Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Menyetel izin di AMS dengan peran dan profil IAM
<a name="setting-permissions"></a>

AMS menggunakan AWS Identity and Access Management (IAM) untuk mengelola pengguna, kredensi keamanan seperti kunci akses, dan izin yang mengontrol AWS sumber daya mana yang dapat diakses pengguna dan aplikasi. AMS menyediakan peran pengguna IAM default dan profil instans Amazon EC2 default (yang menyertakan pernyataan yang memungkinkan akses sumber daya ke peran pengguna IAM default).

## Meminta peran pengguna IAM baru atau profil instans
<a name="request-new-role-or-profile"></a>

AMS menggunakan peran IAM untuk menetapkan izin pengguna melalui layanan federasi Anda dan profil instans IAM sebagai wadah untuk peran IAM tersebut.

Anda dapat meminta peran IAM khusus dengan Deployment \$1 Komponen tumpukan lanjutan \$1 Identity and Access Management (IAM) \$1 Buat entitas atau kebijakan (otomatisasi terkelola) jenis perubahan (ct-3dpd8mdd9jn1r), atau profil instans IAM dengan Manajemen \$1 Aplikasi \$1 Profil instans IAM \$1 Buat Manajemen \$1 Aplikasi \$1 Profil instans IAM \$1 Buat tipe perubahan (otomatisasi terkelola) (ct-0ixp4ch2tiu04). Lihat deskripsi masing-masing di bagian ini.

**catatan**  
AMS memiliki kebijakan IAM, `customer_deny_policy` yang memblokir ruang nama dan tindakan berbahaya. Kebijakan ini dilampirkan ke semua peran pelanggan AMS secara default dan jarang menjadi masalah bagi pengguna. Pengguna IAM dan permintaan peran Anda tidak menyertakan kebijakan ini, tetapi penyertaan otomatis permintaan `customer_deny_policy` dalam peran IAM membantu AMS menerapkan profil instans IAM baru dengan lebih cepat. Anda dapat meminta pengecualian `customer_deny_policy` kebijakan. Namun, permintaan ini akan melalui tinjauan keamanan yang berat dan kemungkinan akan ditolak karena alasan keamanan.

# Batasi izin dengan pernyataan kebijakan peran IAM
<a name="request-iam-user"></a>

AMS menggunakan peran IAM untuk menetapkan izin pengguna melalui layanan federasi Anda.

**Zona Pendaratan Akun Tunggal AMS**: Lihat [SALZ: Peran Pengguna IAM Default](https://docs.aws.amazon.com/managedservices/latest/userguide/defaults-user-role.html#json-default-role).

**AMS Zona Pendaratan Multi-Akun**: Lihat [MALZ: Peran Pengguna IAM Default](https://docs.aws.amazon.com/managedservices/latest/userguide/defaults-user-role.html#json-default-role-malz).

Peran IAM adalah entitas IAM yang mendefinisikan serangkaian izin untuk membuat permintaan layanan. AWS Peran IAM tidak berkaitan dengan pengguna atau grup tertentu. Sebagai gantinya, entitas tepercaya mengambil peran, seperti pengguna IAM, aplikasi, atau AWS layanan seperti Amazon EC2. Untuk informasi lebih lanjut, lihat [Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html).

Anda dapat mencatat kebijakan yang diinginkan untuk pengguna yang mengasumsikan peran pengguna AMS IAM dengan menggunakan operasi API AWS Security Token Service (STS) [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)dengan meneruskan kebijakan IAM yang lebih ketat di bawah bidang permintaan. `Policy`

Contoh pernyataan kebijakan yang dapat Anda gunakan untuk membatasi akses CT disediakan berikutnya.

Dengan menggunakan grup Active Directory (AD) yang dikonfigurasi, dan operasi AWS Security Token Service (STS) API [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html), Anda dapat menetapkan izin untuk pengguna atau grup tertentu, termasuk membatasi akses ke jenis perubahan tertentu ()CTs. Anda dapat menggunakan pernyataan kebijakan yang ditunjukkan di bawah ini untuk membatasi akses CT dengan berbagai cara.

Pernyataan tipe perubahan AMS di profil instans IAM default yang memungkinkan akses ke semua panggilan AMS API (amscm dan amsskms) dan semua jenis perubahan:

```
{
    "Sid": "AWSManagedServicesFullAccess",
    "Effect": "Allow",
    "Action": [
        "amscm:*",
        "amsskms:*"
    ],
    "Resource": [
        "*"
    ]
}
```

1. Pernyataan untuk mengizinkan akses dan semua tindakan hanya untuk dua yang ditentukan CTs, di mana “Tindakan” adalah operasi AMS API (salah satu `amscm` atau`amsskms`), dan “Sumber Daya” mewakili jenis perubahan IDs dan nomor versi yang ada:

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "amscm:*",
               "Resource": [
                   "arn:aws:amscm:*:*:changetype/ct-ID1:1.0",
                   "arn:aws:amscm:*:*:changetype/ct-ID2:1.0"
               ]
           }
       ]
   }
   ```

------

1. Pernyataan untuk mengizinkan akses untuk CreateRfc, UpdateRfc, dan hanya SubmitRfc pada dua yang ditentukan CTs:

1. Pernyataan untuk mengizinkan akses untuk CreateRfc, UpdateRfc, dan SubmitRfc pada semua yang tersedia CTs:

1. Pernyataan untuk menolak akses untuk semua tindakan pada CT terbatas dan mengizinkan yang lain CTs:

# Batasi izin dengan profil instans Amazon EC2 IAM
<a name="request-instance-profile"></a>

Profil instans IAM adalah wadah untuk peran IAM yang dapat Anda gunakan untuk meneruskan informasi peran ke EC2 instans Amazon saat instance dimulai.

Saat ini ada satu profil instans default AWS Managed Services (AMS)`customer-mc-ec2-instance-profile`, yang memberikan izin ke aplikasi yang berjalan pada instance, bukan kepada pengguna yang masuk ke instance. Anda mungkin ingin memodifikasi profil instance default, atau membuat yang baru, jika Anda ingin memberikan akses instance ke sesuatu, tanpa memberikan akses instance lain juga. Anda dapat meminta profil instans IAM baru dengan Management \$1 Applications \$1 IAM instance profile \$1 Create change type (ct-0ixp4ch2tiu04). Saat mengirimkan RFC, Anda dapat membuat profil instans Anda sendiri dan memasukkannya sebagai InstanceProfileDescription, atau Anda bisa memberi tahu AMS (menggunakan bidang yang sama) tentang perubahan apa yang Anda inginkan. Karena ini adalah CT Manual, AMS harus menyetujui perubahan dan akan menghubungi Anda tentang hal itu.

Jika Anda tidak terbiasa dengan kebijakan Amazon IAM, lihat [Ikhtisar Kebijakan IAM untuk informasi penting](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html). Ada juga posting blog yang bagus, [Mengungkap Izin Tingkat Sumber Daya EC2 Amazon](https://aws.amazon.com/blogs/security/demystifying-ec2-resource-level-permissions/). [Perhatikan bahwa AMS saat ini tidak mendukung kontrol akses berbasis Sumber Daya, tetapi mendukung kontrol tingkat Sumber Daya menggunakan kebijakan peran IAM (untuk penjelasan perbedaannya, lihat Layanan yang Berfungsi dengan IAM.AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)

**AMS Zona Pendaratan Akun Tunggal**:

Untuk melihat tabel izin yang diberikan oleh profil instans AMS IAM default, buka Profil Instans [EC2 IAM](https://docs.aws.amazon.com/managedservices/latest/userguide/defaults-user-role.html).