Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# AWS KMS glosarium kontrol akses
Topik berikut menjelaskan istilah dan konsep penting dalam kontrol AWS KMS akses.
## Autentikasi
*Otentikasi* adalah proses verifikasi identitas Anda. Untuk mengirim permintaan AWS KMS, Anda harus masuk AWS menggunakan AWS kredensil Anda.
## Otorisasi
*Otorisasi* memberikan izin untuk mengirim permintaan untuk membuat, mengelola, atau menggunakan AWS KMS sumber daya. Misalnya, Anda harus diberi wewenang untuk menggunakan kunci KMS dalam operasi kriptografi.
Untuk mengontrol akses ke AWS KMS sumber daya Anda, gunakan [kebijakan utama, kebijakan](key-policies.md) [IAM](iam-policies.md), dan [hibah](grants.md). Setiap kunci KMS harus memiliki kebijakan kunci. Jika kebijakan kunci mengizinkannya, Anda juga dapat menggunakan kebijakan dan hibah IAM untuk memberikan akses kepada prinsipal ke kunci KMS. Untuk menyempurnakan otorisasi, Anda dapat menggunakan [kunci kondisi](policy-conditions.md) yang mengizinkan atau menolak akses hanya jika permintaan atau sumber daya memenuhi ketentuan yang Anda tentukan. [Anda juga dapat mengizinkan akses ke kepala sekolah yang Anda percayai pada orang lain. Akun AWS](key-policy-modifying-external-accounts.md)
## Mengautentikasi dengan identitas
Otentikasi adalah cara Anda masuk AWS menggunakan kredensi identitas Anda. Anda harus diautentikasi sebagai Pengguna root akun AWS, pengguna IAM, atau dengan mengasumsikan peran IAM.
Anda dapat masuk sebagai identitas federasi menggunakan kredensil dari sumber identitas seperti AWS IAM Identity Center (Pusat Identitas IAM), autentikasi masuk tunggal, atau kredensional. Google/Facebook Untuk informasi selengkapnya tentang cara masuk, lihat [Cara masuk ke Akun AWS Anda](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dalam *Panduan Pengguna AWS Sign-In *.
Untuk akses terprogram, AWS sediakan SDK dan CLI untuk menandatangani permintaan secara kriptografis. Untuk informasi selengkapnya, lihat [AWS Signature Version 4 untuk permintaan API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dalam *Panduan Pengguna IAM*.
### Akun AWS pengguna root
Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang disebut *pengguna Akun AWS root* yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Untuk tugas yang memerlukan kredensial pengguna root, lihat [Tugas yang memerlukan kredensial pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dalam *Panduan Pengguna IAM*.
### Identitas terfederasi
Sebagai praktik terbaik, mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses Layanan AWS menggunakan kredensi sementara.
*Identitas federasi* adalah pengguna dari direktori perusahaan Anda, penyedia identitas web, atau Directory Service yang mengakses Layanan AWS menggunakan kredensil dari sumber identitas. Identitas terfederasi mengambil peran yang memberikan kredensial sementara.
Untuk manajemen akses terpusat, kami menyarankan AWS IAM Identity Center. Untuk informasi selengkapnya, lihat [Apa itu Pusat Identitas IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dalam *Panduan Pengguna AWS IAM Identity Center *.
### Pengguna dan grup IAM
*[Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* adalah identitas dengan izin khusus untuk satu orang atau aplikasi. Sebaiknya gunakan kredensial sementara alih-alih pengguna IAM dengan kredensial jangka panjang. Untuk informasi selengkapnya, lihat [Mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) di Panduan Pengguna *IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) menentukan kumpulan pengguna IAM dan mempermudah pengelolaan izin untuk pengguna dalam jumlah besar. Untuk mempelajari selengkapnya, lihat [Kasus penggunaan untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dalam *Panduan Pengguna IAM*.
### Peran IAM
*[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* adalah identitas dengan izin khusus yang menyediakan kredensial sementara. Anda dapat mengambil peran dengan [beralih dari pengguna ke peran IAM (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) atau dengan memanggil operasi AWS CLI atau AWS API. Untuk informasi selengkapnya, lihat [Metode untuk mengambil peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dalam *Panduan Pengguna IAM*.
Peran IAM berguna untuk akses pengguna terfederasi, izin pengguna IAM sementara, akses lintas akun, akses lintas layanan, dan aplikasi yang berjalan di Amazon EC2. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.
## Mengelola akses menggunakan kebijakan
Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan menentukan izin saat dikaitkan dengan identitas atau sumber daya. AWS mengevaluasi kebijakan ini ketika kepala sekolah membuat permintaan. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang dokumen kebijakan JSON, lihat [Gambaran umum kebijakan JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dalam *Panduan Pengguna IAM*.
Menggunakan kebijakan, administrator menentukan siapa yang memiliki akses ke apa dengan mendefinisikan **principal** mana yang dapat melakukan **tindakan** pada **sumber daya** apa, dan dalam **kondisi** apa.
Secara default, pengguna dan peran tidak memiliki izin. Administrator IAM membuat kebijakan IAM dan menambahkannya ke peran, yang kemudian dapat diambil oleh pengguna. Kebijakan IAM mendefinisikan izin terlepas dari metode yang Anda gunakan untuk melakukan operasinya.
### Kebijakan berbasis identitas
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang Anda lampirkan ke identitas (pengguna, grup, atau peran). Kebijakan ini mengontrol tindakan apa yang bisa dilakukan oleh identitas tersebut, terhadap sumber daya yang mana, dan dalam kondisi apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Kebijakan berbasis identitas dapat berupa *kebijakan inline* (disematkan langsung ke dalam satu identitas) atau *kebijakan terkelola* (kebijakan mandiri yang dilampirkan pada banyak identitas). Untuk mempelajari cara memilih antara kebijakan terkelola dan kebijakan inline, lihat [Pilih antara kebijakan terkelola dan kebijakan inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dalam *Panduan Pengguna IAM*.
### Kebijakan berbasis sumber daya
[Kebijakan AWS KMS kunci adalah kebijakan](key-policies.md) berbasis sumber daya yang mengontrol akses ke kunci KMS. Setiap kunci KMS harus memiliki kebijakan kunci. Anda dapat menggunakan mekanisme otorisasi lain untuk mengizinkan akses ke kunci KMS, tetapi hanya jika kebijakan kunci mengizinkannya. (Anda dapat menggunakan kebijakan IAM untuk *menolak* akses ke kunci KMS meskipun kebijakan kunci tidak secara eksplisit mengizinkannya.)
Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya, seperti kunci KMS, untuk mengontrol akses ke sumber daya tertentu. Kebijakan berbasis sumber daya mendefinisikan tindakan yang dapat dilakukan oleh prinsipal tertentu pada sumber daya itu dan dalam kondisi apa. Anda tidak menentukan sumber daya dalam kebijakan berbasis sumber daya, tetapi Anda harus menentukan prinsipal, seperti akun, pengguna, peran, pengguna gabungan, atau. Layanan AWS Kebijakan berbasis sumber daya adalah kebijakan inline yang terletak di layanan yang mengelola sumber daya. Anda tidak dapat menggunakan kebijakan AWS terkelola dari IAM, seperti [kebijakan `AWSKeyManagementServicePowerUser` terkelola, dalam kebijakan](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSKeyManagementServicePowerUser) berbasis sumber daya.
### Jenis-jenis kebijakan lain
AWS mendukung jenis kebijakan tambahan yang dapat menetapkan izin maksimum yang diberikan oleh jenis kebijakan yang lebih umum:
+ **Batasan izin** – Menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Untuk informasi selengkapnya, lihat [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dalam *Panduan Pengguna IAM*.
+ **Kebijakan kontrol layanan (SCPs)** — Tentukan izin maksimum untuk organisasi atau unit organisasi di AWS Organizations. Untuk informasi selengkapnya, lihat [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dalam *Panduan Pengguna AWS Organizations *.
+ **Kebijakan kontrol sumber daya (RCPs)** — Tetapkan izin maksimum yang tersedia untuk sumber daya di akun Anda. Untuk informasi selengkapnya, lihat [Kebijakan kontrol sumber daya (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) di *Panduan AWS Organizations Pengguna*.
+ **Kebijakan sesi** – Kebijakan lanjutan yang diteruskan sebagai parameter saat membuat sesi sementara untuk peran atau pengguna terfederasi. Untuk informasi selengkapnya, lihat [Kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dalam *Panduan Pengguna IAM*.
### Berbagai jenis kebijakan
Ketika beberapa jenis kebijakan berlaku pada suatu permintaan, izin yang dihasilkan lebih rumit untuk dipahami. Untuk mempelajari cara AWS menentukan apakah akan mengizinkan permintaan saat beberapa jenis kebijakan terlibat, lihat [Logika evaluasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) di *Panduan Pengguna IAM*.
## AWS KMS sumber daya
Pada tahun AWS KMS, sumber daya utama adalah AWS KMS key. AWS KMS juga mendukung [alias](kms-alias.md), sumber daya independen yang menyediakan nama ramah untuk kunci KMS. Beberapa AWS KMS operasi memungkinkan Anda untuk menggunakan alias untuk mengidentifikasi kunci KMS.
Setiap instance kunci atau alias KMS memiliki [Amazon Resource Name](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arns-syntax) (ARN) unik dengan format standar. Dalam AWS KMS sumber daya, nama AWS layanannya adalah`kms`.
+ **AWS KMS key**
Format ARN:
`arn:AWS partition name:AWS service name:Wilayah AWS:Akun AWS ID:key/key ID`
ARN contoh:
`arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`
+ **Alias**
Format ARN:
`arn:AWS partition name:AWS service name:Wilayah AWS:Akun AWS ID:alias/alias name`
ARN contoh:
`arn:aws:kms:us-west-2:111122223333:alias/example-alias`
AWS KMS menyediakan serangkaian operasi API untuk bekerja dengan AWS KMS sumber daya Anda. Untuk informasi selengkapnya tentang mengidentifikasi kunci KMS dalam operasi Konsol Manajemen AWS dan AWS KMS API, lihat[Pengidentifikasi kunci () KeyId](concepts.md#key-id). Untuk daftar AWS KMS operasi, lihat [Referensi AWS Key Management Service API](https://docs.aws.amazon.com/kms/latest/APIReference/).