Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Mengamankan kredensil lokasi penyimpanan dengan Secrets Manager
<a name="location-credentials"></a>

DataSync menggunakan [lokasi](https://docs.aws.amazon.com/datasync/latest/userguide/how-datasync-transfer-works.html#sync-locations) untuk mengakses sumber daya penyimpanan Anda yang terletak di tempat, di awan lain, atau di dalam AWS. Beberapa jenis lokasi mengharuskan Anda untuk memberikan kredensyal (contoh seperti, kunci akses dan kunci rahasia, nama pengguna dan kata sandi, Keytab Kerberos, token SAS, dll.) Untuk mengautentikasi dengan sistem penyimpanan Anda. Saat Anda membuat DataSync lokasi yang memerlukan kredensil untuk autentikasi, Anda dapat menggunakan (Secrets AWS Secrets Manager Manager) untuk menyimpan rahasia kredensil Anda. Pilihan berikut tersedia:
+ [ManagedSecretConfig](https://docs.aws.amazon.com/datasync/latest/userguide/API_ManagedSecretConfig.html): Konfigurasi Rahasia DataSync -Terkelola. Simpan rahasia di Secrets Manager menggunakan rahasia yang DataSync dikelola layanan yang dienkripsi dengan kunci default.
+ [CmkSecretConfig](https://docs.aws.amazon.com/datasync/latest/userguide/API_CmkSecretConfig.html): DataSync -Rahasia Terkelola dengan konfigurasi Kunci yang Dikelola Pelanggan (CMK). Simpan rahasia di Secrets Manager menggunakan rahasia yang DataSync dikelola layanan yang dienkripsi dengan AWS KMS kunci yang Anda kelola.
+ [CustomSecretConfig](https://docs.aws.amazon.com/datasync/latest/userguide/API_CustomSecretConfig.html): Konfigurasi Rahasia yang Dikelola Pelanggan. Simpan rahasia di Secrets Manager menggunakan rahasia dan kunci yang Anda buat dan kelola. DataSync mengakses rahasia ini menggunakan peran IAM yang Anda berikan.

Dalam semua kasus, rahasia Secrets Manager disimpan di akun Anda, memungkinkan Anda untuk memperbarui rahasia sesuai kebutuhan, terlepas dari DataSync layanan. Rahasia dibuat dan dikelola oleh DataSync memiliki awalan`aws-datasync`.

Anda dikenakan biaya untuk penggunaan rahasia hanya ketika Anda membuat rahasia di luar DataSync atau melakukan panggilan API ke rahasia yang dikelola layanan dari layanan selain. DataSync

## Menggunakan rahasia yang dikelola layanan yang dienkripsi dengan kunci default
<a name="service-secret-default-key"></a>

Ketika Anda membuat DataSync lokasi Anda, Anda cukup memberikan string rahasia. DataSyncmembuat sumber daya rahasia di Secrets Manager untuk menyimpan rahasia yang Anda berikan, dan mengenkripsi rahasia dengan kunci KMS Secrets Manager default untuk akun Anda. Anda dapat mengubah nilai rahasia secara langsung di Secrets Manager, atau dengan memperbarui lokasi menggunakan DataSync konsol, AWS CLI, atau SDK. Saat Anda menghapus sumber daya lokasi atau memperbaruinya untuk menggunakan rahasia khusus, DataSync menghapus sumber daya rahasia secara otomatis.

**catatan**  
Untuk membuat, memodifikasi, dan menghapus sumber daya rahasia di Secrets Manager, DataSync harus memiliki izin yang sesuai. Untuk informasi selengkapnya, lihat [kebijakan AWS terkelola untuk DataSync](https://docs.aws.amazon.com/datasync/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awsdatasyncfullaccess).

## Menggunakan rahasia yang dikelola layanan yang dienkripsi dengan kunci khusus AWS KMS
<a name="service-secret-custom-key"></a>

Saat Anda membuat DataSync lokasi, Anda memberikan rahasia dan ARN kunci Anda AWS KMS . DataSync secara otomatis membuat sumber daya rahasia di Secrets Manager untuk menyimpan rahasia yang Anda berikan, dan mengenkripsi menggunakan kunci Anda AWS KMS . Anda dapat mengubah nilai rahasia secara langsung di Secrets Manager, atau dengan memperbarui lokasi menggunakan DataSync konsol, AWS CLI, atau SDK. Saat Anda menghapus sumber daya lokasi atau memperbaruinya untuk menggunakan rahasia khusus, DataSync menghapus sumber daya rahasia secara otomatis.

**catatan**  
 AWS KMS Kunci Anda harus menggunakan enkripsi simetris dengan tipe `ENCRYPT_DECRYPT` kunci. Untuk informasi selengkapnya, lihat [Memilih AWS Key Management Service kunci](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html) di *Panduan AWS Secrets Manager Pengguna*.

Untuk membuat, memodifikasi, dan menghapus sumber daya rahasia di Secrets Manager, DataSync harus memiliki izin yang sesuai. Untuk informasi selengkapnya, lihat [kebijakan AWS terkelola: AWSDataSyncFullAccess](https://docs.aws.amazon.com/datasync/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awsdatasyncfullaccess).

Selain menggunakan kebijakan DataSync terkelola yang benar, Anda juga memerlukan izin berikut:

```
{
    "Sid": "DataSyncKmsPermissions",
    "Effect": "Allow",
    "Action": [
        "kms:Encrypt",
        "kms:GenerateDataKey",
        "kms:Decrypt"
    ],
    "Resource": "your-kms-key-arn",
    "Condition": {
        "StringLike": {
            "kms:ViaService": "secretsmanager.*.amazonaws.com"
        }
    }
}
```

Ganti *your-kms-key-arn* dengan ARN kunci KMS Anda.

Untuk mengambil dan mendekripsi nilai rahasia, DataSync gunakan Service Linked Role (SLR) untuk mengakses kunci Anda. AWS KMS Untuk memastikan DataSync dapat menggunakan kunci KMS Anda, tambahkan berikut ini ke pernyataan kebijakan kunci:

```
{
    "Sid": "Allow DataSync to use the key for decryption",
    "Effect": "Allow",
    "Principal": {
            "AWS": "arn:aws:iam::111122223333:role/aws-service-role/datasync.amazonaws.com/AWSServiceRoleForDataSync"
    },
    "Action": "kms:Decrypt",
    "Resource": "*"
}
```

Ganti *111122223333* dengan Akun AWS ID Anda.

## Menggunakan rahasia yang Anda kelola
<a name="custom-secret-custom-key"></a>

Sebelum membuat DataSync lokasi, [buat rahasia di Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html). Nilai untuk rahasia hanya boleh berisi string rahasia itu sendiri dalam teks biasa. Saat Anda membuat DataSync lokasi, Anda memberikan ARN rahasia Anda dan peran IAM yang DataSync digunakan untuk mengakses rahasia Anda dan AWS KMS kunci yang digunakan untuk mengenkripsi rahasia Anda. Untuk membuat peran IAM dengan izin yang sesuai, lakukan hal berikut:

1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi kiri, di bawah **Manajemen akses**, pilih **Peran**, lalu pilih **Buat peran**.

1. Pada halaman **Pilih entitas tepercaya**, untuk **jenis entitas tepercaya**, pilih **AWS layanan**.

1. Untuk **kasus penggunaan**, pilih **DataSync**dari daftar drop-down. Pilih **Berikutnya**.

1. Pada halaman **Tambahkan izin**, pilih **Berikutnya**. Masukkan nama untuk peran Anda, lalu pilih **Buat peran**.

1. Pada halaman **Peran**, cari peran yang baru saja Anda buat dan pilih namanya.

1. Pada halaman **Detail** untuk peran tersebut, pilih tab **Izin**. Pilih **Tambahkan izin**, lalu **Buat kebijakan sebaris**.

1. Pilih tab **JSON** dan tambahkan izin berikut ke editor kebijakan:

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "secretsmanager:GetSecretValue",
                   "secretsmanager:DescribeSecret"
               ],
               "Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:your-secret-name"
           }
       ]
   }
   ```

------

   Ganti *your-secret-name* dengan nama rahasia Secrets Manager Anda.

1. Pilih **Berikutnya**. Masukkan nama untuk kebijakan Anda, lalu pilih **Buat kebijakan**.

1. (Disarankan) Untuk mencegah [masalah wakil lintas layanan yang membingungkan](https://docs.aws.amazon.com/datasync/latest/userguide/cross-service-confused-deputy-prevention.html), lakukan hal berikut:

   1. Pada halaman **Detail** untuk peran tersebut, pilih tab **Trust relationship**. Pilih **Edit kebijakan kepercayaan**.

   1. Perbarui kebijakan kepercayaan dengan menggunakan contoh berikut, yang mencakup kunci konteks kondisi `aws:SourceAccount` global `aws:SourceArn` dan global:

------
#### [ JSON ]

****  

      ```
      {
          "Version":"2012-10-17",		 	 	 
          "Statement": [
              {
                  "Effect": "Allow",
                  "Principal": {
                      "Service": "datasync.amazonaws.com"
                  },
                  "Action": "sts:AssumeRole",
                  "Condition": {
                      "StringEquals": {
                      "aws:SourceAccount": "111122223333"
                      },
                      "ArnLike": {
                      "aws:SourceArn": "arn:aws:datasync:us-east-1:111122223333:*"
                      }
                  }
              }
          ]
      }
      ```

------

   1. Pilih **Perbarui kebijakan**.

Anda dapat menentukan peran ini saat membuat lokasi Anda. Jika rahasia Anda menggunakan AWS KMS kunci yang dikelola pelanggan untuk enkripsi, maka Anda juga perlu memperbarui kebijakan kunci untuk mengizinkan akses dari peran yang Anda buat dalam prosedur sebelumnya. Untuk memperbarui kebijakan, tambahkan berikut ini ke pernyataan kebijakan AWS KMS kunci Anda:

```
{
    "Sid": "Allow DataSync use of the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam:111122223333:role/your-role-name”
    },
    "Action": "kms:Decrypt",
    "Resource": "*"
}
```

Ganti *111122223333* dengan Akun AWS ID Anda, dan *your-role-name* dengan nama peran IAM yang Anda buat di prosedur sebelumnya.

**catatan**  
Ketika Anda menyimpan rahasia di Secrets Manager, Anda Akun AWS dikenakan biaya. Untuk informasi tentang harga, lihat [AWS Secrets Manager Harga](https://aws.amazon.com/secrets-manager/pricing/).