Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Membuat dan mengonfigurasi AWS kredensional untuk Amazon Keyspaces
<a name="access.credentials"></a>

Untuk mengakses Amazon Keyspaces secara terprogram dengan, AWS SDK AWS CLI, atau dengan driver klien Cassandra dan plugin SiGv4, Anda memerlukan pengguna IAM dengan kunci akses. Saat Anda menggunakan Amazon Keyspaces secara terprogram, Anda memberikan kunci AWS akses sehingga AWS dapat memverifikasi identitas Anda dalam panggilan terprogram. Kunci akses Anda terdiri dari ID kunci akses (misalnya, AKIAIOSFODNN7 CONTOH) dan kunci akses rahasia (misalnya,wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY). Topik ini memandu Anda melalui langkah-langkah yang diperlukan dalam proses ini. 

Praktik terbaik keamanan menyarankan Anda membuat pengguna IAM dengan izin terbatas dan sebagai gantinya mengaitkan peran IAM dengan izin yang diperlukan untuk melakukan tugas tertentu. Pengguna IAM kemudian dapat sementara mengambil peran IAM untuk melakukan tugas yang diperlukan. Misalnya, pengguna IAM di akun Anda yang menggunakan konsol Amazon Keyspaces dapat beralih ke peran untuk sementara menggunakan izin peran di konsol. Pengguna menyerahkan izin mereka dan mengambil izin yang ditetapkan untuk peran tersebut. Saat pengguna keluar dari peran, izin asli mereka dipulihkan. Kredensi yang digunakan pengguna untuk mengambil peran bersifat sementara. Sebaliknya, pengguna IAM memiliki kredensi jangka panjang, yang menghadirkan risiko keamanan jika alih-alih mengasumsikan peran, mereka memiliki izin yang langsung diberikan kepada mereka. Untuk membantu mengurangi risiko ini, kami menyarankan agar Anda memberikan pengguna ini hanya izin yang mereka perlukan untuk melakukan tugas dan menghapus pengguna ini ketika mereka tidak lagi diperlukan. Untuk informasi selengkapnya tentang peran, lihat [Skenario umum untuk peran: Pengguna, aplikasi, dan layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios.html) di *Panduan Pengguna IAM*.

**Topics**
+ [Kredensional yang diperlukan oleh, AWS SDK AWS CLI, atau plugin Amazon Keyspaces SigV4 untuk driver klien Cassandra](SigV4_credentials.md)
+ [Buat kredensi sementara untuk terhubung ke Amazon Keyspaces menggunakan peran IAM dan plugin SiGv4](temporary.credentials.IAM.md)
+ [Buat pengguna IAM untuk akses terprogram ke Amazon Keyspaces di akun Anda AWS](access.credentials.IAM.md)
+ [Buat kunci akses baru untuk pengguna IAM](create.keypair.md)
+ [Simpan kunci akses untuk akses terprogram](aws.credentials.manage.md)

# Kredensional yang diperlukan oleh, AWS SDK AWS CLI, atau plugin Amazon Keyspaces SigV4 untuk driver klien Cassandra
<a name="SigV4_credentials"></a>

Kredensi berikut diperlukan untuk mengautentikasi pengguna atau peran IAM:

`AWS_ACCESS_KEY_ID`  
Menentukan kunci AWS akses yang terkait dengan pengguna IAM atau peran.  
Kunci akses `aws_access_key_id` diperlukan untuk terhubung ke Amazon Keyspaces secara terprogram.

`AWS_SECRET_ACCESS_KEY`  
Menentukan kunci rahasia yang terkait dengan kunci akses. Ini pada dasarnya adalah “kata sandi” untuk kunci akses.  
`aws_secret_access_key`Diperlukan untuk terhubung ke Amazon Keyspaces secara terprogram. 

`AWS_SESSION_TOKEN`- Opsional  
Menentukan nilai token sesi yang diperlukan jika Anda menggunakan kredensil keamanan sementara yang Anda ambil langsung dari operasi. AWS Security Token Service Untuk informasi selengkapnya, lihat [Buat kredensi sementara untuk terhubung ke Amazon Keyspaces menggunakan peran IAM dan plugin SiGv4](temporary.credentials.IAM.md).  
Jika Anda terhubung dengan pengguna IAM, tidak `aws_session_token` diperlukan.

# Buat kredensi sementara untuk terhubung ke Amazon Keyspaces menggunakan peran IAM dan plugin SiGv4
<a name="temporary.credentials.IAM"></a>

Cara yang disarankan untuk mengakses Amazon Keyspaces secara terprogram adalah dengan menggunakan [kredensi sementara untuk mengautentikasi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) dengan plugin SiGv4. Dalam banyak skenario, Anda tidak memerlukan access key jangka panjang yang tidak pernah kedaluwarsa (seperti yang Anda lakukan dengan pengguna IAM). Sebagai gantinya, Anda dapat membuat peran IAM dan menghasilkan kredenal keamanan sementara. Kredensial keamanan sementara terdiri dari access key ID dan secret access key, tetapi mereka juga menyertakan token keamanan yang menunjukkan kapan kredensial kedaluwarsa. Untuk mempelajari lebih lanjut tentang cara menggunakan peran IAM alih-alih kunci akses jangka panjang, lihat [Beralih ke peran IAM (AWS API)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-api.html).

Untuk memulai dengan kredensi sementara, Anda harus terlebih dahulu membuat peran IAM.

**Buat peran IAM yang memberikan akses hanya-baca ke Amazon Keyspaces**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Peran**, lalu **Buat peran**.

1. Pada halaman **Buat peran**, di bawah **Pilih jenis entitas tepercaya**, pilih **AWS layanan**. **Di bawah **Pilih kasus penggunaan**, pilih **Amazon EC2**, lalu pilih Berikutnya.**

1. **Pada halaman **Tambahkan izin**, di bawah **Kebijakan izin, pilih** Amazon **Keyspaces Baca Hanya Akses** dari daftar kebijakan, lalu pilih Berikutnya.**

1. Pada halaman **Nama, tinjau, dan buat**, masukkan nama untuk peran tersebut, dan tinjau bagian **Pilih entitas tepercaya** dan **Tambahkan izin**. Anda juga dapat menambahkan tag opsional untuk peran di halaman ini. Setelah selesai, pilih **Buat peran**. Ingat nama ini karena Anda akan membutuhkannya saat meluncurkan instans Amazon EC2 Anda.

Untuk menggunakan kredensi keamanan sementara dalam kode, Anda secara terprogram memanggil AWS Security Token Service API seperti `AssumeRole` dan mengekstrak kredenal dan token sesi yang dihasilkan dari peran IAM yang Anda buat pada langkah sebelumnya. Anda kemudian menggunakan nilai-nilai tersebut sebagai kredensional untuk panggilan berikutnya ke. AWS Contoh berikut menunjukkan pseudocode untuk cara menggunakan kredenal keamanan sementara:

```
assumeRoleResult = AssumeRole(role-arn);
tempCredentials = new SessionAWSCredentials(
   assumeRoleResult.AccessKeyId, 
   assumeRoleResult.SecretAccessKey, 
   assumeRoleResult.SessionToken);
cassandraRequest = CreateAmazoncassandraClient(tempCredentials);
```

Untuk contoh yang mengimplementasikan kredensi sementara menggunakan driver Python untuk mengakses Amazon Keyspaces, lihat. [Connect ke Amazon Keyspaces menggunakan driver DataStax Python untuk Apache Cassandra dan plugin otentikasi SiGv4](using_python_driver.md#python_SigV4)

Untuk detail tentang cara memanggil `AssumeRole``GetFederationToken`, dan operasi API lainnya, lihat [Referensi AWS Security Token Service API](https://docs.aws.amazon.com/STS/latest/APIReference/). Untuk informasi tentang mendapatkan kredensial keamanan sementara dan token sesi dari hasilnya, lihat dokumentasi untuk SDK yang sedang Anda kerjakan. Anda dapat menemukan dokumentasi untuk semua AWS SDKs pada [halaman AWS dokumentasi](https://aws.amazon.com/documentation) utama, di bagian **SDKs dan Toolkit**.

# Buat pengguna IAM untuk akses terprogram ke Amazon Keyspaces di akun Anda AWS
<a name="access.credentials.IAM"></a>

Untuk mendapatkan kredensil akses terprogram ke Amazon Keyspaces dengan plugin, AWS SDK AWS CLI, atau SiGv4, Anda harus terlebih dahulu membuat pengguna atau peran IAM. Proses membuat pengguna IAM dan mengonfigurasi pengguna IAM agar memiliki akses terprogram ke Amazon Keyspaces ditampilkan dalam langkah-langkah berikut:

1. Buat pengguna di Konsol Manajemen AWS AWS CLI, Alat untuk Windows PowerShell, atau menggunakan operasi AWS API. Jika Anda membuat pengguna di Konsol Manajemen AWS, maka kredensialnya dibuat secara otomatis. 

1. Jika Anda membuat pengguna secara terprogram, maka Anda harus membuat kunci akses (ID kunci akses dan kunci akses rahasia) untuk pengguna tersebut dalam langkah tambahan.

1. Berikan izin pengguna untuk mengakses Amazon Keyspaces. 

Untuk informasi tentang izin yang Anda perlukan untuk membuat pengguna IAM, lihat [Izin yang diperlukan untuk mengakses sumber](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_permissions-required.html) daya IAM. 

------
#### [ Console ]

**Buat pengguna IAM dengan akses terprogram (konsol)**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Pengguna**, lalu pilih **Tambahkan pengguna**.

1. Masukkan nama pengguna untuk pengguna baru. Ini adalah nama masuk untuk AWS. 
**catatan**  
Nama pengguna dapat berupa kombinasi hingga 64 huruf, digit, dan karakter ini: plus (\$1), sama dengan (=), koma (,), titik (.), pada a keong (@), garis bawah (\$1), dan tanda hubung (-). Nama harus unik dalam akun. Grup tidak dibedakan berdasarkan huruf besar-kecil. Misalnya, Anda tidak dapat membuat dua pengguna yang diberi nama *TESTUSER* dan *testuser*.

1. Pilih **Kunci akses - Akses terprogram** untuk membuat kunci akses untuk pengguna baru. Anda dapat melihat atau mengunduh tombol akses ketika Anda sampai ke halaman **Final**.

   Pilih **Berikutnya: Izin**.

1. Pada halaman **Setel izin**, pilih **Lampirkan kebijakan yang ada secara langsung** untuk menetapkan izin ke pengguna baru.

   Opsi ini menampilkan daftar kebijakan AWS terkelola dan terkelola pelanggan yang tersedia di akun Anda. Anda dapat masuk `keyspaces` ke kolom pencarian untuk hanya menampilkan kebijakan yang terkait dengan Amazon Keyspaces.

   Untuk Amazon Keyspaces, kebijakan terkelola yang tersedia adalah `AmazonKeyspacesFullAccess` dan. `AmazonKeyspacesReadOnlyAccess` Untuk informasi selengkapnya tentang setiap kebijakan, lihat[AWS kebijakan terkelola untuk Amazon Keyspaces](security-iam-awsmanpol.md). 

   Untuk tujuan pengujian dan untuk mengikuti tutorial koneksi, pilih `AmazonKeyspacesReadOnlyAccess` kebijakan untuk pengguna IAM baru. **Catatan:** Sebagai praktik terbaik, kami menyarankan Anda mengikuti prinsip hak istimewa paling sedikit dan membuat kebijakan khusus yang membatasi akses ke sumber daya tertentu dan hanya mengizinkan tindakan yang diperlukan. Untuk informasi selengkapnya tentang kebijakan IAM dan untuk melihat contoh kebijakan untuk Amazon Keyspaces, lihat. [Kebijakan berbasis identitas Amazon Keyspaces](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies) Setelah Anda membuat kebijakan izin khusus, lampirkan kebijakan Anda ke peran, lalu biarkan pengguna mengambil peran yang sesuai untuk sementara.

   Pilih **Berikutnya: Tanda**.

1. Pada halaman **Tambahkan tag (opsional)** Anda dapat menambahkan tag untuk pengguna, atau memilih **Berikutnya: Tinjau**. 

1. Pada halaman **Review** Anda dapat melihat semua pilihan yang Anda buat sampai saat ini. Saat Anda siap untuk melanjutkan, pilih **Buat pengguna**.

1. Untuk melihat kunci akses pengguna (kunci akses IDs dan kunci akses rahasia), pilih **Tampilkan** di sebelah kata sandi dan kunci akses. Untuk menyimpan kunci akses tersebut, pilih **Download .csv** (Unduh .csv) lalu simpan file ke lokasi yang aman. 
**penting**  
Ini adalah satu-satunya kesempatan Anda untuk melihat atau mengunduh kunci akses rahasia, dan Anda memerlukan informasi ini sebelum mereka dapat menggunakan plugin SiGv4. Simpan access key ID baru pengguna dan secret access key di tempat yang aman dan terlindungi. Anda tidak akan memiliki akses ke kunci rahasia kembali setelah langkah ini.

------
#### [ CLI ]

**Buat pengguna IAM dengan akses terprogram ()AWS CLI**

1. Buat pengguna dengan AWS CLI kode berikut.
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/create-user.html](https://docs.aws.amazon.com/cli/latest/reference/iam/create-user.html)

1. Berikan akses terprogram kepada pengguna. Ini membutuhkan kunci akses, yang dapat dihasilkan dengan cara berikut. 
   + AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html)
   + Tools for Windows PowerShell: [https://docs.aws.amazon.com/powershell/latest/reference/items/New-IAMAccessKey.html](https://docs.aws.amazon.com/powershell/latest/reference/items/New-IAMAccessKey.html)
   + API IAM: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html)
**penting**  
Ini adalah satu-satunya kesempatan Anda untuk melihat atau mengunduh kunci akses rahasia, dan Anda memerlukan informasi ini sebelum mereka dapat menggunakan plugin SiGv4. Simpan access key ID baru pengguna dan secret access key di tempat yang aman dan terlindungi. Anda tidak akan memiliki akses ke kunci rahasia kembali setelah langkah ini.

1. Lampirkan `AmazonKeyspacesReadOnlyAccess` kebijakan ke pengguna yang menentukan izin pengguna. **Catatan:** Sebagai praktik terbaik, sebaiknya Anda mengelola izin pengguna dengan menambahkan pengguna ke grup dan melampirkan kebijakan ke grup, bukan melampirkan langsung ke pengguna.
   + AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/attach-user-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-user-policy.html)

------

# Buat kunci akses baru untuk pengguna IAM
<a name="create.keypair"></a>

Jika Anda sudah memiliki pengguna IAM, Anda dapat membuat kunci akses baru kapan saja. Untuk informasi selengkapnya tentang manajemen kunci, misalnya cara memperbarui kunci akses, lihat [Mengelola kunci akses untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html). 

**Untuk membuat kunci akses untuk pengguna IAM (konsol)**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Users** (Pengguna).

1. Pilih nama pengguna yang kunci aksesnya ingin Anda buat.

1. Pada halaman **Ringkasan** pengguna, pilih tab **Security credentials.**

1. Di bagian **Kunci akses** **di bawah Praktik & alternatif terbaik kunci akses**, pilih kasus penggunaan **Lainnya**. Klik **Berikutnya**, masukkan informasi opsional sesuai kebutuhan, dan pilih **Buat kunci akses**.

   Untuk melihat pasangan access key baru, pilih **Show** (Tampilkan). Kredensial Anda akan terlihat seperti ini:
   + ID kunci akses: AKIAIOSFODNN7 CONTOH
   + Secret access key: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
**catatan**  
Anda tidak akan memiliki akses ke secret access key lagi setelah menutup kotak dialog ini.

   Pertimbangkan praktik terbaik berikut untuk key pair yang telah Anda buat.
   + Jangan pernah menyimpan kunci akses Anda dalam teks biasa, dalam repositori kode, atau dalam kode.
   + Nonaktifkan atau hapus kunci akses saat tidak lagi diperlukan.
   + Aktifkan izin hak istimewa paling sedikit.
   + Putar tombol akses secara teratur.

1. Untuk mengunduh pasangan kunci tersebut, pilih **Unduh file .csv**. Simpan kunci di lokasi yang aman.

1. Setelah mengunduh file .csv, pilih **Tutup**.

Saat Anda membuat access key, key pair akan aktif secara default, dan Anda dapat langsung menggunakan pasangan tersebut.

# Simpan kunci akses untuk akses terprogram
<a name="aws.credentials.manage"></a>

Sebagai praktik terbaik, kami menyarankan Anda untuk tidak menyematkan kunci akses langsung ke kode. Alat AWS SDKs dan Baris AWS Perintah memungkinkan Anda untuk menempatkan kunci akses di lokasi yang diketahui sehingga Anda tidak harus menyimpannya dalam kode. Letakkan access key di salah satu lokasi berikut:
+ **Variabel lingkungan** — Pada sistem multitenant, pilih variabel lingkungan pengguna, bukan variabel lingkungan sistem.
+ File **kredensial CLI — `config` File** `credentials` dan diperbarui saat Anda menjalankan perintah. `aws configure` `credentials`File ini terletak `~/.aws/credentials` di Linux, macOS, atau Unix, atau di `C:\Users\USERNAME\.aws\credentials` Windows. File ini dapat berisi detail kredensi untuk `default` profil dan profil bernama apa pun.
+ **File konfigurasi CLI — `config` File** `credentials` dan diperbarui saat Anda menjalankan perintah. `aws configure` `config`File ini terletak `~/.aws/config` di Linux, macOS, atau Unix, atau di `C:\Users\USERNAME\.aws\config` Windows. File ini berisi pengaturan konfigurasi untuk profil default dan profil bernama apa pun.

Menyimpan kunci akses sebagai variabel lingkungan merupakan prasyarat untuk file. [Step-by-step tutorial untuk terhubung ke Amazon Keyspaces menggunakan driver DataStax Java 4.x untuk Apache Cassandra dan plugin otentikasi SiGv4](using_java_driver.md#java_tutorial.SigV4) Perhatikan bahwa ini termasuk default Wilayah AWS. Klien mencari kredensi menggunakan rantai penyedia kredensial default, dan kunci akses yang disimpan sebagai variabel lingkungan lebih diutamakan daripada semua lokasi lain, misalnya file konfigurasi. Untuk informasi selengkapnya, lihat [Pengaturan konfigurasi dan prioritas](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-quickstart.html#cli-configure-quickstart-precedence).

Contoh berikut menunjukkan bagaimana Anda dapat mengkonfigurasi variabel lingkungan untuk pengguna default.

------
#### [ Linux, macOS, or Unix ]

```
$ export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
$ export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
$ export AWS_SESSION_TOKEN=AQoDYXdzEJr...<remainder of security token>
$ export AWS_DEFAULT_REGION=us-east-1
```

Menyetel variabel lingkungan mengubah nilai yang digunakan hingga akhir sesi shell Anda, atau sampai Anda menyetel variabel ke nilai yang berbeda. Anda dapat membuat variabel persisten di seluruh sesi masa depan dengan menyetelnya di skrip startup shell Anda.

------
#### [ Windows Command Prompt ]

```
C:\> setx AWS_ACCESS_KEY_ID AKIAIOSFODNN7EXAMPLE
C:\> setx AWS_SECRET_ACCESS_KEY wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
C:\> setx AWS_SESSION_TOKEN AQoDYXdzEJr...<remainder of security token>
C:\> setx AWS_DEFAULT_REGION us-east-1
```

Menggunakan `[set](https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/set_1)` untuk mengatur variabel lingkungan mengubah nilai yang digunakan sampai akhir sesi prompt perintah saat ini, atau sampai Anda mengatur variabel ke nilai yang berbeda. Menggunakan [https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/setx](https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/setx)untuk mengatur variabel lingkungan mengubah nilai yang digunakan dalam sesi prompt perintah saat ini dan semua sesi prompt perintah yang Anda buat setelah menjalankan perintah. Itu ***tidak*** mempengaruhi shell perintah lain yang sudah berjalan pada saat Anda menjalankan perintah.

------
#### [ PowerShell ]

```
PS C:\> $Env:AWS_ACCESS_KEY_ID="AKIAIOSFODNN7EXAMPLE"
PS C:\> $Env:AWS_SECRET_ACCESS_KEY="wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
PS C:\> $Env:AWS_SESSION_TOKEN="AQoDYXdzEJr...<remainder of security token>"
PS C:\> $Env:AWS_DEFAULT_REGION="us-east-1"
```

Jika Anda menetapkan variabel lingkungan pada PowerShell prompt seperti yang ditunjukkan pada contoh sebelumnya, itu menyimpan nilai hanya untuk durasi sesi saat ini. Untuk membuat pengaturan variabel lingkungan persisten di semua sesi PowerShell Command Prompt, simpan dengan menggunakan aplikasi **Sistem** di **Control Panel**. Atau, Anda dapat mengatur variabel untuk semua PowerShell sesi future dengan menambahkannya ke PowerShell profil Anda. Lihat [PowerShell dokumentasi](https://docs.microsoft.com/powershell/module/microsoft.powershell.core/about/about_environment_variables) untuk informasi selengkapnya tentang menyimpan variabel lingkungan atau mempertahankannya di seluruh sesi.

------