Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# AWS kredensi keamanan
Ketika Anda berinteraksi AWS, Anda menentukan *kredensi AWS keamanan* Anda untuk memverifikasi siapa Anda dan apakah Anda memiliki izin untuk mengakses sumber daya yang Anda minta. AWS menggunakan kredensi keamanan untuk mengautentikasi dan mengotorisasi permintaan Anda.
Misalnya, jika ingin mengunduh file yang dilindungi dari bucket Amazon Simple Storage Service (Amazon S3), kredensial Anda harus mengizinkan akses tersebut. Jika kredensi Anda tidak menunjukkan bahwa Anda berwenang untuk mengunduh file, tolak permintaan Anda AWS . Namun, kredensi AWS keamanan Anda tidak diperlukan bagi Anda untuk mengunduh file di bucket Amazon S3 yang dibagikan secara publik.
Ada berbagai jenis pengguna di AWS, masing-masing dengan kredensi keamanan mereka sendiri:
+ **Pemilik akun (pengguna root)** — Pengguna yang membuat Akun AWS dan memiliki akses penuh.
+ **AWS IAM Identity Center pengguna** — Pengguna dikelola di AWS IAM Identity Center.
+ **Prinsipal Federasi** — Pengguna dari penyedia identitas eksternal yang diberikan akses sementara ke melalui federasi. AWS Untuk informasi lebih lanjut tentang identitas federasi, lihat. [Penyedia identitas dan federasi ke AWS](id_roles_providers.md)
+ Pengguna **IAM — Pengguna** individu yang dibuat dalam layanan AWS Identity and Access Management (IAM).
Pengguna memiliki kredensi keamanan jangka panjang atau sementara. Pengguna root, pengguna IAM, dan kunci akses memiliki kredenal keamanan jangka panjang yang tidak kedaluwarsa. Untuk melindungi kredensi jangka panjang, ada proses untuk [mengelola kunci akses](id_credentials_access-keys.md), [mengubah kata sandi](id_credentials_passwords.md), dan mengaktifkan [MFA](id_credentials_mfa.md).
Untuk menyederhanakan pengelolaan kredensi pengguna root di seluruh akun anggota di AWS Organizations, Anda dapat mengamankan kredenal pengguna root secara terpusat dari penggunaan yang Anda kelola. Akun AWS AWS Organizations[Kelola akses root untuk akun anggota secara terpusat](id_root-user.md#id_root-user-access-management)memungkinkan Anda menghapus dan mencegah pemulihan kredensi pengguna root jangka panjang secara terpusat, mencegah akses root yang tidak diinginkan dalam skala besar.
Peran IAM, pengguna di Pusat Identitas AWS IAM, dan prinsip pengguna AWS STS federasi memiliki kredenal keamanan sementara. Kredensi keamanan sementara kedaluwarsa setelah jangka waktu tertentu atau ketika pengguna mengakhiri sesi mereka. Kredensi sementara bekerja hampir identik dengan kredensi jangka panjang, dengan perbedaan berikut:
+ Kredensial keamanan sementara bersifat *jangka pendek*, seperti namanya. Konfigurasi dapat berlangsung selama beberapa menit hingga beberapa jam. Setelah kredensialnya kedaluwarsa, AWS tidak lagi mengenalinya atau mengizinkan segala jenis akses dari permintaan API yang dibuat dengannya.
+ Kredensial keamanan sementara tidak disimpan dengan pengguna tetapi dihasilkan secara dinamis dan diberikan kepada pengguna saat diminta. Ketika (atau bahkan sebelum) kredensial keamanan sementara kedaluwarsa, pengguna dapat meminta kredensial baru, selama pengguna yang memintanya masih memiliki izin untuk melakukannya.
Akibatnya, kredensi sementara memiliki keunggulan sebagai berikut dibandingkan kredensi jangka panjang:
+ Anda tidak perlu mendistribusikan atau menanamkan kredensi AWS keamanan jangka panjang dengan aplikasi.
+ Anda dapat memberikan akses ke AWS sumber daya Anda kepada pengguna tanpa harus menentukan AWS identitas untuk mereka. Kredensial sementara adalah dasar untuk [peran dan federasi identitas](id_roles.md).
+ Kredensi keamanan sementara memiliki masa pakai yang terbatas, jadi Anda tidak perlu memperbaruinya atau mencabutnya secara eksplisit saat tidak lagi diperlukan. Setelah kredensial keamanan sementara berakhir, kredensial tersebut tidak dapat digunakan kembali. Anda dapat menentukan berapa lama kredensial berlaku, hingga batas maksimum.
## Pertimbangan keamanan
Kami menyarankan Anda mempertimbangkan informasi berikut saat menentukan ketentuan keamanan untuk Anda Akun AWS:
+ Saat Anda membuat Akun AWS, kami membuat pengguna root akun. Kredensi pengguna root (pemilik akun) memungkinkan akses penuh ke semua sumber daya di akun. Tugas pertama yang Anda lakukan dengan pengguna root adalah memberikan izin administratif pengguna lain kepada Anda Akun AWS sehingga Anda meminimalkan penggunaan pengguna root.
+ Otentikasi multi-faktor (MFA) memberikan tingkat keamanan ekstra bagi pengguna yang dapat mengakses Anda. Akun AWS Untuk keamanan tambahan, kami sarankan Anda memerlukan MFA pada Pengguna root akun AWS kredensi dan semua pengguna IAM. Untuk informasi selengkapnya, lihat [AWS Otentikasi multi-faktor di IAM](id_credentials_mfa.md).
+ AWS memerlukan berbagai jenis kredensi keamanan, tergantung pada bagaimana Anda mengakses AWS dan jenis AWS pengguna Anda. Misalnya, Anda menggunakan kredenal masuk untuk Konsol Manajemen AWS sementara Anda menggunakan kunci akses untuk melakukan panggilan terprogram. AWS Untuk bantuan menentukan jenis pengguna dan halaman login, lihat [Apa itu AWS Masuk](https://docs.aws.amazon.com/signin/latest/userguide/what-is-sign-in.html) di *AWS Sign-In Panduan Pengguna*.
+ Anda tidak dapat menggunakan kebijakan IAM untuk menolak akses pengguna root ke sumber daya secara eksplisit. Anda hanya dapat menggunakan [kebijakan kontrol AWS Organizations layanan (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_type-auth.html) untuk membatasi izin pengguna root.
+ Jika Anda lupa atau kehilangan kata sandi pengguna root Anda, Anda harus memiliki akses ke alamat email yang terkait dengan akun Anda untuk mengatur ulang.
+ Jika Anda kehilangan kunci akses pengguna root Anda, Anda harus dapat masuk ke akun Anda sebagai pengguna root untuk membuat yang baru.
+ Jangan gunakan pengguna root untuk tugas sehari-hari Anda. Gunakan untuk melakukan tugas-tugas yang hanya dapat dilakukan oleh pengguna root. Untuk daftar lengkap tugas yang mengharuskan Anda masuk sebagai pengguna root, lihat[Tugas yang memerlukan kredensial pengguna root](id_root-user.md#root-user-tasks).
+ Kredensial keamanan adalah khusus akun. Jika Anda memiliki akses ke beberapa Akun AWS, Anda memiliki kredensi terpisah untuk setiap akun.
+ [Kebijakan](access_policies.md) menentukan tindakan apa yang dapat dilakukan pengguna, peran, atau anggota grup pengguna, pada AWS sumber daya mana, dan dalam kondisi apa. Dengan menggunakan kebijakan, Anda dapat mengontrol akses Layanan AWS dan sumber daya dengan aman di situs Anda Akun AWS. Jika Anda harus mengubah atau mencabut izin sebagai respons terhadap peristiwa keamanan, Anda menghapus atau mengubah kebijakan alih-alih membuat perubahan langsung pada identitas.
+ Pastikan untuk menyimpan kredensi masuk untuk pengguna IAM *Akses Darurat Anda dan kunci akses* apa pun yang Anda buat untuk akses terprogram di lokasi yang aman. Jika Anda kehilangan kunci akses, Anda harus masuk ke akun Anda untuk membuat yang baru.
+ Kami sangat menyarankan agar Anda menggunakan kredenal sementara yang disediakan oleh peran IAM dan prinsipal federasi alih-alih kredensi jangka panjang yang disediakan oleh pengguna IAM dan kunci akses.
# Akses terprogram dengan kredensi AWS keamanan
Sebaiknya gunakan kunci akses jangka pendek bila memungkinkan untuk melakukan panggilan terprogram ke AWS atau menggunakan AWS Command Line Interface atau Alat AWS untuk PowerShell. Namun, Anda juga dapat menggunakan kunci AWS akses jangka panjang untuk tujuan ini.
Ketika Anda membuat kunci akses jangka panjang, Anda membuat ID kunci akses (misalnya,`AKIAIOSFODNN7EXAMPLE`) dan kunci akses rahasia (misalnya,`wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`) sebagai satu set. Secret access key hanya tersedia untuk diunduh saat Anda membuatnya. Jika tidak mengunduh secret access key atau kehilangannya, Anda harus membuat yang baru.
Dalam banyak skenario, Anda tidak memerlukan kunci akses jangka panjang yang tidak pernah kedaluwarsa (seperti yang Anda miliki saat membuat kunci akses untuk pengguna IAM). Sebagai gantinya, Anda dapat membuat IAM role dan membuat kredensial keamanan sementara. Kredensi keamanan sementara termasuk ID kunci akses dan kunci akses rahasia, tetapi mereka juga menyertakan token keamanan yang menunjukkan kapan kredensialnya kedaluwarsa. Setelah kedaluwarsa, mereka tidak lagi valid. Untuk informasi selengkapnya, lihat [Alternatif untuk kunci akses jangka panjang](#security-creds-alternatives-to-long-term-access-keys)
Kunci akses yang IDs dimulai dengan `AKIA` adalah kunci akses jangka panjang untuk pengguna IAM atau pengguna Akun AWS root. Kunci akses yang IDs dimulai dengan `ASIA` adalah kunci akses kredensional sementara yang Anda buat menggunakan AWS STS operasi.
Pengguna membutuhkan akses terprogram jika mereka ingin berinteraksi dengan AWS luar. Konsol Manajemen AWS Cara untuk memberikan akses terprogram tergantung pada jenis pengguna yang mengakses AWS.
Untuk memberi pengguna akses programatis, pilih salah satu opsi berikut.
****
| Pengguna mana yang membutuhkan akses programatis? | Untuk | Oleh |
| --- | --- | --- |
| IAM | (Disarankan) Gunakan kredenal konsol sebagai kredensional sementara untuk menandatangani permintaan terprogram ke,, atau. AWS CLI AWS SDKs AWS APIs | Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/security-creds-programmatic-access.html) |
| Identitas tenaga kerja (Pengguna yang dikelola di Pusat Identitas IAM) | Gunakan kredensi sementara untuk menandatangani permintaan terprogram ke AWS CLI,, AWS SDKs atau. AWS APIs | Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/security-creds-programmatic-access.html) |
| IAM | Gunakan kredensi sementara untuk menandatangani permintaan terprogram ke AWS CLI,, AWS SDKs atau. AWS APIs | Mengikuti petunjuk dalam [Menggunakan kredensi sementara dengan AWS sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) di Panduan Pengguna IAM. |
| IAM | (Tidak direkomendasikan)Gunakan kredensi jangka panjang untuk menandatangani permintaan terprogram ke AWS CLI,, AWS SDKs atau. AWS APIs | Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/security-creds-programmatic-access.html) |
## Alternatif untuk kunci akses jangka panjang
Untuk banyak kasus penggunaan umum, ada alternatif untuk kunci akses jangka panjang. Untuk meningkatkan keamanan akun Anda, pertimbangkan hal berikut.
+ **Jangan menanamkan kunci akses jangka panjang dan kunci akses rahasia dalam kode aplikasi Anda atau dalam repositori kode —** Sebagai gantinya, gunakan AWS Secrets Manager, atau solusi manajemen rahasia lainnya, sehingga Anda tidak perlu melakukan hardcode kunci dalam teks biasa. Aplikasi atau klien kemudian dapat mengambil rahasia bila diperlukan. Untuk informasi lebih lanjut, lihat [Apa itu AWS Secrets Manager?](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) dalam *AWS Secrets Manager User Guide*.
+ **Gunakan peran IAM untuk menghasilkan kredenal keamanan sementara bila memungkinkan —** Selalu gunakan mekanisme untuk mengeluarkan kredensi keamanan sementara bila memungkinkan, bukan kunci akses jangka panjang. Kredensi keamanan sementara lebih aman karena tidak disimpan bersama pengguna tetapi dihasilkan secara dinamis dan diberikan kepada pengguna saat diminta. Kredensi keamanan sementara memiliki masa pakai yang terbatas sehingga Anda tidak perlu mengelola atau memperbaruinya. Mekanisme yang menyediakan kunci akses sementara termasuk peran IAM atau otentikasi pengguna Pusat Identitas IAM. Untuk mesin yang berjalan di luar AWS Anda dapat menggunakan [AWS Identity and Access Management Peran Di Mana Saja](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html).
+ **Gunakan alternatif untuk kunci akses jangka panjang untuk AWS Command Line Interface (AWS CLI) atau `aws-shell` —** Alternatif termasuk yang berikut ini.
+ **Login untuk pengembangan AWS lokal dengan kredensi konsol**. Anda dapat menggunakan AWS CLI Versi 2 dan `aws login` perintah untuk menghasilkan kredensi jangka pendek untuk menjalankan AWS CLI perintah menggunakan kredenal konsol Anda. Untuk mempelajari lebih lanjut, lihat [Login untuk pengembangan AWS lokal](https://docs.aws.amazon.com//cli/latest/userguide/cli-authentication-user.html) di *Panduan AWS Command Line Interface Pengguna*.
+ **AWS CloudShell**adalah shell pra-otentikasi berbasis browser yang dapat Anda luncurkan langsung dari file. Konsol Manajemen AWS Anda dapat menjalankan AWS CLI perintah melawan Layanan AWS melalui shell pilihan Anda (Bash, Powershell, atau Z shell). Ketika Anda melakukan ini, Anda tidak perlu mengunduh atau menginstal alat baris perintah. Untuk informasi selengkapnya, lihat [Apa itu AWS CloudShell?](https://docs.aws.amazon.com/cloudshell/latest/userguide/welcome.html) dalam *Panduan Pengguna AWS CloudShell *.
+ **Jangan membuat kunci akses jangka panjang untuk pengguna manusia yang memerlukan akses ke aplikasi atau Layanan AWS —** IAM Identity Center dapat menghasilkan kredenal akses sementara untuk diakses oleh pengguna iDP eksternal Anda. Layanan AWS Ini menghilangkan kebutuhan untuk membuat dan mengelola kredensi jangka panjang di IAM. Di Pusat Identitas IAM, buat set izin Pusat Identitas IAM yang memberikan akses pengguna iDP eksternal. Kemudian tetapkan grup dari IAM Identity Center ke set izin yang dipilih. Akun AWS Untuk informasi selengkapnya, lihat [Apa itu AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html), [Connect ke penyedia identitas eksternal Anda](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html), dan [set Izin](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) di *Panduan AWS IAM Identity Center Pengguna*.
+ **Jangan menyimpan kunci akses jangka panjang dalam layanan AWS komputasi —** Sebagai gantinya, tetapkan peran IAM untuk menghitung sumber daya. Ini secara otomatis memasok kredenal sementara untuk memberikan akses. Misalnya, saat membuat profil instans yang dilampirkan ke instans Amazon EC2, Anda dapat menetapkan AWS peran ke instans dan membuatnya tersedia untuk semua aplikasinya. Profil instans berisi peran dan memungkinkan program yang berjalan di instans Amazon EC2 untuk mendapatkan kredensi sementara. Untuk mempelajari lebih lanjut, lihat [Menggunakan peran IAM untuk memberikan izin ke aplikasi yang berjalan di instans Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html).