Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Kebijakan yang dikelola pelanggan IAM untuk AWS DataSync
Selain kebijakan AWS terkelola, Anda juga dapat membuat kebijakan berbasis identitas Anda sendiri AWS DataSync dan melampirkannya ke identitas AWS Identity and Access Management (IAM) yang memerlukan izin tersebut. Ini dikenal sebagai *kebijakan yang dikelola pelanggan*, yang merupakan kebijakan mandiri yang Anda kelola sendiri. Akun AWS
**penting**
Sebelum Anda mulai, kami sarankan Anda mempelajari tentang konsep dasar dan opsi untuk mengelola akses ke DataSync sumber daya Anda. Untuk informasi selengkapnya, lihat [Manajemen akses untuk AWS DataSync](managing-access-overview.md).
Saat membuat kebijakan yang dikelola pelanggan, Anda menyertakan pernyataan tentang DataSync operasi yang dapat digunakan pada AWS sumber daya tertentu. Contoh kebijakan berikut memiliki dua pernyataan (perhatikan `Action` dan `Resource` elemen dalam setiap pernyataan):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowsSpecifiedActionsOnAllTasks",
"Effect": "Allow",
"Action": "datasync:DescribeTask",
"Resource": "arn:aws:datasync:us-east-1:111122223333:task/*"
},
{
"Sid": "ListAllTasks",
"Effect": "Allow",
"Action": "datasync:ListTasks",
"Resource": "*"
}
]
}
```
------
Pernyataan kebijakan melakukan hal berikut:
+ Pernyataan pertama memberikan izin untuk melakukan `datasync:DescribeTask` tindakan pada resource tugas transfer tertentu dengan menentukan Amazon Resource Name (ARN) dengan karakter wildcard (). `*`
+ Pernyataan kedua memberikan izin untuk melakukan `datasync:ListTasks` tindakan pada semua tugas dengan menentukan hanya karakter wildcard (). `*`
## Contoh kebijakan yang dikelola pelanggan
Contoh berikut kebijakan terkelola pelanggan memberikan izin untuk berbagai DataSync operasi. Kebijakan berfungsi jika Anda menggunakan AWS Command Line Interface (AWS CLI) atau AWS SDK. Untuk menggunakan kebijakan ini di konsol, Anda juga harus menggunakan kebijakan terkelola`AWSDataSyncFullAccess`.
**Topics**
+ [Contoh 1: Buat hubungan kepercayaan yang memungkinkan DataSync untuk mengakses bucket Amazon S3 Anda](#datasync-example1)
+ [Contoh 2: DataSync Izinkan membaca dan menulis ke bucket Amazon S3 Anda](#datasync-example2)
+ [Contoh 3: Izinkan DataSync untuk mengunggah log ke grup CloudWatch log](#datasync-example4)
### Contoh 1: Buat hubungan kepercayaan yang memungkinkan DataSync untuk mengakses bucket Amazon S3 Anda
Berikut ini adalah contoh kebijakan kepercayaan yang memungkinkan DataSync untuk mengambil peran IAM. Peran ini memungkinkan DataSync untuk mengakses bucket Amazon S3. Untuk mencegah [masalah deputi lintas layanan yang membingungkan](cross-service-confused-deputy-prevention.md), sebaiknya gunakan kunci konteks kondisi [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)dan global dalam kebijakan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datasync.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111111111111"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:datasync:us-east-1:111111111111:*"
}
}
}
]
}
```
------
### Contoh 2: DataSync Izinkan membaca dan menulis ke bucket Amazon S3 Anda
Contoh kebijakan berikut memberikan DataSync izin minimum untuk membaca dan menulis data ke bucket S3 yang digunakan sebagai lokasi tujuan.
**catatan**
Nilai untuk `aws:ResourceAccount` harus berupa ID akun yang memiliki bucket Amazon S3 yang ditentukan dalam kebijakan.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListBucketMultipartUploads"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
},
{
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:GetObjectVersionTagging",
"s3:ListMultipartUploadParts",
"s3:PutObject",
"s3:PutObjectTagging"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
}
]
}
```
### Contoh 3: Izinkan DataSync untuk mengunggah log ke grup CloudWatch log
DataSync memerlukan izin untuk dapat mengunggah log ke grup CloudWatch log Amazon Anda. Anda dapat menggunakan grup CloudWatch log untuk memantau dan men-debug tugas Anda.
Untuk contoh kebijakan IAM yang memberikan izin ini, lihat [Memungkinkan DataSync untuk mengunggah log ke grup CloudWatch log](configure-logging.md#cloudwatchlogs).