangkat keras](id_credentials_mfa_sync.md). [Kunci keamanan FIDO](id_credentials_mfa_enable_fido.md) tidak keluar dari sinkron.
Jika [perangkat MFA](id_credentials_mfa.md) untuk a Pengguna root akun AWS hilang, rusak, atau tidak berfungsi, Anda dapat memulihkan akses ke akun Anda. Pengguna IAM harus menghubungi administrator untuk menonaktifkan perangkat.
**penting**
Kami menyarankan Anda mengaktifkan beberapa perangkat MFA. Mendaftarkan beberapa perangkat MFA membantu memastikan akses berkelanjutan jika perangkat hilang atau rusak. Pengguna Anda Pengguna root akun AWS dan IAM dapat mendaftarkan hingga delapan perangkat MFA jenis apa pun.
## Prasyarat - Gunakan perangkat MFA lain
Jika [perangkat otentikasi multi-faktor (MFA)](id_credentials_mfa.md) Anda hilang, rusak, atau tidak berfungsi, Anda dapat masuk menggunakan perangkat MFA lain yang terdaftar ke pengguna root atau pengguna IAM yang sama.
**Untuk masuk menggunakan perangkat MFA lain**
1. Masuk ke [Konsol Manajemen AWS](url-comsole-domain;iam)dengan Akun AWS ID atau alias akun dan kata sandi Anda.
1. Pada halaman **verifikasi tambahan yang diperlukan** atau halaman **otentikasi multi-faktor**, pilih **Coba metode MFA** lain.
1. Otentikasi dengan jenis perangkat MFA yang Anda pilih.
1. Langkah selanjutnya bervariasi berdasarkan apakah Anda berhasil masuk dengan perangkat MFA alternatif.
+ Jika Anda telah berhasil masuk, Anda bisa[Sinkronisasi ulang perangkat MFA virtual dan perangkat keras](id_credentials_mfa_sync.md), yang dapat menyelesaikan masalah. Jika perangkat MFA Anda hilang atau rusak, Anda dapat menonaktifkannya. Untuk petunjuk cara menonaktifkan jenis perangkat MFA, lihat [Nonaktifkan perangkat MFA](id_credentials_mfa_disable.md).
+ Jika Anda tidak dapat masuk dengan MFA, gunakan langkah-langkah [Pemulihan perangkat MFA pengguna akar](#root-mfa-lost-or-broken) atau [Pemulihan perangkat MFA pengguna IAM](#iam-user-mfa-lost-or-broken) untuk memulihkan identitas yang dilindungi MFA Anda.
## Pemulihan perangkat MFA pengguna akar
Jika Anda tidak dapat masuk dengan MFA, Anda dapat menggunakan metode otentikasi alternatif untuk masuk dengan memverifikasi identitas Anda menggunakan email dan nomor telepon kontak utama yang terdaftar di akun Anda.
Konfirmasikan bahwa Anda dapat mengakses email dan nomor telepon kontak utama yang terkait dengan akun Anda sebelum Anda menggunakan faktor otentikasi alternatif untuk masuk sebagai pengguna root. Jika Anda perlu memperbarui nomor telepon kontak utama, masuk sebagai pengguna IAM dengan akses *Administrator*, bukan pengguna root. Untuk petunjuk tambahan tentang memperbarui informasi kontak akun, lihat [Mengedit informasi kontak](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-primary.html) di *Panduan AWS Billing Pengguna*. Jika Anda tidak memiliki akses ke email dan nomor telepon kontak utama, Anda harus menghubungi [AWS Dukungan](https://support.aws.amazon.com/#/contacts/aws-mfa-support).
**penting**
Kami menyarankan agar Anda tetap memperbarui alamat email dan nomor telepon kontak ke pengguna root Anda agar pemulihan akun berhasil. Untuk informasi selengkapnya, lihat [Memperbarui kontak utama untuk Anda Akun AWS](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-primary.html) di *Panduan AWS Account Management Referensi*.
**Untuk masuk menggunakan faktor alternatif otentikasi sebagai Pengguna root akun AWS**
1. Masuk ke [Konsol Manajemen AWS](https://console.aws.amazon.com/)sebagai pemilik akun dengan memilih **pengguna Root** dan memasukkan alamat Akun AWS email Anda. Di laman berikutnya, masukkan kata sandi.
1. **Pada halaman **Verifikasi tambahan yang diperlukan**, pilih metode MFA untuk mengautentikasi dan pilih Berikutnya.**
**catatan**
Anda mungkin melihat teks alternatif, seperti **Masuk menggunakan MFA**, **Memecahkan masalah perangkat otentikasi Anda,** atau Memecahkan Masalah **MFA**, tetapi fungsinya sama. Jika Anda tidak dapat menggunakan faktor otentikasi alternatif untuk memverifikasi alamat email akun dan nomor telepon kontak utama, hubungi [AWS Dukungan](https://support.aws.amazon.com/#/contacts/aws-mfa-support)untuk menonaktifkan perangkat MFA Anda.
1. Bergantung pada jenis MFA yang Anda gunakan, Anda akan melihat halaman yang berbeda, tetapi opsi **Pemecahan Masalah MFA berfungsi** sama. Pada halaman **verifikasi tambahan yang diperlukan** atau halaman **otentikasi multi-faktor**, pilih **Troubleshoot** MFA.
1. Jika perlu, ketikkan kata sandi Anda kembali dan pilih **Masuk**.
1. Pada halaman **Memecahkan masalah perangkat autentikasi Anda**, di bagian **Masuk menggunakan faktor alternatif autentikasi**, pilih **Masuk** menggunakan faktor alternatif.
1. Pada halaman **Masuk menggunakan faktor alternatif otentikasi**, autentikasi akun Anda dengan memverifikasi alamat email, pilih **Kirim email verifikasi**.
1. Periksa email yang terkait dengan Anda Akun AWS untuk pesan dari Amazon Web Services (recover-mfa-no-reply@verify .signin.aws). Ikuti petunjuk di dalam email.
Jika Anda tidak melihat email di akun Anda, periksa folder spam, atau kembali ke peramban Anda dan pilih **Kirim ulang email**.
1. Setelah Anda memverifikasi alamat email, Anda dapat melanjutkan mengautentikasi akun Anda. Untuk memverifikasi nomor telepon kontak utama Anda, pilih **Hubungi saya sekarang**.
1. Jawab panggilan dari AWS dan, ketika diminta, masukkan nomor 6 digit dari AWS situs web di keypad ponsel Anda.
Jika Anda tidak menerima panggilan dari AWS, pilih **Masuk** untuk masuk ke konsol lagi dan mulai dari awal. Atau lihat Perangkat [Multi-Factor Authentication (MFA) yang hilang atau tidak dapat digunakan untuk menghubungi dukungan untuk mendapatkan bantuan](https://support.aws.amazon.com/#/contacts/aws-mfa-support).
1. Setelah memverifikasi nomor telepon, Anda dapat masuk ke akun dengan memilih **Masuk ke konsol**.
1. Langkah berikutnya bervariasi tergantung pada jenis MFA yang Anda gunakan:
+ Untuk perangkat MFA virtual, hapus akun dari perangkat Anda. Lalu, kunjungi [Kredensial Keamanan AWS](https://console.aws.amazon.com/iam/home?#security_credential) dan hapus perangkat virtual MFA lama sebelum Anda membuat perangkat baru.
+ Untuk kunci keamanan FIDO, buka halaman [AWS Security Credentials](https://console.aws.amazon.com/iam/home?#security_credential) dan nonaktifkan kunci keamanan FIDO lama sebelum mengaktifkan yang baru.
+ Untuk token TOTP perangkat keras, hubungi penyedia pihak ketiga untuk bantuan memperbaiki atau mengganti perangkat. Anda dapat terus masuk menggunakan faktor alternatif autentikasi hingga Anda menerima perangkat baru. Setelah Anda memiliki perangkat MFA perangkat keras baru, buka halaman [Kredensial AWS Keamanan](https://console.aws.amazon.com/iam/home?#security_credential) dan hapus perangkat MFA lama.
**catatan**
Anda tidak perlu mengganti perangkat MFA yang hilang atau dicuri dengan jenis perangkat yang sama. Misalnya, jika Anda memecahkan kunci keamanan FIDO dan memesan yang baru, Anda dapat menggunakan MFA virtual atau token TOTP perangkat keras hingga kunci FIDO baru tiba.
**penting**
Jika perangkat MFA Anda hilang atau dicuri, ubah kata sandi pengguna root Anda setelah masuk dan membuat perangkat MFA pengganti Anda. Penyerang mungkin telah mencuri perangkat otentikasi dan mungkin juga memiliki kata sandi Anda saat ini. Untuk informasi selengkapnya, lihat [Ubah kata sandi untuk Pengguna root akun AWS](root-user-password.md).
## Pemulihan perangkat MFA pengguna IAM
Jika Anda adalah pengguna IAM yang tidak dapat masuk dengan MFA, Anda tidak dapat memulihkan perangkat MFA sendiri. Anda harus menghubungi administrator untuk menonaktifkan perangkat. Kemudian Anda dapat mengaktifkan perangkat baru.
**Untuk mendapatkan bantuan bagi perangkat MFA sebagai pengguna IAM**
1. Hubungi AWS administrator atau orang lain yang memberi Anda nama pengguna dan kata sandi untuk pengguna IAM. Administrator harus menonaktifkan perangkat MFA seperti yang dijelaskan dalam [Nonaktifkan perangkat MFA](id_credentials_mfa_disable.md) sehingga Anda dapat masuk.
1. Langkah berikutnya bervariasi tergantung pada jenis MFA yang Anda gunakan:
+ Untuk perangkat MFA virtual, hapus akun dari perangkat Anda. Kemudian aktifkan perangkat virtual seperti yang dijelaskan di [Tetapkan perangkat MFA virtual di Konsol Manajemen AWS](id_credentials_mfa_enable_virtual.md).
+ Untuk kunci keamanan FIDO, hubungi penyedia pihak ketiga untuk bantuan mengganti perangkat. Saat Anda menerima kunci keamanan FIDO baru, aktifkan seperti yang dijelaskan di[Tetapkan kunci sandi atau kunci keamanan di Konsol Manajemen AWS](id_credentials_mfa_enable_fido.md).
+ Untuk token TOTP perangkat keras, hubungi penyedia pihak ketiga untuk bantuan memperbaiki atau mengganti perangkat. Setelah Anda memiliki perangkat MFA fisik baru, aktifkan perangkat seperti yang dijelaskan di [Tetapkan token TOTP perangkat keras di Konsol Manajemen AWS](id_credentials_mfa_enable_physical.md).
**catatan**
Anda tidak perlu mengganti perangkat MFA yang hilang atau dicuri dengan jenis perangkat yang sama. Anda dapat memiliki hingga delapan perangkat MFA dari kombinasi apa pun. Misalnya, jika Anda memecahkan kunci keamanan FIDO dan memesan yang baru, Anda dapat menggunakan MFA virtual atau token TOTP perangkat keras hingga kunci FIDO baru tiba.
1. Jika perangkat MFA Anda hilang atau dicuri, juga ubah kata sandi Anda apabila penyerang telah mencuri perangkat autentikasi dan mungkin juga memiliki kata sandi Anda saat ini. Untuk informasi selengkapnya, lihat [Kelola kata sandi untuk pengguna IAM](id_credentials_passwords_admin-change-user.md)
# Akses API aman dengan MFA
Dengan kebijakan IAM, Anda dapat menentukan operasi API mana yang diizinkan untuk dipanggil oleh pengguna. Anda dapat menerapkan keamanan tambahan dengan mengharuskan pengguna untuk mengautentikasi dengan otentikasi multi-faktor (MFA) sebelum Anda mengizinkan mereka melakukan tindakan yang sangat sensitif.
Misalnya, Anda mungkin memiliki kebijakan yang memungkinkan pengguna untuk melakukan Amazon EC2 `RunInstances`, `DescribeInstances`, dan `StopInstances`. Tetapi Anda mungkin ingin membatasi tindakan destruktif seperti `TerminateInstances` dan memastikan bahwa pengguna dapat melakukan tindakan itu hanya jika mereka mengautentikasi dengan perangkat AWS MFA.
**Topics**
+ [Ikhtisar](#MFAProtectedAPI-overview)
+ [Skenario: Perlindungan MFA untuk pendelegasian lintas-akun](#MFAProtectedAPI-cross-account-delegation)
+ [Skenario: Perlindungan MFA untuk akses ke operasi API di akun saat ini](#MFAProtectedAPI-user-mfa)
+ [Skenario: Perlindungan MFA untuk sumber daya yang memiliki kebijakan berbasis sumber daya](#MFAProtectedAPI-resource-policies)
## Ikhtisar
Menambahkan perlindungan MFA ke operasi API melibatkan tugas-tugas ini:
1. Administrator mengonfigurasi perangkat AWS MFA untuk setiap pengguna yang harus membuat permintaan API yang memerlukan otentikasi MFA. Untuk informasi selengkapnya, lihat [AWS Otentikasi multi-faktor di IAM](id_credentials_mfa.md).
1. Administrator membuat kebijakan untuk pengguna yang menyertakan `Condition` elemen yang memeriksa apakah pengguna diautentikasi dengan perangkat AWS MFA.
1. Pengguna memanggil salah satu operasi AWS STS API yang mendukung parameter MFA: [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)atau. [GetSessionToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html) Sebagai bagian dari panggilan, pengguna mencakup pengidentifikasi perangkat untuk perangkat yang terhubung dengan pengguna. Pengguna juga menyertakan kata sandi satu kali berbasis waktu (TOTP) yang dihasilkan perangkat. Dalam kasus lain, pengguna mendapatkan kembali kredensial keamanan sementara yang dapat digunakan pengguna untuk membuat permintaan tambahan ke AWS.
**catatan**
Perlindungan MFA untuk operasi API layanan hanya tersedia jika layanan mendukung kredensial keamanan sementara. Untuk daftar layanan ini, lihat [ Menggunakan Kredensial IT Sementara untuk Mengakses AWS](https://docs.aws.amazon.com/STS/latest/UsingSTS/UsingTokens.html).
Jika otorisasi gagal, AWS mengembalikan pesan kesalahan akses ditolak (seperti halnya untuk akses yang tidak sah). Dengan adanya kebijakan API yang dilindungi MFA, AWS menolak akses ke operasi API yang ditentukan dalam kebijakan jika pengguna mencoba memanggil operasi API tanpa autentikasi MFA yang valid. Operasi juga ditolak jika stempel waktu permintaan untuk operasi API berada di luar rentang yang diizinkan yang ditentukan dalam kebijakan. Pengguna harus diautentikasi ulang menggunakan MFA dengan meminta kredensial keamanan sementara yang baru, dengan kode MFA dan nomor seri perangkat.
### Kebijakan IAM dengan ketentuan MFA
Kebijakan dengan ketentuan MFA dapat dilampirkan ke hal berikut:
+ Pengguna atau grup IAM
+ Sumber daya seperti bucket Amazon S3, antrean Amazon Amazon SQS, atau topik Amazon SNS
+ Kebijakan kepercayaan dari peran IAM yang dapat diasumsikan oleh pengguna
Anda dapat menggunakan ketentuan MFA dalam kebijakan untuk memeriksa properti berikut:
+ Ekstensi—Untuk memudahkan verifikasi bahwa pengguna melakukan verifikasi dengan MFA, periksa apakah kunci `aws:MultiFactorAuthPresent` adalah `True` dalam ketentuan `Bool`. Kunci tersebut hanya muncul ketika pengguna mengautentikasi dengan kredensial jangka pendek. Kredensial jangka panjang, seperti access key, tidak mencakup kunci ini.
+ Durasi—Jika Anda ingin memberikan akses hanya untuk waktu yang ditentukan setelah otentikasi MFA, gunakan jenis numerik untuk membandingkan usia kunci `aws:MultiFactorAuthAge` i ke nilai (seperti 3600 detik). Perhatikan bahwa kunci `aws:MultiFactorAuthAge` tidak ada jika MFA tidak digunakan.
Contoh berikut menunjukkan kebijakan kepercayaan peran IAM yang menyertakan ketentuan MFA untuk menguji keberadaan autentikasi MFA. Dengan kebijakan ini, pengguna dari `Principal` elemen yang Akun AWS ditentukan (ganti `ACCOUNT-B-ID` dengan Akun AWS ID yang valid) dapat mengambil peran yang dilampirkan kebijakan ini. Namun, pengguna tersebut hanya dapat mengasumsikan peran jika pengguna diautentikasi menggunakan MFA.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {"AWS": "ACCOUNT-B-ID"},
"Action": "sts:AssumeRole",
"Condition": {"Bool": {"aws:MultiFactorAuthPresent": "true"}}
}
}
```
------
Untuk informasi lebih lanjut tentang jenis ketentuan untuk MFA, lihat [AWS kunci konteks kondisi global](reference_policies_condition-keys.md), [Operator ketentuan numerik](reference_policies_elements_condition_operators.md#Conditions_Numeric), dan [Operator ketentuan memeriksa keberadaan kunci kondisi](reference_policies_elements_condition_operators.md#Conditions_Null).
### Memilih antara GetSessionToken dan AssumeRole
AWS STS menyediakan dua operasi API yang memungkinkan pengguna melewati informasi MFA: `GetSessionToken` dan. `AssumeRole` Operasi API yang dipanggil pengguna untuk mendapatkan kredensial keamanan sementara bergantung pada skenario mana yang berlaku.
**Gunakan `GetSessionToken` untuk skenario berikut:**
+ Panggil operasi API yang mengakses sumber daya Akun AWS sama dengan pengguna IAM yang membuat permintaan. Perhatikan bahwa kredensial sementara dari `GetSessionToken` permintaan dapat mengakses operasi IAM dan AWS STS API *hanya* jika Anda menyertakan informasi MFA dalam permintaan kredensional. Karena kredensial sementara dikembalikan oleh `GetSessionToken` meliputi informasi MFA, Anda dapat memeriksa MFA dalam operasi API individu yang dilakukan oleh kredensial.
+ Akses ke sumber daya yang dilindungi dengan kebijakan berbasis sumber daya yang mencakup ketentuan MFA.
Tujuan dari operasi `GetSessionToken` adalah mengautentikasi pengguna menggunakan MFA. Anda tidak dapat menggunakan kebijakan untuk mengontrol operasi autentikasi.
**Gunakan `AssumeRole` untuk skenario berikut:**
+ Panggil operasi API yang mengakses sumber daya dalam hal yang sama atau berbeda Akun AWS. Panggilan API dapat menyertakan IAM atau AWS STS API apa pun. Perhatikan bahwa untuk melindungi akses Anda, Anda memberlakukan MFA pada saat pengguna menjalankan peran tersebut. Kredensial sementara dikembalikan oleh `AssumeRole` tidak menyertakan informasi MFA dalam konteks, jadi Anda tidak dapat memeriksa operasi API individu untuk MFA. Inilah mengapa Anda harus menggunakan `GetSessionToken` untuk membatasi akses ke sumber daya yang dilindungi oleh kebijakan berbasis sumber daya.
**catatan**
AWS CloudTrail log akan berisi informasi MFA ketika pengguna IAM masuk dengan MFA. Jika pengguna IAM mengasumsikan peran IAM, juga CloudTrail akan `mfaAuthenticated: true` masuk `sessionContext` atribut untuk tindakan yang dilakukan menggunakan peran yang diasumsikan. Namun, CloudTrail logging terpisah dari yang dibutuhkan IAM saat panggilan API dilakukan dengan kredenal peran yang diasumsikan. Untuk informasi selengkapnya, lihat Elemen [CloudTrailUserIdentity](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
Perincian tentang cara menerapkan skenario ini akan dijelaskan nanti dalam dokumen ini.
### Poin penting tentang akses API yang dilindungi MFA
Penting untuk memahami aspek perlindungan MFA berikut untuk operasi API:
+ Perlindungan MFA hanya tersedia dalam bentuk kredensial keamanan sementara, yang harus diperoleh dengan `AssumeRole` atau `GetSessionToken`.
+ Anda tidak dapat menggunakan akses API yang dilindungi MFA dengan kredensional. Pengguna root akun AWS
+ Anda tidak dapat menggunakan akses API yang dilindungi MFA dengan kunci keamanan U2F.
+ Pengguna federasi tidak dapat diberikan perangkat MFA untuk digunakan AWS dengan layanan, sehingga mereka tidak dapat AWS mengakses sumber daya yang dikendalikan oleh MFA. (Lihat poin berikutnya.)
+ Operasi AWS STS API lain yang mengembalikan kredensi sementara tidak mendukung MFA. Untuk `AssumeRoleWithWebIdentity` dan`AssumeRoleWithSAML`, pengguna diautentikasi oleh penyedia eksternal dan AWS tidak dapat menentukan apakah penyedia tersebut memerlukan MFA. Untuk `GetFederationToken`, MFA tidak selalu berkaitan dengan pengguna tertentu.
+ Demikian pula, kredensial jangka panjang (kunci akses pengguna IAM dan kunci akses pengguna akar) tidak dapat digunakan dengan akses API yang dilindungi MFA karena tidak kedaluwarsa.
+ `AssumeRole` dan `GetSessionToken` juga dapat dipanggil tanpa informasi MFA. Dalam hal ini, penelepon mendapatkan kembali kredensial keamanan sementara, tetapi informasi sesi untuk kredensial sementara tersebut tidak menunjukkan bahwa pengguna mengautentikasi dengan MFA.
+ Untuk menetapkan perlindungan MFA untuk operasi API, Anda menambahkan ketentuan MFA ke kebijakan. Kebijakan harus mencantumkan kunci keamanan `aws:MultiFactorAuthPresent` untuk menerapkan penggunaan MFA. Untuk pendelegasian lintas akun, kebijakan kepercayaan peran tersebut harus mencakup kunci ketentuan.
+ Ketika Anda Akun AWS mengizinkan orang lain mengakses sumber daya di akun Anda, keamanan sumber daya Anda tergantung pada konfigurasi akun tepercaya (akun lain, bukan milik Anda). Hal ini tetap berlaku meskipun Anda memerlukan autentikasi multi-faktor. Setiap identitas dalam akun tepercaya yang memiliki izin untuk membuat perangkat MFA virtual dapat membuat klaim MFA untuk memenuhi bagian dari kebijakan kepercayaan peran Anda. Sebelum Anda mengizinkan anggota akun lain mengakses AWS sumber daya Anda yang memerlukan otentikasi multi-faktor, Anda harus memastikan bahwa pemilik akun tepercaya mengikuti praktik terbaik keamanan. Misalnya, akun tepercaya harus membatasi akses ke operasi API sensitif, seperti operasi API manajemen perangkat MFA, secara spesifik, identitas terpercaya.
+ Jika kebijakan mencakup ketentuan MFA, permintaan ditolak jika pengguna belum menjadi MFA yang diautentikasi, atau jika mereka memberikan pengidentifikasi perangkat MFA yang tidak valid atau TOTP yang tidak valid.
## Skenario: Perlindungan MFA untuk pendelegasian lintas-akun
Dalam skenario ini, Anda ingin mendelegasikan akses ke pengguna IAM di akun lain, tetapi hanya jika pengguna diautentikasi dengan perangkat AWS MFA. Untuk informasi selengkapnya tentang delegasi lintas akun, lihat. [Istilah dan konsep peran](id_roles.md#id_roles_terms-and-concepts)
Bayangkan Anda memiliki akun A (akun kepercayaan yang memiliki sumber daya yang akan diakses), dengan pengguna IAM Anaya, yang memiliki izin administrator. Dia ingin memberikan akses ke pengguna Richard di akun B (akun tepercaya), tetapi ingin memastikan bahwa Richard terotentikasi dengan MFA sebelum dia mengambil peran tersebut.
1. Di akun kepercayaan A, Anaya membuat peran IAM bernama `CrossAccountRole` dan menetapkan prinsipal dalam kebijakan kepercayaan peran ke ID akun B. Kebijakan kepercayaan memberikan izin untuk tindakan tersebut. AWS STS `AssumeRole` Anaya juga menambahkan ketentuan MFA ke kebijakan kepercayaan, seperti dalam contoh berikut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {"AWS": "ACCOUNT-B-ID"},
"Action": "sts:AssumeRole",
"Condition": {"Bool": {"aws:MultiFactorAuthPresent": "true"}}
}
}
```
------
1. Anaya menambahkan kebijakan izin untuk peran yang menentukan apa yang dapat dilakukan peran tersebut. Kebijakan izin untuk peran dengan perlindungan MFA tidak berbeda dengan kebijakan izin peran lainnya. Contoh berikut menunjukkan kebijakan yang ditambahkan Anaya ke peran; ini memungkinkan pengguna yang berasumsi untuk melakukan tindakan Amazon DynamoDB apa pun pada `Books` tabel di akun A. Kebijakan ini juga mengizinkan `dynamodb:ListTables` tindakan, yang diperlukan untuk melakukan tindakan di konsol.
**catatan**
Kebijakan izin tidak mencakup ketentuan MFA. Penting untuk memahami bahwa autentikasi MFA hanya digunakan untuk menentukan apakah pengguna dapat menjalankan peran tersebut. Setelah pengguna mengambil peran tersebut, tidak ada lagi pemeriksaan MFA yang dilakukan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "TableActions",
"Effect": "Allow",
"Action": "dynamodb:*",
"Resource": "arn:aws:dynamodb:*:111122223333:table/Books"
},
{
"Sid": "ListTables",
"Effect": "Allow",
"Action": "dynamodb:ListTables",
"Resource": "*"
}
]
}
```
------
1. Di akun B tepercaya, administrator memastikan bahwa pengguna IAM Richard dikonfigurasi dengan perangkat AWS MFA dan bahwa ia mengetahui ID perangkat. ID perangkat adalah nomor seri jika MFA perangkat keras, atau ARN perangkat jika itu adalah perangkat MFA virtual.
1. Di akun B, administrator melampirkan kebijakan berikut kepada pengguna Richard (atau grup yang ia anggota) yang memungkinkannya untuk menghubungi tindakan `AssumeRole`. Sumber daya diatur ke ARN dari peran yang dibuat Anaya pada langkah 1. Perhatikan bahwa kebijakan ini tidak mengandung ketentuan MFA.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": [
"arn:aws:iam::111122223333:role/CrossAccountRole"
]
}
]
}
```
------
1. Di akun B, Richard (atau aplikasi yang dijalankan Richard) akan memanggil `AssumeRole`. Panggilan API mencakup ARN peran yang akan diasumsikan (`arn:aws:iam::ACCOUNT-A-ID:role/CrossAccountRole`), ID perangkat MFA, dan TOTP saat ini yang Richard dapatkan dari perangkatnya.
Ketika Richard menelepon`AssumeRole`, AWS menentukan apakah ia memiliki kredensi yang valid, termasuk persyaratan untuk MFA. Jika demikian, Richard berhasil mengasumsikan peran tersebut dan dapat melakukan tindakan DynamoDB apa pun pada tabel yang `Books` disebutkan di akun A saat menggunakan kredenal sementara peran tersebut.
Sebagai contoh program yang memanggil `AssumeRole`, lihat [Memanggil AssumeRole dengan otentikasi MFA](id_credentials_mfa_sample-code.md#MFAProtectedAPI-example-assumerole).
## Skenario: Perlindungan MFA untuk akses ke operasi API di akun saat ini
Dalam skenario ini, Anda harus memastikan bahwa pengguna di Anda Akun AWS dapat mengakses operasi API sensitif hanya ketika pengguna diautentikasi menggunakan perangkat AWS MFA.
Bayangkan bahwa Anda memiliki akun A yang berisi sekelompok developer yang perlu bekerja dengan kasus EC2. Pengembang biasa dapat bekerja dengan instans, tetapi mereka tidak diberikan izin tindakan `ec2:StopInstances` atau `ec2:TerminateInstances`. Anda ingin membatasi tindakan istimewa yang “menghancurkan” tersebut ke hanya beberapa pengguna tepercaya, sehingga Anda menambahkan perlindungan MFA ke kebijakan yang memungkinkan tindakan Amazon EC2 yang sensitif ini.
Dalam skenario ini, salah satu pengguna tepercaya tersebut adalah pengguna Sofía. Pengguna Anaya adalah administrator di akun A.
1. Anaya memastikan bahwa Sofía dikonfigurasi dengan perangkat AWS MFA dan Sofía mengetahui ID perangkat tersebut. ID perangkat adalah nomor seri jika MFA perangkat keras, atau ARN perangkat jika itu adalah perangkat MFA virtual.
1. Anaya membuat kelompok bernama `EC2-Admins` dan menambahkan Sofía ke grup.
1. Anaya melampirkan kebijakan berikut ke kelompok `EC2-Admins`. Kebijakan ini memberikan izin kepada pengguna untuk menghubungi tindakan Amazon EC2 `StopInstances` dan `TerminateInstances` hanya jika pengguna telah mengautentikasi menggunakan MFA.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ec2:StopInstances",
"ec2:TerminateInstances"
],
"Resource": ["*"],
"Condition": {"Bool": {"aws:MultiFactorAuthPresent": "true"}}
}]
}
```
------
1.
**catatan**
Agar kebijakan ini berlaku, pengguna harus keluar terlebih dahulu dan masuk kembali.
Jika pengguna Sofía perlu menghentikan atau menghentikan instans Amazon EC2, dia (atau aplikasi yang sedang dia jalankan) memanggil. `GetSessionToken` Operasi API ini meneruskan ID perangkat MFA dan TOTP saat ini yang diperoleh Sofía dari perangkatnya.
1. Pengguna Sofía (atau aplikasi yang digunakan Sofía) menggunakan kredensial sementara yang diberikan oleh `GetSessionToken` untuk menghubungi tindakan Amazon EC2 `StopInstances` atau `TerminateInstances`.
Sebagai contoh program yang memanggil `GetSessionToken`, lihat [Memanggil GetSessionToken dengan otentikasi MFA](id_credentials_mfa_sample-code.md#MFAProtectedAPI-example-getsessiontoken) nanti di dokumen ini.
## Skenario: Perlindungan MFA untuk sumber daya yang memiliki kebijakan berbasis sumber daya
Dalam skenario ini, Anda adalah pemilik bucket S3, antrean SQS, atau topik SNS. Anda ingin memastikan bahwa setiap pengguna dari Akun AWS siapa pun yang mengakses sumber daya diautentikasi oleh perangkat MFA AWS .
Skenario ini mengilustrasikan cara untuk menyediakan jangkauan perlindungan MFA lintas akun yang mengharuskan pengguna untuk menjalankan peran terlebih dahulu. Dalam hal ini, pengguna dapat mengakses sumber daya jika tiga kondisi terpenuhi: Pengguna harus diautentikasi oleh MFA, dapat memperoleh kredensial keamanan sementara dari `GetSessionToken`, dan berada di akun yang dipercaya oleh kebijakan sumber daya.
Bayangkan Anda berada di akun A dan Anda membuat bucket S3. Anda ingin memberikan akses ke bucket ini kepada pengguna yang berbeda Akun AWS, tetapi hanya jika pengguna tersebut diautentikasi dengan MFA.
Dalam skenario ini, pengguna Anaya adalah administrator di akun A. Pengguna Nikhil adalah pengguna IAM di akun C.
1. Pada akun A, Anaya membuat bucket dengan nama `Account-A-bucket`.
1. Anaya menambahkan kebijakan bucket ke bucket. Kebijakan ini memungkinkan pengguna di akun A, akun B, atau akun C untuk melakukan tindakan Amazon S3 `PutObject` dan `DeleteObject` di dalam bucket. Kebijakan ini mencakup ketentuan MFA.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {"AWS": [
"ACCOUNT-A-ID",
"ACCOUNT-B-ID",
"ACCOUNT-C-ID"
]},
"Action": [
"s3:PutObject",
"s3:DeleteObject"
],
"Resource": ["arn:aws:s3:::ACCOUNT-A-BUCKET-NAME/*"],
"Condition": {"Bool": {"aws:MultiFactorAuthPresent": "true"}}
}]
}
```
------
**catatan**
Amazon S3 menawarkan fitur Hapus MFA untuk (hanya) akses akun *akar*. Anda dapat mengaktifkan Hapus MFA Amazon S3 saat Anda mengatur status versi bucket. Hapus MFA Amazon S3 tidak dapat diterapkan ke pengguna IAM, dan dikelola secara terpisah dari akses API yang dilindungi MFA. Seorang pengguna IAM dengan izin untuk menghapus bucket tidak dapat menghapus bucket dengan Hapus MFA Amazon S3 yang diaktifkan. Untuk informasi selengkapnya tentang Amazon S3 MFA Delete, lihat [MFA Hapus](https://docs.aws.amazon.com/AmazonS3/latest/dev/MultiFactorAuthenticationDelete.html).
1. Di akun C, administrator memastikan bahwa pengguna Nikhil dikonfigurasi dengan perangkat MFA AWS dan bahwa dia mengetahui ID perangkat. ID perangkat adalah nomor seri jika MFA perangkat keras, atau ARN perangkat jika itu adalah perangkat MFA virtual.
1. Dalam akun C, Nikhil (atau aplikasi yang dia jalankan) akan memanggil `GetSessionToken`. Panggilan mencakup ID atau ARN perangkat MFA dan TOTP saat ini yang diperoleh Nikhil dari perangkatnya.
1. Nikhil (atau aplikasi yang dia gunakan) menggunakan kredensial sementara yang dikembalikan oleh `GetSessionToken` untuk menghubungi tindakan Amazon S3 `PutObject` untuk mengunggah file ke `Account-A-bucket`.
Sebagai contoh program yang memanggil `GetSessionToken`, lihat [Memanggil GetSessionToken dengan otentikasi MFA](id_credentials_mfa_sample-code.md#MFAProtectedAPI-example-getsessiontoken) nanti di dokumen ini.
**catatan**
Kredensial sementara yang dikembalikan `AssumeRole` tidak akan bekerja dalam kasus ini. Meskipun pengguna dapat memberikan informasi MFA untuk mengambil peran, kredensial sementara dikembalikan oleh `AssumeRole` tidak menyertakan informasi MFA. Informasi tersebut diperlukan untuk memenuhi ketentuan MFA dalam kebijakan.
# Kode sampel: Meminta kredensial dengan autentikasi multi-faktor
Contoh berikut menunjukkan cara melakukan panggilan `GetSessionToken` dan operasi `AssumeRole` dan lolos parameter autentikasi MFA. Tidak ada izin yang diperlukan untuk memanggil `GetSessionToken`, tetapi Anda harus memiliki kebijakan yang mengijinkan Anda untuk memanggil `AssumeRole`. Kredensial yang dihasilkan kemudian digunakan untuk mencantumkan semua bucket S3 di akun.
## Memanggil GetSessionToken dengan otentikasi MFA
Contoh berikut menunjukkan cara memanggil `GetSessionToken` dan meneruskan informasi otentikasi MFA. Kredensial keamanan sementara yang dihasilkan oleh operasi `GetSessionToken` kemudian digunakan untuk mencantumkan semua bucket S3 di akun.
Kebijakan yang terlampir pada pengguna yang menjalankan kode ini (atau ke grup yang ada di pengguna) memberikan izin untuk kredensial sementara yang dikembalikan. Untuk contoh kode ini, kebijakan harus memberikan izin kepada pengguna untuk meminta operasi Amazon S3 `ListBuckets`.
Contoh kode berikut menunjukkan cara menggunakan`GetSessionToken`.
------
#### [ CLI ]
**AWS CLI**
**Untuk mendapatkan satu set kredensi jangka pendek untuk identitas IAM**
`get-session-token`Perintah berikut mengambil satu set kredensi jangka pendek untuk identitas IAM yang membuat panggilan. Kredensi yang dihasilkan dapat digunakan untuk permintaan di mana otentikasi multi-faktor (MFA) diperlukan oleh kebijakan. Kredensialnya kedaluwarsa 15 menit setelah dibuat.
```
aws sts get-session-token \
--duration-seconds 900 \
--serial-number "YourMFADeviceSerialNumber" \
--token-code 123456
```
Output:
```
{
"Credentials": {
"AccessKeyId": "ASIAIOSFODNN7EXAMPLE",
"SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY",
"SessionToken": "AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4OlgkBN9bkUDNCJiBeb/AXlzBBko7b15fjrBs2+cTQtpZ3CYWFXG8C5zqx37wnOE49mRl/+OtkIKGO7fAE",
"Expiration": "2020-05-19T18:06:10+00:00"
}
}
```
Untuk informasi lebih lanjut, lihat [Meminta Kredensial Keamanan Sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html#api_getsessiontoken) dalam *AWS Panduan Pengguna IAM*.
+ Untuk detail API, lihat [GetSessionToken](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/get-session-token.html)di *Referensi AWS CLI Perintah*.
------
#### [ PowerShell ]
**Alat untuk PowerShell V4**
**Contoh 1: Mengembalikan sebuah `Amazon.RuntimeAWSCredentials` instance yang berisi kredensial sementara yang valid untuk jangka waktu tertentu. Kredensial yang digunakan untuk meminta kredensil sementara disimpulkan dari default shell saat ini. Untuk menentukan kredensil lainnya, gunakan parameter - ProfileName atau - AccessKey SecretKey /-.**
```
Get-STSSessionToken
```
**Output:**
```
AccessKeyId Expiration SecretAccessKey SessionToken
----------- ---------- --------------- ------------
EXAMPLEACCESSKEYID 2/16/2015 9:12:28 PM examplesecretaccesskey... SamPleTokeN.....
```
**Contoh 2: Mengembalikan sebuah `Amazon.RuntimeAWSCredentials` instance yang berisi kredensial sementara yang valid selama satu jam. Kredensi yang digunakan untuk membuat permintaan diperoleh dari profil yang ditentukan.**
```
Get-STSSessionToken -DurationInSeconds 3600 -ProfileName myprofile
```
**Output:**
```
AccessKeyId Expiration SecretAccessKey SessionToken
----------- ---------- --------------- ------------
EXAMPLEACCESSKEYID 2/16/2015 9:12:28 PM examplesecretaccesskey... SamPleTokeN.....
```
**Contoh 3: Mengembalikan `Amazon.RuntimeAWSCredentials` instance yang berisi kredensi sementara yang valid selama satu jam menggunakan nomor identifikasi perangkat MFA yang terkait dengan akun yang kredensialnya ditentukan dalam profil 'myprofilename' dan nilai yang diberikan oleh perangkat.**
```
Get-STSSessionToken -DurationInSeconds 3600 -ProfileName myprofile -SerialNumber YourMFADeviceSerialNumber -TokenCode 123456
```
**Output:**
```
AccessKeyId Expiration SecretAccessKey SessionToken
----------- ---------- --------------- ------------
EXAMPLEACCESSKEYID 2/16/2015 9:12:28 PM examplesecretaccesskey... SamPleTokeN.....
```
+ Untuk detail API, lihat [GetSessionToken](https://docs.aws.amazon.com/powershell/v4/reference)di *Referensi Alat AWS untuk PowerShell Cmdlet (V4)*.
**Alat untuk PowerShell V5**
**Contoh 1: Mengembalikan sebuah `Amazon.RuntimeAWSCredentials` instance yang berisi kredensial sementara yang valid untuk jangka waktu tertentu. Kredensial yang digunakan untuk meminta kredensil sementara disimpulkan dari default shell saat ini. Untuk menentukan kredensil lainnya, gunakan parameter - ProfileName atau - AccessKey SecretKey /-.**
```
Get-STSSessionToken
```
**Output:**
```
AccessKeyId Expiration SecretAccessKey SessionToken
----------- ---------- --------------- ------------
EXAMPLEACCESSKEYID 2/16/2015 9:12:28 PM examplesecretaccesskey... SamPleTokeN.....
```
**Contoh 2: Mengembalikan sebuah `Amazon.RuntimeAWSCredentials` instance yang berisi kredensial sementara yang valid selama satu jam. Kredensi yang digunakan untuk membuat permintaan diperoleh dari profil yang ditentukan.**
```
Get-STSSessionToken -DurationInSeconds 3600 -ProfileName myprofile
```
**Output:**
```
AccessKeyId Expiration SecretAccessKey SessionToken
----------- ---------- --------------- ------------
EXAMPLEACCESSKEYID 2/16/2015 9:12:28 PM examplesecretaccesskey... SamPleTokeN.....
```
**Contoh 3: Mengembalikan `Amazon.RuntimeAWSCredentials` instance yang berisi kredensi sementara yang valid selama satu jam menggunakan nomor identifikasi perangkat MFA yang terkait dengan akun yang kredensialnya ditentukan dalam profil 'myprofilename' dan nilai yang diberikan oleh perangkat.**
```
Get-STSSessionToken -DurationInSeconds 3600 -ProfileName myprofile -SerialNumber YourMFADeviceSerialNumber -TokenCode 123456
```
**Output:**
```
AccessKeyId Expiration SecretAccessKey SessionToken
----------- ---------- --------------- ------------
EXAMPLEACCESSKEYID 2/16/2015 9:12:28 PM examplesecretaccesskey... SamPleTokeN.....
```
+ Untuk detail API, lihat [GetSessionToken](https://docs.aws.amazon.com/powershell/v5/reference)di *Referensi Alat AWS untuk PowerShell Cmdlet (V5)*.
------
#### [ Python ]
**SDK untuk Python (Boto3)**
Ada lebih banyak tentang GitHub. Temukan contoh lengkapnya dan pelajari cara mengatur dan menjalankannya di [Repositori Contoh Kode AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/python/example_code/sts#code-examples).
Dapatkan token sesi dengan meneruskan token MFA dan gunakan untuk mencantumkan bucket Amazon S3 untuk akun tersebut.
```
def list_buckets_with_session_token_with_mfa(mfa_serial_number, mfa_totp, sts_client):
"""
Gets a session token with MFA credentials and uses the temporary session
credentials to list Amazon S3 buckets.
Requires an MFA device serial number and token.
:param mfa_serial_number: The serial number of the MFA device. For a virtual MFA
device, this is an Amazon Resource Name (ARN).
:param mfa_totp: A time-based, one-time password issued by the MFA device.
:param sts_client: A Boto3 STS instance that has permission to assume the role.
"""
if mfa_serial_number is not None:
response = sts_client.get_session_token(
SerialNumber=mfa_serial_number, TokenCode=mfa_totp
)
else:
response = sts_client.get_session_token()
temp_credentials = response["Credentials"]
s3_resource = boto3.resource(
"s3",
aws_access_key_id=temp_credentials["AccessKeyId"],
aws_secret_access_key=temp_credentials["SecretAccessKey"],
aws_session_token=temp_credentials["SessionToken"],
)
print(f"Buckets for the account:")
for bucket in s3_resource.buckets.all():
print(bucket.name)
```
+ Untuk detail API, lihat [GetSessionToken](https://docs.aws.amazon.com/goto/boto3/sts-2011-06-15/GetSessionToken)di *AWS SDK for Python (Boto3) Referensi* API.
------
## Memanggil AssumeRole dengan otentikasi MFA
Contoh berikut menunjukkan cara memanggil `AssumeRole` dan meneruskan informasi otentikasi MFA. Kredensial keamanan sementara yang dikembalikan oleh `AssumeRole` kemudian digunakan untuk mencantumkan semua bucket Amazon S3 di akun.
Untuk informasi selengkapnya tentang skenario ini, lihat [Skenario: Perlindungan MFA untuk pendelegasian lintas-akun](id_credentials_mfa_configure-api-require.md#MFAProtectedAPI-cross-account-delegation).
Contoh kode berikut menunjukkan cara menggunakan`AssumeRole`.
------
#### [ .NET ]
**SDK untuk .NET**
Ada lebih banyak tentang GitHub. Temukan contoh lengkapnya dan pelajari cara mengatur dan menjalankannya di [Repositori Contoh Kode AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3/STS#code-examples).
```
using System;
using System.Threading.Tasks;
using Amazon;
using Amazon.SecurityToken;
using Amazon.SecurityToken.Model;
namespace AssumeRoleExample
{
class AssumeRole
{
///
/// This example shows how to use the AWS Security Token
/// Service (AWS STS) to assume an IAM role.
///
/// NOTE: It is important that the role that will be assumed has a
/// trust relationship with the account that will assume the role.
///
/// Before you run the example, you need to create the role you want to
/// assume and have it trust the IAM account that will assume that role.
///
/// See https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html
/// for help in working with roles.
///
// A region property may be used if the profile or credentials loaded do not specify a region,
// or to use a specific region.
private static readonly RegionEndpoint REGION = RegionEndpoint.USWest2;
static async Task Main()
{
// Create the SecurityToken client and then display the identity of the
// default user.
var roleArnToAssume = "arn:aws:iam::123456789012:role/testAssumeRole";
var client = new Amazon.SecurityToken.AmazonSecurityTokenServiceClient(REGION);
// Get and display the information about the identity of the default user.
var callerIdRequest = new GetCallerIdentityRequest();
var caller = await client.GetCallerIdentityAsync(callerIdRequest);
Console.WriteLine($"Original Caller: {caller.Arn}");
// Create the request to use with the AssumeRoleAsync call.
var assumeRoleReq = new AssumeRoleRequest()
{
DurationSeconds = 1600,
RoleSessionName = "Session1",
RoleArn = roleArnToAssume
};
var assumeRoleRes = await client.AssumeRoleAsync(assumeRoleReq);
// Now create a new client based on the credentials of the caller assuming the role.
var client2 = new AmazonSecurityTokenServiceClient(credentials: assumeRoleRes.Credentials, REGION);
// Get and display information about the caller that has assumed the defined role.
var caller2 = await client2.GetCallerIdentityAsync(callerIdRequest);
Console.WriteLine($"AssumedRole Caller: {caller2.Arn}");
}
}
}
```
+ Untuk detail API, lihat [AssumeRole](https://docs.aws.amazon.com/goto/DotNetSDKV3/sts-2011-06-15/AssumeRole)di *Referensi AWS SDK untuk .NET API*.
------
#### [ Bash ]
**AWS CLI dengan skrip Bash**
Ada lebih banyak tentang GitHub. Temukan contoh lengkapnya dan pelajari cara mengatur dan menjalankannya di [Repositori Contoh Kode AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/aws-cli/bash-linux/iam#code-examples).
```
###############################################################################
# function iecho
#
# This function enables the script to display the specified text only if
# the global variable $VERBOSE is set to true.
###############################################################################
function iecho() {
if [[ $VERBOSE == true ]]; then
echo "$@"
fi
}
###############################################################################
# function errecho
#
# This function outputs everything sent to it to STDERR (standard error output).
###############################################################################
function errecho() {
printf "%s\n" "$*" 1>&2
}
###############################################################################
# function sts_assume_role
#
# This function assumes a role in the AWS account and returns the temporary
# credentials.
#
# Parameters:
# -n role_session_name -- The name of the session.
# -r role_arn -- The ARN of the role to assume.
#
# Returns:
# [access_key_id, secret_access_key, session_token]
# And:
# 0 - If successful.
# 1 - If an error occurred.
###############################################################################
function sts_assume_role() {
local role_session_name role_arn response
local option OPTARG # Required to use getopts command in a function.
# bashsupport disable=BP5008
function usage() {
echo "function sts_assume_role"
echo "Assumes a role in the AWS account and returns the temporary credentials:"
echo " -n role_session_name -- The name of the session."
echo " -r role_arn -- The ARN of the role to assume."
echo ""
}
while getopts n:r:h option; do
case "${option}" in
n) role_session_name=${OPTARG} ;;
r) role_arn=${OPTARG} ;;
h)
usage
return 0
;;
\?)
echo "Invalid parameter"
usage
return 1
;;
esac
done
response=$(aws sts assume-role \
--role-session-name "$role_session_name" \
--role-arn "$role_arn" \
--output text \
--query "Credentials.[AccessKeyId, SecretAccessKey, SessionToken]")
local error_code=${?}
if [[ $error_code -ne 0 ]]; then
aws_cli_error_log $error_code
errecho "ERROR: AWS reports create-role operation failed.\n$response"
return 1
fi
echo "$response"
return 0
}
```
+ Untuk detail API, lihat [AssumeRole](https://docs.aws.amazon.com/goto/aws-cli/sts-2011-06-15/AssumeRole)di *Referensi AWS CLI Perintah*.
------
#### [ C\$1\$1 ]
**SDK untuk C\$1\$1**
Ada lebih banyak tentang GitHub. Temukan contoh lengkapnya dan pelajari cara mengatur dan menjalankannya di [Repositori Contoh Kode AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/cpp/example_code/sts#code-examples).
```
bool AwsDoc::STS::assumeRole(const Aws::String &roleArn,
const Aws::String &roleSessionName,
const Aws::String &externalId,
Aws::Auth::AWSCredentials &credentials,
const Aws::Client::ClientConfiguration &clientConfig) {
Aws::STS::STSClient sts(clientConfig);
Aws::STS::Model::AssumeRoleRequest sts_req;
sts_req.SetRoleArn(roleArn);
sts_req.SetRoleSessionName(roleSessionName);
sts_req.SetExternalId(externalId);
const Aws::STS::Model::AssumeRoleOutcome outcome = sts.AssumeRole(sts_req);
if (!outcome.IsSuccess()) {
std::cerr << "Error assuming IAM role. " <<
outcome.GetError().GetMessage() << std::endl;
}
else {
std::cout << "Credentials successfully retrieved." << std::endl;
const Aws::STS::Model::AssumeRoleResult result = outcome.GetResult();
const Aws::STS::Model::Credentials &temp_credentials = result.GetCredentials();
// Store temporary credentials in return argument.
// Note: The credentials object returned by assumeRole differs
// from the AWSCredentials object used in most situations.
credentials.SetAWSAccessKeyId(temp_credentials.GetAccessKeyId());
credentials.SetAWSSecretKey(temp_credentials.GetSecretAccessKey());
credentials.SetSessionToken(temp_credentials.GetSessionToken());
}
return outcome.IsSuccess();
}
```
+ Untuk detail API, lihat [AssumeRole](https://docs.aws.amazon.com/goto/SdkForCpp/sts-2011-06-15/AssumeRole)di *Referensi AWS SDK untuk C\$1\$1 API*.
------
#### [ CLI ]
**AWS CLI**
**Untuk mengambil peran**
`assume-role`Perintah berikut mengambil satu set kredensi jangka pendek untuk peran IAM. `s3-access-example`
```
aws sts assume-role \
--role-arn arn:aws:iam::123456789012:role/xaccounts3access \
--role-session-name s3-access-example
```
Output:
```
{
"AssumedRoleUser": {
"AssumedRoleId": "AROA3XFRBF535PLBIFPI4:s3-access-example",
"Arn": "arn:aws:sts::123456789012:assumed-role/xaccounts3access/s3-access-example"
},
"Credentials": {
"SecretAccessKey": "9drTJvcXLB89EXAMPLELB8923FB892xMFI",
"SessionToken": "AQoXdzELDDY//////////wEaoAK1wvxJY12r2IrDFT2IvAzTCn3zHoZ7YNtpiQLF0MqZye/qwjzP2iEXAMPLEbw/m3hsj8VBTkPORGvr9jM5sgP+w9IZWZnU+LWhmg+a5fDi2oTGUYcdg9uexQ4mtCHIHfi4citgqZTgco40Yqr4lIlo4V2b2Dyauk0eYFNebHtYlFVgAUj+7Indz3LU0aTWk1WKIjHmmMCIoTkyYp/k7kUG7moeEYKSitwQIi6Gjn+nyzM+PtoA3685ixzv0R7i5rjQi0YE0lf1oeie3bDiNHncmzosRM6SFiPzSvp6h/32xQuZsjcypmwsPSDtTPYcs0+YN/8BRi2/IcrxSpnWEXAMPLEXSDFTAQAM6Dl9zR0tXoybnlrZIwMLlMi1Kcgo5OytwU=",
"Expiration": "2016-03-15T00:05:07Z",
"AccessKeyId": "ASIAJEXAMPLEXEG2JICEA"
}
}
```
Output dari perintah berisi kunci akses, kunci rahasia, dan token sesi yang dapat Anda gunakan untuk AWS mengautentikasi.
Untuk penggunaan AWS CLI, Anda dapat mengatur profil bernama yang terkait dengan peran. Saat Anda menggunakan profil, AWS CLI akan memanggil peran assume-dan mengelola kredensil untuk Anda. Untuk informasi selengkapnya, lihat [Menggunakan peran IAM di AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-role.html) di Panduan Pengguna *AWS CLI*.
+ Untuk detail API, lihat [AssumeRole](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/assume-role.html)di *Referensi AWS CLI Perintah*.
------
#### [ Java ]
**SDK untuk Java 2.x**
Ada lebih banyak tentang GitHub. Temukan contoh lengkapnya dan pelajari cara mengatur dan menjalankannya di [Repositori Contoh Kode AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/javav2/example_code/sts#code-examples).
```
import software.amazon.awssdk.regions.Region;
import software.amazon.awssdk.services.sts.StsClient;
import software.amazon.awssdk.services.sts.model.AssumeRoleRequest;
import software.amazon.awssdk.services.sts.model.StsException;
import software.amazon.awssdk.services.sts.model.AssumeRoleResponse;
import software.amazon.awssdk.services.sts.model.Credentials;
import java.time.Instant;
import java.time.ZoneId;
import java.time.format.DateTimeFormatter;
import java.time.format.FormatStyle;
import java.util.Locale;
/**
* To make this code example work, create a Role that you want to assume.
* Then define a Trust Relationship in the AWS Console. You can use this as an
* example:
*
* {
* "Version":"2012-10-17",
* "Statement": [
* {
* "Effect": "Allow",
* "Principal": {
* "AWS": ""
* },
* "Action": "sts:AssumeRole"
* }
* ]
* }
*
* For more information, see "Editing the Trust Relationship for an Existing
* Role" in the AWS Directory Service guide.
*
* Also, set up your development environment, including your credentials.
*
* For information, see this documentation topic:
*
* https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/get-started.html
*/
public class AssumeRole {
public static void main(String[] args) {
final String usage = """
Usage:
\s
Where:
roleArn - The Amazon Resource Name (ARN) of the role to assume (for example, arn:aws:iam::000008047983:role/s3role).\s
roleSessionName - An identifier for the assumed role session (for example, mysession).\s
""";
if (args.length != 2) {
System.out.println(usage);
System.exit(1);
}
String roleArn = args[0];
String roleSessionName = args[1];
Region region = Region.US_EAST_1;
StsClient stsClient = StsClient.builder()
.region(region)
.build();
assumeGivenRole(stsClient, roleArn, roleSessionName);
stsClient.close();
}
public static void assumeGivenRole(StsClient stsClient, String roleArn, String roleSessionName) {
try {
AssumeRoleRequest roleRequest = AssumeRoleRequest.builder()
.roleArn(roleArn)
.roleSessionName(roleSessionName)
.build();
AssumeRoleResponse roleResponse = stsClient.assumeRole(roleRequest);
Credentials myCreds = roleResponse.credentials();
// Display the time when the temp creds expire.
Instant exTime = myCreds.expiration();
String tokenInfo = myCreds.sessionToken();
// Convert the Instant to readable date.
DateTimeFormatter formatter = DateTimeFormatter.ofLocalizedDateTime(FormatStyle.SHORT)
.withLocale(Locale.US)
.withZone(ZoneId.systemDefault());
formatter.format(exTime);
System.out.println("The token " + tokenInfo + " expires on " + exTime);
} catch (StsException e) {
System.err.println(e.getMessage());
System.exit(1);
}
}
}
```
+ Untuk detail API, lihat [AssumeRole](https://docs.aws.amazon.com/goto/SdkForJavaV2/sts-2011-06-15/AssumeRole)di *Referensi AWS SDK for Java 2.x API*.
------
#### [ JavaScript ]
**SDK untuk JavaScript (v3)**
Ada lebih banyak tentang GitHub. Temukan contoh lengkapnya dan pelajari cara mengatur dan menjalankannya di [Repositori Contoh Kode AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/javascriptv3/example_code/sts#code-examples).
Buat klien.
```
import { STSClient } from "@aws-sdk/client-sts";
// Set the AWS Region.
const REGION = "us-east-1";
// Create an AWS STS service client object.
export const client = new STSClient({ region: REGION });
```
Asumsikan peran IAM.
```
import { AssumeRoleCommand } from "@aws-sdk/client-sts";
import { client } from "../libs/client.js";
export const main = async () => {
try {
// Returns a set of temporary security credentials that you can use to
// access Amazon Web Services resources that you might not normally
// have access to.
const command = new AssumeRoleCommand({
// The Amazon Resource Name (ARN) of the role to assume.
RoleArn: "ROLE_ARN",
// An identifier for the assumed role session.
RoleSessionName: "session1",
// The duration, in seconds, of the role session. The value specified
// can range from 900 seconds (15 minutes) up to the maximum session
// duration set for the role.
DurationSeconds: 900,
});
const response = await client.send(command);
console.log(response);
} catch (err) {
console.error(err);
}
};
```
+ Untuk detail API, lihat [AssumeRole](https://docs.aws.amazon.com/AWSJavaScriptSDK/v3/latest/client/sts/command/AssumeRoleCommand)di *Referensi AWS SDK untuk JavaScript API*.
**SDK untuk JavaScript (v2)**
Ada lebih banyak tentang GitHub. Temukan contoh lengkapnya dan pelajari cara mengatur dan menjalankannya di [Repositori Contoh Kode AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/javascript/example_code/sts#code-examples).
```
// Load the AWS SDK for Node.js
const AWS = require("aws-sdk");
// Set the region
AWS.config.update({ region: "REGION" });
var roleToAssume = {
RoleArn: "arn:aws:iam::123456789012:role/RoleName",
RoleSessionName: "session1",
DurationSeconds: 900,
};
var roleCreds;
// Create the STS service object
var sts = new AWS.STS({ apiVersion: "2011-06-15" });
//Assume Role
sts.assumeRole(roleToAssume, function (err, data) {
if (err) console.log(err, err.stack);
else {
roleCreds = {
accessKeyId: data.Credentials.AccessKeyId,
secretAccessKey: data.Credentials.SecretAccessKey,
sessionToken: data.Credentials.SessionToken,
};
stsGetCallerIdentity(roleCreds);
}
});
//Get Arn of current identity
function stsGetCallerIdentity(creds) {
var stsParams = { credentials: creds };
// Create STS service object
var sts = new AWS.STS(stsParams);
sts.getCallerIdentity({}, function (err, data) {
if (err) {
console.log(err, err.stack);
} else {
console.log(data.Arn);
}
});
}
```
+ Untuk detail API, lihat [AssumeRole](https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/sts-2011-06-15/AssumeRole)di *Referensi AWS SDK untuk JavaScript API*.
------
#### [ PowerShell ]
**Alat untuk PowerShell V4**
**Contoh 1: Mengembalikan satu set kredensi sementara (kunci akses, kunci rahasia, dan token sesi) yang dapat digunakan selama satu jam untuk mengakses AWS sumber daya yang biasanya tidak dapat diakses oleh pengguna yang meminta. Kredensi yang dikembalikan memiliki izin yang diizinkan oleh kebijakan akses dari peran yang diasumsikan dan kebijakan yang diberikan (Anda tidak dapat menggunakan kebijakan yang disediakan untuk memberikan izin melebihi yang ditentukan oleh kebijakan akses peran yang diasumsikan).**
```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -Policy "...JSON policy..." -DurationInSeconds 3600
```
**Contoh 2: Mengembalikan satu set kredensi sementara, berlaku selama satu jam, yang memiliki izin yang sama yang ditentukan dalam kebijakan akses peran yang diasumsikan.**
```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -DurationInSeconds 3600
```
**Contoh 3: Mengembalikan satu set kredensi sementara yang memasok nomor seri dan token yang dihasilkan dari MFA yang terkait dengan kredensi pengguna yang digunakan untuk mengeksekusi cmdlet.**
```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -DurationInSeconds 3600 -SerialNumber "GAHT12345678" -TokenCode "123456"
```
**Contoh 4: Mengembalikan satu set kredensi sementara yang telah mengambil peran yang ditentukan dalam akun pelanggan. Untuk setiap peran yang dapat diasumsikan oleh pihak ketiga, akun pelanggan harus membuat peran menggunakan pengidentifikasi yang harus diteruskan dalam ExternalId parameter - setiap kali peran diasumsikan.**
```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -DurationInSeconds 3600 -ExternalId "ABC123"
```
+ Untuk detail API, lihat [AssumeRole](https://docs.aws.amazon.com/powershell/v4/reference)di *Referensi Alat AWS untuk PowerShell Cmdlet (V4)*.
**Alat untuk PowerShell V5**
**Contoh 1: Mengembalikan satu set kredensi sementara (kunci akses, kunci rahasia, dan token sesi) yang dapat digunakan selama satu jam untuk mengakses AWS sumber daya yang biasanya tidak dapat diakses oleh pengguna yang meminta. Kredensi yang dikembalikan memiliki izin yang diizinkan oleh kebijakan akses dari peran yang diasumsikan dan kebijakan yang diberikan (Anda tidak dapat menggunakan kebijakan yang disediakan untuk memberikan izin melebihi yang ditentukan oleh kebijakan akses peran yang diasumsikan).**
```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -Policy "...JSON policy..." -DurationInSeconds 3600
```
**Contoh 2: Mengembalikan satu set kredensi sementara, berlaku selama satu jam, yang memiliki izin yang sama yang ditentukan dalam kebijakan akses peran yang diasumsikan.**
```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -DurationInSeconds 3600
```
**Contoh 3: Mengembalikan satu set kredensi sementara yang memasok nomor seri dan token yang dihasilkan dari MFA yang terkait dengan kredensi pengguna yang digunakan untuk mengeksekusi cmdlet.**
```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -DurationInSeconds 3600 -SerialNumber "GAHT12345678" -TokenCode "123456"
```
**Contoh 4: Mengembalikan satu set kredensi sementara yang telah mengambil peran yang ditentukan dalam akun pelanggan. Untuk setiap peran yang dapat diasumsikan oleh pihak ketiga, akun pelanggan harus membuat peran menggunakan pengidentifikasi yang harus diteruskan dalam ExternalId parameter - setiap kali peran diasumsikan.**
```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -DurationInSeconds 3600 -ExternalId "ABC123"
```
+ Untuk detail API, lihat [AssumeRole](https://docs.aws.amazon.com/powershell/v5/reference)di *Referensi Alat AWS untuk PowerShell Cmdlet (V5)*.
------
#### [ Python ]
**SDK untuk Python (Boto3)**
Ada lebih banyak tentang GitHub. Temukan contoh lengkapnya dan pelajari cara mengatur dan menjalankannya di [Repositori Contoh Kode AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/python/example_code/sts#code-examples).
Asumsikan peran IAM yang memerlukan token MFA dan gunakan kredensil sementara untuk mencantumkan bucket Amazon S3 untuk akun tersebut.
```
def list_buckets_from_assumed_role_with_mfa(
assume_role_arn, session_name, mfa_serial_number, mfa_totp, sts_client
):
"""
Assumes a role from another account and uses the temporary credentials from
that role to list the Amazon S3 buckets that are owned by the other account.
Requires an MFA device serial number and token.
The assumed role must grant permission to list the buckets in the other account.
:param assume_role_arn: The Amazon Resource Name (ARN) of the role that
grants access to list the other account's buckets.
:param session_name: The name of the STS session.
:param mfa_serial_number: The serial number of the MFA device. For a virtual MFA
device, this is an ARN.
:param mfa_totp: A time-based, one-time password issued by the MFA device.
:param sts_client: A Boto3 STS instance that has permission to assume the role.
"""
response = sts_client.assume_role(
RoleArn=assume_role_arn,
RoleSessionName=session_name,
SerialNumber=mfa_serial_number,
TokenCode=mfa_totp,
)
temp_credentials = response["Credentials"]
print(f"Assumed role {assume_role_arn} and got temporary credentials.")
s3_resource = boto3.resource(
"s3",
aws_access_key_id=temp_credentials["AccessKeyId"],
aws_secret_access_key=temp_credentials["SecretAccessKey"],
aws_session_token=temp_credentials["SessionToken"],
)
print(f"Listing buckets for the assumed role's account:")
for bucket in s3_resource.buckets.all():
print(bucket.name)
```
+ Untuk detail API, lihat [AssumeRole](https://docs.aws.amazon.com/goto/boto3/sts-2011-06-15/AssumeRole)di *AWS SDK for Python (Boto3) Referensi* API.
------
#### [ Ruby ]
**SDK untuk Ruby**
Ada lebih banyak tentang GitHub. Temukan contoh lengkapnya dan pelajari cara mengatur dan menjalankannya di [Repositori Contoh Kode AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/ruby/example_code/iam#code-examples).
```
# Creates an AWS Security Token Service (AWS STS) client with specified credentials.
# This is separated into a factory function so that it can be mocked for unit testing.
#
# @param key_id [String] The ID of the access key used by the STS client.
# @param key_secret [String] The secret part of the access key used by the STS client.
def create_sts_client(key_id, key_secret)
Aws::STS::Client.new(access_key_id: key_id, secret_access_key: key_secret)
end
# Gets temporary credentials that can be used to assume a role.
#
# @param role_arn [String] The ARN of the role that is assumed when these credentials
# are used.
# @param sts_client [AWS::STS::Client] An AWS STS client.
# @return [Aws::AssumeRoleCredentials] The credentials that can be used to assume the role.
def assume_role(role_arn, sts_client)
credentials = Aws::AssumeRoleCredentials.new(
client: sts_client,
role_arn: role_arn,
role_session_name: 'create-use-assume-role-scenario'
)
@logger.info("Assumed role '#{role_arn}', got temporary credentials.")
credentials
end
```
+ Untuk detail API, lihat [AssumeRole](https://docs.aws.amazon.com/goto/SdkForRubyV3/sts-2011-06-15/AssumeRole)di *Referensi AWS SDK untuk Ruby API*.
------
#### [ Rust ]
**SDK for Rust**
Ada lebih banyak tentang GitHub. Temukan contoh lengkapnya dan pelajari cara mengatur dan menjalankannya di [Repositori Contoh Kode AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/rustv1/examples/sts/#code-examples).
```
async fn assume_role(config: &SdkConfig, role_name: String, session_name: Option) {
let provider = aws_config::sts::AssumeRoleProvider::builder(role_name)
.session_name(session_name.unwrap_or("rust_sdk_example_session".into()))
.configure(config)
.build()
.await;
let local_config = aws_config::from_env()
.credentials_provider(provider)
.load()
.await;
let client = Client::new(&local_config);
let req = client.get_caller_identity();
let resp = req.send().await;
match resp {
Ok(e) => {
println!("UserID : {}", e.user_id().unwrap_or_default());
println!("Account: {}", e.account().unwrap_or_default());
println!("Arn : {}", e.arn().unwrap_or_default());
}
Err(e) => println!("{:?}", e),
}
}
```
+ Untuk detail API, lihat [AssumeRole](https://docs.rs/aws-sdk-sts/latest/aws_sdk_sts/client/struct.Client.html#method.assume_role)*referensi AWS SDK for Rust API*.
------
#### [ Swift ]
**SDK para Swift**
Ada lebih banyak tentang GitHub. Temukan contoh lengkapnya dan pelajari cara mengatur dan menjalankannya di [Repositori Contoh Kode AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/swift/example_code/iam#code-examples).
```
import AWSSTS
public func assumeRole(role: IAMClientTypes.Role, sessionName: String)
async throws -> STSClientTypes.Credentials
{
let input = AssumeRoleInput(
roleArn: role.arn,
roleSessionName: sessionName
)
do {
let output = try await stsClient.assumeRole(input: input)
guard let credentials = output.credentials else {
throw ServiceHandlerError.authError
}
return credentials
} catch {
print("Error assuming role: ", dump(error))
throw error
}
}
```
+ Untuk detail API, lihat referensi [AssumeRole AWS](https://sdk.amazonaws.com/swift/api/awssts/latest/documentation/awssts/stsclient/assumerole(input:))*SDK untuk Swift API*.
------
# Kredensi khusus layanan untuk pengguna IAM
Kredensi khusus layanan adalah mekanisme otentikasi khusus yang dirancang untuk layanan tertentu. AWS Kredensi ini menyediakan otentikasi yang disederhanakan dibandingkan dengan AWS kredensil standar, dan disesuaikan dengan persyaratan otentikasi layanan individual. AWS Tidak seperti kunci akses, yang dapat digunakan di beberapa AWS layanan, kredensil khusus layanan dirancang untuk digunakan hanya dengan layanan yang dibuatnya. Pendekatan yang ditargetkan ini meningkatkan keamanan dengan membatasi ruang lingkup kredensialnya.
Kredensi khusus layanan biasanya terdiri dari pasangan nama pengguna dan kata sandi atau kunci API khusus yang diformat sesuai dengan persyaratan layanan tertentu. Saat Anda membuat kredensil khusus layanan, kredensialnya aktif secara default dan dapat segera digunakan. Anda dapat memiliki maksimal dua set kredensi khusus layanan untuk setiap layanan yang didukung per pengguna IAM. Batas ini memungkinkan Anda mempertahankan satu set aktif sambil memutar ke set baru bila diperlukan. AWS saat ini mendukung kredensil khusus layanan untuk layanan berikut:
## Kapan menggunakan kredensil khusus layanan
Kredensil khusus layanan dimaksudkan untuk kompatibilitas dengan pustaka pihak ketiga,, alat SDKs, atau aplikasi yang tidak kompatibel secara asli dengan kredensil,, atau. AWS AWS SDKs AWS APIs Kasus penggunaan tersebut termasuk migrasi ke AWS layanan dari infrastruktur yang dihosting sendiri atau dari layanan yang dihosting oleh penyedia lain.
Saat memulai dari awal, dan sedapat mungkin, sebaiknya Anda menggunakan kredensil AWS sementara, seperti yang disediakan oleh peran IAM, untuk mengautentikasi dengan AWS layanan menggunakan AWS SDK atau pustaka yang mendukung kredensi sementara. AWS
## Memutar kredensil khusus layanan
Sebagai praktik terbaik keamanan, putar kredensil khusus layanan secara teratur. Untuk memutar kredensil tanpa mengganggu aplikasi Anda:
1. Buat set kedua kredensi khusus layanan untuk layanan dan pengguna IAM yang sama
1. Perbarui semua aplikasi untuk menggunakan kredensil baru dan verifikasi bahwa mereka berfungsi dengan benar
1. Ubah status kredensil asli menjadi “Tidak Aktif”
1. Pastikan semua aplikasi masih berfungsi dengan baik
1. Hapus kredensil khusus layanan yang tidak aktif saat Anda yakin kredensil tersebut tidak lagi diperlukan
## Memantau kredensil khusus layanan
Anda dapat menggunakan AWS CloudTrail untuk memantau penggunaan kredensi khusus layanan di akun Anda. AWS Untuk melihat CloudTrail peristiwa yang terkait dengan penggunaan kredensi khusus layanan, tinjau CloudTrail log untuk peristiwa dari layanan tempat kredensialnya digunakan. Untuk informasi selengkapnya, lihat [Mencatat panggilan IAM dan AWS STS API dengan AWS CloudTrail](cloudtrail-integration.md).
Untuk keamanan tambahan, pertimbangkan untuk menyiapkan CloudWatch alarm untuk memberi tahu Anda tentang pola penggunaan kredenal tertentu yang mungkin menunjukkan akses tidak sah atau masalah keamanan lainnya. Untuk informasi selengkapnya, lihat [Memantau File CloudTrail Log dengan CloudWatch Log Amazon](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/monitor-cloudtrail-log-files-with-cloudwatch-logs.html) di *Panduan AWS CloudTrail Pengguna*.
Topik berikut memberikan informasi tentang kredensil khusus layanan.
**Topics**
+ [Kapan menggunakan kredensil khusus layanan](#id_credentials_service-specific-creds-usecase)
+ [Memutar kredensil khusus layanan](#id_credentials_service-specific-creds-rotation)
+ [Memantau kredensil khusus layanan](#id_credentials_service-specific-creds-monitoring)
+ [Kunci API untuk Amazon Bedrock dan Amazon Logs CloudWatch](id_credentials_bedrock_cloudwatchlogs.md)
+ [Gunakan IAM dengan Amazon Keyspaces (untuk Apache Cassandra)](id_credentials_keyspaces.md)
# Kunci API untuk Amazon Bedrock dan Amazon Logs CloudWatch
**catatan**
Kunci API Amazon CloudWatch Logs saat ini tersedia di Pratinjau dan akan tersedia secara umum dalam beberapa minggu mendatang. Kunci API Amazon CloudWatch Logs sangat mirip dengan kunci API jangka panjang Amazon Bedrock yang dijelaskan di halaman ini. Untuk mempelajari selengkapnya tentang kunci API jangka panjang Amazon CloudWatch Logs, lihat [Mengirim log ke CloudWatch Log Amazon menggunakan titik akhir HLC](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_HLC_Endpoint.html).
Amazon Bedrock adalah layanan yang dikelola sepenuhnya yang menawarkan model dasar dari perusahaan AI terkemuka dan Amazon. Anda dapat mengakses Amazon Bedrock melalui Konsol Manajemen AWS dan secara terprogram menggunakan AWS CLI, atau API. AWS Saat membuat permintaan terprogram ke Amazon Bedrock, Anda dapat mengautentikasi menggunakan [kredensi keamanan sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html) atau kunci Amazon Bedrock API. Amazon Bedrock mendukung dua jenis kunci API:
+ **Kunci API jangka pendek — Kunci** API jangka pendek adalah URL yang telah ditandatangani sebelumnya yang menggunakan AWS Signature Version 4. Kunci API jangka pendek memiliki izin dan kedaluwarsa yang sama dengan kredenal identitas yang menghasilkan kunci API dan berlaku hingga 12 jam atau sisa waktu sesi konsol Anda, mana yang lebih pendek. Anda dapat menggunakan konsol Amazon Bedrock, paket Python, dan `aws-bedrock-token-generator` paket untuk bahasa pemrograman lain untuk menghasilkan kunci API jangka pendek. Untuk informasi selengkapnya, lihat [Menghasilkan kunci API Amazon Bedrock untuk akses mudah ke Amazon Bedrock API](https://docs.aws.amazon.com/bedrock/latest/userguide/api-keys.html) di Panduan Pengguna *Amazon Bedrock*.
+ **Kunci API jangka panjang — Kunci** API jangka panjang dikaitkan dengan pengguna IAM dan dihasilkan menggunakan kredenal khusus [layanan](id_credentials_service-specific-creds.md) IAM. Kredensi ini dirancang untuk digunakan hanya dengan Amazon Bedrock, meningkatkan keamanan dengan membatasi cakupan kredensi. Anda dapat menetapkan waktu kedaluwarsa saat kunci API jangka panjang kedaluwarsa. Anda dapat menggunakan konsol IAM atau Amazon Bedrock, AWS CLI, atau AWS API untuk menghasilkan kunci API jangka panjang.
Pengguna IAM dapat memiliki hingga dua kunci API jangka panjang untuk Amazon Bedrock, yang membantu Anda menerapkan praktik rotasi kunci yang aman.
Saat Anda membuat kunci API jangka panjang, kebijakan AWS terkelola secara otomatis [AmazonBedrockLimitedAccess](https://docs.aws.amazon.com/bedrock/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonBedrockLimitedAccess)dilampirkan ke pengguna IAM. Kebijakan ini memberikan akses ke operasi inti Amazon Bedrock API. Jika Anda memerlukan akses Amazon Bedrock tambahan, Anda dapat mengubah izin untuk pengguna IAM. Untuk informasi tentang mengubah izin, lihat. [Menambahkan dan menghapus izin identitas IAM](access_policies_manage-attach-detach.md) Untuk informasi selengkapnya tentang cara menggunakan kunci Amazon Bedrock, lihat [Menggunakan kunci Amazon Bedrock API di Panduan](https://docs.aws.amazon.com/bedrock/latest/userguide/api-keys-use.html) Pengguna *Amazon Bedrock*.
**catatan**
Kunci API jangka panjang memiliki risiko keamanan yang lebih tinggi dibandingkan dengan kunci API jangka pendek. Sebaiknya gunakan kunci API jangka pendek atau kredensi keamanan sementara jika memungkinkan. Jika Anda menggunakan kunci API jangka panjang, sebaiknya terapkan praktik rotasi kunci reguler.
## Prasyarat
Sebelum Anda dapat membuat kunci API jangka panjang Amazon Bedrock dari konsol IAM, Anda harus memenuhi prasyarat ini:
+ Pengguna IAM untuk mengasosiasikan dengan kunci API jangka panjang. Untuk petunjuk cara membuat pengguna IAM, lihat[Buat pengguna IAM di Akun AWS](id_users_create.md).
+ Pastikan Anda memiliki izin kebijakan IAM berikut untuk mengelola kredenal khusus layanan bagi pengguna IAM. Kebijakan contoh memberikan izin untuk membuat, mencantumkan, memperbarui, menghapus, dan mengatur ulang kredenal khusus layanan. Ganti `username` nilai dalam elemen Resource dengan nama pengguna IAM Anda akan menghasilkan kunci Amazon Bedrock API untuk:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ManageBedrockServiceSpecificCredentials",
"Effect": "Allow",
"Action": [
"iam:CreateServiceSpecificCredential",
"iam:ListServiceSpecificCredentials",
"iam:UpdateServiceSpecificCredential",
"iam:DeleteServiceSpecificCredential",
"iam:ResetServiceSpecificCredential"
],
"Resource": "arn:aws:iam::*:user/username"
}
]
}
```
------
## Membuat Kunci API jangka panjang untuk Amazon Bedrock (konsol)
**Untuk menghasilkan kunci API jangka panjang Amazon Bedrock (konsol)**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. **Di panel navigasi konsol IAM, pilih Pengguna.**
1. Pilih pengguna IAM yang ingin Anda hasilkan kunci API jangka panjang Amazon Bedrock.
1. Pilih tab **Kredensi keamanan**.
1. Di bagian **Kunci API untuk Amazon Bedrock**, pilih **Buat Kunci API**.
1. Untuk **kedaluwarsa kunci API**, lakukan salah satu hal berikut:
+ Pilih durasi kedaluwarsa kunci API **1**, **5**, **30**, **90**, atau **365 hari**.
+ Pilih **Durasi kustom** untuk menentukan tanggal kedaluwarsa kunci API kustom.
+ Pilih **Jangan pernah kedaluwarsa** (tidak disarankan)
1. Pilih **Hasilkan kunci API**.
1. Salin atau unduh kunci API Anda. Ini adalah satu-satunya saat Anda dapat melihat nilai kunci API.
**penting**
Simpan kunci API Anda dengan aman. Setelah Anda menutup kotak dialog, Anda tidak dapat mengambil kunci API lagi. Jika Anda kehilangan atau lupa kunci akses rahasia Anda, Anda tidak dapat mengambilnya. Sebagai gantinya, buat kunci akses baru dan buat kunci lama tidak aktif.
## Membuat Kunci API jangka panjang untuk Amazon Bedrock ()AWS CLI
Untuk membuat kunci API jangka panjang Amazon Bedrock menggunakan AWS CLI, gunakan langkah-langkah berikut:
1. Buat pengguna IAM yang akan digunakan dengan Amazon Bedrock menggunakan perintah [create-user](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-user.html):
```
aws iam create-user \
--user-name BedrockAPIKey_1
```
1. Lampirkan kebijakan AWS terkelola `AmazonBedrockLimitedAccess` ke pengguna Amazon Bedrock IAM menggunakan perintah: [ attach-user-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/attach-user-policy.html)
```
aws iam attach-user-policy --user-name BedrockAPIKey_1 \
--policy-arn arn:aws:iam::aws:policy/AmazonBedrockLimitedAccess
```
1. Buat kunci API jangka panjang Amazon Bedrock menggunakan [ create-service-specific-credential](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-service-specific-credential.html)perintah. Untuk usia kredensi, Anda dapat menentukan nilai antara 1-36600 hari. Jika Anda tidak menentukan usia kredensi, kunci API tidak akan kedaluwarsa.
Untuk menghasilkan kunci API jangka panjang dengan masa kedaluwarsa 30 hari:
```
aws iam create-service-specific-credential \
--user-name BedrockAPIKey_1 \
--service-name bedrock.amazonaws.com \
--credential-age-days 30
```
Yang dikembalikan `ServiceApiKeyValue` dalam respons adalah kunci API Amazon Bedrock jangka panjang Anda. Simpan `ServiceApiKeyValue` nilai dengan aman, karena Anda tidak dapat mengambilnya nanti.
### Daftar kunci API jangka panjang (AWS CLI)
Untuk mencantumkan metadata kunci API jangka panjang Amazon Bedrock untuk pengguna tertentu, gunakan [ list-service-specific-credentials](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-service-specific-credentials.html)perintah dengan parameter: `--user-name`
```
aws iam list-service-specific-credentials \
--service-name bedrock.amazonaws.com \
--user-name BedrockAPIKey_1
```
Untuk mencantumkan semua metadata kunci API jangka panjang Amazon Bedrock di akun, gunakan [ list-service-specific-credentials](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-service-specific-credentials.html)perintah dengan parameter: `--all-users`
```
aws iam list-service-specific-credentials \
--service-name bedrock.amazonaws.com \
--all-users
```
### Perbarui status kunci API jangka panjang (AWS CLI)
Untuk memperbarui status kunci API jangka panjang untuk Amazon Bedrock, gunakan [ update-service-specific-credential](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/update-service-specific-credential.html)perintah:
```
aws iam update-service-specific-credential \
--user-name "BedrockAPIKey_1" \
--service-specific-credential-id "ACCA1234EXAMPLE1234" \
--status Inactive|Active
```
## Membuat Kunci API jangka panjang untuk Amazon Bedrock (AWS API)
Anda dapat menggunakan operasi API berikut untuk membuat dan mengelola kunci API jangka panjang untuk Amazon Bedrock:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceSpecificCredential.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceSpecificCredential.html)
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListServiceSpecificCredentials.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListServiceSpecificCredentials.html)
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateServiceSpecificCredential.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateServiceSpecificCredential.html)
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceSpecificCredential.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceSpecificCredential.html)
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResetServiceSpecificCredential.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResetServiceSpecificCredential.html)
# Gunakan IAM dengan Amazon Keyspaces (untuk Apache Cassandra)
Amazon Keyspaces (untuk Apache Cassandra) adalah layanan basis data yang kompatibel dengan Apache Cassandra yang dapat diskalakan, selalu tersedia, dan terkelola. Anda dapat mengakses Amazon Keyspaces melalui Konsol Manajemen AWS, atau secara terprogram. Untuk mengakses Amazon Keyspaces secara terprogram dengan kredenal khusus layanan, Anda dapat menggunakan atau driver Cassandra sumber terbuka. `cqlsh` *Kredensi khusus layanan* mencakup nama pengguna dan kata sandi seperti yang digunakan Cassandra untuk otentikasi dan manajemen akses. Anda dapat memiliki maksimal dua set kredensi khusus layanan untuk setiap layanan yang didukung per pengguna.
Untuk mengakses Amazon Keyspaces secara terprogram dengan kunci AWS akses, Anda dapat menggunakan AWS SDK, AWS Command Line Interface (AWS CLI) atau driver Cassandra open-source dengan plugin SiGv4. Untuk mempelajari selengkapnya, lihat [Membuat dan mengonfigurasi AWS kredensional untuk Amazon Keyspaces di Panduan Pengembang Amazon Keyspaces](https://docs.aws.amazon.com//keyspaces/latest/devguide/access.credentials.html) *(untuk* Apache Cassandra).
**catatan**
Jika Anda berencana untuk berinteraksi dengan Amazon Keyspaces hanya melalui konsol, Anda tidak perlu membuat kredensial khusus layanan. Untuk informasi selengkapnya, lihat [Mengakses Amazon Keyspaces menggunakan konsol di](https://docs.aws.amazon.com/keyspaces/latest/devguide/console_keyspaces.html) *Amazon Keyspaces (untuk Apache* Cassandra) Panduan Pengembang.
Untuk informasi lebih lanjut tentang izin yang diperlukan untuk mengakses Amazon Keyspaces, lihat [Contoh Kebijakan Berbasis Identitas Amazon Keyspaces (untuk Apache Cassandra)](https://docs.aws.amazon.com/keyspaces/latest/devguide/security_iam_id-based-policy-examples.html#security_iam_id-based-policy-examples-console) dalam *Panduan Pengembang Amazon Keyspaces (untuk Apache Cassandra)*.
## Membuat kredensial Amazon Keyspaces (konsol)
Anda dapat menggunakan Konsol Manajemen AWS untuk menghasilkan kredensi Amazon Keyspaces (untuk Apache Cassandra) untuk pengguna IAM Anda.
**Untuk menghasilkan kredensial khusus layanan Amazon Keyspaces (konsol)**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Pengguna** lalu pilih nama pengguna yang memerlukan kredensial.
1. Di tab **Kredensial Keamanan** di bawah **Kredensial untuk Amazon Keyspaces (untuk Apache Cassandra)**, pilih **Buat kredensial**.
1. Kredensial layanan khusus Anda sekarang tersedia. Ini adalah satu-satunya waktu untuk melihat atau mengunduh kata sandi. Anda tidak dapat memulihkannya nanti. Namun, Anda dapat mengatur ulang kata sandi Anda kapan saja. Simpan pengguna dan kata sandi di lokasi aman, karena Anda akan membutuhkannya nanti.
## Menghasilkan kredensi Amazon Keyspaces ()AWS CLI
Anda dapat menggunakan AWS CLI untuk menghasilkan kredensi Amazon Keyspaces (untuk Apache Cassandra) untuk pengguna IAM Anda.
**Untuk menghasilkan kredensi khusus layanan Amazon Keyspaces ()AWS CLI**
+ Gunakan perintah berikut ini.
+ [aws iam create-service-specific-credential](https://docs.aws.amazon.com/cli/latest/reference/iam/create-service-specific-credential.html)
## Menghasilkan kredensi Amazon Keyspaces (API)AWS
Anda dapat menggunakan AWS API untuk menghasilkan kredensi Amazon Keyspaces (untuk Apache Cassandra) untuk pengguna IAM Anda.
**Untuk menghasilkan kredensi khusus layanan (API) Amazon Keyspaces AWS**
+ Selesaikan operasi berikut:
+ [CreateServiceSpecificCredential](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceSpecificCredential.html)
# Temukan kredensi yang tidak digunakan AWS
Untuk meningkatkan keamanan Anda Akun AWS, hapus kredensi pengguna IAM (yaitu, kata sandi dan kunci akses) yang tidak diperlukan. Misalnya, ketika pengguna meninggalkan organisasi Anda atau tidak lagi memerlukan AWS akses, temukan kredensi yang mereka gunakan dan pastikan bahwa mereka tidak lagi beroperasi. Idealnya, Anda menghapus kredensial jika tidak lagi diperlukan. Anda dapat selalu membuat ulang catatan di kemudian hari jika perlu. Sekurang-kurangnya, Anda harus mengubah kata sandi atau menonaktifkan access key sehingga pengguna sebelumnya tidak lagi memiliki akses.
Tentu saja, definisi dari *tidak digunakan* dapat bervariasi dan biasanya berarti kredensial yang belum digunakan dalam jangka waktu tertentu.
## Menemukan kata sandi yang tidak digunakan
Anda dapat menggunakan Konsol Manajemen AWS untuk melihat informasi penggunaan kata sandi untuk pengguna Anda. Jika Anda memiliki sejumlah besar pengguna, Anda dapat menggunakan konsol untuk mengunduh laporan kredensial dengan informasi tentang kapan terakhir pengguna menggunakan kata sandi konsol mereka. Anda juga dapat mengakses informasi dari AWS CLI atau API IAM.
**Untuk menemukan yang tidak digunakan (konsol)**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Pengguna**.
1. Jika perlu, tambahkan **Masuk terakhir konsol** pada tabel pengguna:
1. Di atas tabel di ujung kanan, pilih ikon pengaturan (![\[Settings icon\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/console-settings-icon.console.png)).
1. Di **Pilih kolom yang terlihat**, pilih **Konsol masuk terakhir**.
1. Pilih **Konfirmasi** untuk kembali ke daftar pengguna.
1. Kolom **login terakhir Konsol** menunjukkan tanggal saat pengguna terakhir kali masuk AWS melalui konsol. Anda dapat menggunakan informasi ini untuk menemukan kata sandi pengguna yang tidak masuk lebih dari periode waktu tertentu. Kolom menampilkan **Tidak pernah** bagi pengguna dengan kata sandi yang belum pernah masuk. **Tidak ada** menunjukkan pengguna tanpa kata sandi. Kata sandi yang belum digunakan baru-baru ini mungkin merupakan calon yang baik untuk ditiadakan.
**penting**
Karena masalah layanan, data penggunaan terakhir kata sandi tidak mencakup penggunaan kata sandi dari tanggal 3 Mei 2018 22.50 PDT hingga 23 Mei 2018 14.08 PDT. Hal ini memengaruhi tanggal [masuk terakhir](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_finding-unused.html) yang ditampilkan di konsol IAM dan tanggal penggunaan terakhir kata sandi di [Laporan kredensial IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/SupportedTypes.xmlid_credentials_getting-report.html), dan dikembalikan oleh [GetUser Operasi API](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html). Jika pengguna masuk selama waktu yang terpengaruh, tanggal terakhir kali menggunakan kata sandi yang dikembalikan adalah tanggal pengguna terakhir masuk sebelum 3 Mei 2018. Untuk pengguna yang masuk setelah 23 Mei 2018 14.08 PDT, tanggal penggunaan terakhir kata sandi yang dikembalikan adalah akurat.
Jika Anda menggunakan kata sandi informasi yang terakhir digunakan untuk mengidentifikasi kredensi yang tidak digunakan untuk penghapusan, seperti menghapus pengguna yang tidak masuk dalam 90 hari terakhir, kami sarankan Anda menyesuaikan jendela evaluasi Anda untuk menyertakan tanggal setelah 23 Mei 2018. AWS Atau, jika pengguna Anda menggunakan kunci akses untuk mengakses AWS secara terprogram, Anda dapat merujuk ke kunci akses informasi yang terakhir digunakan karena akurat untuk semua tanggal.
**Untuk menemukan kata sandi yang tidak digunakan dengan mengunduh laporan kredensial (konsol)**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Laporan kredensial**.
1. Pilih **Unduh Laporan** untuk mengunduh file CSV (nilai yang dipisahkan koma) bernama `status_reports_T