Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Manajemen identitas dan akses di AWS DataSync
AWS menggunakan kredensi keamanan untuk mengidentifikasi Anda dan memberi Anda akses ke sumber daya Anda AWS . Anda dapat menggunakan fitur AWS Identity and Access Management (IAM) untuk memungkinkan pengguna, layanan, dan aplikasi lain menggunakan AWS sumber daya Anda sepenuhnya atau dengan cara yang terbatas, tanpa membagikan kredensi keamanan Anda.
Secara default, identitas IAM (pengguna, grup, dan peran) tidak memiliki izin untuk membuat, melihat, atau memodifikasi AWS sumber daya. Untuk memungkinkan pengguna, grup, dan peran mengakses AWS DataSync sumber daya dan berinteraksi dengan DataSync konsol dan API, sebaiknya gunakan kebijakan IAM yang memberi mereka izin untuk menggunakan sumber daya spesifik dan tindakan API yang mereka perlukan. Anda kemudian melampirkan kebijakan identitas IAM yang memerlukan akses. Untuk gambaran umum elemen dasar kebijakan, lihat [Manajemen akses untuk AWS DataSync](managing-access-overview.md).
**Topics**
+ [Manajemen akses untuk AWS DataSync](managing-access-overview.md)
+ [AWS kebijakan terkelola untuk AWS DataSync](security-iam-awsmanpol.md)
+ [Kebijakan yang dikelola pelanggan IAM untuk AWS DataSync](using-identity-based-policies.md)
+ [Menggunakan peran terkait layanan untuk DataSync](using-service-linked-roles.md)
+ [Izin untuk menandai DataSync sumber daya selama pembuatan](supported-iam-actions-tagging.md)
+ [Pencegahan "confused deputy" lintas layanan](cross-service-confused-deputy-prevention.md)
# Manajemen akses untuk AWS DataSync
Setiap AWS sumber daya dimiliki oleh sebuah Akun AWS. Izin untuk membuat, dan mengakses sumber daya diatur oleh kebijakan izin. Administrator akun dapat melampirkan kebijakan izin ke identitas AWS Identity and Access Management (IAM). Beberapa layanan (seperti AWS Lambda) juga mendukung melampirkan kebijakan izin ke sumber daya.
**catatan**
*Administrator akun* adalah pengguna dengan hak administrator dalam file Akun AWS. Untuk informasi selengkapnya, lihat [Praktik terbaik IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.
**Topics**
+ [DataSync sumber daya dan operasi](#access-control-specify-datasync-actions)
+ [Memahami kepemilikan sumber daya](#access-control-owner)
+ [Mengelola akses ke sumber daya](#access-control-managing-permissions)
+ [Menentukan elemen kebijakan: Tindakan, efek, sumber daya, dan principal](#policy-elements)
+ [Menentukan kondisi dalam kebijakan](#specifying-conditions)
+ [Membuat kebijakan titik akhir VPC](#endpoint-policy-example)
## DataSync sumber daya dan operasi
Dalam DataSync, sumber daya utama adalah agen, lokasi, tugas, dan pelaksanaan tugas.
Sumber daya ini memiliki Nama Sumber Daya Amazon (ARNs) unik yang terkait dengannya, seperti yang ditunjukkan pada tabel berikut.
| Tipe sumber daya | Format ARN |
| --- | --- |
| Agen ARN | `arn:aws:datasync:region:account-id:agent/agent-id` |
| Lokasi ARN | `arn:aws:datasync:region:account-id:location/location-id` |
| Tugas ARN | `arn:aws:datasync:region:account-id:task/task-id ` |
| Eksekusi tugas ARN | `arn:aws:datasync:region:account-id:task/task-id/execution/exec-id` |
Untuk memberikan izin untuk operasi API tertentu, seperti membuat tugas, DataSync menentukan serangkaian tindakan yang dapat Anda tentukan dalam kebijakan izin. Sebuah operasi API dapat memerlukan izin untuk tindakan yang lebih dari satu.
## Memahami kepemilikan sumber daya
*Pemilik sumber daya* adalah Akun AWS yang menciptakan sumber daya. Artinya, pemilik sumber daya adalah *entitas utama* (misalnya, peran IAM) yang mengotentikasi permintaan yang menciptakan sumber daya. Akun AWS Contoh berikut menggambarkan bagaimana perilaku ini bekerja:
+ Jika Anda menggunakan kredensi akun root Anda Akun AWS untuk membuat tugas, Anda Akun AWS adalah pemilik sumber daya (di DataSync, sumber daya adalah tugasnya).
+ Jika Anda membuat peran IAM di dalam Akun AWS dan memberikan izin untuk `CreateTask` tindakan tersebut kepada pengguna tersebut, pengguna dapat membuat tugas. Namun, milik Anda Akun AWS, yang menjadi milik pengguna, memiliki sumber daya tugas.
+ Jika Anda membuat peran IAM Akun AWS dengan izin untuk membuat tugas, siapa pun yang dapat mengambil peran tersebut dapat membuat tugas. Anda Akun AWS, yang menjadi milik peran itu, memiliki sumber daya tugas.
## Mengelola akses ke sumber daya
Kebijakan izin menjelaskan siapa yang memiliki akses ke suatu objek. Bagian berikut menjelaskan opsi yang tersedia untuk membuat kebijakan izin.
**catatan**
Bagian ini membahas penggunaan IAM dalam konteks. DataSync Bagian ini tidak memberikan informasi yang mendetail tentang layanan IAM. Untuk dokumentasi lengkap IAM, lihat [Apa yang Dimaksud dengan IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) dalam *Panduan Pengguna IAM*. Untuk informasi tentang sintaks dan deskripsi kebijakan IAM, lihat [referensi AWS Identity and Access Management kebijakan di Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) *IAM*.
*Kebijakan yang melekat pada identitas IAM disebut sebagai kebijakan *berbasis identitas* (kebijakan IAM) dan kebijakan yang melekat pada sumber daya disebut sebagai kebijakan berbasis sumber daya.* DataSync hanya mendukung kebijakan berbasis identitas (kebijakan IAM).
**Topics**
+ [Kebijakan berbasis identitas](#identity-based-policies)
+ [Kebijakan berbasis sumber daya](#resource-based-policies)
### Kebijakan berbasis identitas
Anda dapat mengelola akses DataSync sumber daya dengan kebijakan IAM. Kebijakan ini dapat membantu Akun AWS administrator melakukan hal berikut dengan DataSync:
+ **Berikan izin untuk membuat dan mengelola DataSync sumber daya** — Buat kebijakan IAM yang memungkinkan peran IAM dalam Anda Akun AWS untuk membuat dan mengelola DataSync sumber daya, seperti agen, lokasi, dan tugas.
+ **Berikan izin untuk peran lain Akun AWS atau peran Layanan AWS— Buat** kebijakan IAM yang memberikan izin ke peran IAM di peran yang berbeda atau peran. Akun AWS Layanan AWS Contoh:
1. Administrator Akun A membuat peran IAM dan melampirkan kebijakan izin ke peran yang memberikan izin pada sumber daya di Akun A.
1. Administrator Akun A melampirkan kebijakan kepercayaan pada peran yang mengidentifikasi Akun B sebagai prinsipal yang dapat mengambil peran tersebut.
Untuk memberikan Layanan AWS izin untuk mengambil peran, administrator Akun A dapat menentukan Layanan AWS sebagai prinsipal dalam kebijakan kepercayaan.
1. Administrator Akun B kemudian dapat mendelegasikan izin untuk mengambil peran kepada setiap pengguna di Akun B. Hal ini memungkinkan siapa pun yang menggunakan peran di Akun B untuk membuat atau mengakses sumber daya di Akun A.
Untuk informasi selengkapnya tentang cara menggunakan IAM untuk mendelegasikan izin, lihat [Manajemen Akses](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) dalam *Panduan Pengguna IAM*.
Contoh kebijakan berikut memberikan izin untuk semua `List*` tindakan pada semua sumber daya. Tindakan ini adalah tindakan hanya-baca dan tidak mengizinkan modifikasi sumber daya.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllListActionsOnAllResources",
"Effect": "Allow",
"Action": [
"datasync:List*"
],
"Resource": "*"
}
]
}
```
------
Untuk informasi selengkapnya tentang penggunaan kebijakan berbasis identitas dengan DataSync, lihat kebijakan terkelola dan [kebijakan yang AWS dikelola](security-iam-awsmanpol.md) [pelanggan](using-identity-based-policies.md). Untuk informasi selengkapnya tentang identitas IAM, lihat Panduan Pengguna [https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html).
### Kebijakan berbasis sumber daya
Layanan lain, seperti Amazon S3, juga mendukung izin kebijakan berbasis sumber daya. Misalnya, Anda dapat melampirkan kebijakan ke bucket Amazon S3 untuk mengelola izin akses ke bucket tersebut. Namun, DataSync tidak mendukung kebijakan berbasis sumber daya.
## Menentukan elemen kebijakan: Tindakan, efek, sumber daya, dan principal
Untuk setiap DataSync sumber daya, layanan mendefinisikan satu set operasi API (lihat [Tindakan](https://docs.aws.amazon.com/datasync/latest/userguide/API_Operations.html)). Untuk memberikan izin untuk operasi API ini, DataSync tentukan serangkaian tindakan yang dapat Anda tentukan dalam kebijakan. Misalnya, untuk DataSync sumber daya, tindakan berikut didefinisikan:`CreateTask`,`DeleteTask`, dan`DescribeTask`. Operasi API dapat memerlukan izin untuk lebih dari satu tindakan.
Berikut adalah elemen-elemen kebijakan yang paling dasar:
+ **Sumber daya** – Dalam kebijakan, Anda menggunakan Amazon Resource Name (ARN) untuk mengidentifikasi sumber daya yang diatur kebijakan. Untuk DataSync sumber daya, Anda dapat menggunakan karakter wildcard `(*)` dalam kebijakan IAM. Untuk informasi selengkapnya, lihat [DataSync sumber daya dan operasi](#access-control-specify-datasync-actions).
+ **Tindakan** – Anda menggunakan kata kunci tindakan untuk mengidentifikasi operasi sumber daya yang ingin Anda izinkan atau tolak. Misalnya, tergantung pada `Effect` elemen yang ditentukan, `datasync:CreateTask` izin mengizinkan atau menolak izin pengguna untuk melakukan operasi. DataSync `CreateTask`
+ **Efek** - Anda menentukan efek saat pengguna meminta tindakan tertentu—efek ini dapat berupa atau. `Allow` `Deny` Jika Anda tidak secara eksplisit memberikan akses ke (`Allow`) sumber daya, akses secara implisit ditolak. Anda juga dapat secara eksplisit menolak akses ke sumber daya, yang mungkin Anda lakukan untuk memastikan bahwa pengguna tidak dapat mengaksesnya, meskipun kebijakan lain memberikan akses kepada pengguna tersebut. Untuk informasi selengkapnya, lihat [Otorisasi](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-authorization) di *Panduan Pengguna IAM*.
+ **Prinsipal** – Dalam kebijakan berbasis identitas (Kebijakan IAM), pengguna yang dilampiri kebijakan adalah prinsipal secara implisit. Untuk kebijakan berbasis sumber daya, Anda menentukan pengguna, akun, layanan, atau entitas lain yang ingin Anda terima izin (hanya berlaku untuk kebijakan berbasis sumber daya). DataSync tidak mendukung kebijakan berbasis sumber daya.
Untuk mempelajari lebih lanjut tentang sintaks dan deskripsi kebijakan IAM, lihat [referensi AWS Identity and Access Management kebijakan di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) Pengguna *IAM*.
## Menentukan kondisi dalam kebijakan
Ketika Anda memberikan izin, Anda dapat menggunakan bahasa kebijakan IAM untuk menentukan syarat kapan kebijakan akan berlaku ketika memberikan izin. Misalnya, Anda mungkin ingin kebijakan diterapkan hanya setelah tanggal tertentu. Untuk informasi selengkapnya tentang menentukan kondisi dalam bahasa kebijakan, lihat [Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition) di *Panduan Pengguna IAM*.
Untuk menyatakan kondisi, Anda menggunakan kunci kondisi standar. Tidak ada kunci syarat khusus untuk DataSync. Namun, ada tombol kondisi AWS lebar yang dapat Anda gunakan sesuai kebutuhan. Untuk daftar lengkap tombol AWS lebar, lihat [Kunci yang tersedia](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) di *Panduan Pengguna IAM*.
## Membuat kebijakan titik akhir VPC
Kebijakan titik akhir VPC membantu mengontrol akses ke operasi DataSync API melalui titik akhir layanan dan titik akhir DataSync VPC layanan VPC berkemampuan FIPS. Kebijakan titik akhir VPC memungkinkan Anda membatasi tindakan DataSync API tertentu yang diakses melalui titik akhir VPC layanan Anda, seperti atau. `CreateTask` `StartTaskExecution`
kebijakan titik akhir mencantumkan informasi berikut:
+ prinsipal utama yang dapat melakukan tindakan.
+ Tindakan yang dapat dilakukan.
+ Sumber daya yang menjadi target tindakan.
Untuk informasi selengkapnya, lihat [Mengontrol akses ke titik akhir VPC menggunakan kebijakan titik akhir](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html).
**Contoh kebijakan**
Berikut ini adalah contoh kebijakan endpoint.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"datasync:CreateTask",
"datasync:StartTaskExecution",
"datasync:DescribeTask"
],
"Resource": "arn:aws:datasync:us-east-1:123456789012:task/*"
}
]
}
```
# AWS kebijakan terkelola untuk AWS DataSync
Untuk menambahkan izin ke pengguna, grup, dan peran, lebih mudah menggunakan kebijakan AWS terkelola daripada menulis kebijakan sendiri. Dibutuhkan waktu dan keahlian untuk [membuat kebijakan yang dikelola pelanggan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) yang hanya memberi tim Anda izin yang mereka butuhkan. Untuk memulai dengan cepat, Anda dapat menggunakan kebijakan AWS terkelola kami. Kebijakan ini mencakup kasus penggunaan umum dan tersedia di Akun AWS Anda. Untuk informasi selengkapnya tentang kebijakan AWS [AWS terkelola, lihat kebijakan terkelola](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) di *Panduan Pengguna IAM*.
Layanan AWS memelihara dan memperbarui kebijakan AWS terkelola. Anda tidak dapat mengubah izin dalam kebijakan AWS terkelola. Layanan terkadang menambahkan izin tambahan ke kebijakan yang dikelola AWS untuk mendukung fitur-fitur baru. Jenis pembaruan ini akan memengaruhi semua identitas (pengguna, grup, dan peran) di mana kebijakan tersebut dilampirkan. Layanan kemungkinan besar akan memperbarui kebijakan yang dikelola AWS saat ada fitur baru yang diluncurkan atau saat ada operasi baru yang tersedia. Layanan tidak menghapus izin dari kebijakan AWS terkelola, sehingga pembaruan kebijakan tidak akan merusak izin yang ada.
Selain itu, AWS mendukung kebijakan terkelola untuk fungsi pekerjaan yang mencakup beberapa layanan. Misalnya, kebijakan `ReadOnlyAccess` AWS terkelola menyediakan akses hanya-baca ke semua Layanan AWS dan sumber daya. Saat layanan meluncurkan fitur baru, AWS tambahkan izin hanya-baca untuk operasi dan sumber daya baru. Untuk melihat daftar dan deskripsi dari kebijakan fungsi tugas, lihat [kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) di *Panduan Pengguna IAM*.
## AWS kebijakan terkelola: AWSDataSyncReadOnlyAccess
Anda dapat melampirkan kebijakan `AWSDataSyncReadOnlyAccess` ke identitas IAM Anda. Kebijakan ini memberikan izin hanya-baca untuk. DataSync
Untuk melihat izin kebijakan ini, lihat [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataSyncReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataSyncReadOnlyAccess.html)di *Referensi Kebijakan AWS Terkelola*.
## AWS kebijakan terkelola: AWSDataSyncFullAccess
Anda dapat melampirkan kebijakan `AWSDataSyncFullAccess` ke identitas IAM Anda. Kebijakan ini memberikan izin administratif untuk DataSync dan diperlukan untuk Konsol Manajemen AWS akses ke layanan. `AWSDataSyncFullAccess`menyediakan akses penuh ke operasi DataSync API dan operasi yang berinteraksi dengan sumber daya terkait (seperti bucket Amazon S3, sistem file Amazon EFS, AWS KMS kunci, dan rahasia Secrets Manager). Kebijakan ini juga memberikan izin untuk Amazon CloudWatch, termasuk membuat grup log dan membuat atau memperbarui kebijakan sumber daya.
Untuk melihat izin kebijakan ini, lihat [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataSyncFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataSyncFullAccess.html)di *Referensi Kebijakan AWS Terkelola*.
## AWS kebijakan terkelola: AWSDataSyncServiceRolePolicy
Anda tidak dapat melampirkan `AWSDataSyncServiceRolePolicy` kebijakan ke identitas IAM Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan DataSync untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat [Menggunakan peran terkait layanan untuk DataSync](using-service-linked-roles.md).
Kebijakan ini memberikan izin administratif yang memungkinkan peran terkait layanan untuk membuat CloudWatch log Amazon untuk DataSync tugas menggunakan mode Peningkatan.
## Pembaruan kebijakan
| Ubah | Deskripsi | Date |
| --- | --- | --- |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess)— Ubah | DataSync pernyataan izin yang dimodifikasi untuk`AWSDataSyncFullAccess`: Pernyataan yang diperbarui menghapus kondisi penandaan dari izin yang DataSync digunakan untuk membuat rahasia Secrets Manager. | 13 Mei 2025 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess)— Ubah | DataSync menambahkan izin baru ke`AWSDataSyncFullAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/datasync/latest/userguide/security-iam-awsmanpol.html) Izin ini memungkinkan DataSync membuat, mengedit, dan menghapus AWS Secrets Manager rahasia. | 7 Mei 2025 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess)— Ubah | DataSync menambahkan izin baru ke`AWSDataSyncFullAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/datasync/latest/userguide/security-iam-awsmanpol.html) Izin ini memungkinkan DataSync mengambil metadata tentang AWS Secrets Manager rahasia dan AWS KMS kunci Anda, termasuk alias apa pun yang terkait dengan kunci Anda. | April 23, 2025 |
| [AWSDataSyncServiceRolePolicy](#security-iam-awsmanpol-awsdatasyncservicerolepolicy)— Ubah | DataSync menambahkan izin baru ke `AWSDataSyncServiceRolePolicy` kebijakan yang digunakan oleh peran DataSync terkait layanan: `AWSServiceRoleForDataSync` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/datasync/latest/userguide/security-iam-awsmanpol.html) Izin ini memungkinkan DataSync membaca metadata dan nilai untuk rahasia yang dikelola oleh. AWS Secrets Manager | April 15, 2025 |
| [AWSDataSyncServiceRolePolicy](#security-iam-awsmanpol-awsdatasyncservicerolepolicy) – Kebijakan baru | DataSync menambahkan kebijakan yang digunakan oleh peran DataSync terkait layanan. `AWSServiceRoleForDataSync` Kebijakan terkelola baru ini secara otomatis membuat CloudWatch log Amazon untuk DataSync tugas Anda yang menggunakan mode Peningkatan. | Oktober 30, 2024 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess)— Ubah | DataSync menambahkan izin baru ke`AWSDataSyncFullAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/datasync/latest/userguide/security-iam-awsmanpol.html) Izin ini memungkinkan DataSync membuat peran terkait layanan untuk Anda. | Oktober 30, 2024 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess)— Ubah | DataSync menambahkan izin baru ke`AWSDataSyncFullAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/datasync/latest/userguide/security-iam-awsmanpol.html) Izin ini memungkinkan Anda memilih Wilayah keikutsertaan saat membuat DataSync tugas untuk transfer antar Wilayah AWS. | Juli 22, 2024 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess)— Ubah | DataSync menambahkan izin baru ke`AWSDataSyncFullAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/datasync/latest/userguide/security-iam-awsmanpol.html) Izin ini memungkinkan Anda memilih versi [DataSync manifes](transferring-with-manifest.md) tertentu. | Februari 16, 2024 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess)— Ubah | DataSync menambahkan izin baru ke`AWSDataSyncFullAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/datasync/latest/userguide/security-iam-awsmanpol.html) Izin ini membantu Anda membuat DataSync agen dan lokasi untuk Amazon EFS, Amazon FSx untuk NetApp ONTAP, Amazon S3, dan S3 di Outposts. | 2 Mei 2023 |
| DataSync mulai melacak perubahan | DataSync mulai melacak perubahan untuk kebijakan yang AWS dikelola. | 1 Maret 2021 |
# Kebijakan yang dikelola pelanggan IAM untuk AWS DataSync
Selain kebijakan AWS terkelola, Anda juga dapat membuat kebijakan berbasis identitas Anda sendiri AWS DataSync dan melampirkannya ke identitas AWS Identity and Access Management (IAM) yang memerlukan izin tersebut. Ini dikenal sebagai *kebijakan yang dikelola pelanggan*, yang merupakan kebijakan mandiri yang Anda kelola sendiri. Akun AWS
**penting**
Sebelum Anda mulai, kami sarankan Anda mempelajari tentang konsep dasar dan opsi untuk mengelola akses ke DataSync sumber daya Anda. Untuk informasi selengkapnya, lihat [Manajemen akses untuk AWS DataSync](managing-access-overview.md).
Saat membuat kebijakan yang dikelola pelanggan, Anda menyertakan pernyataan tentang DataSync operasi yang dapat digunakan pada AWS sumber daya tertentu. Contoh kebijakan berikut memiliki dua pernyataan (perhatikan `Action` dan `Resource` elemen dalam setiap pernyataan):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowsSpecifiedActionsOnAllTasks",
"Effect": "Allow",
"Action": "datasync:DescribeTask",
"Resource": "arn:aws:datasync:us-east-1:111122223333:task/*"
},
{
"Sid": "ListAllTasks",
"Effect": "Allow",
"Action": "datasync:ListTasks",
"Resource": "*"
}
]
}
```
------
Pernyataan kebijakan melakukan hal berikut:
+ Pernyataan pertama memberikan izin untuk melakukan `datasync:DescribeTask` tindakan pada resource tugas transfer tertentu dengan menentukan Amazon Resource Name (ARN) dengan karakter wildcard (). `*`
+ Pernyataan kedua memberikan izin untuk melakukan `datasync:ListTasks` tindakan pada semua tugas dengan menentukan hanya karakter wildcard (). `*`
## Contoh kebijakan yang dikelola pelanggan
Contoh berikut kebijakan terkelola pelanggan memberikan izin untuk berbagai DataSync operasi. Kebijakan berfungsi jika Anda menggunakan AWS Command Line Interface (AWS CLI) atau AWS SDK. Untuk menggunakan kebijakan ini di konsol, Anda juga harus menggunakan kebijakan terkelola`AWSDataSyncFullAccess`.
**Topics**
+ [Contoh 1: Buat hubungan kepercayaan yang memungkinkan DataSync untuk mengakses bucket Amazon S3 Anda](#datasync-example1)
+ [Contoh 2: DataSync Izinkan membaca dan menulis ke bucket Amazon S3 Anda](#datasync-example2)
+ [Contoh 3: Izinkan DataSync untuk mengunggah log ke grup CloudWatch log](#datasync-example4)
### Contoh 1: Buat hubungan kepercayaan yang memungkinkan DataSync untuk mengakses bucket Amazon S3 Anda
Berikut ini adalah contoh kebijakan kepercayaan yang memungkinkan DataSync untuk mengambil peran IAM. Peran ini memungkinkan DataSync untuk mengakses bucket Amazon S3. Untuk mencegah [masalah deputi lintas layanan yang membingungkan](cross-service-confused-deputy-prevention.md), sebaiknya gunakan kunci konteks kondisi [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)dan global dalam kebijakan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datasync.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111111111111"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:datasync:us-east-1:111111111111:*"
}
}
}
]
}
```
------
### Contoh 2: DataSync Izinkan membaca dan menulis ke bucket Amazon S3 Anda
Contoh kebijakan berikut memberikan DataSync izin minimum untuk membaca dan menulis data ke bucket S3 yang digunakan sebagai lokasi tujuan.
**catatan**
Nilai untuk `aws:ResourceAccount` harus berupa ID akun yang memiliki bucket Amazon S3 yang ditentukan dalam kebijakan.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListBucketMultipartUploads"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
},
{
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:GetObjectVersionTagging",
"s3:ListMultipartUploadParts",
"s3:PutObject",
"s3:PutObjectTagging"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
}
]
}
```
### Contoh 3: Izinkan DataSync untuk mengunggah log ke grup CloudWatch log
DataSync memerlukan izin untuk dapat mengunggah log ke grup CloudWatch log Amazon Anda. Anda dapat menggunakan grup CloudWatch log untuk memantau dan men-debug tugas Anda.
Untuk contoh kebijakan IAM yang memberikan izin ini, lihat [Memungkinkan DataSync untuk mengunggah log ke grup CloudWatch log](configure-logging.md#cloudwatchlogs).
# Menggunakan peran terkait layanan untuk DataSync
AWS DataSync menggunakan AWS Identity and Access Management peran [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke. DataSync Peran terkait layanan telah ditentukan sebelumnya oleh DataSync dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.
**Topics**
+ [Menggunakan peran untuk DataSync](using-service-linked-roles-service-action-2.md)
# Menggunakan peran untuk DataSync
AWS DataSync menggunakan AWS Identity and Access Management peran [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke. DataSync Peran terkait layanan telah ditentukan sebelumnya oleh DataSync dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.
Peran terkait layanan membuat pengaturan DataSync lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. DataSync mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya DataSync dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas IAM lainnya.
Anda dapat menghapus peran tertaut layanan hanya setelah menghapus sumber daya terkait terlebih dahulu. Ini melindungi DataSync sumber daya Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, silakan lihat [layanan AWS yang bisa digunakan dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan carilah layanan yang memiliki opsi **Ya** di kolom **Peran terkait layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
## Izin peran terkait layanan untuk DataSync
DataSync menggunakan peran terkait layanan bernama **AWSServiceRoleForDataSync**— Memungkinkan DataSync untuk melakukan operasi penting untuk eksekusi tugas transfer, termasuk membaca rahasia dari AWS Secrets Manager, dan membuat grup CloudWatch log dan peristiwa.
Peran AWSService RoleForDataSync terkait layanan mempercayai layanan berikut untuk mengambil peran:
+ `datasync.amazonaws.com`
Peran terkait layanan menggunakan kebijakan AWS terkelola bernama [AWSDataSyncServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-awsdatasyncservicerolepolicy), yang memungkinkan DataSync untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "DataSyncCloudWatchLogCreateAccess",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream"
],
"Resource": [
"arn:*:logs:*:*:log-group:/aws/datasync*"
]
},
{
"Sid": "DataSyncCloudWatchLogStreamUpdateAccess",
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:*:logs:*:*:log-group:/aws/datasync*:log-stream:*"
]
},
{
"Sid": "DataSyncSecretsManagerReadAccess",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:*:secretsmanager:*:*:secret:aws-datasync!*"
],
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/aws:secretsmanager:owningService": "aws-datasync",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
Anda harus mengonfigurasi izin agar pengguna, grup, atau peran Anda membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat [Izin peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.
## Membuat peran terkait layanan untuk DataSync
Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda membuat DataSync tugas di Konsol Manajemen AWS, API AWS CLI, atau AWS API, DataSync buat peran terkait layanan untuk Anda.
Di AWS CLI atau AWS API, Anda dapat membuat peran terkait layanan dengan nama `datasync.amazonaws.com` layanan. Untuk informasi selengkapnya, lihat [Membuat peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dalam *Panduan Pengguna IAM*. Jika Anda menghapus peran yang terhubung dengan layanan ini, Anda dapat menggunakan proses yang sama untuk membuat ulang peran tersebut.
Jika Anda menghapus peran yang terhubung dengan layanan ini, lalu ingin membuatnya lagi, Anda dapat menggunakan proses yang sama untuk membuat ulang peran tersebut di akun Anda. Saat Anda membuat DataSync tugas, DataSync buat peran terkait layanan untuk Anda lagi.
Jika Anda menghapus peran tertaut layanan ini, Anda dapat menggunakan proses IAM yang sama untuk membuat ulang peran tersebut.
## Mengedit peran terkait layanan untuk DataSync
DataSync tidak memungkinkan Anda untuk mengedit peran AWSService RoleForDataSync terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin merujuk peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.
## Menghapus peran terkait layanan untuk DataSync
Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, sebaiknya hapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan dan tidak dipantau atau dipelihara secara aktif. Namun, Anda harus membersihkan peran tertaut layanan terlebih dahulu sebelum dapat menghapusnya secara manual.
### Membersihkan peran tertaut-layanan
Sebelum dapat menggunakan IAM untuk menghapus peran tertaut-layanan, Anda harus terlebih dahulu menghapus semua sumber daya yang digunakan oleh peran tersebut.
**catatan**
Jika DataSync layanan menggunakan peran saat Anda mencoba menghapus sumber daya, maka penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.
**Untuk menghapus DataSync sumber daya yang digunakan oleh AWSService RoleForDataSync**
1. [Hapus DataSync agen](clean-up.md#deleting-agent) yang digunakan oleh tugas (jika ada).
1. [Hapus lokasi tugas](clean-up.md#deleting-location).
1. [Hapus tugas](clean-up.md#delete-task).
### Menghapus peran tertaut layanan secara manual
Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran AWSService RoleForDataSync terkait layanan. Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dalam *Panduan Pengguna IAM*.
## Wilayah yang Didukung untuk DataSync peran terkait layanan
DataSync mendukung penggunaan peran terkait layanan di semua Wilayah tempat layanan tersedia. Untuk informasi selengkapnya, lihat [AWS Wilayah dan titik akhir](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Izin untuk menandai DataSync sumber daya selama pembuatan
Beberapa tindakan AWS DataSync API yang membuat sumber daya memungkinkan Anda menentukan tag saat membuat sumber daya. Anda dapat menggunakan tag sumber daya untuk menerapkan kontrol akses berbasis atribut (ABAC). Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.
Untuk memungkinkan pengguna menandai sumber daya pada pembuatan, mereka harus memiliki izin untuk menggunakan tindakan yang membuat sumber daya (seperti `datasync:CreateAgent` atau`datasync:CreateTask`). Jika tag ditentukan dalam tindakan pembuatan sumber daya, pengguna juga harus memiliki izin eksplisit untuk menggunakan tindakan tersebut. `datasync:TagResource`
Tindakan `datasync:TagResource` akan dievaluasi hanya jika tanda diterapkan selama tindakan pembuatan sumber daya. Oleh karena itu, pengguna yang memiliki izin untuk membuat sumber daya (dengan asumsi tidak ada kondisi penandaan) tidak memerlukan izin untuk menggunakan `datasync:TagResource` tindakan jika tidak ada tag yang ditentukan dalam permintaan.
Namun, jika pengguna mencoba membuat sumber daya dengan tag, permintaan gagal jika pengguna tidak memiliki izin untuk menggunakan `datasync:TagResource` tindakan tersebut.
## Contoh pernyataan kebijakan IAM
Gunakan contoh pernyataan kebijakan IAM berikut untuk memberikan `TagResource` izin kepada pengguna yang membuat DataSync sumber daya.
Pernyataan berikut memungkinkan pengguna untuk menandai DataSync agen ketika mereka membuat agen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "datasync:TagResource",
"Resource": "arn:aws:datasync:us-east-1:444455556666:agent/*"
}
]
}
```
------
Pernyataan berikut memungkinkan pengguna untuk menandai DataSync lokasi saat mereka membuat lokasi.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "datasync:TagResource",
"Resource": "arn:aws:datasync:us-east-1:111122223333:location/*"
}
]
}
```
------
Pernyataan berikut memungkinkan pengguna untuk menandai DataSync tugas saat mereka membuat tugas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "datasync:TagResource",
"Resource": "arn:aws:datasync:us-east-1:444455556666:task/*"
}
]
}
```
------
# Pencegahan "confused deputy" lintas layanan
Masalah "confused deputy" adalah masalah keamanan di mana entitas yang tidak memiliki izin untuk melakukan tindakan dapat memengaruhi entitas yang memiliki hak akses lebih tinggi untuk melakukan tindakan. Pada tahun AWS, peniruan lintas layanan dapat mengakibatkan masalah wakil yang membingungkan. Peniruan identitas lintas layanan dapat terjadi ketika satu layanan (*layanan yang dipanggil*) memanggil layanan lain (*layanan yang dipanggil*). Layanan pemanggilan dapat dimanipulasi menggunakan izinnya untuk bertindak pada sumber daya pelanggan lain dengan cara yang seharusnya tidak dilakukannya kecuali bila memiliki izin untuk mengakses. Untuk mencegah hal ini, AWS menyediakan alat yang membantu Anda melindungi data untuk semua layanan dengan principal layanan yang telah diberi akses ke sumber daya di akun Anda.
Sebaiknya gunakan kunci konteks kondisi [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)dan dalam kebijakan sumber daya untuk membatasi izin yang AWS DataSync memberikan layanan lain ke sumber daya. Jika Anda menggunakan kunci konteks kondisi global dan nilai `aws:SourceArn` berisi ID akun, nilai `aws:SourceAccount` dan akun dalam nilai `aws:SourceArn` harus menggunakan ID akun yang sama saat digunakan dalam pernyataan kebijakan yang sama. Gunakan `aws:SourceArn` jika Anda ingin hanya satu sumber daya yang akan dikaitkan dengan akses lintas layanan. Gunakan `aws:SourceAccount` jika Anda ingin sumber daya apa pun di akun itu dikaitkan dengan penggunaan lintas layanan.
Nilai `aws:SourceArn` harus mencakup DataSync lokasi ARN yang DataSync diizinkan untuk mengambil peran IAM.
Cara paling efektif untuk melindungi dari masalah wakil yang membingungkan adalah dengan menggunakan `aws:SourceArn` kunci dengan ARN penuh sumber daya. Jika Anda tidak mengetahui ARN lengkap atau jika Anda menentukan beberapa sumber daya, gunakan karakter wildcard (`*`) untuk bagian yang tidak diketahui. Berikut adalah beberapa contoh cara melakukan ini untuk DataSync:
+ Untuk membatasi kebijakan kepercayaan ke DataSync lokasi yang ada, sertakan ARN lokasi lengkap dalam polis. DataSync akan mengambil peran IAM hanya ketika berhadapan dengan lokasi tertentu.
+ Saat membuat lokasi Amazon S3 untuk DataSync, Anda tidak tahu ARN lokasinya. Dalam skenario ini, gunakan format berikut untuk `aws:SourceArn` kunci:`arn:aws:datasync:us-east-2:123456789012:*`. Format ini memvalidasi partisi (`aws`), ID akun, dan Region.
Contoh lengkap berikut menunjukkan bagaimana Anda dapat menggunakan kunci konteks kondisi `aws:SourceAccount` global `aws:SourceArn` dan global dalam kebijakan kepercayaan untuk mencegah masalah wakil yang bingung DataSync.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datasync.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:datasync:us-east-2:123456789012:*"
}
}
}
]
}
```
------
Untuk contoh kebijakan lainnya yang menunjukkan cara Anda dapat menggunakan kunci konteks kondisi `aws:SourceAccount` global `aws:SourceArn` dan dengan DataSync, lihat topik berikut:
+ [Buat hubungan kepercayaan yang memungkinkan DataSync untuk mengakses bucket Amazon S3 Anda](using-identity-based-policies.md#datasync-example1)
+ [Konfigurasikan peran IAM untuk mengakses bucket Amazon S3](create-s3-location.md#create-role-manually)