Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Keamanan di MemoryDB
<a name="security"></a>

Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.

Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) menjelaskan hal ini sebagai keamanan cloud dan keamanan dalam cloud:
+ **Keamanan cloud** — AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan AWS layanan di AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Auditor pihak ketiga secara teratur menguji dan memverifikasi efektivitas keamanan kami sebagai bagian dari [Program AWS Kepatuhan Program AWS Kepatuhan](https://aws.amazon.com/compliance/programs/) . Untuk mempelajari tentang program kepatuhan yang berlaku untuk MemoryDB, lihat [AWS Layanan dalam Lingkup oleh AWS Layanan Program Kepatuhan dalam Lingkup oleh Program](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Keamanan di cloud** — Tanggung jawab Anda ditentukan oleh AWS layanan yang Anda gunakan. Anda juga bertanggung jawab atas faktor lain, yang mencakup kepekaan data Anda, persyaratan perusahaan, serta peraturan perundangan yang berlaku 

Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan MemoryDB. Ini menunjukkan kepada Anda cara mengkonfigurasi MemoryDB untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga belajar cara menggunakan AWS layanan lain yang membantu Anda memantau dan mengamankan sumber daya MemoryDB Anda.

**Topics**
+ [Perlindungan data](data-protection.md)
+ [Manajemen identitas dan akses](iam.md)
+ [Pencatatan log dan pemantauan](monitoring-overview.md)
+ [Validasi kepatuhan](memorydb-compliance.md)
+ [Keamanan infrastruktur](infrastructure-security.md)
+ [Privasi lalu lintas antarjaringan](Security.traffic.md)
+ [Pembaruan layanan](service-updates.md)

# Perlindungan data di MemoryDB
<a name="data-protection"></a>

[Model tanggung jawab AWS bersama model](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data di. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam [Pertanyaan Umum Privasi Data](https://aws.amazon.com/compliance/data-privacy-faq/). Lihat informasi tentang perlindungan data di Eropa di pos blog [Model Tanggung Jawab Bersama dan GDPR AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) di *Blog Keamanan AWS *.

Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensil dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
+ Gunakan autentikasi multi-faktor (MFA) pada setiap akun.
+ Gunakan SSL/TLS untuk berkomunikasi dengan AWS sumber daya. Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Siapkan API dan logging aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat [Bekerja dengan CloudTrail jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) di *AWS CloudTrail Panduan Pengguna*.
+ Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.
+ Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.
+ Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-3 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi selengkapnya tentang titik akhir FIPS yang tersedia di [Standar Pemrosesan Informasi Federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).

Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang **Nama**. Ini termasuk saat Anda bekerja dengan atau lainnya Layanan AWS menggunakan konsol, API AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.



# Keamanan data di MemoryDB
<a name="encryption"></a>

Untuk membantu menjaga keamanan data Anda, MemoryDB dan Amazon EC2 menyediakan mekanisme untuk melindungi terhadap akses data Anda yang tidak sah di server.

MemoryDB juga menyediakan fitur enkripsi untuk data pada cluster:
+ Enkripsi in-transit mengenkripsi data Anda setiap kali data bergerak dari satu tempat ke tempat lain, misalnya antara beberapa simpul di klaster Anda atau antara klaster dan aplikasi Anda.
+ Enkripsi AT-rest mengenkripsi log transaksi dan data on-disk Anda selama operasi snapshot.

Anda juga dapat menggunakan [Mengautentikasi pengguna dengan Daftar Kontrol Akses () ACLs](clusters.acls.md) untuk mengontrol akses pengguna ke cluster Anda.

**Topics**
+ [Keamanan data di MemoryDB](encryption.md)
+ [Enkripsi At-Rest di MemoryDB](at-rest-encryption.md)
+ [Enkripsi dalam transit (TLS) di MemoryDB](in-transit-encryption.md)
+ [Mengautentikasi pengguna dengan Daftar Kontrol Akses () ACLs](clusters.acls.md)
+ [Autentikasi dengan IAM](auth-iam.md)

# Enkripsi At-Rest di MemoryDB
<a name="at-rest-encryption"></a>

Untuk membantu menjaga keamanan data Anda, MemoryDB dan Amazon S3 menyediakan berbagai cara untuk membatasi akses ke data di cluster Anda. Untuk informasi selengkapnya, lihat [MemoryDB dan Amazon VPC](vpcs.md) dan [Manajemen identitas dan akses di MemoryDB](iam.md).

Enkripsi saat istirahat MemoryDB selalu diaktifkan untuk meningkatkan keamanan data dengan mengenkripsi data persisten. Ini mengenkripsi aspek-aspek berikut:
+ Data dalam log transaksi 
+ Disk selama operasi sinkronisasi, snapshot, dan swap 
+ Snapshot disimpan di Amazon S3 

 MemoryDB menawarkan enkripsi default (dikelola layanan) saat istirahat, serta kemampuan untuk menggunakan kunci root pelanggan yang dikelola pelanggan simetris Anda sendiri di [AWS Key Management Service (](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)KMS). 

Data yang disimpan pada SSDs (solid-state drive) dalam cluster yang diaktifkan tingkat data selalu dienkripsi secara default. 

Untuk informasi tentang enkripsi in-transit, lihat [Enkripsi dalam transit (TLS) di MemoryDB](in-transit-encryption.md) 

**Topics**
+ [Menggunakan Customer Managed Keys dari AWS KMS](#using-customer-managed-keys-for-memorydb-security)
+ [Lihat Juga](#at-rest-encryption-see-also)

## Menggunakan Customer Managed Keys dari AWS KMS
<a name="using-customer-managed-keys-for-memorydb-security"></a>

MemoryDB mendukung kunci root terkelola pelanggan simetris (kunci KMS) untuk enkripsi saat istirahat. Kunci KMS yang dikelola pelanggan adalah kunci enkripsi yang Anda buat, miliki, dan kelola di akun Anda. AWS Untuk informasi selengkapnya, lihat [Kunci Root Pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#root_keys) di *Panduan Pengembang Layanan Manajemen AWS Kunci*. Kunci harus dibuat di AWS KMS sebelum dapat digunakan dengan MemoryDB.

Untuk mempelajari cara membuat kunci root AWS KMS, lihat [Membuat Kunci](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) di *Panduan Pengembang Layanan Manajemen AWS Kunci*. 

MemoryDB memungkinkan Anda untuk berintegrasi dengan AWS KMS. Untuk informasi selengkapnya, lihat [Menggunakan Grant](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) dalam *Panduan Developer AWS Key Management Service*. Tidak diperlukan tindakan pelanggan untuk mengaktifkan integrasi MemoryDB dengan AWS KMS. 

Kunci `kms:ViaService` kondisi membatasi penggunaan kunci AWS KMS untuk permintaan dari AWS layanan tertentu. Untuk digunakan `kms:ViaService` dengan MemoryDB, sertakan kedua ViaService nama dalam nilai kunci kondisi:. `memorydb.amazon_region.amazonaws.com` Untuk informasi lebih lanjut, lihat [kms: ViaService](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-via-service).

Anda dapat menggunakan [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)untuk melacak permintaan yang dikirimkan MemoryDB AWS Key Management Service atas nama Anda. Semua panggilan API yang AWS Key Management Service terkait dengan kunci yang dikelola pelanggan memiliki CloudTrail log yang sesuai. Anda juga dapat melihat hibah yang dibuat oleh MemoryDB dengan memanggil panggilan API [ListGrants](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListGrants.html)KMS. 

Setelah cluster dienkripsi menggunakan kunci yang dikelola pelanggan, semua snapshot untuk cluster dienkripsi sebagai berikut:
+ Snapshot harian otomatis dienkripsi menggunakan kunci yang dikelola pelanggan yang terkait dengan cluster.
+ Snapshot akhir yang dibuat saat cluster dihapus, juga dienkripsi menggunakan kunci terkelola pelanggan yang terkait dengan cluster.
+ Snapshot yang dibuat secara manual dienkripsi secara default untuk menggunakan kunci KMS yang terkait dengan cluster. Anda dapat menggantinya dengan memilih kunci dikelola pelanggan yang lain.
+ Menyalin snapshot secara default menggunakan kunci terkelola pelanggan yang terkait dengan snapshot sumber. Anda dapat menggantinya dengan memilih kunci dikelola pelanggan yang lain.

**catatan**  
Kunci terkelola pelanggan tidak dapat digunakan saat mengekspor snapshot ke bucket Amazon S3 yang Anda pilih. [Namun, semua snapshot yang diekspor ke Amazon S3 dienkripsi menggunakan enkripsi sisi Server.](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html) Anda dapat memilih untuk menyalin file snapshot ke objek S3 baru dan mengenkripsi menggunakan kunci KMS yang dikelola pelanggan, menyalin file ke bucket S3 lain yang diatur dengan enkripsi default menggunakan kunci KMS atau mengubah opsi enkripsi dalam file itu sendiri.
Anda juga dapat menggunakan kunci yang dikelola pelanggan untuk mengenkripsi snapshot yang dibuat secara manual yang tidak menggunakan kunci yang dikelola pelanggan untuk enkripsi. Dengan opsi ini, file snapshot yang disimpan di Amazon S3 dienkripsi menggunakan kunci KMS, meskipun data tidak dienkripsi pada cluster asli. 
Memulihkan dari snapshot memungkinkan Anda memilih dari opsi enkripsi yang tersedia, mirip dengan pilihan enkripsi yang tersedia saat membuat cluster baru.
+ Jika Anda menghapus kunci atau [menonaktifkan](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html) kunci dan [mencabut hibah](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html) untuk kunci yang Anda gunakan untuk mengenkripsi klaster, cluster menjadi tidak dapat dipulihkan. Dengan kata lain, itu tidak dapat dimodifikasi atau dipulihkan setelah kegagalan perangkat keras. AWS KMS menghapus kunci root hanya setelah masa tunggu setidaknya tujuh hari. Setelah kunci dihapus, Anda dapat menggunakan kunci yang dikelola pelanggan yang berbeda untuk membuat snapshot untuk tujuan arsip. 
+ Rotasi kunci otomatis mempertahankan properti kunci root AWS KMS Anda, sehingga rotasi tidak berpengaruh pada kemampuan Anda untuk mengakses data MemoryDB Anda. Cluster MemoryDB terenkripsi tidak mendukung rotasi kunci manual, yang melibatkan pembuatan kunci root baru dan memperbarui referensi apa pun ke kunci lama. Untuk mempelajari selengkapnya, lihat [Memutar Kunci Root Pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) di *Panduan Pengembang Layanan Manajemen AWS Kunci*. 
+ Mengenkripsi cluster MemoryDB menggunakan kunci KMS memerlukan satu hibah per cluster. Hibah ini digunakan sepanjang umur cluster. Selain itu, satu hibah per snapshot digunakan selama pembuatan snapshot. Hibah ini dihentikan setelah snapshot dibuat. 
+ Untuk informasi selengkapnya tentang AWS hibah dan batasan KMS, lihat [Kuota di Panduan](https://docs.aws.amazon.com/kms/latest/developerguide/limits.html) Pengembang *Layanan Manajemen AWS Utama*.

## Lihat Juga
<a name="at-rest-encryption-see-also"></a>
+ [Enkripsi dalam transit (TLS) di MemoryDB](in-transit-encryption.md)
+ [MemoryDB dan Amazon VPC](vpcs.md)
+ [Manajemen identitas dan akses di MemoryDB](iam.md)

# Enkripsi dalam transit (TLS) di MemoryDB
<a name="in-transit-encryption"></a>

Untuk membantu menjaga keamanan data Anda, MemoryDB dan Amazon EC2 menyediakan mekanisme untuk melindungi terhadap akses data Anda yang tidak sah di server. Dengan menyediakan kemampuan enkripsi dalam perjalanan, MemoryDB memberi Anda alat yang dapat Anda gunakan untuk membantu melindungi data Anda saat berpindah dari satu lokasi ke lokasi lain. Misalnya, Anda dapat memindahkan data dari node utama ke node replika baca di dalam klaster, atau antara cluster dan aplikasi Anda.

**Topics**
+ [Gambaran umum enkripsi bergerak](#in-transit-encryption-overview)
+ [Lihat juga](#in-transit-encryption-see-also)

## Gambaran umum enkripsi bergerak
<a name="in-transit-encryption-overview"></a>

Enkripsi dalam transit MemoryDB adalah fitur yang meningkatkan keamanan data Anda pada titik yang paling rentan — saat transit dari satu lokasi ke lokasi lain.

Enkripsi dalam transit MemoryDB mengimplementasikan fitur-fitur berikut:
+ Koneksi **terenkripsi — baik koneksi** server dan klien dienkripsi Transport Layer Security (TLS).
+ **Replikasi terenkripsi—** data yang bergerak antara node primer dan node replika dienkripsi.
+ **Autentikasi server**—Klien dapat mengautentikasi bahwa koneksinya dilakukan ke server yang benar.

Mulai 07/20/2023, TLS 1.2 adalah versi minimum yang didukung untuk cluster baru dan yang sudah ada. Gunakan [tautan](https://aws.amazon.com/blogs/security/tls-1-2-required-for-aws-endpoints/) ini untuk mempelajari lebih lanjut tentang TLS 1.2 di AWS.

Untuk informasi lebih lanjut tentang menghubungkan ke cluster MemoryDB, lihat. [Menghubungkan ke node MemoryDB menggunakan redis-cli](getting-started.md#connect-tls)

## Lihat juga
<a name="in-transit-encryption-see-also"></a>
+ [Enkripsi At-Rest di MemoryDB](at-rest-encryption.md)
+ [Mengautentikasi Pengguna dengan Daftar Kontrol Akses () ACLs](https://docs.aws.amazon.com/memorydb/latest/devguide/clusters.acls.html)
+ [MemoryDB dan Amazon VPC](vpcs.md)
+ [Manajemen identitas dan akses di MemoryDB](iam.md)

# Mengautentikasi pengguna dengan Daftar Kontrol Akses () ACLs
<a name="clusters.acls"></a>

Anda dapat mengautentikasi pengguna dengan daftar kontrol Access (ACLs). 

ACLs memungkinkan Anda untuk mengontrol akses cluster dengan mengelompokkan pengguna. Daftar kontrol Access ini dirancang sebagai cara untuk mengatur akses ke cluster. 

Dengan ACLs, Anda membuat pengguna dan menetapkan mereka izin tertentu dengan menggunakan string akses, seperti yang dijelaskan di bagian berikutnya. Anda menetapkan pengguna ke daftar kontrol Access selaras dengan peran tertentu (administrator, sumber daya manusia) yang kemudian disebarkan ke satu atau beberapa cluster MemoryDB. Dengan melakukan ini, Anda dapat menetapkan batas keamanan antara klien menggunakan cluster atau cluster MemoryDB yang sama dan mencegah klien mengakses data satu sama lain. 

ACLs dirancang untuk mendukung pengenalan [ACL](https://valkey.io/docs/topics/acl/) di Redis OSS 6. Bila Anda menggunakan ACLs dengan cluster MemoryDB Anda, ada beberapa batasan: 
+ Anda tidak dapat menentukan kata sandi dalam string akses. Anda mengatur kata sandi dengan [CreateUser](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CreateUser.html)atau [UpdateUser](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UpdateUser.html)panggilan.
+ Untuk hak pengguna, Anda meneruskan `on` dan `off` sebagai bagian dari string akses. Jika keduanya tidak ditentukan dalam string akses, pengguna ditugaskan `off` dan tidak memiliki hak akses ke cluster.
+ Anda tidak dapat menggunakan perintah terlarang. Jika Anda menentukan perintah terlarang, pengecualian akan dilemparkan. Untuk daftar perintah tersebut, lihat[Perintah terbatas](restrictedcommands.md).
+ Anda tidak dapat menggunakan perintah `reset` sebagai bagian dari string akses. Anda menentukan kata sandi dengan parameter API, dan MemoryDB mengelola kata sandi. Dengan demikian, Anda tidak dapat menggunakan `reset` karena akan menghapus semua kata sandi untuk pengguna.
+ Redis OSS 6 memperkenalkan perintah [ACL](https://valkey.io/commands/acl-list) LIST. Perintah ini menampilkan daftar pengguna beserta aturan ACL yang berlaku untuk setiap pengguna. MemoryDB mendukung `ACL LIST` perintah, tetapi tidak menyertakan dukungan untuk hash kata sandi seperti yang dilakukan Redis OSS. Dengan MemoryDB, Anda dapat menggunakan [DescribeUsers](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeUsers.html)operasi untuk mendapatkan informasi serupa, termasuk aturan yang terkandung dalam string akses. Namun, [DescribeUsers](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeUsers.html)tidak mengambil kata sandi pengguna. 

  [Perintah read-only lainnya yang didukung oleh MemoryDB termasuk [ACL WHOAMI, ACL](https://valkey.io/commands/acl-whoami) USERS, dan [ACL](https://valkey.io/commands/acl-users) CAT.](https://valkey.io/commands/acl-cat) MemoryDB tidak mendukung perintah ACL berbasis tulis lainnya.

Menggunakan ACLs dengan MemoryDB dijelaskan secara lebih rinci berikut.

**Topics**
+ [Menentukan Izin Menggunakan String Akses](#access-string)
+ [Kemampuan pencarian vektor](#access-vss)
+ [Menerapkan ACLs ke cluster untuk MemoryDB](#rbac-using)

## Menentukan Izin Menggunakan String Akses
<a name="access-string"></a>

Untuk menentukan izin ke cluster MemoryDB, Anda membuat string akses dan menetapkannya ke pengguna, menggunakan salah satu atau. AWS CLI Konsol Manajemen AWS

String akses didefinisikan sebagai daftar aturan yang dipisahkan spasi yang diterapkan pada pengguna. String akses menentukan perintah yang dapat dijalankan oleh pengguna dan kunci yang dapat dioperasikan oleh pengguna. Untuk dapat menjalankan perintah, pengguna harus memiliki akses ke perintah yang dijalankan dan semua kunci yang diakses oleh perintah itu. Aturan diterapkan dari kiri ke kanan secara kumulatif, dan string yang lebih sederhana dapat digunakan sebagai pengganti yang disediakan jika ada kelebihan dalam string yang disediakan.

Untuk informasi tentang sintaks aturan ACL, lihat [ACL](https://valkey.io/topics/acl). 

Pada contoh berikut, string akses merepresentasikan pengguna aktif dengan akses ke semua kunci dan perintah yang tersedia.

 `on ~* &* +@all`

Sintaksis string akses diuraikan sebagai berikut:
+ `on` – Pengguna adalah pengguna yang aktif.
+ `~*` – Akses diberikan ke semua kunci yang tersedia.
+ `&*`— Akses diberikan ke semua saluran pubsub.
+ `+@all` – Akses diberikan ke semua perintah yang tersedia.

Pengaturan di atas adalah pengaturan yang tidak terlalu membatasi. Anda dapat mengubah pengaturan ini untuk membuatnya lebih aman.

Pada contoh berikut, string akses merepresentasikan pengguna dengan akses yang dibatasi untuk akses baca pada kunci yang diawali dengan ruang kunci "app::"

`on ~app::* -@all +@read`

Anda dapat mempersempit izin ini lebih lanjut dengan menampilkan daftar perintah yang dapat diakses pengguna:

`+command1` – Akses pengguna ke perintah dibatasi pada *`command1`*.

 `+@category` – Akses pengguna dibatasi pada kategori perintah.

Untuk informasi tentang cara menetapkan string akses ke pengguna, lihat [Membuat Pengguna dan Daftar Kontrol Akses dengan Konsol dan CLI](#users-management).

Jika Anda memigrasikan beban kerja yang ada ke MemoryDB, Anda dapat mengambil string akses dengan menelepon`ACL LIST`, tidak termasuk pengguna dan hash kata sandi apa pun.

## Kemampuan pencarian vektor
<a name="access-vss"></a>

Untuk[Pencarian vektor](vector-search.md), semua perintah pencarian termasuk dalam `@search` kategori dan kategori yang ada `@read``@write`, `@fast` dan `@slow` diperbarui untuk menyertakan perintah pencarian. Jika pengguna tidak memiliki akses ke kategori, maka pengguna tidak memiliki akses ke perintah apa pun dalam kategori tersebut. Misalnya, jika pengguna tidak memiliki akses ke`@search`, maka pengguna tidak dapat menjalankan perintah terkait pencarian.

Tabel berikut menunjukkan pemetaan perintah pencarian ke kategori yang sesuai.


| Perintah VSS | @read | @write | @fast | @slow | 
| --- | --- | --- | --- | --- | 
| FT.CREATE |  | Y | Y |  | 
| FT.DROPINDEX |  | Y | Y |  | 
| FT.LIST | Y |  |  | Y | 
| FT.INFO | Y |  | Y |  | 
| FT.SEARCH | Y |  |  | Y | 
| FT.AGGREGATE | Y |  |  | Y | 
| FT.PROFILE | Y |  |  | Y | 
| FT.ALIASADD |  | Y | Y |  | 
| FT.ALIASDEL |  | Y | Y |  | 
| FT.ALIASUPDATE |  | Y | Y |  | 
| FT.\$1ALIASLIST | Y |  |  | Y | 
| FT.EXPLAIN | Y |  | Y |  | 
| FT.EXPLAINCLI | Y |  | Y |  | 
| FT.CONFIG | Y |  | Y |  | 

## Menerapkan ACLs ke cluster untuk MemoryDB
<a name="rbac-using"></a>

Untuk menggunakan MemoryDB ACLs, Anda mengambil langkah-langkah berikut: 

1. Buat satu atau beberapa pengguna.

1. Buat ACL dan tambahkan pengguna ke daftar.

1. Tetapkan ACL ke cluster.

Langkah ini dijelaskan secara mendetail di bagian berikut.

**Topics**
+ [Membuat Pengguna dan Daftar Kontrol Akses dengan Konsol dan CLI](#users-management)
+ [Mengelola Daftar Kontrol Akses dengan Konsol dan CLI](#user-groups)
+ [Menetapkan daftar kontrol Akses ke cluster](#users-groups-to-clusterss)

### Membuat Pengguna dan Daftar Kontrol Akses dengan Konsol dan CLI
<a name="users-management"></a>

Informasi pengguna untuk ACLs pengguna adalah nama pengguna, dan secara opsional kata sandi dan string akses. String akses menyediakan tingkat izin pada kunci dan perintah. Nama ini unik untuk pengguna dan itulah yang diteruskan ke mesin. 

Pastikan bahwa izin pengguna yang Anda berikan masuk akal dengan tujuan ACL yang dimaksudkan. Misalnya, jika Anda membuat ACL yang dipanggil`Administrators`, setiap pengguna yang Anda tambahkan ke grup itu harus memiliki string aksesnya disetel ke akses penuh ke kunci dan perintah. Untuk pengguna di `e-commerce` ACL, Anda dapat mengatur string akses mereka ke akses hanya-baca.

MemoryDB secara otomatis mengkonfigurasi pengguna default per akun dengan nama pengguna. `"default"` Ini tidak akan dikaitkan dengan cluster apa pun kecuali eksplisit ditambahkan ke ACL. Anda tidak dapat mengubah atau menghapus pengguna ini. Pengguna ini dimaksudkan untuk kompatibilitas dengan perilaku default versi Redis OSS sebelumnya dan memiliki string akses yang memungkinkannya memanggil semua perintah dan mengakses semua kunci. 

ACL “akses terbuka” yang tidak dapat diubah akan dibuat untuk setiap akun yang berisi pengguna default. Ini adalah satu-satunya ACL pengguna default dapat menjadi anggota. Saat Anda membuat cluster, Anda harus memilih ACL untuk dikaitkan dengan cluster. Meskipun Anda memiliki opsi untuk menerapkan ACL “akses terbuka” dengan pengguna default, kami sangat menyarankan untuk membuat ACL dengan pengguna yang memiliki izin terbatas pada kebutuhan bisnis mereka.

Cluster yang tidak mengaktifkan TLS harus menggunakan ACL “akses terbuka” untuk memberikan otentikasi terbuka.

ACLs dapat dibuat tanpa pengguna. ACL kosong tidak akan memiliki akses ke cluster dan hanya dapat dikaitkan dengan cluster yang mendukung TLS.

Saat membuat pengguna, Anda dapat menetapkan hingga dua kata sandi. Saat Anda memodifikasi kata sandi, koneksi apa pun yang ada ke cluster dipertahankan.

Secara khusus, perhatikan kendala kata sandi pengguna ini saat menggunakan ACLs untuk MemoryDB:
+ Kata sandi harus terdiri dari 16–128 karakter yang dapat dicetak.
+ Karakter non-alfanumerik berikut tidak diizinkan: `,` `""` `/` `@`. 

#### Mengelola Pengguna dengan Konsol dan CLI
<a name="users-console"></a>

##### Membuat pengguna (Konsol)
<a name="users.Createclusters.viewdetails"></a>

**Untuk membuat pengguna di konsol**

1. Masuk ke Konsol Manajemen AWS dan buka konsol MemoryDB di. [https://console.aws.amazon.com/memorydb/](https://console.aws.amazon.com/memorydb/)

1. Di panel navigasi kiri, pilih **Pengguna**. 

1. Pilih **Buat pengguna**

1. Pada halaman **Buat pengguna**, masukkan **Nama**.

   Batasan penamaan klaster adalah sebagai berikut:
   + Harus berisi 1–40 karakter alfanumerik atau tanda hubung.
   + Harus diawali dengan huruf.
   + Tidak boleh berisi dua tanda hubung berurutan.
   + Tidak boleh diakhiri dengan tanda hubung.

1. Di bawah **Kata Sandi**, Anda dapat memasukkan hingga dua kata sandi.

1. Di bawah **Access string**, masukkan string akses. String akses menetapkan tingkat izin untuk kunci dan perintah yang boleh digunakan pengguna.

1. Untuk **Tag**, Anda dapat menerapkan tag secara opsional untuk mencari dan memfilter pengguna Anda atau melacak AWS biaya Anda. 

1. Pilih **Buat**.

##### Membuat pengguna menggunakan AWS CLI
<a name="users.Create.cli"></a>

**Untuk membuat pengguna dengan menggunakan CLI**
+ Gunakan perintah [create-user](https://docs.aws.amazon.com/cli/latest/reference/memorydb/create-user.html) untuk membuat pengguna. 

  Untuk Linux, macOS, atau Unix:

  ```
  aws memorydb create-user \
    --user-name user-name-1 \
    --access-string "~objects:* ~items:* ~public:*" \
    --authentication-mode \
          Passwords="abc",Type=password
  ```

  Untuk Windows:

  ```
  aws memorydb create-user ^
    --user-name user-name-1 ^
    --access-string "~objects:* ~items:* ~public:*" ^
    --authentication-mode \
          Passwords="abc",Type=password
  ```

##### Memodifikasi pengguna (Konsol)
<a name="users.modifyclusters.viewdetails"></a>

**Untuk memodifikasi pengguna di konsol**

1. Masuk ke Konsol Manajemen AWS dan buka konsol MemoryDB di. [https://console.aws.amazon.com/memorydb/](https://console.aws.amazon.com/memorydb/)

1. Di panel navigasi kiri, pilih **Pengguna**. 

1. Pilih tombol radio di sebelah pengguna yang ingin Anda modifikasi dan kemudian pilih **Tindakan** -> **Ubah**

1. Jika Anda ingin mengubah kata sandi, pilih tombol radio **Ubah kata sandi**. Perhatikan bahwa jika Anda memiliki dua kata sandi, Anda harus memasukkan keduanya saat memodifikasi salah satunya.

1. Jika Anda memperbarui string akses, masukkan yang baru.

1. Pilih **Ubah**.

##### Memodifikasi pengguna menggunakan AWS CLI
<a name="users.modify.cli"></a>

**Untuk mengubah pengguna menggunakan CLI**

1. Gunakan perintah [update-user](https://docs.aws.amazon.com/cli/latest/reference/memorydb/update-user.html) untuk memodifikasi pengguna. 

1. Ketika pengguna dimodifikasi, daftar kontrol Access yang terkait dengan pengguna diperbarui, bersama dengan cluster apa pun yang terkait dengan ACL. Semua koneksi yang ada akan dipertahankan. Berikut ini adalah beberapa contohnya.

   Untuk Linux, macOS, atau Unix:

   ```
   aws memorydb update-user \
     --user-name user-name-1 \
     --access-string "~objects:* ~items:* ~public:*"
   ```

   Untuk Windows:

   ```
   aws memorydb update-user ^
     --user-name user-name-1 ^
     --access-string "~objects:* ~items:* ~public:*"
   ```

##### Melihat detail pengguna (Konsol)
<a name="users.viewclusters.viewdetails"></a>

**Untuk melihat detail pengguna di konsol**

1. Masuk ke Konsol Manajemen AWS dan buka konsol MemoryDB di. [https://console.aws.amazon.com/memorydb/](https://console.aws.amazon.com/memorydb/)

1. Di panel navigasi kiri, pilih **Pengguna**. 

1. Pilih pengguna di bawah **Nama pengguna** atau gunakan kotak pencarian untuk menemukan pengguna.

1. Di bawah **Pengaturan pengguna**, Anda dapat meninjau string akses pengguna, jumlah kata sandi, status, dan Nama Sumber Daya Amazon (ARN).

1. Di bawah **Daftar kontrol akses (ACL)** Anda dapat meninjau ACL milik pengguna.

1. Di bawah **Tag**, Anda dapat meninjau tag apa pun yang terkait dengan pengguna.

##### Melihat detail pengguna menggunakan AWS CLI
<a name="user.view.cli"></a>

Gunakan [perintah deskripsikan pengguna](https://docs.aws.amazon.com/cli/latest/reference/memorydb/describe-users.html) untuk melihat detail pengguna. 

```
aws memorydb describe-users \
  --user-name my-user-name
```

##### Menghapus pengguna (Konsol)
<a name="users.deleteclusters"></a>

**Untuk menghapus pengguna di konsol**

1. Masuk ke Konsol Manajemen AWS dan buka konsol MemoryDB di. [https://console.aws.amazon.com/memorydb/](https://console.aws.amazon.com/memorydb/)

1. Di panel navigasi kiri, pilih **Pengguna**. 

1. Pilih tombol radio di sebelah pengguna yang ingin Anda modifikasi dan kemudian pilih **Tindakan** -> **Hapus**

1. Untuk mengonfirmasi, masukkan `delete` di kotak teks konfirmasi dan kemudian pilih **Hapus**.

1. Untuk membatalkan, pilih **Batalkan**.

##### Menghapus pengguna menggunakan AWS CLI
<a name="users.delete.cli"></a>

**Untuk menghapus pengguna menggunakan CLI**
+ Gunakan perintah [delete-user](https://docs.aws.amazon.com/cli/latest/reference/memorydb/delete-user.html) untuk menghapus pengguna. 

  Akun dihapus dan dihapus dari daftar kontrol Akses apa pun yang menjadi miliknya. Berikut adalah contohnya.

  Untuk Linux, macOS, atau Unix:

  ```
  aws memorydb delete-user \
    --user-name user-name-2
  ```

  Untuk Windows:

  ```
  aws memorydb delete-user ^
    --user-name user-name-2
  ```

### Mengelola Daftar Kontrol Akses dengan Konsol dan CLI
<a name="user-groups"></a>

Anda dapat membuat daftar kontrol Access untuk mengatur dan mengontrol akses pengguna ke satu atau beberapa cluster, seperti yang ditunjukkan berikut.

Gunakan prosedur berikut untuk mengelola daftar kontrol Access menggunakan konsol.

#### Membuat Daftar Kontrol Akses (ACL) (Konsol)
<a name="acl.createclusters.viewdetails"></a>

**Untuk membuat daftar kontrol Access menggunakan konsol**

1. Masuk ke Konsol Manajemen AWS dan buka konsol MemoryDB di. [https://console.aws.amazon.com/memorydb/](https://console.aws.amazon.com/memorydb/)

1. Di panel navigasi kiri, pilih **Daftar kontrol akses (ACL**). 

1. Pilih **Buat ACL**.

1. Pada halaman **Create Access Control List (ACL)**, masukkan nama ACL.

   Batasan penamaan klaster adalah sebagai berikut:
   + Harus berisi 1–40 karakter alfanumerik atau tanda hubung.
   + Harus diawali dengan huruf.
   + Tidak boleh berisi dua tanda hubung berurutan.
   + Tidak boleh diakhiri dengan tanda hubung.

1. Di bawah **Pengguna terpilih** melakukan salah satu hal berikut:

   1. Buat pengguna baru dengan memilih **Buat pengguna**

   1. Tambahkan pengguna dengan memilih **Kelola** lalu pilih pengguna dari dialog **Kelola pengguna** lalu pilih **Pilih**.

1. Untuk **Tag**, Anda dapat menerapkan tag secara opsional untuk mencari dan memfilter ACLs atau melacak AWS biaya Anda. 

1. Pilih **Buat**.

#### Membuat Access Control List (ACL) menggunakan AWS CLI
<a name="acl.create.cli"></a>

Gunakan prosedur berikut untuk membuat daftar kontrol Akses menggunakan CLI.

**Untuk membuat ACL baru dan menambahkan pengguna dengan menggunakan CLI**
+ Gunakan perintah [create-acl untuk membuat ACL](https://docs.aws.amazon.com/cli/latest/reference/memorydb/create-acl.html). 

  Untuk Linux, macOS, atau Unix:

  ```
  aws memorydb create-acl \
    --acl-name "new-acl-1" \
    --user-names "user-name-1" "user-name-2"
  ```

  Untuk Windows:

  ```
  aws memorydb create-acl ^
    --acl-name "new-acl-1" ^
    --user-names "user-name-1" "user-name-2"
  ```

#### Memodifikasi Daftar Kontrol Akses (ACL) (konsol)
<a name="acl.modifyclusters.viewdetails"></a>

**Untuk mengubah daftar kontrol Access menggunakan konsol**

1. Masuk ke Konsol Manajemen AWS dan buka konsol MemoryDB di. [https://console.aws.amazon.com/memorydb/](https://console.aws.amazon.com/memorydb/)

1. Di panel navigasi kiri, pilih **Daftar kontrol akses (ACL**). 

1. **Pilih ACL yang ingin Anda ubah dan kemudian pilih Modify**

1. Pada halaman **Ubah**, di bawah **Pengguna yang dipilih** lakukan salah satu hal berikut:

   1. Buat pengguna baru dengan memilih **Buat pengguna** untuk ditambahkan ke ACL.

   1. Menambah atau menghapus pengguna dengan memilih **Kelola** lalu memilih atau menghapus pilihan pengguna dari dialog **Kelola pengguna** lalu memilih **Pilih**.

1. Pada halaman **Create Access Control List (ACL)**, masukkan nama ACL.

   Batasan penamaan klaster adalah sebagai berikut:
   + Harus berisi 1–40 karakter alfanumerik atau tanda hubung.
   + Harus diawali dengan huruf.
   + Tidak boleh berisi dua tanda hubung berurutan.
   + Tidak boleh diakhiri dengan tanda hubung.

1. Di bawah **Pengguna terpilih** melakukan salah satu hal berikut:

   1. Buat pengguna baru dengan memilih **Buat pengguna**

   1. Tambahkan pengguna dengan memilih **Kelola** lalu pilih pengguna dari dialog **Kelola pengguna** lalu pilih **Pilih**.

1. Pilih **Ubah** untuk menyimpan perubahan Anda atau **Batalkan** untuk membuangnya.

#### Memodifikasi Access Control List (ACL) menggunakan AWS CLI
<a name="acl.modify.acl"></a>

**Untuk memodifikasi ACL dengan menambahkan pengguna baru atau menghapus anggota saat ini dengan menggunakan CLI**
+ Gunakan perintah [update-acl untuk memodfikasi ACL](https://docs.aws.amazon.com/cli/latest/reference/memorydb/update-acl.html). 

  Untuk Linux, macOS, atau Unix:

  ```
  aws memorydb update-acl --acl-name new-acl-1 \
  --user-names-to-add user-name-3 \
  --user-names-to-remove user-name-2
  ```

  Untuk Windows:

  ```
  aws memorydb update-acl --acl-name new-acl-1 ^
  --user-names-to-add user-name-3 ^
  --user-names-to-remove user-name-2
  ```

**catatan**  
Setiap koneksi terbuka milik pengguna yang dihapus dari ACL diakhiri dengan perintah ini.

#### Melihat detail Daftar Kontrol Akses (ACL) (Konsol)
<a name="acls.viewclusters.viewdetails"></a>

**Untuk melihat detail ACL di konsol**

1. Masuk ke Konsol Manajemen AWS dan buka konsol MemoryDB di. [https://console.aws.amazon.com/memorydb/](https://console.aws.amazon.com/memorydb/)

1. Di panel navigasi kiri, pilih **Daftar kontrol akses (ACL**). 

1. Pilih ACL di bawah **nama ACL** atau gunakan kotak pencarian untuk menemukan ACL.

1. Di bawah **Pengguna**, Anda dapat meninjau daftar pengguna yang terkait dengan ACL.

1. Di bawah **Kluster terkait**, Anda dapat meninjau klaster tempat ACL berada.

1. Di bawah **Tag** Anda dapat meninjau tag apa pun yang terkait dengan ACL.

#### Melihat Daftar Kontrol Akses (ACL) menggunakan AWS CLI
<a name="acl.view.cli"></a>

Gunakan perintah [describe-acls](https://docs.aws.amazon.com/cli/latest/reference/memorydb/describe-acls.html) untuk melihat detail ACL. 

```
aws memorydb describe-acls \
  --acl-name test-group
```

#### Menghapus Daftar Kontrol Akses (ACL) (konsol)
<a name="acl.deleteacl"></a>

**Untuk menghapus daftar kontrol Access menggunakan konsol**

1. Masuk ke Konsol Manajemen AWS dan buka konsol MemoryDB di. [https://console.aws.amazon.com/memorydb/](https://console.aws.amazon.com/memorydb/)

1. Di panel navigasi kiri, pilih **Daftar kontrol akses (ACL**). 

1. **Pilih ACL yang ingin Anda ubah dan kemudian pilih Hapus**

1. Pada halaman **Hapus**, masukkan `delete` di kotak konfirmasi dan pilih **Hapus** atau **Batal** untuk menghindari penghapusan ACL.

ACL itu sendiri, bukan pengguna yang termasuk dalam grup, dihapus.

#### Menghapus Access Control List (ACL) menggunakan AWS CLI
<a name="acl.delete.cli"></a>

**Untuk menghapus ACL dengan menggunakan CLI**
+ Gunakan perintah [delete-acl](https://docs.aws.amazon.com/cli/latest/reference/memorydb/delete-acl.html) untuk menghapus ACL. 

  Untuk Linux, macOS, atau Unix:

  ```
  aws memorydb delete-acl /
     --acl-name
  ```

  Untuk Windows:

  ```
  aws memorydb delete-acl ^
     --acl-name
  ```

  Contoh sebelumnya menghasilkan respons berikut.

  ```
  aws memorydb delete-acl --acl-name "new-acl-1"
  {
      "ACLName": "new-acl-1",
      "Status": "deleting",
      "EngineVersion": "6.2",
      "UserNames": [
          "user-name-1", 
          "user-name-3"
      ],
      "clusters": [],
      "ARN":"arn:aws:memorydb:us-east-1:493071037918:acl/new-acl-1"
  }
  ```

### Menetapkan daftar kontrol Akses ke cluster
<a name="users-groups-to-clusterss"></a>

Setelah Anda membuat ACL dan menambahkan pengguna, langkah terakhir dalam mengimplementasikan ACLs adalah menetapkan ACL ke cluster.

#### Menetapkan daftar kontrol Access ke cluster Menggunakan Konsol
<a name="users-groups-to-clusters-con"></a>

Untuk menambahkan ACL ke cluster menggunakan Konsol Manajemen AWS, lihat[Membuat cluster MemoryDB](getting-started.md#clusters.create).

#### Menetapkan daftar kontrol Access ke cluster Menggunakan AWS CLI
<a name="users-groups-to-clusters-CLI"></a>

 AWS CLI Operasi berikut membuat cluster dengan enkripsi dalam transit (TLS) diaktifkan dan **acl-name** parameter dengan nilai`my-acl-name`. Ganti grup subnet `subnet-group` dengan grup subnet yang ada.

**Parameter Kunci**
+ **--engine-version**Harus 6.2.
+ **--tls-enabled**— Digunakan untuk otentikasi dan untuk mengaitkan ACL.
+ **--acl-name**— Nilai ini menyediakan daftar kontrol Access yang terdiri dari pengguna dengan izin akses tertentu untuk cluster.

Untuk Linux, macOS, atau Unix:

```
aws memorydb create-cluster \
    --cluster-name "new-cluster" \
    --description "new-cluster" \
    --engine-version "6.2" \
    --node-type db.r6g.large \
    --tls-enabled \
    --acl-name "new-acl-1" \
    --subnet-group-name "subnet-group"
```

Untuk Windows:

```
aws memorydb create-cluster ^
    --cluster-name "new-cluster" ^
    --cluster-description "new-cluster" ^
    --engine-version "6.2" ^
    --node-type db.r6g.large ^
    --tls-enabled ^
    --acl-name "new-acl-1" ^
    --subnet-group-name "subnet-group"
```

 AWS CLI Operasi berikut memodifikasi cluster dengan enkripsi dalam transit (TLS) diaktifkan dan **acl-name** parameter dengan nilai. `new-acl-2` 

Untuk Linux, macOS, atau Unix:

```
aws memorydb update-cluster \
    --cluster-name cluster-1 \
    --acl-name "new-acl-2"
```

Untuk Windows:

```
aws memorydb update-cluster ^
    --cluster-name cluster-1 ^
    --acl-name "new-acl-2"
```

# Autentikasi dengan IAM
<a name="auth-iam"></a>

**Topics**
+ [Gambaran Umum](#auth-iam-overview)
+ [Batasan](#auth-iam-limits)
+ [Pengaturan](#auth-iam-setup)
+ [Terhubung](#auth-iam-Connecting)

## Gambaran Umum
<a name="auth-iam-overview"></a>

Dengan Autentikasi IAM Anda dapat mengautentikasi koneksi ke MemoryDB menggunakan identitas AWS IAM, ketika cluster Anda dikonfigurasi untuk menggunakan Valkey atau Redis OSS versi 7 atau lebih tinggi. Hal ini memungkinkan Anda memperkuat model keamanan Anda dan menyederhanakan banyak tugas keamanan administratif. Dengan Autentikasi IAM Anda dapat mengonfigurasi kontrol akses berbutir halus untuk setiap cluster MemoryDB individu dan pengguna MemoryDB dan mengikuti prinsip izin hak istimewa paling sedikit. Otentikasi IAM untuk MemoryDB bekerja dengan menyediakan token otentikasi IAM berumur pendek alih-alih kata sandi pengguna MemoryDB yang berumur panjang di perintah atau. `AUTH` `HELLO` Untuk informasi selengkapnya tentang token autentikasi IAM, lihat [proses penandatanganan Signature Version 4](https://docs.aws.amazon.com//general/latest/gr/signature-version-4.html) di Panduan Referensi AWS Umum dan contoh kode di bawah ini. 

Anda dapat menggunakan identitas IAM dan kebijakan terkait mereka untuk lebih membatasi akses Valkey atau Redis OSS. Anda juga dapat memberikan akses ke pengguna dari penyedia Identitas federasi mereka langsung ke cluster MemoryDB.

Untuk menggunakan AWS IAM dengan MemoryDB, Anda harus terlebih dahulu membuat pengguna MemoryDB dengan mode otentikasi diatur ke IAM, kemudian Anda dapat membuat atau menggunakan kembali identitas IAM. Identitas IAM memerlukan kebijakan terkait untuk memberikan `memorydb:Connect` tindakan kepada cluster MemoryDB dan pengguna MemoryDB. Setelah dikonfigurasi, Anda dapat membuat token otentikasi IAM menggunakan AWS kredensil pengguna atau peran IAM. Akhirnya Anda perlu memberikan token otentikasi IAM berumur pendek sebagai kata sandi di klien Valkey atau Redis OSS Anda saat menghubungkan ke node cluster MemoryDB Anda. Klien dengan dukungan untuk penyedia kredensi dapat secara otomatis menghasilkan kredenal sementara secara otomatis untuk setiap koneksi baru. MemoryDB akan melakukan otentikasi IAM untuk permintaan koneksi pengguna MemoryDB yang mendukung IAM dan akan memvalidasi permintaan koneksi dengan IAM. 

## Batasan
<a name="auth-iam-limits"></a>

Saat menggunakan autentikasi IAM, batasan berikut berlaku:
+ Otentikasi IAM tersedia saat menggunakan mesin Valkey atau Redis OSS versi 7.0 atau lebih tinggi.
+ Token autentikasi IAM berlaku selama 15 menit. Untuk koneksi yang berumur panjang, sebaiknya gunakan klien Redis OSS yang mendukung antarmuka penyedia kredensial.
+ Koneksi yang diautentikasi IAM ke MemoryDB akan secara otomatis terputus setelah 12 jam. Koneksi dapat diperpanjang selama 12 jam dengan mengirim perintah `AUTH` atau `HELLO` dengan token autentikasi IAM baru.
+ Autentikasi IAM tidak didukung dalam perintah `MULTI EXEC`.
+ Saat ini, autentikasi IAM tidak mendukung semua kunci konteks kondisi global. Untuk informasi selengkapnya tentang kunci konteks kondisi global, lihat [Kunci konteks kondisi global AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dalam Panduan Pengguna IAM.

## Pengaturan
<a name="auth-iam-setup"></a>

Untuk mengatur autentikasi IAM:

1. Buat klaster

   ```
   aws memorydb create-cluster \
       --cluster-name cluster-01 \
       --description "MemoryDB IAM auth application"
       --node-type db.r6g.large \
       --engine-version 7.0 \
       --acl-name open-access
   ```

1. Buat dokumen kebijakan kepercayaan IAM, seperti yang ditunjukkan di bawah ini, untuk peran Anda yang memungkinkan akun Anda mengambil peran baru. Simpan kebijakan ini ke file bernama *trust-policy.json*.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": {
           "Effect": "Allow",
           "Principal": { "AWS": "arn:aws:iam::123456789012:root" },
           "Action": "sts:AssumeRole"
       }
   }
   ```

------

1. Buat dokumen kebijakan IAM, seperti yang ditunjukkan di bawah ini. Simpan kebijakan ke file bernama *policy.json*.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect" : "Allow",
         "Action" : [
           "memorydb:connect"
         ],
         "Resource" : [
           "arn:aws:memorydb:us-east-1:123456789012:cluster/cluster-01",
           "arn:aws:memorydb:us-east-1:123456789012:user/iam-user-01"
         ]
       }
     ]
   }
   ```

------

1. Buat peran IAM.

   ```
   aws iam create-role \
     --role-name "memorydb-iam-auth-app" \
     --assume-role-policy-document file://trust-policy.json
   ```

1. Buat kebijakan IAM.

   ```
   aws iam create-policy \
     --policy-name "memorydb-allow-all" \
     --policy-document file://policy.json
   ```

1. Lampirkan kebijakan IAM ke peran tersebut.

   ```
   aws iam attach-role-policy \
    --role-name "memorydb-iam-auth-app" \
    --policy-arn "arn:aws:iam::123456789012:policy/memorydb-allow-all"
   ```

1. Buat pengguna baru yang didukung IAM.

   ```
   aws memorydb create-user \
     --user-name iam-user-01 \
     --authentication-mode Type=iam \
     --access-string "on ~* +@all"
   ```

1. Buat ACL dan lampirkan pengguna.

   ```
   aws memorydb create-acl \
     --acl-name iam-acl-01 \
     --user-names iam-user-01
   
   aws memorydb update-cluster \
     --cluster-name cluster-01 \
     --acl-name iam-acl-01
   ```

## Terhubung
<a name="auth-iam-Connecting"></a>

**Terhubung dengan token sebagai kata sandi**

Pertama-tama, Anda harus membuat token autentikasi IAM berumur pendek menggunakan [permintaan AWS SigV4 yang telah ditandatangani sebelumnya](https://docs.aws.amazon.com//general/latest/gr/sigv4-signed-request-examples.html). Setelah itu Anda memberikan token otentikasi IAM sebagai kata sandi saat menghubungkan ke cluster MemoryDB, seperti yang ditunjukkan pada contoh di bawah ini. 

```
String userName = "insert user name"
String clusterName = "insert cluster name"
String region = "insert region"

// Create a default AWS Credentials provider.
// This will look for AWS credentials defined in environment variables or system properties.
AWSCredentialsProvider awsCredentialsProvider = new DefaultAWSCredentialsProviderChain();

// Create an IAM authentication token request and signed it using the AWS credentials.
// The pre-signed request URL is used as an IAM authentication token for MemoryDB.
IAMAuthTokenRequest iamAuthTokenRequest = new IAMAuthTokenRequest(userName, clusterName, region);
String iamAuthToken = iamAuthTokenRequest.toSignedRequestUri(awsCredentialsProvider.getCredentials());

// Construct URL with IAM Auth credentials provider
RedisURI redisURI = RedisURI.builder()
    .withHost(host)
    .withPort(port)
    .withSsl(ssl)
    .withAuthentication(userName, iamAuthToken)
    .build();

// Create a new Lettuce client
RedisClusterClient client = RedisClusterClient.create(redisURI);
client.connect();
```

Di bawah ini adalah definisi untuk `IAMAuthTokenRequest`.

```
public class IAMAuthTokenRequest {
    private static final HttpMethodName REQUEST_METHOD = HttpMethodName.GET;
    private static final String REQUEST_PROTOCOL = "http://";
    private static final String PARAM_ACTION = "Action";
    private static final String PARAM_USER = "User";
    private static final String ACTION_NAME = "connect";
    private static final String SERVICE_NAME = "memorydb";
    private static final long TOKEN_EXPIRY_SECONDS = 900;

    private final String userName;
    private final String clusterName;
    private final String region;

    public IAMAuthTokenRequest(String userName, String clusterName, String region) {
        this.userName = userName;
        this.clusterName = clusterName;
        this.region = region;
    }

    public String toSignedRequestUri(AWSCredentials credentials) throws URISyntaxException {
        Request<Void> request = getSignableRequest();
        sign(request, credentials);
        return new URIBuilder(request.getEndpoint())
            .addParameters(toNamedValuePair(request.getParameters()))
            .build()
            .toString()
            .replace(REQUEST_PROTOCOL, "");
    }

    private <T> Request<T> getSignableRequest() {
        Request<T> request  = new DefaultRequest<>(SERVICE_NAME);
        request.setHttpMethod(REQUEST_METHOD);
        request.setEndpoint(getRequestUri());
        request.addParameters(PARAM_ACTION, Collections.singletonList(ACTION_NAME));
        request.addParameters(PARAM_USER, Collections.singletonList(userName));
        return request;
    }

    private URI getRequestUri() {
        return URI.create(String.format("%s%s/", REQUEST_PROTOCOL, clusterName));
    }

    private <T> void sign(SignableRequest<T> request, AWSCredentials credentials) {
        AWS4Signer signer = new AWS4Signer();
        signer.setRegionName(region);
        signer.setServiceName(SERVICE_NAME);

        DateTime dateTime = DateTime.now();
        dateTime = dateTime.plus(Duration.standardSeconds(TOKEN_EXPIRY_SECONDS));

        signer.presignRequest(request, credentials, dateTime.toDate());
    }

    private static List<NameValuePair> toNamedValuePair(Map<String, List<String>> in) {
        return in.entrySet().stream()
            .map(e -> new BasicNameValuePair(e.getKey(), e.getValue().get(0)))
            .collect(Collectors.toList());
    }
}
```

**Terhubung dengan penyedia kredensial**

Kode di bawah ini menunjukkan cara mengautentikasi dengan MemoryDB menggunakan penyedia kredensi otentikasi IAM.

```
String userName = "insert user name"
String clusterName = "insert cluster name"
String region = "insert region"

// Create a default AWS Credentials provider.
// This will look for AWS credentials defined in environment variables or system properties.
AWSCredentialsProvider awsCredentialsProvider = new DefaultAWSCredentialsProviderChain();

// Create an IAM authentication token request. Once this request is signed it can be used as an
// IAM authentication token for MemoryDB.
IAMAuthTokenRequest iamAuthTokenRequest = new IAMAuthTokenRequest(userName, clusterName, region);

// Create a credentials provider using IAM credentials.
RedisCredentialsProvider redisCredentialsProvider = new RedisIAMAuthCredentialsProvider(
    userName, iamAuthTokenRequest, awsCredentialsProvider);
    
// Construct URL with IAM Auth credentials provider
RedisURI redisURI = RedisURI.builder()
    .withHost(host)
    .withPort(port)
    .withSsl(ssl)
    .withAuthentication(redisCredentialsProvider)
    .build();

// Create a new Lettuce cluster client
RedisClusterClient client = RedisClusterClient.create(redisURI);
client.connect();
```

Di bawah ini adalah contoh klien klaster Lettuce yang membungkus penyedia kredensi IAMAuth TokenRequest dalam untuk menghasilkan kredensil sementara secara otomatis saat diperlukan.

```
public class RedisIAMAuthCredentialsProvider implements RedisCredentialsProvider {
    private static final long TOKEN_EXPIRY_SECONDS = 900;

    private final AWSCredentialsProvider awsCredentialsProvider;
    private final String userName;
    private final IAMAuthTokenRequest iamAuthTokenRequest;
    private final Supplier<String> iamAuthTokenSupplier;

    public RedisIAMAuthCredentialsProvider(String userName,
        IAMAuthTokenRequest iamAuthTokenRequest,
        AWSCredentialsProvider awsCredentialsProvider) {
        this.userName = userName;
        this.awsCredentialsProvider = awsCredentialsProvider;
        this.iamAuthTokenRequest = iamAuthTokenRequest;      
        this.iamAuthTokenSupplier = Suppliers.memoizeWithExpiration(this::getIamAuthToken, TOKEN_EXPIRY_SECONDS, TimeUnit.SECONDS);
    }

    @Override
    public Mono<RedisCredentials> resolveCredentials() {
        return Mono.just(RedisCredentials.just(userName, iamAuthTokenSupplier.get()));
    }

    private String getIamAuthToken() {
        return iamAuthTokenRequest.toSignedRequestUri(awsCredentialsProvider.getCredentials());
    }
```

# Manajemen identitas dan akses di MemoryDB
<a name="iam"></a>





AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengontrol siapa yang dapat *diautentikasi* (masuk) dan *diberi wewenang* (memiliki izin) untuk menggunakan sumber daya MemoryDB. IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.

**Topics**
+ [Audiens](#security_iam_audience)
+ [Mengautentikasi dengan identitas](#security_iam_authentication)
+ [Mengelola akses menggunakan kebijakan](#security_iam_access-manage)
+ [Bagaimana MemoryDB bekerja dengan IAM](security_iam_service-with-iam.md)
+ [Contoh kebijakan berbasis identitas untuk MemoryDB](security_iam_id-based-policy-examples.md)
+ [Memecahkan masalah identitas dan akses MemoryDB](security_iam_troubleshoot.md)
+ [Kontrol akses](#iam.accesscontrol)
+ [Ikhtisar mengelola izin akses ke sumber daya MemoryDB Anda](iam.overview.md)

## Audiens
<a name="security_iam_audience"></a>

Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda berdasarkan peran Anda:
+ **Pengguna layanan** - minta izin dari administrator Anda jika Anda tidak dapat mengakses fitur (lihat [Memecahkan masalah identitas dan akses MemoryDB](security_iam_troubleshoot.md))
+ **Administrator layanan** - tentukan akses pengguna dan mengirimkan permintaan izin (lihat [Bagaimana MemoryDB bekerja dengan IAM](security_iam_service-with-iam.md))
+ **Administrator IAM** - tulis kebijakan untuk mengelola akses (lihat [Contoh kebijakan berbasis identitas untuk MemoryDB](security_iam_id-based-policy-examples.md))

## Mengautentikasi dengan identitas
<a name="security_iam_authentication"></a>

Otentikasi adalah cara Anda masuk AWS menggunakan kredensyal identitas Anda. Anda harus diautentikasi sebagai Pengguna root akun AWS, pengguna IAM, atau dengan mengasumsikan peran IAM.

Anda dapat masuk sebagai identitas federasi menggunakan kredensional dari sumber identitas seperti AWS IAM Identity Center (Pusat Identitas IAM), autentikasi masuk tunggal, atau kredensional. Google/Facebook Untuk informasi selengkapnya tentang cara masuk, lihat [Cara masuk ke Akun AWS Anda](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dalam *Panduan Pengguna AWS Sign-In *.

Untuk akses terprogram, AWS sediakan SDK dan CLI untuk menandatangani permintaan secara kriptografis. Untuk informasi selengkapnya, lihat [AWS Signature Version 4 untuk permintaan API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dalam *Panduan Pengguna IAM*.

### Akun AWS pengguna root
<a name="security_iam_authentication-rootuser"></a>

 Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang disebut *pengguna Akun AWS root* yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Untuk tugas yang memerlukan kredensial pengguna root, lihat [Tugas yang memerlukan kredensial pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dalam *Panduan Pengguna IAM*. 

### Identitas terfederasi
<a name="security_iam_authentication-federated"></a>

Sebagai praktik terbaik, mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses Layanan AWS menggunakan kredensyal sementara.

*Identitas federasi* adalah pengguna dari direktori perusahaan Anda, penyedia identitas web, atau Directory Service yang mengakses Layanan AWS menggunakan kredensi dari sumber identitas. Identitas terfederasi mengambil peran yang memberikan kredensial sementara.

Untuk manajemen akses terpusat, kami menyarankan AWS IAM Identity Center. Untuk informasi selengkapnya, lihat [Apa itu Pusat Identitas IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dalam *Panduan Pengguna AWS IAM Identity Center *.

### Pengguna dan grup IAM
<a name="security_iam_authentication-iamuser"></a>

*[Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* adalah identitas dengan izin khusus untuk satu orang atau aplikasi. Sebaiknya gunakan kredensial sementara alih-alih pengguna IAM dengan kredensial jangka panjang. Untuk informasi selengkapnya, lihat [Mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) di Panduan Pengguna *IAM*.

[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) menentukan kumpulan pengguna IAM dan mempermudah pengelolaan izin untuk pengguna dalam jumlah besar. Untuk mempelajari selengkapnya, lihat [Kasus penggunaan untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dalam *Panduan Pengguna IAM*.

### Peran IAM
<a name="security_iam_authentication-iamrole"></a>

*[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* adalah identitas dengan izin khusus yang menyediakan kredensial sementara. Anda dapat mengambil peran dengan [beralih dari pengguna ke peran IAM (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) atau dengan memanggil operasi AWS CLI atau AWS API. Untuk informasi selengkapnya, lihat [Metode untuk mengambil peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dalam *Panduan Pengguna IAM*.

Peran IAM berguna untuk akses pengguna terfederasi, izin pengguna IAM sementara, akses lintas akun, akses lintas layanan, dan aplikasi yang berjalan di Amazon EC2. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.

## Mengelola akses menggunakan kebijakan
<a name="security_iam_access-manage"></a>

Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan menentukan izin saat dikaitkan dengan identitas atau sumber daya. AWS mengevaluasi kebijakan ini ketika kepala sekolah membuat permintaan. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang dokumen kebijakan JSON, lihat [Gambaran umum kebijakan JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dalam *Panduan Pengguna IAM*.

Menggunakan kebijakan, administrator menentukan siapa yang memiliki akses ke apa dengan mendefinisikan **principal** mana yang dapat melakukan **tindakan** pada **sumber daya** apa, dan dalam **kondisi** apa.

Secara default, pengguna dan peran tidak memiliki izin. Administrator IAM membuat kebijakan IAM dan menambahkannya ke peran, yang kemudian dapat diambil oleh pengguna. Kebijakan IAM mendefinisikan izin terlepas dari metode yang Anda gunakan untuk melakukan operasinya.

### Kebijakan berbasis identitas
<a name="security_iam_access-manage-id-based-policies"></a>

Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang Anda lampirkan ke identitas (pengguna, grup, atau peran). Kebijakan ini mengontrol tindakan apa yang bisa dilakukan oleh identitas tersebut, terhadap sumber daya yang mana, dan dalam kondisi apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.

Kebijakan berbasis identitas dapat berupa *kebijakan inline* (disematkan langsung ke dalam satu identitas) atau *kebijakan terkelola* (kebijakan mandiri yang dilampirkan pada banyak identitas). Untuk mempelajari cara memilih antara kebijakan terkelola dan kebijakan inline, lihat [Pilih antara kebijakan terkelola dan kebijakan inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dalam *Panduan Pengguna IAM*.

### Kebijakan berbasis sumber daya
<a name="security_iam_access-manage-resource-based-policies"></a>

Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contohnya termasuk *kebijakan kepercayaan peran IAM* dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya.

Kebijakan berbasis sumber daya merupakan kebijakan inline yang terletak di layanan tersebut. Anda tidak dapat menggunakan kebijakan AWS terkelola dari IAM dalam kebijakan berbasis sumber daya.

### Jenis-jenis kebijakan lain
<a name="security_iam_access-manage-other-policies"></a>

AWS mendukung jenis kebijakan tambahan yang dapat menetapkan izin maksimum yang diberikan oleh jenis kebijakan yang lebih umum:
+ **Batasan izin** – Menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Untuk informasi selengkapnya, lihat [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dalam *Panduan Pengguna IAM*.
+ **Kebijakan kontrol layanan (SCPs)** — Tentukan izin maksimum untuk organisasi atau unit organisasi di AWS Organizations. Untuk informasi selengkapnya, lihat [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dalam *Panduan Pengguna AWS Organizations *.
+ **Kebijakan kontrol sumber daya (RCPs)** — Tetapkan izin maksimum yang tersedia untuk sumber daya di akun Anda. Untuk informasi selengkapnya, lihat [Kebijakan kontrol sumber daya (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) di *Panduan AWS Organizations Pengguna*.
+ **Kebijakan sesi** – Kebijakan lanjutan yang diteruskan sebagai parameter saat membuat sesi sementara untuk peran atau pengguna terfederasi. Untuk informasi selengkapnya, lihat [Kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dalam *Panduan Pengguna IAM*.

### Berbagai jenis kebijakan
<a name="security_iam_access-manage-multiple-policies"></a>

Ketika beberapa jenis kebijakan berlaku pada suatu permintaan, izin yang dihasilkan lebih rumit untuk dipahami. Untuk mempelajari cara AWS menentukan apakah akan mengizinkan permintaan saat beberapa jenis kebijakan terlibat, lihat [Logika evaluasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) di *Panduan Pengguna IAM*.

# Bagaimana MemoryDB bekerja dengan IAM
<a name="security_iam_service-with-iam"></a>

Sebelum Anda menggunakan IAM untuk mengelola akses ke MemoryDB, pelajari fitur IAM apa yang tersedia untuk digunakan dengan MemoryDB.






**Fitur IAM yang dapat Anda gunakan dengan MemoryDB**  

| Fitur IAM | Dukungan MemoryDB | 
| --- | --- | 
|  [Kebijakan berbasis identitas](#security_iam_service-with-iam-id-based-policies)  |   Ya  | 
|  [Kebijakan berbasis sumber daya](#security_iam_service-with-iam-resource-based-policies)  |  Tidak  | 
|  [Tindakan kebijakan](#security_iam_service-with-iam-id-based-policies-actions)  |   Ya  | 
|  [Sumber daya kebijakan](#security_iam_service-with-iam-id-based-policies-resources)  |   Ya  | 
|  [Kunci kondisi kebijakan](#security_iam_service-with-iam-id-based-policies-conditionkeys)  |   Ya  | 
|  [ACLs](#security_iam_service-with-iam-acls)  |  Ya  | 
|  [ABAC (tanda dalam kebijakan)](#security_iam_service-with-iam-tags)  |   Ya  | 
|  [Kredensial sementara](#security_iam_service-with-iam-roles-tempcreds)  |   Ya  | 
|  [Izin principal](#security_iam_service-with-iam-principal-permissions)  |   Ya  | 
|  [Peran layanan](#security_iam_service-with-iam-roles-service)  |  Ya  | 
|  [Peran terkait layanan](#security_iam_service-with-iam-roles-service-linked)  |  Ya  | 

*Untuk mendapatkan tampilan tingkat tinggi tentang cara kerja MemoryDB dan AWS layanan lainnya dengan sebagian besar fitur IAM, lihat [AWS layanan yang bekerja dengan IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*

## Kebijakan berbasis identitas untuk MemoryDB
<a name="security_iam_service-with-iam-id-based-policies"></a>

**Mendukung kebijakan berbasis identitas**: Ya

Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang dapat Anda lampirkan ke sebuah identitas, seperti pengguna IAM, grup pengguna IAM, atau peran IAM. Kebijakan ini mengontrol jenis tindakan yang dapat dilakukan oleh pengguna dan peran, di sumber daya mana, dan berdasarkan kondisi seperti apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan terkelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.

Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan secara spesifik apakah tindakan dan sumber daya diizinkan atau ditolak, serta kondisi yang menjadi dasar dikabulkan atau ditolaknya tindakan tersebut. Untuk mempelajari semua elemen yang dapat Anda gunakan dalam kebijakan JSON, lihat [Referensi elemen kebijakan JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dalam *Panduan Pengguna IAM*.

### Contoh kebijakan berbasis identitas untuk MemoryDB
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>



Untuk melihat contoh kebijakan berbasis identitas MemoryDB, lihat. [Contoh kebijakan berbasis identitas untuk MemoryDB](security_iam_id-based-policy-examples.md)

## Kebijakan berbasis sumber daya dalam MemoryDB
<a name="security_iam_service-with-iam-resource-based-policies"></a>

**Mendukung kebijakan berbasis sumber daya:** Tidak 

Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contoh kebijakan berbasis sumber daya adalah *kebijakan kepercayaan peran* IAM dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Untuk sumber daya tempat kebijakan dilampirkan, kebijakan menentukan tindakan apa yang dapat dilakukan oleh principal tertentu pada sumber daya tersebut dan dalam kondisi apa. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya. Prinsipal dapat mencakup akun, pengguna, peran, pengguna federasi, atau. Layanan AWS

Untuk mengaktifkan akses lintas akun, Anda dapat menentukan secara spesifik seluruh akun atau entitas IAM di akun lain sebagai principal dalam kebijakan berbasis sumber daya. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.

## Tindakan kebijakan untuk MemoryDB
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

**Mendukung tindakan kebijakan:** Ya

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.

Elemen `Action` dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.



*Untuk melihat daftar tindakan MemoryDB, lihat [Tindakan yang Ditetapkan oleh MemoryDB](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awskeymanagementservice.html#awskeymanagementservice-actions-as-permissions) di Referensi Otorisasi Layanan.*

Tindakan kebijakan di MemoryDB menggunakan awalan berikut sebelum tindakan:

```
MemoryDB
```

Untuk menetapkan secara spesifik beberapa tindakan dalam satu pernyataan, pisahkan tindakan tersebut dengan koma.

```
"Action": [
      "MemoryDB:action1",
      "MemoryDB:action2"
         ]
```





Anda juga dapat menentukan beberapa tindakan menggunakan wildcard (\$1). Sebagai contoh, untuk menentukan semua tindakan yang dimulai dengan kata `Describe`, sertakan tindakan berikut:

```
"Action": "MemoryDB:Describe*"
```

Untuk melihat contoh kebijakan berbasis identitas MemoryDB, lihat. [Contoh kebijakan berbasis identitas untuk MemoryDB](security_iam_id-based-policy-examples.md)

## Sumber daya kebijakan untuk MemoryDB
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

**Mendukung sumber daya kebijakan:** Ya

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.

Elemen kebijakan JSON `Resource` menentukan objek yang menjadi target penerapan tindakan. Praktik terbaiknya, tentukan sumber daya menggunakan [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, gunakan wildcard (\$1) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.

```
"Resource": "*"
```

*Untuk melihat daftar jenis sumber daya MemoryDB dan jenisnya ARNs, lihat Sumber Daya yang [Ditetapkan oleh MemoryDB](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awskeymanagementservice.html#awskeymanagementservice-resources-for-iam-policies) di Referensi Otorisasi Layanan.* Untuk mempelajari tindakan mana yang dapat Anda tentukan ARN dari setiap sumber daya, lihat [Tindakan yang Ditentukan oleh](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awskeymanagementservice.html#awskeymanagementservice-actions-as-permissions) MemoryDB.





Untuk melihat contoh kebijakan berbasis identitas MemoryDB, lihat. [Contoh kebijakan berbasis identitas untuk MemoryDB](security_iam_id-based-policy-examples.md)

## Kunci kondisi kebijakan untuk MemoryDB
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

**Mendukung kunci kondisi kebijakan khusus layanan:** Yes

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **principal** dapat melakukan **tindakan** pada suatu **sumber daya**, dan dalam suatu **syarat**.

Elemen `Condition` menentukan ketika pernyataan dieksekusi berdasarkan kriteria yang ditetapkan. Anda dapat membuat ekspresi bersyarat yang menggunakan [operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.

Untuk melihat contoh kebijakan berbasis identitas MemoryDB, lihat. [Contoh kebijakan berbasis identitas untuk MemoryDB](security_iam_id-based-policy-examples.md)

### Menggunakan kunci kondisi
<a name="IAM.ConditionKeys"></a>

Anda dapat menentukan kondisi yang menentukan cara kebijakan IAM diberlakukan. Di MemoryDB, Anda dapat menggunakan `Condition` elemen kebijakan JSON untuk membandingkan kunci dalam konteks permintaan dengan nilai kunci yang Anda tentukan dalam kebijakan Anda. Untuk informasi selengkapnya, lihat [Elemen kebijakan JSON IAM: Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html).

*Untuk melihat daftar kunci kondisi MemoryDB, lihat Kunci Kondisi [untuk MemoryDB](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awskeymanagementservice.html#awskeymanagementservice-policy-keys) di Referensi Otorisasi Layanan.*

Untuk melihat daftar kunci kondisi global, lihat [Kunci konteks kondisi global AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html).

#### Menentukan Kondisi: Menggunakan Kunci Kondisi
<a name="IAM.SpecifyingConditions"></a>

Untuk menerapkan kontrol berbutir halus, Anda dapat menulis kebijakan izin IAM yang menentukan kondisi untuk mengontrol sekumpulan parameter individual pada permintaan tertentu. Anda kemudian dapat menerapkan kebijakan tersebut ke pengguna, grup, atau peran IAM yang Anda buat menggunakan konsol IAM. 

Untuk menerapkan kondisi tersebut, Anda menambahkan informasi kondisi pada pernyataan kebijakan IAM. Misalnya, untuk melarang pembuatan klaster MemoryDB dengan TLS dinonaktifkan, Anda dapat menentukan kondisi berikut dalam pernyataan kebijakan Anda. 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "memorydb:CreateCluster"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "Bool": {
          "memorydb:TLSEnabled": "false"
        }
      }
    }
  ]
}
```

------

Untuk informasi lebih lanjut tentang penandaan, lihat[Menandai sumber daya MemoryDB Anda](tagging-resources.md). 

Untuk informasi selengkapnya tentang penggunaan operator kondisi kebijakan, lihat [Izin API MemoryDB: Referensi tindakan, sumber daya, dan kondisi](iam.APIReference.md).

#### Kebijakan Contoh: Menggunakan Kondisi untuk Kontrol Parameter Terperinci
<a name="IAM.ExamplePolicies"></a>

Bagian ini menunjukkan contoh kebijakan untuk menerapkan kontrol akses berbutir halus pada parameter MemoryDB yang terdaftar sebelumnya.

1. **memorydb: TLSEnabled** — Tentukan bahwa cluster akan dibuat hanya dengan TLS diaktifkan. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
                 {
               "Effect": "Allow",
               "Action": [
                   "memorydb:CreateCluster"
               ],
               "Resource": [
                   "arn:aws:memorydb:*:*:parametergroup/*",
                   "arn:aws:memorydb:*:*:subnetgroup/*",
                   "arn:aws:memorydb:*:*:acl/*"
               ]
           },
           {
               "Effect": "Allow",
               "Action": [
                   "memorydb:CreateCluster"
               ],
               "Resource": [
                   "*"
               ],
               "Condition": {
                   "Bool": {
                       "memorydb:TLSEnabled": "true"
                   }
               }
           }
       ]
   }
   ```

------

1. **memorydb:UserAuthenticationMode:** — Tentukan bahwa pengguna dapat dibuat dengan mode otentikasi tipe tertentu (IAM misalnya). 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "memorydb:Createuser"
               ],
               "Resource": [
                   "arn:aws:memorydb:*:*:user/*"
               ],
               "Condition": {
                   "StringEquals": {
                       "memorydb:UserAuthenticationMode": "iam"
                   }
               }
           }
       ]
   }
   ```

------

   Dalam kasus di mana Anda menyetel kebijakan berbasis 'Tolak', disarankan untuk menggunakan [StringEqualsIgnoreCase](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)operator untuk menghindari semua panggilan dengan jenis mode otentikasi pengguna tertentu terlepas dari kasusnya.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Deny",
         "Action": [
           "memorydb:CreateUser"
         ],
         "Resource": "*",
         "Condition": {
           "StringEqualsIgnoreCase": {
             "memorydb:UserAuthenticationMode": "password"
           }
         }
       }
     ]
   }
   ```

------

## Daftar kontrol akses (ACLs) di MemoryDB
<a name="security_iam_service-with-iam-acls"></a>

**Mendukung ACLs:** Ya

Access control lists (ACLs) mengontrol prinsipal mana (anggota akun, pengguna, atau peran) yang memiliki izin untuk mengakses sumber daya. ACLs mirip dengan kebijakan berbasis sumber daya, meskipun mereka tidak menggunakan format dokumen kebijakan JSON.

## Kontrol akses berbasis atribut (ABAC) dengan MemoryDB
<a name="security_iam_service-with-iam-tags"></a>

**Mendukung ABAC (tanda dalam kebijakan):** Ya

Kontrol akses berbasis atribut (ABAC) adalah strategi otorisasi yang menentukan izin berdasarkan atribut tanda. Anda dapat melampirkan tag ke entitas dan AWS sumber daya IAM, lalu merancang kebijakan ABAC untuk mengizinkan operasi saat tag prinsipal cocok dengan tag pada sumber daya.

Untuk mengendalikan akses berdasarkan tanda, berikan informasi tentang tanda di [elemen kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dari kebijakan menggunakan kunci kondisi `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, atau `aws:TagKeys`.

Jika sebuah layanan mendukung ketiga kunci kondisi untuk setiap jenis sumber daya, nilainya adalah **Ya** untuk layanan tersebut. Jika suatu layanan mendukung ketiga kunci kondisi untuk hanya beberapa jenis sumber daya, nilainya adalah **Parsial**.

Untuk informasi selengkapnya tentang ABAC, lihat [Tentukan izin dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dalam *Panduan Pengguna IAM.* Untuk melihat tutorial yang menguraikan langkah-langkah pengaturan ABAC, lihat [Menggunakan kontrol akses berbasis atribut (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) dalam *Panduan Pengguna IAM*.

## Menggunakan kredensyal Sementara dengan MemoryDB
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

**Mendukung kredensial sementara:** Ya

Kredensyal sementara menyediakan akses jangka pendek ke AWS sumber daya dan secara otomatis dibuat saat Anda menggunakan federasi atau beralih peran. AWS merekomendasikan agar Anda secara dinamis menghasilkan kredensyal sementara alih-alih menggunakan kunci akses jangka panjang. Untuk informasi selengkapnya, lihat [Kredensial keamanan sementara di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) dan [Layanan AWS yang berfungsi dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dalam *Panduan Pengguna IAM*.

## Izin utama lintas layanan untuk MemoryDB
<a name="security_iam_service-with-iam-principal-permissions"></a>

**Mendukung sesi akses terusan (FAS):** Ya

 Sesi akses teruskan (FAS) menggunakan izin dari pemanggilan utama Layanan AWS, dikombinasikan dengan permintaan Layanan AWS untuk membuat permintaan ke layanan hilir. Untuk detail kebijakan ketika mengajukan permintaan FAS, lihat [Sesi akses terusan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 

## Peran layanan untuk MemoryDB
<a name="security_iam_service-with-iam-roles-service"></a>

**Mendukung peran layanan:** Ya

 Peran layanan adalah [peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) yang diambil oleh sebuah layanan untuk melakukan tindakan atas nama Anda. Administrator IAM dapat membuat, mengubah, dan menghapus peran layanan dari dalam IAM. Untuk informasi selengkapnya, lihat [Buat sebuah peran untuk mendelegasikan izin ke Layanan AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dalam *Panduan pengguna IAM*. 

**Awas**  
Mengubah izin untuk peran layanan dapat merusak fungsionalitas MemoryDB. Edit peran layanan hanya ketika MemoryDB memberikan panduan untuk melakukannya.

## Peran terkait layanan untuk MemoryDB
<a name="security_iam_service-with-iam-roles-service-linked"></a>

**Mendukung peran terkait layanan**: Ya

 Peran terkait layanan adalah jenis peran layanan yang ditautkan ke. Layanan AWS Layanan tersebut dapat menjalankan peran untuk melakukan tindakan atas nama Anda. Peran terkait layanan muncul di Anda Akun AWS dan dimiliki oleh layanan. Administrator IAM dapat melihat, tetapi tidak dapat mengedit izin untuk peran terkait layanan. 

Untuk detail tentang pembuatan atau manajemen peran terkait layanan, lihat [Layanan AWS yang berfungsi dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Cari layanan dalam tabel yang memiliki `Yes` di kolom **Peran terkait layanan**. Pilih tautan **Ya** untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.

# Contoh kebijakan berbasis identitas untuk MemoryDB
<a name="security_iam_id-based-policy-examples"></a>

Secara default, pengguna dan peran tidak memiliki izin untuk membuat atau memodifikasi sumber daya MemoryDB. Untuk memberikan izin kepada pengguna untuk melakukan tindakan di sumber daya yang mereka perlukan, administrator IAM dapat membuat kebijakan IAM.

*Untuk mempelajari cara membuat kebijakan berbasis identitas IAM dengan menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat kebijakan IAM (konsol) di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html).*

*Untuk detail tentang tindakan dan jenis sumber daya yang ditentukan oleh MemoryDB, termasuk format ARNs untuk setiap jenis sumber daya, lihat [Tindakan, Sumber Daya, dan Kunci Kondisi untuk MemoryDB](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awskeymanagementservice.html) di Referensi Otorisasi Layanan.*

**Topics**
+ [Praktik terbaik kebijakan](#security_iam_service-with-iam-policy-best-practices)
+ [Menggunakan konsol MemoryDB](#security_iam_id-based-policy-examples-console)
+ [Mengizinkan pengguna melihat izin mereka sendiri](#security_iam_id-based-policy-examples-view-own-permissions)

## Praktik terbaik kebijakan
<a name="security_iam_service-with-iam-policy-best-practices"></a>

Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus sumber daya MemoryDB di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
+ **Mulailah dengan kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit — Untuk mulai memberikan izin** kepada pengguna dan beban kerja Anda, gunakan *kebijakan AWS terkelola* yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Anda Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola AWS pelanggan yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat [Kebijakan yang dikelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) atau [Kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dalam *Panduan Pengguna IAM*.
+ **Menerapkan izin dengan hak akses paling rendah** – Ketika Anda menetapkan izin dengan kebijakan IAM, hanya berikan izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai *izin dengan hak akses paling rendah*. Untuk informasi selengkapnya tentang cara menggunakan IAM untuk mengajukan izin, lihat [Kebijakan dan izin dalam IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan kondisi dalam kebijakan IAM untuk membatasi akses lebih lanjut** – Anda dapat menambahkan suatu kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Sebagai contoh, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakan SSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui yang spesifik Layanan AWS, seperti CloudFormation. Untuk informasi selengkapnya, lihat [Elemen kebijakan JSON IAM: Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk memastikan izin yang aman dan fungsional** – IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan tersebut mematuhi bahasa kebijakan IAM (JSON) dan praktik terbaik IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat [Validasi kebijakan dengan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dalam *Panduan Pengguna IAM*.
+ **Memerlukan otentikasi multi-faktor (MFA)** - Jika Anda memiliki skenario yang mengharuskan pengguna IAM atau pengguna root di Anda, Akun AWS aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA ketika operasi API dipanggil, tambahkan kondisi MFA pada kebijakan Anda. Untuk informasi selengkapnya, lihat [Amankan akses API dengan MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dalam *Panduan Pengguna IAM*.

Untuk informasi selengkapnya tentang praktik terbaik dalam IAM, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.

## Menggunakan konsol MemoryDB
<a name="security_iam_id-based-policy-examples-console"></a>

Untuk mengakses konsol MemoryDB, Anda harus memiliki set izin minimum. Izin ini harus memungkinkan Anda untuk daftar dan melihat rincian tentang sumber daya MemoryDB di Anda. Akun AWS Jika Anda membuat kebijakan berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana mestinya untuk entitas (pengguna atau peran) dengan kebijakan tersebut.

Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau AWS API. Sebagai gantinya, izinkan akses hanya ke tindakan yang sesuai dengan operasi API yang coba mereka lakukan.

Untuk memastikan bahwa pengguna dan peran masih dapat menggunakan konsol MemoryDB, lampirkan juga MemoryDB `ConsoleAccess` atau kebijakan `ReadOnly` AWS terkelola ke entitas. Untuk informasi selengkapnya, lihat [Menambah izin untuk pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*.

## Mengizinkan pengguna melihat izin mereka sendiri
<a name="security_iam_id-based-policy-examples-view-own-permissions"></a>

Contoh ini menunjukkan cara membuat kebijakan yang mengizinkan pengguna IAM melihat kebijakan inline dan terkelola yang dilampirkan ke identitas pengguna mereka. Kebijakan ini mencakup izin untuk menyelesaikan tindakan ini di konsol atau menggunakan API atau secara terprogram. AWS CLI AWS 

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```







# Memecahkan masalah identitas dan akses MemoryDB
<a name="security_iam_troubleshoot"></a>

Gunakan informasi berikut untuk membantu Anda mendiagnosis dan memperbaiki masalah umum yang mungkin Anda temui saat bekerja dengan MemoryDB dan IAM.

**Topics**
+ [Saya tidak berwenang untuk melakukan tindakan di MemoryDB](#security_iam_troubleshoot-no-permissions)
+ [Saya tidak berwenang untuk melakukan iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Saya ingin mengizinkan orang di luar AWS akun saya untuk mengakses sumber daya MemoryDB saya](#security_iam_troubleshoot-cross-account-access)

## Saya tidak berwenang untuk melakukan tindakan di MemoryDB
<a name="security_iam_troubleshoot-no-permissions"></a>

Jika Konsol Manajemen AWS memberitahu Anda bahwa Anda tidak berwenang untuk melakukan tindakan, maka Anda harus menghubungi administrator Anda untuk bantuan. Administrator Anda adalah orang yang memberikan nama pengguna dan kata sandi Anda.

Contoh kesalahan berikut terjadi ketika pengguna `mateojackson` mencoba menggunakan konsol untuk melihat detail tentang suatu sumber daya `my-example-widget` fiktif, tetapi tidak memiliki izin `MemoryDB:GetWidget` fiktif.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: MemoryDB:GetWidget on resource: my-example-widget
```

Dalam hal ini, Mateo meminta administratornya untuk memperbarui kebijakannya untuk mengizinkan dia mengakses sumber daya `my-example-widget` menggunakan tindakan `MemoryDB:GetWidget`.

## Saya tidak berwenang untuk melakukan iam: PassRole
<a name="security_iam_troubleshoot-passrole"></a>

Jika Anda menerima kesalahan bahwa Anda tidak berwenang untuk melakukan `iam:PassRole` tindakan, kebijakan Anda harus diperbarui agar Anda dapat meneruskan peran ke MemoryDB.

Beberapa Layanan AWS memungkinkan Anda untuk meneruskan peran yang ada ke layanan tersebut alih-alih membuat peran layanan baru atau peran terkait layanan. Untuk melakukannya, Anda harus memiliki izin untuk meneruskan peran ke layanan.

Contoh kesalahan berikut terjadi ketika pengguna IAM bernama `marymajor` mencoba menggunakan konsol untuk melakukan tindakan di MemoryDB. Namun, tindakan tersebut memerlukan layanan untuk mendapatkan izin yang diberikan oleh peran layanan. Mary tidak memiliki izin untuk meneruskan peran tersebut pada layanan.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

Dalam kasus ini, kebijakan Mary harus diperbarui agar dia mendapatkan izin untuk melakukan tindakan `iam:PassRole` tersebut.

Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.

## Saya ingin mengizinkan orang di luar AWS akun saya untuk mengakses sumber daya MemoryDB saya
<a name="security_iam_troubleshoot-cross-account-access"></a>

Anda dapat membuat peran yang dapat digunakan pengguna di akun lain atau orang-orang di luar organisasi Anda untuk mengakses sumber daya Anda. Anda dapat menentukan siapa saja yang dipercaya untuk mengambil peran tersebut. Untuk layanan yang mendukung kebijakan berbasis sumber daya atau daftar kontrol akses (ACLs), Anda dapat menggunakan kebijakan tersebut untuk memberi orang akses ke sumber daya Anda.

Untuk mempelajari selengkapnya, periksa referensi berikut:
+ Untuk mempelajari apakah MemoryDB mendukung fitur-fitur ini, lihat. [Bagaimana MemoryDB bekerja dengan IAM](security_iam_service-with-iam.md)
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda di seluruh sumber daya Akun AWS yang Anda miliki, lihat [Menyediakan akses ke pengguna IAM di pengguna lain Akun AWS yang Anda miliki](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) di *Panduan Pengguna IAM*.
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda kepada pihak ketiga Akun AWS, lihat [Menyediakan akses yang Akun AWS dimiliki oleh pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dalam *Panduan Pengguna IAM*.
+ Untuk mempelajari cara memberikan akses melalui federasi identitas, lihat [Menyediakan akses ke pengguna terautentikasi eksternal (federasi identitas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dalam *Panduan Pengguna IAM*.
+ *Untuk mempelajari perbedaan antara menggunakan peran dan kebijakan berbasis sumber daya untuk akses lintas akun, lihat [Akses sumber daya lintas akun di IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html).*

## Kontrol akses
<a name="iam.accesscontrol"></a>

Anda dapat memiliki kredensyal yang valid untuk mengautentikasi permintaan Anda, tetapi kecuali Anda memiliki izin, Anda tidak dapat membuat atau mengakses sumber daya MemoryDB. Misalnya, Anda harus memiliki izin untuk membuat cluster MemoryDB.

Bagian berikut menjelaskan cara mengelola izin untuk MemoryDB. Anda sebaiknya membaca gambaran umum terlebih dahulu.
+ [Ikhtisar mengelola izin akses ke sumber daya MemoryDB Anda](iam.overview.md)
+ [Menggunakan kebijakan berbasis identitas (kebijakan IAM) untuk MemoryDB](iam.identitybasedpolicies.md)

# Ikhtisar mengelola izin akses ke sumber daya MemoryDB Anda
<a name="iam.overview"></a>

Setiap AWS sumber daya dimiliki oleh AWS akun, dan izin untuk membuat atau mengakses sumber daya diatur oleh kebijakan izin. Administrator akun dapat melampirkan kebijakan izin pada identitas IAM (yaitu pengguna, grup, dan peran). Selain itu, MemoryDB juga mendukung melampirkan kebijakan izin ke sumber daya. 

**catatan**  
*Administrator akun* (atau pengguna administrator) adalah pengguna dengan hak akses administrator. Untuk informasi selengkapnya, lihat [Praktik Terbaik IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.

Untuk memberikan akses, tambahkan izin ke pengguna, grup, atau peran Anda:
+ Pengguna dan grup di AWS IAM Identity Center:

  Buat rangkaian izin. Ikuti instruksi di [Buat rangkaian izin](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) dalam *Panduan Pengguna AWS IAM Identity Center *.
+ Pengguna yang dikelola di IAM melalui penyedia identitas:

  Buat peran untuk federasi identitas. Ikuti instruksi dalam [Buat peran untuk penyedia identitas pihak ketiga (federasi)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dalam *Panduan Pengguna IAM*.
+ Pengguna IAM:
  + Buat peran yang dapat diambil pengguna Anda. Ikuti instruksi dalam [Buat peran untuk pengguna IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dalam *Panduan Pengguna IAM*.
  + (Tidak disarankan) Lampirkan kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk dalam [Menambahkan izin ke pengguna (konsol)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*.

**Topics**
+ [Sumber daya dan operasi MemoryDB](#iam.overview.resourcesandoperations)
+ [Memahami kepemilikan sumber daya](#access-control-resource-ownership)
+ [Mengelola akses ke sumber daya](#iam.overview.managingaccess)
+ [Menggunakan kebijakan berbasis identitas (kebijakan IAM) untuk MemoryDB](iam.identitybasedpolicies.md)
+ [Izin tingkat sumber daya](iam.resourcelevelpermissions.md)
+ [Menggunakan Peran Tertaut Layanan untuk MemoryDB](using-service-linked-roles.md)
+ [AWS kebijakan terkelola untuk MemoryDB](security-iam-awsmanpol.md)
+ [Izin API MemoryDB: Referensi tindakan, sumber daya, dan kondisi](iam.APIReference.md)

## Sumber daya dan operasi MemoryDB
<a name="iam.overview.resourcesandoperations"></a>

*Di MemoryDB, sumber daya utama adalah cluster.*

Sumber daya ini memiliki Nama Sumber Daya Amazon (ARNs) unik yang terkait dengannya seperti yang ditunjukkan berikut. 

**catatan**  
Agar izin di tingkat sumber daya menjadi efektif, nama sumber daya pada string ARN harus huruf kecil.


****  

| Tipe sumber daya | Format ARN | 
| --- | --- | 
| Pengguna  | arn:aws:memorydb ::pengguna/pengguna1 *us-east-1:123456789012* | 
| Daftar Kontrol Akses (ACL)  | arn:aws:memorydb ::acl/myacl *us-east-1:123456789012* | 
| Kluster  | arn:aws:memorydb ::cluster/my-cluster *us-east-1:123456789012* | 
| Snapshot  | arn:aws:memorydb ::snapshot/my-snapshot *us-east-1:123456789012* | 
| Grup parameter  | arn:aws:memorydb ::parametergroup/*us-east-1:123456789012*my-parameter-group | 
| Grup subnet  | arn:aws:memorydb ::subnetgroup/*us-east-1:123456789012*my-subnet-group | 

MemoryDB menyediakan satu set operasi untuk bekerja dengan sumber daya MemoryDB. [Untuk daftar operasi yang tersedia, lihat Tindakan MemoryDB.](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_Operations.html)

## Memahami kepemilikan sumber daya
<a name="access-control-resource-ownership"></a>

*Pemilik sumber daya* adalah AWS akun yang membuat sumber daya. Artinya, pemilik sumber daya adalah AWS akun entitas utama yang mengotentikasi permintaan yang membuat sumber daya. *Entitas utama* dapat berupa akun root, pengguna IAM, atau peran IAM. Contoh berikut menggambarkan cara kerjanya:
+ Misalkan Anda menggunakan kredensyal akun root AWS akun Anda untuk membuat cluster. Dalam hal ini, AWS akun Anda adalah pemilik sumber daya. Di MemoryDB, sumber daya adalah cluster.
+ Misalkan Anda membuat pengguna IAM di AWS akun Anda dan memberikan izin untuk membuat klaster ke pengguna tersebut. Dalam hal ini, pengguna dapat membuat cluster. Namun, AWS akun Anda, tempat pengguna berada, memiliki sumber daya cluster.
+ Misalkan Anda membuat peran IAM di AWS akun Anda dengan izin untuk membuat klaster. Dalam hal ini, siapa pun yang dapat mengambil peran dapat membuat cluster. AWS Akun Anda, tempat peran tersebut berada, memiliki sumber daya cluster. 

## Mengelola akses ke sumber daya
<a name="iam.overview.managingaccess"></a>

*Kebijakan izin* menjelaskan siapa yang memiliki akses ke suatu objek. Bagian berikut menjelaskan opsi yang tersedia untuk membuat kebijakan izin.

**catatan**  
Bagian ini membahas penggunaan IAM dalam konteks MemoryDB. Bagian ini tidak memberikan informasi yang mendetail tentang layanan IAM. Untuk dokumentasi IAM lengkap, lihat [Apa yang Dimaksud dengan IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) dalam *Panduan Pengguna IAM*. Untuk informasi tentang sintaksis dan deskripsi kebijakan IAM, lihat [Referensi Kebijakan IAM AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) dalam *Panduan Pengguna IAM*.

Kebijakan yang terlampir pada identitas IAM disebut sebagai kebijakan *berbasis identitas* (kebijakan IAM). Kebijakan yang dilampirkan pada sumber daya disebut sebagai kebijakan *berbasis-sumber daya*. 

**Topics**
+ [Kebijakan berbasis identitas (kebijakan IAM)](#iam.overview.managingaccess.identitybasedpolicies)
+ [Menentukan elemen kebijakan: Tindakan, efek, sumber daya, dan prinsipal](#iam.overview.policyelements)
+ [Menentukan kondisi dalam kebijakan](#iam.specifyconditions)

### Kebijakan berbasis identitas (kebijakan IAM)
<a name="iam.overview.managingaccess.identitybasedpolicies"></a>

Anda dapat melampirkan kebijakan ke identitas IAM Anda. Misalnya, Anda dapat melakukan hal berikut:
+ **Melampirkan kebijakan izin pada pengguna atau grup dalam akun Anda** – Akun administrator dapat menggunakan kebijakan izin yang terkait dengan pengguna tertentu untuk memberikan izin. Dalam hal ini, izin adalah untuk pengguna tersebut untuk membuat sumber daya MemoryDB, seperti cluster, grup parameter, atau grup keamanan.
+ **Melampirkan kebijakan izin pada peran (memberikan izin lintas akun)** – Anda dapat melampirkan kebijakan izin berbasis identitas ke peran IAM untuk memberikan izin lintas akun. Misalnya, administrator di Akun A dapat membuat peran untuk memberikan izin lintas akun ke AWS akun lain (misalnya, Akun B) atau AWS layanan sebagai berikut:

  1. Administrator akun A membuat peran IAM dan melampirkan kebijakan izin ke peran ini yang memberikan izin pada sumber daya di akun A.

  1. Administrator akun A melampirkan kebijakan kepercayaan ke peran yang mengidentifikasi Akun B sebagai prinsipal yang dapat mengambil peran tersebut. 

  1. Administrator Akun B kemudian dapat mendelegasikan izin untuk mengambil peran kepada setiap pengguna di Akun B. Melakukan hal ini memungkinkan pengguna di Akun B untuk membuat atau mengakses sumber daya di Akun A. Dalam beberapa kasus, Anda mungkin ingin memberikan izin AWS layanan untuk mengambil peran tersebut. Untuk mendukung pendekatan ini, prinsipal dalam kebijakan kepercayaan juga dapat merupakan prinsipal layanan AWS . 

  Untuk informasi selengkapnya tentang penggunaan IAM untuk mendelegasikan izin, lihat [Manajemen Akses](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) dalam *Panduan Pengguna IAM*.

Berikut ini adalah contoh kebijakan yang memungkinkan pengguna untuk melakukan `DescribeClusters` tindakan untuk AWS akun Anda. MemoryDB juga mendukung identifikasi sumber daya tertentu menggunakan sumber daya ARNs untuk tindakan API. (Pendekatan ini juga disebut sebagai izin tingkat sumber daya). 

Untuk informasi selengkapnya tentang penggunaan kebijakan berbasis identitas dengan MemoryDB, lihat. [Menggunakan kebijakan berbasis identitas (kebijakan IAM) untuk MemoryDB](iam.identitybasedpolicies.md) Untuk informasi selengkapnya tentang pengguna, grup, peran, dan izin, lihat [Identitas (Pengguna, Grup, dan Peran)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) dalam *Panduan Pengguna IAM*.

### Menentukan elemen kebijakan: Tindakan, efek, sumber daya, dan prinsipal
<a name="iam.overview.policyelements"></a>

[Untuk setiap sumber daya MemoryDB (lihat[Sumber daya dan operasi MemoryDB](#iam.overview.resourcesandoperations)), layanan mendefinisikan satu set operasi API (lihat Tindakan).](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_Operations.html) Untuk memberikan izin untuk operasi API ini, MemoryDB mendefinisikan serangkaian tindakan yang dapat Anda tentukan dalam kebijakan. Misalnya, untuk sumber daya cluster MemoryDB, tindakan berikut didefinisikan:`CreateCluster`,`DeleteCluster`, dan. `DescribeClusters` Operasi API dapat memerlukan izin untuk lebih dari satu tindakan.

Berikut adalah elemen-elemen kebijakan yang paling dasar:
+ **Sumber daya** – Dalam kebijakan, Anda menggunakan Amazon Resource Name (ARN) untuk mengidentifikasi sumber daya yang diatur kebijakan. Untuk informasi selengkapnya, lihat [Sumber daya dan operasi MemoryDB](#iam.overview.resourcesandoperations).
+ **Tindakan** – Anda menggunakan kata kunci tindakan untuk mengidentifikasi operasi sumber daya yang ingin Anda izinkan atau tolak. Misalnya, tergantung pada yang ditentukan`Effect`, `memorydb:CreateCluster` izin memungkinkan atau menolak izin pengguna untuk melakukan operasi `CreateCluster` MemoryDB.
+ **Efek** – Anda menentukan efek ketika pengguna meminta tindakan tertentu—efek ini dapat berupa pemberian izin atau penolakan. Jika Anda tidak secara eksplisit memberikan akses ke (mengizinkan) sumber daya, akses akan ditolak secara implisit. Anda juga dapat secara eksplisit menolak akses ke sumber daya. Misalnya, Anda mungkin melakukannya untuk memastikan agar pengguna tidak dapat mengakses sumber daya, meskipun jika ada kebijakan berbeda yang memberikan akses.
+ **Prinsipal** – Dalam kebijakan berbasis identitas (Kebijakan IAM), pengguna yang dilampiri kebijakan adalah prinsipal secara implisit. Untuk kebijakan berbasis sumber daya, Anda menentukan pengguna, akun, layanan, atau entitas lain yang diinginkan untuk menerima izin (berlaku hanya untuk kebijakan berbasis sumber daya). 

Untuk mempelajari selengkapnya tentang sintaksis dan deskripsi kebijakan IAM, lihat [Referensi Kebijakan IAM AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) dalam *Panduan Pengguna IAM*.

Untuk tabel yang menampilkan semua tindakan API MemoryDB, lihat. [Izin API MemoryDB: Referensi tindakan, sumber daya, dan kondisi](iam.APIReference.md)

### Menentukan kondisi dalam kebijakan
<a name="iam.specifyconditions"></a>

Ketika Anda memberikan izin, Anda dapat menggunakan bahasa kebijakan IAM untuk menentukan kondisi ketika kebijakan harus berlaku. Misalnya, Anda mungkin ingin kebijakan diterapkan hanya setelah tanggal tertentu. Untuk informasi selengkapnya tentang menentukan kondisi dalam bahasa kebijakan, lihat [Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition) dalam *Panduan Pengguna IAM*. 



# Menggunakan kebijakan berbasis identitas (kebijakan IAM) untuk MemoryDB
<a name="iam.identitybasedpolicies"></a>

Topik ini memberikan contoh kebijakan berbasis identitas di mana administrator akun dapat melampirkan kebijakan izin ke identitas IAM (yaitu, pengguna, grup, dan peran). 

**penting**  
Kami menyarankan Anda terlebih dahulu membaca topik yang menjelaskan konsep dasar dan opsi untuk mengelola akses ke sumber daya MemoryDB. Untuk informasi selengkapnya, lihat [Ikhtisar mengelola izin akses ke sumber daya MemoryDB Anda](iam.overview.md). 

Bagian dalam topik ini membahas hal berikut:
+ [Izin diperlukan untuk menggunakan konsol MemoryDB](#iam.identitybasedpolicies.minconpolicies)
+ [AWS kebijakan -managed (telah ditentukan) untuk MemoryDB](security-iam-awsmanpol.md#iam.identitybasedpolicies.predefinedpolicies)
+ [Contoh kebijakan yang dikelola pelanggan](#iam.identitybasedpolicies.customermanagedpolicies)

Berikut adalah contoh kebijakan izin.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [{
       "Sid": "AllowClusterPermissions",
       "Effect": "Allow",
       "Action": [
          "memorydb:CreateCluster",          
          "memorydb:DescribeClusters",
          "memorydb:UpdateCluster"],
       "Resource": "*"
       },
       {
         "Sid": "AllowUserToPassRole",
         "Effect": "Allow",
         "Action": [ "iam:PassRole" ],
         "Resource": "arn:aws:iam::123456789012:role/EC2-roles-for-cluster"
       }
   ]
}
```

------

Kebijakan tersebut memiliki dua pernyataan:
+ Pernyataan pertama memberikan izin untuk tindakan MemoryDB (`memorydb:CreateCluster`,`memorydb:DescribeClusters`, dan`memorydb:UpdateCluster`) pada klaster mana pun yang dimiliki oleh akun.
+ Pernyataan kedua memberikan izin untuk tindakan IAM (`iam:PassRole`) pada nama peran IAM yang ditentukan pada akhir nilai `Resource`.

Kebijakan tidak menentukan elemen `Principal` karena dalam kebijakan berbasis identitas, Anda tidak menentukan prinsipal yang mendapatkan izin. Saat Anda melampirkan kebijakan kepada pengguna, pengguna tersebut menjadi prinsipal secara implisit. Saat Anda melampirkan kebijakan izin pada peran IAM, prinsipal yang diidentifikasi dalam kebijakan kepercayaan peran tersebut akan mendapatkan izin. 

Untuk tabel yang menunjukkan semua tindakan API MemoryDB dan sumber daya yang diterapkan, lihat. [Izin API MemoryDB: Referensi tindakan, sumber daya, dan kondisi](iam.APIReference.md) 

## Izin diperlukan untuk menggunakan konsol MemoryDB
<a name="iam.identitybasedpolicies.minconpolicies"></a>

Tabel referensi izin mencantumkan operasi API MemoryDB dan menunjukkan izin yang diperlukan untuk setiap operasi. Untuk informasi selengkapnya tentang operasi API MemoryDB, lihat. [Izin API MemoryDB: Referensi tindakan, sumber daya, dan kondisi](iam.APIReference.md) 

 Untuk menggunakan konsol MemoryDB, pertama-tama berikan izin untuk tindakan tambahan seperti yang ditunjukkan dalam kebijakan izin berikut. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Sid": "MinPermsForMemDBConsole",
        "Effect": "Allow",
        "Action": [
            "memorydb:Describe*",
            "memorydb:List*",
            "ec2:DescribeAvailabilityZones",
            "ec2:DescribeVpcs",
            "ec2:DescribeAccountAttributes",
            "ec2:DescribeSecurityGroups",
            "cloudwatch:GetMetricStatistics",
            "cloudwatch:DescribeAlarms",
            "s3:ListAllMyBuckets",
            "sns:ListTopics",
            "sns:ListSubscriptions" ],
        "Resource": "*"
        }
    ]
}
```

------

Konsol MemoryDB membutuhkan izin tambahan ini karena alasan berikut:
+ Izin untuk tindakan MemoryDB memungkinkan konsol untuk menampilkan sumber daya MemoryDB di akun.
+ Konsol memerlukan izin untuk `ec2` tindakan untuk menanyakan Amazon EC2 sehingga dapat menampilkan Availability Zone VPCs,, grup keamanan, dan atribut akun.
+ Izin untuk `cloudwatch` tindakan memungkinkan konsol mengambil CloudWatch metrik dan alarm Amazon, dan menampilkannya di konsol.
+ Izin untuk `sns` tindakan memungkinkan konsol mengambil topik dan langganan Amazon Simple Notification Service (Amazon SNS), dan menampilkannya di konsol.

## Contoh kebijakan yang dikelola pelanggan
<a name="iam.identitybasedpolicies.customermanagedpolicies"></a>

Jika Anda tidak menggunakan kebijakan default dan memilih untuk menggunakan kebijakan yang dikelola kustom, pastikan salah satu dari dua hal berikut. Anda harus memiliki izin untuk memanggil `iam:createServiceLinkedRole` (untuk informasi selengkapnya, lihat [Contoh 4: Izinkan pengguna memanggil IAM API CreateServiceLinkedRole](#create-service-linked-role-policy)). Atau Anda seharusnya telah membuat peran terkait layanan MemoryDB. 

Bila dikombinasikan dengan izin minimum yang diperlukan untuk menggunakan konsol MemoryDB, contoh kebijakan di bagian ini memberikan izin tambahan. Contoh-contohnya juga relevan dengan AWS SDKs dan AWS CLI. Untuk informasi selengkapnya tentang izin apa yang diperlukan untuk menggunakan konsol MemoryDB, lihat. [Izin diperlukan untuk menggunakan konsol MemoryDB](#iam.identitybasedpolicies.minconpolicies)

Untuk petunjuk pengaturan pengguna dan grup IAM, lihat [Membuat Pengguna dan Grup Administrator IAM Pertama Anda](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) dalam *Panduan Pengguna IAM*. 

**penting**  
Selalu uji kebijakan IAM Anda secara menyeluruh sebelum menggunakannya dalam produksi. Beberapa tindakan MemoryDB yang tampak sederhana dapat memerlukan tindakan lain untuk mendukungnya saat Anda menggunakan konsol MemoryDB. Misalnya, `memorydb:CreateCluster` memberikan izin untuk membuat cluster MemoryDB. Namun, untuk melakukan operasi ini, konsol MemoryDB menggunakan sejumlah `Describe` dan `List` tindakan untuk mengisi daftar konsol.

**Topics**
+ [Contoh 1: Izinkan akses hanya-baca pengguna ke sumber daya MemoryDB](#example-allow-list-current-memorydb-resources)
+ [Contoh 2: Izinkan pengguna untuk melakukan tugas administrator sistem MemoryDB umum](#example-allow-specific-memorydb-actions)
+ [Contoh 3: Izinkan pengguna mengakses semua tindakan API MemoryDB](#allow-unrestricted-access)
+ [Contoh 4: Izinkan pengguna memanggil IAM API CreateServiceLinkedRole](#create-service-linked-role-policy)

### Contoh 1: Izinkan akses hanya-baca pengguna ke sumber daya MemoryDB
<a name="example-allow-list-current-memorydb-resources"></a>

Kebijakan berikut memberikan izin untuk tindakan MemoryDB yang memungkinkan pengguna mencantumkan sumber daya. Biasanya, Anda melampirkan jenis kebijakan izin ini ke grup pengelola.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[{
      "Sid": "MemDBUnrestricted",
      "Effect":"Allow",
      "Action": [
          "memorydb:Describe*",
          "memorydb:List*"],
      "Resource":"*"
      }
   ]
}
```

------

### Contoh 2: Izinkan pengguna untuk melakukan tugas administrator sistem MemoryDB umum
<a name="example-allow-specific-memorydb-actions"></a>

Tugas administrator sistem umum termasuk memodifikasi cluster, parameter, dan kelompok parameter. Administrator sistem mungkin juga ingin mendapatkan informasi tentang peristiwa MemoryDB. Kebijakan berikut memberikan izin pengguna untuk melakukan tindakan MemoryDB untuk tugas administrator sistem umum ini. Biasanya, Anda melampirkan jenis kebijakan izin ini ke grup administrator sistem.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "MDBAllowSpecific",
            "Effect": "Allow",
            "Action": [
                "memorydb:UpdateCluster",
                "memorydb:DescribeClusters",
                "memorydb:DescribeEvents",
                "memorydb:UpdateParameterGroup",
                "memorydb:DescribeParameterGroups",
                "memorydb:DescribeParameters",
                "memorydb:ResetParameterGroup"
            ],
            "Resource": "*"
        }
    ]
}
```

------

### Contoh 3: Izinkan pengguna mengakses semua tindakan API MemoryDB
<a name="allow-unrestricted-access"></a>

Kebijakan berikut memungkinkan pengguna untuk mengakses semua tindakan MemoryDB. Sebaiknya Anda memberikan jenis kebijakan izin ini hanya untuk pengguna administrator. 

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[{
      "Sid": "MDBAllowAll",
      "Effect":"Allow",
      "Action":[
          "memorydb:*" ],
      "Resource":"*"
      }
   ]
}
```

------

### Contoh 4: Izinkan pengguna memanggil IAM API CreateServiceLinkedRole
<a name="create-service-linked-role-policy"></a>

Kebijakan berikut mengizinkan pengguna untuk memanggil API `CreateServiceLinkedRole` IAM. Kami menyarankan Anda memberikan jenis kebijakan izin ini kepada pengguna yang memanggil operasi MemoryDB mutatif.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement":[
    {
      "Sid":"CreateSLRAllows",
      "Effect":"Allow",
      "Action":[
        "iam:CreateServiceLinkedRole"
      ],
      "Resource":"*",
      "Condition":{
        "StringLike":{
          "iam:AWS ServiceName":"memorydb.amazonaws.com"
        }
      }
    }
  ]
}
```

------

# Izin tingkat sumber daya
<a name="iam.resourcelevelpermissions"></a>

Anda dapat membatasi cakupan izin dengan menentukan sumber daya dalam kebijakan IAM. Banyak tindakan AWS CLI API mendukung jenis sumber daya yang bervariasi tergantung pada perilaku tindakan. Setiap pernyataan kebijakan IAM memberikan izin untuk tindakan yang dilakukan pada sumber daya. Saat tindakan tersebut tidak dilakukan pada sumber daya yang disebutkan, atau saat Anda memberikan izin untuk melakukan tindakan pada semua sumber daya, maka nilai sumber daya dalam kebijakan tersebut adalah wildcard (\$1). Untuk banyak tindakan API, Anda dapat membatasi sumber daya yang dapat diubah oleh pengguna dengan menentukan Amazon Resource Name (ARN) sumber daya tersebut, atau pola ARN yang cocok dengan beberapa sumber daya. Untuk membatasi izin berdasarkan sumber daya, tentukan sumber daya berdasarkan ARN.

**Format ARN Sumber Daya MemoryDB**

**catatan**  
Agar izin tingkat sumber daya efektif, nama sumber daya dalam string ARN harus huruf kecil.
+ Pengguna - arn:aws:memorydb ::user/user1 *us-east-1:123456789012*
+ ACL - arn:aws:memorydb ::acl/my-acl *us-east-1:123456789012*
+ Cluster — arn:aws:memorydb ::cluster/my-cluster *us-east-1:123456789012*
+ Snapshot — arn:aws:memorydb ::snapshot/my-snapshot *us-east-1:123456789012*
+ Kelompok parameter - arn:aws:memorydb ::parametergroup/*us-east-1:123456789012*my-parameter-group
+ Grup subnet - arn:aws:memorydb ::subnetgroup/*us-east-1:123456789012*my-subnet-group

**Topics**
+ [Contoh 1: Izinkan pengguna akses penuh ke jenis sumber daya MemoryDB tertentu](#example-allow-list-current-memorydb-resources-resource)
+ [Contoh 2: Tolak akses pengguna ke cluster.](#example-allow-specific-memorydb-actions-resource)

## Contoh 1: Izinkan pengguna akses penuh ke jenis sumber daya MemoryDB tertentu
<a name="example-allow-list-current-memorydb-resources-resource"></a>

Kebijakan berikut secara eksplisit memungkinkan akses `account-id` penuh yang ditentukan ke semua sumber daya grup subnet tipe, grup keamanan, dan klaster.

```
{
        "Sid": "Example1",
        "Effect": "Allow",
        "Action": "memorydb:*",
        "Resource": [
             "arn:aws:memorydb:us-east-1:account-id:subnetgroup/*",
             "arn:aws:memorydb:us-east-1:account-id:securitygroup/*",
             "arn:aws:memorydb:us-east-1:account-id:cluster/*"
        ]
}
```

## Contoh 2: Tolak akses pengguna ke cluster.
<a name="example-allow-specific-memorydb-actions-resource"></a>

Contoh berikut secara eksplisit menyangkal `account-id` akses yang ditentukan ke cluster tertentu.

```
{
        "Sid": "Example2",
        "Effect": "Deny",
        "Action": "memorydb:*",
        "Resource": [
                "arn:aws:memorydb:us-east-1:account-id:cluster/name"
        ]
}
```

# Menggunakan Peran Tertaut Layanan untuk MemoryDB
<a name="using-service-linked-roles"></a>

[MemoryDB menggunakan peran AWS Identity and Access Management terkait layanan (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke AWS layanan, seperti MemoryDB. Peran terkait layanan MemoryDB telah ditentukan sebelumnya oleh MemoryDB. Peran tersebut menyertakan semua izin yang diperlukan layanan untuk memanggil layanan AWS atas nama klaster Anda. 

Peran terkait layanan membuat pengaturan MemoryDB lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. Peran sudah ada dalam AWS akun Anda tetapi ditautkan ke kasus penggunaan MemoryDB dan memiliki izin yang telah ditentukan sebelumnya. Hanya MemoryDB yang dapat mengambil peran ini, dan hanya peran ini yang dapat menggunakan kebijakan izin yang telah ditentukan sebelumnya. Anda dapat menghapus peran tersebut hanya setelah pertama kali menghapus sumber dayanya yang terkait. Ini melindungi sumber daya MemoryDB Anda karena Anda tidak dapat secara tidak sengaja menghapus izin yang diperlukan untuk mengakses sumber daya.

Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, lihat [Layanan AWS yang bisa digunakan dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan carilah layanan yang memiliki opsi **Ya** di kolom **Peran Terkait Layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.

**Contents**
+ [Izin peran terkait layanan](#service-linked-role-permissions)
+ [Membuat Peran Terkait Layanan (IAM)](#create-service-linked-role-iam)
  + [Menggunakan Konsol IAM](#create-service-linked-role-iam-console)
  + [Menggunakan CLI IAM](#create-service-linked-role-iam-cli)
  + [Menggunakan API IAM](#create-service-linked-role-iam-api)
+ [Mengedit Deskripsi Peran Terkait Layanan](#edit-service-linked-role)
  + [Menggunakan Konsol IAM](#edit-service-linked-role-iam-console)
  + [Menggunakan CLI IAM](#edit-service-linked-role-iam-cli)
  + [Menggunakan API IAM](#edit-service-linked-role-iam-api)
+ [Menghapus Peran Tertaut Layanan untuk MemoryDB](#delete-service-linked-role)
  + [Membersihkan Peran Terkait Layanan](#service-linked-role-review-before-delete)
  + [Menghapus Peran Terkait Layanan (Konsol IAM)](#delete-service-linked-role-iam-console)
  + [Menghapus Peran Terkait Layanan (CLI IAM)](#delete-service-linked-role-iam-cli)
  + [Menghapus Peran Terkait Layanan (API IAM)](#delete-service-linked-role-iam-api)

## Izin Peran Tertaut Layanan untuk MemoryDB
<a name="service-linked-role-permissions"></a>

MemoryDB menggunakan peran terkait layanan bernama **AWSServiceRoleForMemoryDB** - Kebijakan ini memungkinkan MemoryDB mengelola AWS sumber daya atas nama Anda sebagaimana diperlukan untuk mengelola cluster Anda.

Kebijakan izin peran terkait layanan AWSService RoleForMemory DB memungkinkan MemoryDB menyelesaikan tindakan berikut pada sumber daya yang ditentukan:

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"ec2:CreateTags"
			],
			"Resource": "arn:aws-cn:ec2:*:*:network-interface/*",
			"Condition": {
				"StringEquals": {
					"ec2:CreateAction": "CreateNetworkInterface"
				},
				"ForAllValues:StringEquals": {
					"aws:TagKeys": [
						"AmazonMemoryDBManaged"
					]
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterface"
			],
			"Resource": [
				"arn:aws-cn:ec2:*:*:network-interface/*",
				"arn:aws-cn:ec2:*:*:subnet/*",
				"arn:aws-cn:ec2:*:*:security-group/*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:DeleteNetworkInterface",
				"ec2:ModifyNetworkInterfaceAttribute"
			],
			"Resource": "arn:aws-cn:ec2:*:*:network-interface/*",
			"Condition": {
				"StringEquals": {
					"ec2:ResourceTag/AmazonMemoryDBManaged": "true"
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:DeleteNetworkInterface",
				"ec2:ModifyNetworkInterfaceAttribute"
			],
			"Resource": "arn:aws-cn:ec2:*:*:security-group/*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeSecurityGroups",
				"ec2:DescribeNetworkInterfaces",
				"ec2:DescribeAvailabilityZones",
				"ec2:DescribeSubnets",
				"ec2:DescribeVpcs"
			],
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"cloudwatch:PutMetricData"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"cloudwatch:namespace": "AWS/MemoryDB"
				}
			}
		}
	]
}
```

------

Untuk informasi selengkapnya, lihat [AWS kebijakan terkelola: Memori DBService RolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-memorydbServiceRolePolicy).

**Untuk mengizinkan entitas IAM membuat peran terkait layanan AWSService RoleForMemory DB**

Tambahkan pernyataan kebijakan berikut ini ke izin untuk entitas IAM:

```
{
    "Effect": "Allow",
    "Action": [
        "iam:CreateServiceLinkedRole",
        "iam:PutRolePolicy"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/memorydb.amazonaws.com/AWSServiceRoleForMemoryDB*",
    "Condition": {"StringLike": {"iam:AWS ServiceName": "memorydb.amazonaws.com"}}
}
```

**Untuk mengizinkan entitas IAM menghapus peran terkait layanan AWSService RoleForMemory DB**

Tambahkan pernyataan kebijakan berikut ini ke izin untuk entitas IAM:

```
{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/memorydb.amazonaws.com/AWSServiceRoleForMemoryDB*",
    "Condition": {"StringLike": {"iam:AWS ServiceName": "memorydb.amazonaws.com"}}
}
```

Atau, Anda dapat menggunakan kebijakan AWS terkelola untuk menyediakan akses penuh ke MemoryDB.

## Membuat Peran Terkait Layanan (IAM)
<a name="create-service-linked-role-iam"></a>

Anda dapat membuat peran terkait layanan menggunakan konsol IAM, CLI, atau API.

### Membuat Peran Terkait Layanan (Konsol IAM)
<a name="create-service-linked-role-iam-console"></a>

Anda dapat menggunakan konsol IAM untuk membuat peran terkait layanan.

**Untuk membuat peran terkait layanan (konsol)**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. **Di panel navigasi kiri konsol IAM, pilih Peran.** Kemudian pilih **Buat peran baru**.

1. Di bagian **Pilih jenis entitas tepercaya**, pilih **Layanan AWS **.

1. Di bawah **Atau pilih layanan untuk melihat kasus penggunaannya**, pilih **MemoryDB**.

1. Pilih **Berikutnya: Izin**.

1. Di bagian **Nama kebijakan**, perhatikan bahwa `MemoryDBServiceRolePolicy` diperlukan untuk peran ini. Pilih **Selanjutnya: Tag**.

1. Perhatikan bahwa tag tidak didukung untuk peran Tertaut-Layanan. Pilih **Selanjutnya: Tinjau**.

1. (Opsional) Untuk **Deskripsi peran**, edit deskripsi untuk peran terkait layanan baru.

1. Tinjau peran, lalu pilih **Buat peran**.

### Membuat Peran Terkait Layanan (CLI IAM)
<a name="create-service-linked-role-iam-cli"></a>

Anda dapat menggunakan operasi IAM dari AWS Command Line Interface untuk membuat peran terkait layanan. Peran ini dapat mencakup kebijakan kepercayaan dan kebijakan terkait yang diperlukan oleh layanan untuk mengambil peran tersebut.

**Untuk membuat peran terkait layanan (CLI)**

Gunakan operasi berikut:

```
$ aws iam [create-service-linked-role](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html) --aws-service-name memorydb.amazonaws.com
```

### Membuat Peran Terkait Layanan (API IAM)
<a name="create-service-linked-role-iam-api"></a>

Anda dapat menggunakan API IAM untuk membuat peran terkait layanan. Peran ini dapat berisi kebijakan kepercayaan dan kebijakan terkait yang diperlukan oleh layanan untuk mengambil peran tersebut.

**Untuk membuat peran terkait layanan (API)**

Gunakan panggilan API [CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html). Dalam permintaan, sebutkan nama layanan `memorydb.amazonaws.com`. 

## Mengedit Deskripsi Peran Tertaut Layanan untuk MemoryDB
<a name="edit-service-linked-role"></a>

MemoryDB tidak memungkinkan Anda untuk mengedit peran terkait layanan AWSService RoleForMemory DB. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin merujuk peran tersebut. Namun, Anda dapat menyunting Deskripsi peran menggunakan IAM.

### Mengedit Deskripsi Peran Terkait Layanan (Konsol IAM)
<a name="edit-service-linked-role-iam-console"></a>

Anda dapat menggunakan konsol IAM untuk mengedit deskripsi peran terkait layanan.

**Untuk mengedit deskripsi peran terkait layanan (konsol)**

1. **Di panel navigasi kiri konsol IAM, pilih Peran.**

1. Pilih nama peran yang akan diubah.

1. Di ujung kanan **Deskripsi peran**, pilih **Edit**. 

1. Masukkan deskripsi baru di kotak, lalu pilih **Simpan**.

### Mengedit Deskripsi Peran Terkait Layanan (CLI IAM)
<a name="edit-service-linked-role-iam-cli"></a>

Anda dapat menggunakan operasi IAM dari AWS Command Line Interface untuk mengedit deskripsi peran terkait layanan.

**Untuk mengubah deskripsi peran terkait layanan (CLI)**

1. (Opsional) Untuk melihat deskripsi saat ini untuk peran, gunakan AWS CLI untuk operasi `[get-role](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)` IAM.  
**Example**  

   ```
   $ aws iam [get-role](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html) --role-name AWSServiceRoleForMemoryDB
   ```

   Gunakan nama peran, bukan ARN, untuk mengacu ke peran itu dengan operasi CLI. Misalnya, jika peran memiliki ARN berikut: `arn:aws:iam::123456789012:role/myrole`, peran akan dirujuk sebagai **myrole**.

1. Untuk memperbarui deskripsi peran terkait layanan, gunakan operasi AWS CLI untuk IAM. `[update-role-description](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html)`

   Untuk Linux, macOS, atau Unix:

   ```
   $ aws iam [update-role-description](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html) \
       --role-name AWSServiceRoleForMemoryDB \
       --description "new description"
   ```

   Untuk Windows:

   ```
   $ aws iam [update-role-description](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html) ^
       --role-name AWSServiceRoleForMemoryDB ^
       --description "new description"
   ```

### Mengedit Deskripsi Peran Terkait Layanan (API IAM)
<a name="edit-service-linked-role-iam-api"></a>

Anda dapat menggunakan API IAM untuk mengedit deskripsi peran terkait layanan.

**Untuk mengubah deskripsi peran terkait layanan (API)**

1. (Opsional) Untuk melihat deskripsi peran saat ini, gunakan operasi API IAM [GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html).  
**Example**  

   ```
   https://iam.amazonaws.com/
      ?Action=[GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)
      &RoleName=AWSServiceRoleForMemoryDB
      &Version=2010-05-08
      &AUTHPARAMS
   ```

1. Untuk memperbarui deskripsi peran, gunakan operasi API IAM [UpdateRoleDescription](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html).  
**Example**  

   ```
   https://iam.amazonaws.com/
      ?Action=[UpdateRoleDescription](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html)
      &RoleName=AWSServiceRoleForMemoryDB
      &Version=2010-05-08
      &Description="New description"
   ```

## Menghapus Peran Tertaut Layanan untuk MemoryDB
<a name="delete-service-linked-role"></a>

Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, sebaiknya hapus peran tersebut. Dengan begitu, Anda tidak perlu lagi memantau atau memelihara entitas yang tidak digunakan. Namun, Anda harus membersihkan peran terkait layanan sebelum dapat menghapusnya.

MemoryDB tidak menghapus peran terkait layanan untuk Anda.

### Membersihkan Peran Terkait Layanan
<a name="service-linked-role-review-before-delete"></a>

Sebelum Anda dapat menggunakan IAM untuk menghapus peran terkait layanan, konfirmasikan terlebih dahulu bahwa peran tersebut tidak memiliki sumber daya (cluster) yang terkait dengannya.

**Untuk memastikan peran terkait layanan memiliki sesi aktif di konsol IAM**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. **Di panel navigasi kiri konsol IAM, pilih Peran.** Kemudian pilih nama (bukan kotak centang) dari peran AWSService RoleForMemory DB.

1. Di halaman **Ringkasan** untuk peran yang dipilih, pilih tab **Penasihat Akses**.

1. Di tab **Penasihat Akses**, ‍tinjau aktivitas terbaru untuk peran terkait layanan tersebut.

**Untuk menghapus sumber daya MemoryDB yang membutuhkan AWSService RoleForMemory DB (konsol)**
+ Untuk menghapus klaster, lihat referensi berikut:
  + [Menggunakan Konsol Manajemen AWS](getting-started.md#clusters.deleteclusters.viewdetails)
  + [Menggunakan AWS CLI](getting-started.md#clusters.delete.cli)
  + [Menggunakan MemoryDB API](getting-started.md#clusters.delete.api)

### Menghapus Peran Terkait Layanan (Konsol IAM)
<a name="delete-service-linked-role-iam-console"></a>

Anda dapat menggunakan konsol IAM untuk menghapus sebuah peran terkait layanan.

**Untuk menghapus peran terkait layanan (konsol)**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. **Di panel navigasi kiri konsol IAM, pilih Peran.** Kemudian, pilih kotak centang di sebelah nama peran yang ingin dihapus, bukan nama atau baris itu sendiri. 

1. Untuk **Tindakan peran** di bagian atas halaman, pilih **Hapus peran**.

1. Di halaman konfirmasi, tinjau data layanan yang terakhir diakses, yang menunjukkan kapan masing-masing peran yang dipilih terakhir mengakses AWS layanan. Hal ini membantu Anda mengonfirmasi aktif tidaknya peran tersebut saat ini. Jika Anda ingin melanjutkan, pilih **Ya, Hapus** guna mengirimkan peran terkait layanan untuk penghapusan.

1. Perhatikan notifikasi konsol IAM untuk memantau progres penghapusan peran terkait layanan. Karena penghapusan peran terkait layanan IAM bersifat asinkron, setelah Anda mengirimkan peran tersebut untuk penghapusan, tugas penghapusan dapat berhasil atau gagal. Jika tugas tersebut gagal, Anda dapat memilih **Lihat detail** atau **Lihat Sumber Daya** dari notifikasi untuk mempelajari alasan gagalnya penghapusan.

### Menghapus Peran Terkait Layanan (CLI IAM)
<a name="delete-service-linked-role-iam-cli"></a>

Anda dapat menggunakan operasi IAM dari AWS Command Line Interface untuk menghapus peran terkait layanan.

**Untuk menghapus peran terkait layanan (CLI)**

1. Jika Anda tidak tahu nama peran terkait layanan yang ingin dihapus, masukkan perintah berikut. Perintah ini mencantumkan peran dan Nama Sumber Daya Amazon (ARNs) di akun Anda.

   ```
   $ aws iam [get-role](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html) --role-name role-name
   ```

   Gunakan nama peran, bukan ARN, untuk merujuk ke peran dengan operasi CLI. Misalnya, jika peran memiliki ARN `arn:aws:iam::123456789012:role/myrole`, peran akan dirujuk sebagai **myrole**.

1. Karena peran terkait layanan tidak dapat dihapus jika sedang digunakan atau memiliki sumber daya terkait, Anda harus mengirimkan permintaan penghapusan. Permintaan tersebut dapat ditolak jika kondisi ini tidak terpenuhi. Anda harus menangkap `deletion-task-id` dari tanggapan untuk memeriksa status tugas penghapusan. Masukkan perintah berikut untuk mengirimkan permintaan penghapusan peran terkait layanan.

   ```
   $ aws iam [delete-service-linked-role](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html) --role-name role-name
   ```

1. Masukkan perintah berikut untuk memeriksa status tugas penghapusan.

   ```
   $ aws iam [get-service-linked-role-deletion-status](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html) --deletion-task-id deletion-task-id
   ```

   Status tugas penghapusan dapat berupa `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED`, atau `FAILED`. Jika penghapusan gagal, panggilan akan mengembalikan alasan kegagalan panggilan agar Anda dapat memecahkan masalah.

### Menghapus Peran Terkait Layanan (API IAM)
<a name="delete-service-linked-role-iam-api"></a>

Anda dapat menggunakan API IAM untuk menghapus peran terkait layanan.

**Untuk menghapus peran terkait layanan (API)**

1. Untuk mengirimkan permintaan penghapusan untuk peran terkait layanan, panggil [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html). Di permintaan tersebut, tentukan nama peran.

   Karena peran terkait layanan tidak dapat dihapus jika sedang digunakan atau memiliki sumber daya terkait, Anda harus mengirimkan permintaan penghapusan. Permintaan tersebut dapat ditolak jika kondisi ini tidak terpenuhi. Anda harus menangkap `DeletionTaskId` dari tanggapan untuk memeriksa status tugas penghapusan.

1. Untuk memeriksa status penghapusan, panggil [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html). Di permintaan tersebut, tentukan `DeletionTaskId`.

   Status tugas penghapusan dapat berupa `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED`, atau `FAILED`. Jika penghapusan gagal, panggilan akan mengembalikan alasan kegagalan panggilan agar Anda dapat memecahkan masalah.

# AWS kebijakan terkelola untuk MemoryDB
<a name="security-iam-awsmanpol"></a>







Untuk menambahkan izin ke pengguna, grup, dan peran, lebih mudah menggunakan kebijakan AWS terkelola daripada menulis kebijakan sendiri. Dibutuhkan waktu dan keahlian untuk [membuat kebijakan yang dikelola pelanggan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) yang hanya memberi tim Anda izin yang mereka butuhkan. Untuk memulai dengan cepat, Anda dapat menggunakan kebijakan AWS terkelola kami. Kebijakan ini mencakup kasus penggunaan umum dan tersedia di AWS akun Anda. Untuk informasi selengkapnya tentang kebijakan AWS [AWS terkelola, lihat kebijakan terkelola](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) di *Panduan Pengguna IAM*.

AWS layanan memelihara dan memperbarui kebijakan AWS terkelola. Anda tidak dapat mengubah izin dalam kebijakan AWS terkelola. Layanan terkadang menambahkan izin tambahan ke kebijakan yang dikelola AWS untuk mendukung fitur-fitur baru. Jenis pembaruan ini akan memengaruhi semua identitas (pengguna, grup, dan peran) di mana kebijakan tersebut dilampirkan. Layanan kemungkinan besar akan memperbarui kebijakan yang dikelola AWS saat ada fitur baru yang diluncurkan atau saat ada operasi baru yang tersedia. Layanan tidak menghapus izin dari kebijakan AWS terkelola, sehingga pembaruan kebijakan tidak akan merusak izin yang ada.

Selain itu, AWS mendukung kebijakan terkelola untuk fungsi pekerjaan yang mencakup beberapa layanan. Misalnya, kebijakan **ReadOnlyAccess** AWS terkelola menyediakan akses hanya-baca ke semua AWS layanan dan sumber daya. Saat layanan meluncurkan fitur baru, AWS tambahkan izin hanya-baca untuk operasi dan sumber daya baru. Untuk melihat daftar dan deskripsi dari kebijakan fungsi tugas, lihat [kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) di *Panduan Pengguna IAM*.









## AWS kebijakan terkelola: Memori DBService RolePolicy
<a name="security-iam-awsmanpol-memorydbServiceRolePolicy"></a>







Anda tidak dapat melampirkan kebijakan DBService RolePolicy AWS terkelola Memori ke identitas di akun Anda. Kebijakan ini merupakan bagian dari peran terkait layanan AWS MemoryDB. Peran ini memungkinkan layanan untuk mengelola antarmuka jaringan dan grup keamanan di akun Anda. 



MemoryDB menggunakan izin dalam kebijakan ini untuk mengelola grup keamanan EC2 dan antarmuka jaringan. Ini diperlukan untuk mengelola cluster MemoryDB. 



**Detail izin**

Kebijakan ini mencakup izin berikut.



------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"ec2:CreateTags"
			],
			"Resource": "arn:aws-cn:ec2:*:*:network-interface/*",
			"Condition": {
				"StringEquals": {
					"ec2:CreateAction": "CreateNetworkInterface"
				},
				"ForAllValues:StringEquals": {
					"aws:TagKeys": [
						"AmazonMemoryDBManaged"
					]
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterface"
			],
			"Resource": [
				"arn:aws-cn:ec2:*:*:network-interface/*",
				"arn:aws-cn:ec2:*:*:subnet/*",
				"arn:aws-cn:ec2:*:*:security-group/*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:DeleteNetworkInterface",
				"ec2:ModifyNetworkInterfaceAttribute"
			],
			"Resource": "arn:aws-cn:ec2:*:*:network-interface/*",
			"Condition": {
				"StringEquals": {
					"ec2:ResourceTag/AmazonMemoryDBManaged": "true"
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:DeleteNetworkInterface",
				"ec2:ModifyNetworkInterfaceAttribute"
			],
			"Resource": "arn:aws-cn:ec2:*:*:security-group/*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeSecurityGroups",
				"ec2:DescribeNetworkInterfaces",
				"ec2:DescribeAvailabilityZones",
				"ec2:DescribeSubnets",
				"ec2:DescribeVpcs"
			],
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"cloudwatch:PutMetricData"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"cloudwatch:namespace": "AWS/MemoryDB"
				}
			}
		}
	]
}
```

------

## AWS kebijakan -managed (telah ditentukan) untuk MemoryDB
<a name="iam.identitybasedpolicies.predefinedpolicies"></a>

AWS mengatasi banyak kasus penggunaan umum dengan menyediakan kebijakan IAM mandiri yang dibuat dan dikelola oleh. AWS Kebijakan terkelola memberikan izin yang diperlukan untuk kasus penggunaan umum sehingga Anda tidak perlu menyelidiki izin apa yang diperlukan. Untuk informasi selengkapnya, lihat [Kebijakan Terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*. 

Kebijakan AWS terkelola berikut, yang dapat Anda lampirkan ke pengguna di akun Anda, khusus untuk MemoryDB:

### AmazonMemoryDBReadOnlyAccess
<a name="iam.identitybasedpolicies.predefinedpolicies-readonly"></a>

Anda dapat melampirkan kebijakan `AmazonMemoryDBReadOnlyAccess` ke identitas IAM Anda. Kebijakan ini memberikan izin administratif yang memungkinkan akses hanya-baca ke semua sumber daya MemoryDB.

**AmazonMemoryDBReadOnlyAccess**- Memberikan akses hanya-baca ke sumber daya MemoryDB.

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [{
		"Effect": "Allow",
		"Action": [
			"memorydb:Describe*",
			"memorydb:List*"
		],
		"Resource": "*"
	}]
}
```

------

### AmazonMemoryDBFullAkses
<a name="iam.identitybasedpolicies.predefinedpolicies-fullaccess"></a>

Anda dapat melampirkan kebijakan `AmazonMemoryDBFullAccess` ke identitas IAM Anda. Kebijakan ini memberikan izin administratif yang memungkinkan akses penuh ke semua sumber daya MemoryDB. 

**AmazonMemoryDBFullAkses** - Memberikan akses penuh ke sumber daya MemoryDB.

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [{
			"Effect": "Allow",
			"Action": "memorydb:*",
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": "iam:CreateServiceLinkedRole",
			"Resource": "arn:aws:iam::*:role/aws-service-role/memorydb.amazonaws.com/AWSServiceRoleForMemoryDB",
			"Condition": {
				"StringLike": {
					"iam:AWSServiceName": "memorydb.amazonaws.com"
				}
			}
		}
	]
}
```

------

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [{
			"Effect": "Allow",
			"Action": "memorydb:*",
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": "iam:CreateServiceLinkedRole",
			"Resource": "arn:aws-cn:iam::*:role/aws-service-role/memorydb.amazonaws.com/AWSServiceRoleForMemoryDB",
			"Condition": {
				"StringLike": {
					"iam:AWSServiceName": "memorydb.amazonaws.com"
				}
			}
		}
	]
}
```

------

Anda juga dapat membuat kebijakan IAM kustom Anda sendiri untuk mengizinkan izin untuk tindakan API MemoryDB. Anda dapat melampirkan kebijakan-kebijakan kustom ini ke pengguna IAM atau grup yang memerlukan izin-izin tersebut. 





## Pembaruan MemoryDB ke AWS kebijakan terkelola
<a name="security-iam-awsmanpol-updates"></a>



Lihat detail tentang pembaruan kebijakan AWS terkelola untuk MemoryDB sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman riwayat Dokumen MemoryDB.




| Ubah | Deskripsi | Date | 
| --- | --- | --- | 
|  [AWS kebijakan terkelola: Memori DBService RolePolicy](#security-iam-awsmanpol-memorydbServiceRolePolicy)— Menambahkan kebijakan   |  Memori DBService RolePolicy menambahkan izin untuk memorydb:. ReplicateMultiRegionClusterData Izin ini akan memungkinkan peran terkait layanan untuk mereplikasi data untuk klaster Multi-wilayah MemoryDB.  | 12/01/2024 | 
|  [AmazonMemoryDBFullAkses](#iam.identitybasedpolicies.predefinedpolicies-fullaccess)— Menambahkan kebijakan  |  MemoryDB menambahkan izin baru untuk mendeskripsikan dan mencantumkan sumber daya yang didukung. Izin ini diperlukan untuk MemoryDB untuk menanyakan semua sumber daya yang didukung dalam akun.   | 10/07/2021 | 
|  [AmazonMemoryDBReadOnlyAccess](#iam.identitybasedpolicies.predefinedpolicies-readonly)— Menambahkan kebijakan  |  MemoryDB menambahkan izin baru untuk mendeskripsikan dan mencantumkan sumber daya yang didukung. Izin ini diperlukan untuk MemoryDB untuk membuat aplikasi berbasis akun dengan menanyakan semua sumber daya yang didukung dalam akun.   | 10/07/2021 | 
|  MemoryDB mulai melacak perubahan  |  Peluncuran layanan  | 8/19/2021 | 

# Izin API MemoryDB: Referensi tindakan, sumber daya, dan kondisi
<a name="iam.APIReference"></a>

Saat Anda mengatur [kontrol akses](iam.md#iam.accesscontrol) dan menulis kebijakan izin untuk dilampirkan ke kebijakan IAM (baik berbasis identitas atau berbasis sumber daya), gunakan tabel berikut sebagai referensi. Tabel mencantumkan setiap operasi API MemoryDB dan tindakan terkait yang dapat Anda berikan izin untuk melakukan tindakan. Anda menentukan tindakan dalam bidang `Action` kebijakan, dan Anda menentukan nilai sumber daya pada bidang `Resource` kebijakan. Kecuali dinyatakan sebaliknya, sumber daya wajib ditentukan. Beberapa bidang mencakup sumber daya wajib dan sumber daya opsional. Jika tidak terdapat ARN sumber daya, sumber daya dalam kebijakan adalah wildcard (\$1).

**catatan**  
Untuk menentukan tindakan, gunakan awalan `memorydb:` diikuti dengan nama operasi API (misalnya, `memorydb:DescribeClusters`).

Gunakan bilah gulir untuk melihat seluruh tabel.


**MemoryDB API dan izin yang diperlukan untuk tindakan**  

| Operasi API MemoryDB | Izin yang diperlukan (tindakan API) | Sumber daya  | 
| --- | --- | --- | 
|  [BatchUpdateCluster](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_BatchUpdateCluster.html) | `memorydb:BatchUpdateCluster` | Kluster | 
|  [CopySnapshot](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CopySnapshot.html) |  `memorydb:CopySnapshot` `memorydb:TagResource` `s3:GetBucketLocation` `s3:ListAllMyBuckets` |  Snapshot (Sumber, Target) \$1 \$1 | 
|  [CreateCluster](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CreateCluster.html) |  `memorydb:CreateCluster` `memorydb:TagResource` `s3:GetObject`  Jika Anda menggunakan parameter `SnapshotArns`, setiap anggota dari daftar `SnapshotArns` membutuhkan izin `s3:GetObject` miliknya sendiri dengan ARN `s3` sebagai sumber dayanya.  |  Grup parameter. (Opsional) cluster, snapshot, ID grup keamanan, dan grup subnet `arn:aws:s3:::my_bucket/snapshot1.rdb` Di mana*my\$1bucket*/*snapshot1*adalah bucket dan snapshot S3 yang ingin Anda buat cluster. | 
|  [CreateParameterGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CreateParameterGroup.html) | `memorydb:CreateParameterGroup` `memorydb:TagResource` | Grup parameter | 
|  [CreateSubnetGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CreateSubnetGroup.html) | `memorydb:CreateSubnetGroup` `memorydb:TagResource` | Grup subnet | \$1 | 
|  [CreateSnapshot](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CreateSnapshot.html) | `memorydb:CreateSnapshot` `memorydb:TagResource` | Cuplikan, cluster | 
|  [CreateUser](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CreateUser.html)  | `memorydb:CreateUser` `memorydb:TagResource` | Pengguna | 
|  [buatACL](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CreateACL.html)  | `memorydb:CreateACL` `memorydb:TagResource` | Daftar Kontrol Akses (ACL) | 
|  [UpdateCluster](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UpdateCluster.html) | `memorydb:UpdateCluster` | Kluster | 
|  [DeleteCluster](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DeleteCluster.html) | `memorydb:DeleteCluster` | Kluster. (Opsional) Snapshot | 
|  [DeleteParameterGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DeleteParameterGroup.html) | `memorydb:DeleteParameterGroup` | Grup parameter | 
|  [DeleteSubnetGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DeleteSubnetGroup.html) | `memorydb:DeleteSubnetGroup` | Grup subnet | 
|  [DeleteSnapshot](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DeleteSnapshot.html) | `memorydb:DeleteSnapshot` | Snapshot | 
|  [DeleteUser](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DeleteUser.html)  | `memorydb:DeleteUser` | Pengguna | 
|  [DeleteACL](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DeleteACL.html)  | `memorydb:DeleteACL` | ACL | 
|  [DescribeClusters](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeClusters.html) | `memorydb:DescribeClusters` | Kluster | 
|  [DescribeEngineVersions](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeEngineVersions.html) | `memorydb:DescribeEngineVersions` | Tidak ada ARN Sumber Daya: \$1 | 
|  [DescribeParameterGroups](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeParameterGroups.html) | `memorydb:DescribeParameterGroups` | Grup parameter | 
|  [DescribeParameters](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeParameters.html) | `memorydb:DescribeParameters` | Grup parameter | 
|  [DescribeSubnetGroups](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeSubnetGroups.html) | `memorydb:DescribeSubnetGroups` | Grup subnet | \$1 | 
|  [DescribeEvents](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeEvents.html) | `memorydb:DescribeEvents` | Tidak ada ARN Sumber Daya: \$1 | 
|  [DescribeClusters](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeClusters.html) | `memorydb:DescribeClusters` | Kluster | 
|  [DescribeServiceUpdates](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeServiceUpdates.html) | `memorydb:DescribeServiceUpdates` | Tidak ada ARN Sumber Daya: \$1 | 
|  [DescribeSnapshots](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeSnapshots.html) | `memorydb:DescribeSnapshots` | Snapshot | 
|  [DescribeUsers](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeUsers.html)  | `memorydb:DescribeUsers` | Pengguna | 
|  [Jelaskan ACLs](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeACLs.html)  | `memorydb:DescribeACLs` | ACLs | 
|  [ListAllowedNodeTypeUpdates](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_ListAllowedNodeTypeUpdates.html) | `memorydb:ListAllowedNodeTypeUpdates` | Kluster | 
|  [ListTags](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_ListTags.html) | `memorydb:ListTags` | (Opsional) cluster, snapshot | 
|  [UpdateParameterGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UpdateParameterGroup.html) | `memorydb:UpdateParameterGroup` | Grup parameter | 
|  [UpdateSubnetGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UpdateSubnetGroup.html) | `memorydb:UpdateSubnetGroup` | Grup subnet | 
|  [UpdateCluster](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UpdateCluster.html) | `memorydb:UpdateCluster` | klaster. (Opsional) Grup parameter, grup keamanan | 
|  [UpdateUser](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UpdateUser.html)  | `memorydb:UpdateUser` | Pengguna | 
|  [UpdateACL](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UpdateACL.html)  | `memorydb:UpdateACL` | ACL | 
|  [UntagResource](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UntagResource.html) | `memorydb:UntagResource` | (Opsional) Klaster, snapshot | 
|  [ResetParameterGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_ResetParameterGroup.html) | `memorydb:ResetParameterGroup` | Grup parameter | 
|  [FailoverShard](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_FailoverShard.html) | `memorydb:FailoverShard` | cluster, pecahan | 

# Pencatatan log dan pemantauan
<a name="monitoring-overview"></a>

Pemantauan adalah bagian penting dari menjaga keandalan, ketersediaan, dan kinerja MemoryDB dan solusi Anda yang lain AWS . AWS menyediakan alat pemantauan berikut untuk menonton MemoryDB, melaporkan ketika ada sesuatu yang salah, dan mengambil tindakan otomatis bila perlu:
+ *Amazon CloudWatch* memantau AWS sumber daya Anda dan aplikasi yang Anda jalankan AWS secara real time. Anda dapat mengumpulkan dan melacak metrik, membuat dasbor yang disesuaikan, dan mengatur alarm yang memberi tahu Anda atau mengambil tindakan saat metrik tertentu mencapai ambang batas yang ditentukan. Misalnya, Anda dapat CloudWatch melacak penggunaan CPU atau metrik lain dari EC2 instans Amazon Anda dan secara otomatis meluncurkan instans baru bila diperlukan. Untuk informasi selengkapnya, lihat [Panduan CloudWatch Pengguna Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
+ *Amazon CloudWatch Logs* memungkinkan Anda memantau, menyimpan, dan mengakses file log Anda dari EC2 instans Amazon CloudTrail, dan sumber lainnya. CloudWatch Log dapat memantau informasi dalam file log dan memberi tahu Anda ketika ambang batas tertentu terpenuhi. Anda juga dapat mengarsipkan data log dalam penyimpanan yang sangat durabel. Untuk informasi selengkapnya, lihat [Panduan Pengguna Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/).
+ *AWS CloudTrail*menangkap panggilan API dan peristiwa terkait yang dibuat oleh atau atas nama AWS akun Anda dan mengirimkan file log ke bucket Amazon S3 yang Anda tentukan. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. Untuk informasi selengkapnya, silakan lihat [Panduan Pengguna AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).

# Memonitor MemoryDB dengan Amazon CloudWatch
<a name="monitoring-cloudwatch"></a>

Anda dapat memantau penggunaan MemoryDB CloudWatch, yang mengumpulkan data mentah dan memprosesnya menjadi metrik yang dapat dibaca, mendekati waktu nyata. Statistik ini disimpan untuk jangka waktu 15 bulan, sehingga Anda dapat mengakses informasi historis dan mendapatkan perspektif yang lebih baik tentang performa aplikasi atau layanan web Anda. Anda juga dapat mengatur alarm yang memperhatikan ambang batas tertentu dan mengirim notifikasi atau mengambil tindakan saat ambang batas tersebut terpenuhi. Untuk informasi selengkapnya, lihat [Panduan CloudWatch Pengguna Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).

Bagian berikut mencantumkan metrik dan dimensi untuk MemoryDB.

**Topics**
+ [Metrik Tingkat Host](metrics.HostLevel.md)
+ [Metrik untuk MemoryDB](metrics.memorydb.md)
+ [Metrik Apa yang Harus Saya Pantau?](metrics.whichshouldimonitor.md)
+ [Memilih Statistik dan Periode Metrik](metrics.ChoosingStatisticsAndPeriods.md)
+ [CloudWatch Metrik pemantauan](cloudwatchmetrics.md)

# Metrik Tingkat Host
<a name="metrics.HostLevel"></a>

`AWS/MemoryDB`Namespace menyertakan metrik tingkat host berikut untuk masing-masing node.

**Lihat Juga**
+ [Metrik untuk MemoryDB](metrics.memorydb.md)


| Metrik | Deskripsi | Unit | 
| --- | --- | --- | 
| CPUUtilization |  Persentase pemanfaatan CPU untuk keseluruhan host. Karena Valkey dan Redis OSS adalah single-threaded, kami sarankan Anda memantau EngineCPUUtilization metrik untuk node dengan 4 atau lebih v. CPUs |  Persen  | 
| FreeableMemory  |  Jumlah memori kosong yang tersedia di host. Angka ini berasal dari memori dalam RAM dan buffer yang dilaporkan OS sebagai freeable. |  Byte  | 
| NetworkBytesIn |  Jumlah byte yang telah dibaca oleh host dari jaringan.  |  Byte  | 
| NetworkBytesOut | Jumlah byte yang dikirimkan ke semua antarmuka jaringan oleh instans.  |  Byte  | 
| NetworkPacketsIn | Jumlah paket yang diterima di semua antarmuka jaringan oleh instans. Metrik ini mengidentifikasi volume lalu lintas masuk dari segi jumlah paket pada satu instans tunggal.  | Hitungan  | 
| NetworkPacketsOut | Jumlah paket yang dikirimkan di semua antarmuka jaringan oleh instans. Metrik ini mengidentifikasi volume lalu lintas keluar dari segi jumlah paket pada satu instans tunggal. | Hitungan  | 
| NetworkBandwidthInAllowanceExceeded | Jumlah paket yang di-shaping karena bandwidth agregat masuk melebihi nilai maksimum untuk instans. | Hitungan  | 
| NetworkConntrackAllowanceExceeded | Jumlah paket yang di-shaping karena pelacakan koneksi melebihi nilai maksimum untuk instans dan koneksi baru tidak dapat dibuat. Hal ini dapat mengakibatkan hilangnya paket untuk lalu lintas ke atau dari instans. | Hitungan  | 
| NetworkBandwidthOutAllowanceExceeded | Jumlah paket yang di-shaping karena bandwidth agregat keluar melebihi nilai maksimum untuk instans. | Hitungan  | 
| NetworkPacketsPerSecondAllowanceExceeded | Jumlah paket yang di-shaping karena paket dua arah per detik melebihi nilai maksimum untuk instans. | Hitungan  | 
| NetworkMaxBytesIn | Semburan maksimum per detik byte yang diterima dalam setiap menit. | Byte | 
| NetworkMaxBytesOut  | Semburan maksimum per detik byte yang ditransmisikan dalam setiap menit. | Byte | 
| NetworkMaxPacketsIn | Semburan maksimum per detik dari paket yang diterima dalam setiap menit. | Hitungan  | 
| NetworkMaxPacketsOut | Semburan maksimum per detik paket yang ditransmisikan dalam setiap menit. | Hitungan  | 
| SwapUsage |  Jumlah swap yang digunakan pada host.  |  Byte  | 

# Metrik untuk MemoryDB
<a name="metrics.memorydb"></a>

Namespace `AWS/MemoryDB` mencakup metrik berikut.

Dengan pengecualian`ReplicationLag`,,`EngineCPUUtilization`, dan `SuccessfulWriteRequestLatency``SuccessfulReadRequestLatency`, metrik ini berasal dari perintah Valkey dan Redis OSS. **info** Setiap metrik dihitung pada tingkat simpul.

Untuk dokumentasi lengkap **INFO** perintah, lihat [INFO](http://valkey.io/commands/info). 

**Lihat juga:**
+ [Metrik Tingkat Host](metrics.HostLevel.md)

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/memorydb/latest/devguide/metrics.memorydb.html)

Berikut ini adalah kumpulan jenis perintah tertentu, yang berasal dari **info commandstats**. Bagian commandstats menyediakan statistik berdasarkan jenis perintah, termasuk jumlah panggilan.

Untuk daftar lengkap perintah yang tersedia, lihat [perintah](https://valkey.io/commands). 


| Metrik  | Deskripsi  | Unit  | 
| --- | --- | --- | 
| EvalBasedCmds | Jumlah seluruh perintah untuk perintah berbasis eval. Ini berasal dari commandstats statistik dengan menjumlahkan eval danevalsha. | Hitungan | 
| GeoSpatialBasedCmds | Jumlah seluruh perintah untuk perintah berbasis geospasial. Ini berasal dari commandstats statistik. Ini diperoleh dengan menjumlahkan semua perintah jenis geo: geoadd, geodist, geohash, geopos, georadius, dan georadiusbymember. | Hitungan | 
| GetTypeCmds | Jumlah seluruh perintah jenis read-only. Ini berasal dari commandstats statistik dengan menjumlahkan semua perintah read-only tipe (get,, hgetscard,lrange, dan sebagainya.) | Hitungan | 
| HashBasedCmds | Jumlah seluruh perintah yang berbasis hash. Ini berasal dari commandstats statistik dengan menjumlahkan semua perintah yang bertindak atas satu atau lebih hash (hget,,hkeys, hvalshdel, dan seterusnya). | Hitungan | 
| HyperLogLogBasedCmds | Jumlah seluruh perintah berbasis HyperLogLog. Ini berasal dari commandstats statistik dengan menjumlahkan semua pf jenis perintah (pfadd,, pfcountpfmerge, dan sebagainya.). | Hitungan | 
|  JsonBasedCmds |  Jumlah total perintah yang berbasis JSON. Ini berasal dari commandstats statistik dengan menjumlahkan semua perintah yang bertindak atas satu atau lebih objek dokumen JSON.  | Hitungan | 
| KeyBasedCmds | Jumlah seluruh perintah yang berbasis kunci. Ini berasal dari commandstats statistik dengan menjumlahkan semua perintah yang bertindak atas satu atau lebih kunci di beberapa struktur data (del,expire,rename, dan seterusnya.). | Hitungan | 
| ListBasedCmds | Jumlah seluruh perintah yang berbasis daftar. Ini berasal dari commandstats statistik dengan menjumlahkan semua perintah yang bertindak atas satu atau lebih daftar (lindex,lrange,lpush,ltrim, dan seterusnya). | Hitungan | 
| PubSubBasedCmds | Jumlah total perintah untuk pub/sub fungsionalitas. Ini berasal dari commandstats statistik dengan menjumlahkan semua perintah yang digunakan untuk pub/sub fungsionalitas:psubscribe,,publish,pubsub, punsubscribesubscribe, danunsubscribe. | Hitungan | 
| SearchBasedCmds | Jumlah total indeks sekunder dan perintah pencarian, termasuk perintah baca dan tulis. Ini berasal dari commandstats statistik dengan menjumlahkan semua perintah pencarian yang bertindak atas indeks sekunder. | Hitungan | 
| SearchBasedGetCmds | Jumlah total indeks sekunder dan perintah pencarian hanya-baca. Ini berasal dari commandstats statistik dengan menjumlahkan semua perintah indeks sekunder dan pencarian get. | Hitungan | 
| SearchBasedSetCmds | Jumlah total indeks sekunder dan perintah tulis pencarian. Ini berasal dari commandstats statistik dengan menjumlahkan semua perintah indeks sekunder dan set pencarian. | Hitungan | 
| SearchNumberOfIndexes | Jumlah total indeks.  | Hitungan | 
| SearchNumberOfIndexedKeys | Jumlah total kunci yang diindeks  | Hitungan | 
| SearchTotalIndexSize | Memori (byte) yang digunakan oleh semua indeks.  | Byte | 
| SetBasedCmds | Jumlah seluruh perintah yang berbasis set. Ini berasal dari commandstats statistik dengan menjumlahkan semua perintah yang bertindak atas satu atau lebih set (scard,sdiff,sadd,sunion, dan seterusnya). | Hitungan | 
| SetTypeCmds | Jumlah seluruh perintah jenis write. Ini berasal dari commandstats statistik dengan menjumlahkan semua mutative jenis perintah yang beroperasi pada data (set,,hset, saddlpop, dan sebagainya.) | Hitungan | 
| SortedSetBasedCmds | Jumlah seluruh perintah yang berbasis sorted set. Ini berasal dari commandstats statistik dengan menjumlahkan semua perintah yang bertindak atas satu atau lebih set yang diurutkan (zcount,,zrange, zrankzadd, dan seterusnya). | Hitungan | 
| StringBasedCmds | Jumlah seluruh perintah yang berbasis string. Ini berasal dari commandstats statistik dengan menjumlahkan semua perintah yang bertindak atas satu atau lebih string (strlen,, setexsetrange, dan seterusnya). | Hitungan | 
| StreamBasedCmds | Jumlah seluruh perintah yang berbasis aliran. Ini berasal dari commandstats statistik dengan menjumlahkan semua perintah yang bertindak atas satu atau lebih jenis data aliran (xrange,,xlen, xaddxdel, dan sebagainya). | Hitungan | 

# Metrik Apa yang Harus Saya Pantau?
<a name="metrics.whichshouldimonitor"></a>

 CloudWatch Metrik berikut menawarkan wawasan yang baik tentang kinerja MemoryDB. Dalam kebanyakan kasus, kami menyarankan Anda menyetel CloudWatch alarm untuk metrik ini sehingga Anda dapat mengambil tindakan korektif sebelum masalah kinerja terjadi.

**Topics**
+ [CPUUtilization](#metrics-cpu-utilization)
+ [Mesin CPUUtilization](#metrics-engine-cpu-utilization)
+ [SwapUsage](#metrics-swap-usage)
+ [Evictions](#metrics-evictions)
+ [CurrConnections](#metrics-curr-connections)
+ [Memori](#metrics-memory)
+ [Jaringan](#metrics-network)
+ [Latensi](#metrics-latency)
+ [Replikasi](#metrics-replication)

## CPUUtilization
<a name="metrics-cpu-utilization"></a>

Ini adalah metrik tingkat host yang dilaporkan sebagai persentase. Untuk informasi selengkapnya, lihat [Metrik Tingkat Host](metrics.HostLevel.md).

 Untuk tipe node yang lebih kecil dengan 2v CPUs atau kurang, gunakan `CPUUtilization ` metrik untuk memantau beban kerja Anda.

Secara umum, sebaiknya atur ambang batas Anda sebesar 90% dari CPU yang tersedia. Karena Valkey dan Redis OSS adalah single-threaded, nilai ambang sebenarnya harus dihitung sebagai sebagian kecil dari total kapasitas node. Sebagai contoh, misalkan Anda menggunakan jenis simpul yang memiliki dua inti. Dalam hal ini, ambang batas untuk CPUUtilization adalah 90/2, atau 45%. Untuk menemukan jumlah core (vCPUs) yang dimiliki tipe node Anda, lihat [MemoryDB](https://aws.amazon.com/memorydb/pricing/?p=ps) Pricing.

Anda perlu menentukan ambang batas Anda sendiri, berdasarkan jumlah core di node yang Anda gunakan. Jika Anda melebihi ambang batas ini, dan beban kerja utama Anda berasal dari permintaan baca, skala klaster Anda dengan menambahkan replika baca. Jika beban kerja utama berasal dari permintaan tulis, kami sarankan Anda menambahkan lebih banyak pecahan untuk mendistribusikan beban kerja tulis di lebih banyak node utama.

**Tip**  
Alih-alih menggunakan metrik Host-Level`CPUUtilization`, Anda mungkin dapat menggunakan metrik`EngineCPUUtilization`, yang melaporkan persentase penggunaan pada inti mesin Valkey atau Redis OSS. Untuk melihat apakah metrik ini tersedia di node Anda dan untuk informasi selengkapnya, lihat [Metrik untuk MemoryDB](https://docs.aws.amazon.com/memorydb/latest/devguide/metrics.memorydb.html).

Untuk tipe node yang lebih besar dengan 4v CPUs atau lebih, Anda mungkin ingin menggunakan `EngineCPUUtilization` metrik, yang melaporkan persentase penggunaan pada inti mesin Valkey atau Redis OSS. Untuk melihat apakah metrik ini tersedia di node Anda dan untuk informasi selengkapnya, lihat [Metrik untuk MemoryDB](https://docs.aws.amazon.com/memorydb/latest/devguide/metrics.memorydb.html).

## Mesin CPUUtilization
<a name="metrics-engine-cpu-utilization"></a>

Untuk tipe node yang lebih besar dengan 4v CPUs atau lebih, Anda mungkin ingin menggunakan `EngineCPUUtilization` metrik, yang melaporkan persentase penggunaan pada inti mesin Valkey atau Redis OSS. Untuk melihat apakah metrik ini tersedia di node Anda dan untuk informasi selengkapnya, lihat [Metrik untuk MemoryDB](https://docs.aws.amazon.com/memorydb/latest/devguide/metrics.memorydb.html).

## SwapUsage
<a name="metrics-swap-usage"></a>

Ini adalah metrik tingkat host yang dilaporkan dalam byte. Untuk informasi selengkapnya, lihat [Metrik Tingkat Host](metrics.HostLevel.md).

Jika salah satu `FreeableMemory` CloudWatch metrik mendekati 0 (yaitu, di bawah 100MB), atau `SwapUsage` metrik lebih besar dari `FreeableMemory` metrik, maka node bisa berada di bawah tekanan memori.

## Evictions
<a name="metrics-evictions"></a>

Ini adalah metrik mesin. Sebaiknya tentukan ambang batas alarm Anda sendiri untuk metrik ini berdasarkan kebutuhan aplikasi Anda.

## CurrConnections
<a name="metrics-curr-connections"></a>

Ini adalah metrik mesin. Sebaiknya tentukan ambang batas alarm Anda sendiri untuk metrik ini berdasarkan kebutuhan aplikasi Anda.

Peningkatan jumlah *CurrConnections*mungkin menunjukkan masalah dengan aplikasi Anda; Anda perlu menyelidiki perilaku aplikasi untuk mengatasi masalah ini. 

## Memori
<a name="metrics-memory"></a>

Memori adalah aspek inti dari Valkey dan Redis OSS. Memahami pemanfaatan memori dari klaster Anda diperlukan untuk menghindari kehilangan data dan mengakomodasi pertumbuhan set data Anda pada masa mendatang. Statistik tentang pemanfaatan memori node tersedia di bagian memori dari perintah [INFO](https://valkey.io/commands/info).

## Jaringan
<a name="metrics-network"></a>

Salah satu faktor penentu untuk kapasitas bandwidth jaringan dari klaster Anda adalah jenis simpul yang telah Anda pilih. Untuk informasi selengkapnya tentang kapasitas jaringan node Anda, lihat [harga Amazon MemoryDB](https://aws.amazon.com/memorydb/pricing/).

## Latensi
<a name="metrics-latency"></a>

Metrik latensi `SuccessfulWriteRequestLatency` dan `SuccessfulReadRequestLatency` ukur total waktu yang dibutuhkan MemoryDB untuk mesin Valkey untuk menanggapi permintaan.

**catatan**  
Nilai yang meningkat untuk `SuccessfulWriteRequestLatency` dan `SuccessfulReadRequestLatency` metrik dapat terjadi saat menggunakan pipelining Valkey dengan CLIENT REPLY diaktifkan pada klien Valkey. Valkey pipelining adalah teknik untuk meningkatkan kinerja dengan mengeluarkan beberapa perintah sekaligus, tanpa menunggu respons terhadap setiap perintah individu. [Untuk menghindari nilai yang meningkat, kami sarankan untuk mengonfigurasi klien Redis Anda ke perintah pipeline dengan CLIENT REPLY OFF.](https://valkey.io/commands/client-reply/)

## Replikasi
<a name="metrics-replication"></a>

Volume data yang direplikasi akan terlihat melalui metrik `ReplicationBytes`. Anda dapat memantau `MaxReplicationThroughput` terhadap throughput kapasitas replikasi. Disarankan untuk menambahkan lebih banyak pecahan saat mencapai throughput kapasitas replikasi maksimum.

`ReplicationDelayedWriteCommands`juga dapat menunjukkan apakah beban kerja melebihi throughput kapasitas replikasi maksimum. [Untuk informasi lebih lanjut tentang replikasi di MemoryDB, lihat Memahami replikasi MemoryDB](https://docs.aws.amazon.com/memorydb/latest/devguide/replication.html)

# Memilih Statistik dan Periode Metrik
<a name="metrics.ChoosingStatisticsAndPeriods"></a>

Meskipun CloudWatch akan memungkinkan Anda untuk memilih statistik dan periode untuk setiap metrik, tidak semua kombinasi akan berguna. Misalnya, statistik Rata-rata, Minimum, dan Maksimum untuk CPUUtilization berguna, tetapi statistik Jumlah tidak.

Semua sampel MemoryDB diterbitkan untuk durasi 60 detik untuk setiap node individu. Untuk periode 60 detik, metrik simpul hanya akan berisi satu sampel.

# CloudWatch Metrik pemantauan
<a name="cloudwatchmetrics"></a>

MemoryDB dan CloudWatch terintegrasi sehingga Anda dapat mengumpulkan berbagai metrik. Anda dapat memantau metrik ini menggunakan CloudWatch. 

**catatan**  
Contoh berikut memerlukan alat baris CloudWatch perintah. Untuk informasi selengkapnya tentang CloudWatch dan untuk mengunduh alat pengembang, lihat [halaman CloudWatch produk](https://aws.amazon.com/cloudwatch). 

Prosedur berikut menunjukkan kepada Anda cara menggunakan CloudWatch untuk mengumpulkan statistik ruang penyimpanan untuk sebuah cluster selama satu jam terakhir. 

**catatan**  
Nilai `StartTime` dan `EndTime` nilai yang diberikan dalam contoh berikut adalah untuk tujuan ilustrasi. Pastikan untuk mengganti nilai waktu mulai dan akhir yang sesuai untuk node Anda.

Untuk informasi tentang batas MemoryDB, lihat [batas AWS layanan](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html#limits_memorydb) untuk MemoryDB.

## CloudWatch Metrik pemantauan (Konsol)
<a name="cloudwatchmetricsclusters.viewdetails"></a>

 **Untuk mengumpulkan statistik pemanfaatan CPU untuk sebuah cluster** 

1. Masuk ke Konsol Manajemen AWS dan buka konsol MemoryDB di. [https://console.aws.amazon.com/memorydb/](https://console.aws.amazon.com/memorydb/)

1. Pilih node yang ingin Anda lihat metrik. 
**catatan**  
Memilih lebih dari 20 simpul akan menonaktifkan tampilan metrik pada konsol.

   1. Pada halaman **Clusters** dari AWS Management Console, klik nama satu atau beberapa cluster.

      Halaman detail untuk cluster muncul. 

   1. Klik tab **Simpul** di bagian atas jendela.

   1. Pada tab **Nodes** pada jendela detail, pilih node yang ingin Anda lihat metrik.

      Daftar CloudWatch Metrik yang tersedia muncul di bagian bawah jendela konsol. 

   1. Klik metrik **Pemanfaatan CPU**. 

       CloudWatch Konsol akan terbuka, menampilkan metrik yang Anda pilih. Anda dapat menggunakan kotak daftar drop-down **Statistik** dan **Periode**, serta tab **Rentang waktu** untuk mengubah metrik yang ditampilkan. 

## Memantau CloudWatch metrik menggunakan CLI CloudWatch
<a name="cloudwatchmetrics.cli"></a>

 **Untuk mengumpulkan statistik pemanfaatan CPU untuk sebuah cluster** 
+ Gunakan CloudWatch perintah **aws cloudwatch get-metric-statistics** dengan parameter berikut (perhatikan bahwa waktu mulai dan akhir ditampilkan sebagai contoh saja; Anda harus mengganti waktu mulai dan akhir yang sesuai):

  Untuk Linux, macOS, atau Unix:

  ```
  1. aws cloudwatch get-metric-statistics CPUUtilization \
  2.     --dimensions=ClusterName=mycluster,NodeId=0002" \
  3.     --statistics=Average \
  4.     --namespace="AWS/MemoryDB" \
  5.     --start-time 2013-07-05T00:00:00 \
  6.     --end-time 2013-07-06T00:00:00 \
  7.     --period=60
  ```

  Untuk Windows:

  ```
  1. mon-get-stats CPUUtilization ^
  2.     --dimensions=ClusterName=mycluster,NodeId=0002" ^
  3.     --statistics=Average ^
  4.     --namespace="AWS/MemoryDB" ^
  5.     --start-time 2013-07-05T00:00:00 ^
  6.     --end-time 2013-07-06T00:00:00 ^
  7.     --period=60
  ```

## Memantau CloudWatch metrik menggunakan API CloudWatch
<a name="cloudwatchmetrics.api"></a>

 **Untuk mengumpulkan statistik pemanfaatan CPU untuk sebuah cluster** 
+ Panggil CloudWatch API `GetMetricStatistics` dengan parameter berikut (perhatikan bahwa waktu mulai dan akhir ditampilkan sebagai contoh saja; Anda perlu mengganti waktu mulai dan akhir yang sesuai):
  + `Statistics.member.1``=Average`
  + `Namespace``=AWS/MemoryDB`
  + `StartTime``=2013-07-05T00:00:00`
  + `EndTime``=2013-07-06T00:00:00`
  + `Period``=60`
  + `MeasureName``=CPUUtilization`
  + `Dimensions``=ClusterName=mycluster,NodeId=0002`  
**Example**  

  ```
   1. http://monitoring.amazonaws.com/
   2.     ?SignatureVersion=4
   3.     &Action=GetMetricStatistics
   4.     &Version=2014-12-01
   5.     &StartTime=2013-07-16T00:00:00
   6.     &EndTime=2013-07-16T00:02:00
   7.     &Period=60
   8.     &Statistics.member.1=Average
   9.     &Dimensions.member.1="ClusterName=mycluster"
  10.     &Dimensions.member.2="NodeId=0002"
  11.     &Namespace=Amazon/memorydb
  12.     &MeasureName=CPUUtilization						
  13.     &Timestamp=2013-07-07T17%3A48%3A21.746Z
  14.     &AWS;AccessKeyId=<&AWS; Access Key ID>
  15.     &Signature=<Signature>
  ```

# Memantau acara MemoryDB
<a name="monitoring-events"></a>

Ketika peristiwa penting terjadi untuk sebuah cluster, MemoryDB mengirimkan pemberitahuan ke topik Amazon SNS tertentu. Contohnya meliputi kegagalan menambahkan simpul, keberhasilan menambahkan simpul, perubahan grup keamanan, dan lainnya. Dengan memantau peristiwa penting, Anda dapat mengetahui status klaster Anda saat ini dan dapat mengambil tindakan korektif sesuai peristiwa tersebut.

**Topics**
+ [Mengelola pemberitahuan MemoryDB Amazon SNS](mdbevents.sns.md)
+ [Melihat acara MemoryDB](mdbevents.viewing.md)
+ [Notifikasi Peristiwa dan Amazon SNS](memorydbsns.md)

# Mengelola pemberitahuan MemoryDB Amazon SNS
<a name="mdbevents.sns"></a>

Anda dapat mengonfigurasi MemoryDB untuk mengirim notifikasi untuk peristiwa klaster penting menggunakan Amazon Simple Notification Service (Amazon SNS). Dalam contoh ini, Anda akan mengonfigurasi klaster dengan Amazon Resource Name (ARN) dari topik Amazon SNS untuk menerima notifikasi. 

**catatan**  
Topik ini mengasumsikan bahwa Anda telah mendaftar ke Amazon SNS dan telah mengatur serta berlangganan topik Amazon SNS. Untuk informasi selengkapnya tentang cara melakukannya, lihat [Panduan Developer Amazon Simple Notification Service](https://docs.aws.amazon.com/sns/latest/dg/). 

## Menambahkan topik Amazon SNS
<a name="mdbevents.sns.adding"></a>

Bagian berikut menunjukkan cara menambahkan topik Amazon SNS menggunakan AWS Console, the AWS CLI, atau MemoryDB API.

### Menambahkan topik Amazon SNS (Konsol)
<a name="mdbevents.sns.addingclusters.viewdetails.console"></a>

 Prosedur berikut menunjukkan cara menambahkan topik Amazon SNS untuk klaster. 

**catatan**  
 Proses ini juga dapat digunakan untuk mengubah topik Amazon SNS. 

**Untuk menambahkan atau mengubah topik Amazon SNS untuk klaster (Konsol)**

1. Masuk ke Konsol Manajemen AWS dan buka konsol MemoryDB di. [https://console.aws.amazon.com/memorydb/](https://console.aws.amazon.com/memorydb/)

1. Di ** Klaster**, pilih klaster yang ingin Anda tambahkan atau ubah ARN topik Amazon SNS-nya.

1. Pilih **Ubah**.

1. Di **Ubah Klaster** di bagian **Topik untuk Notifikasi SNS**, pilih topik SNS yang ingin Anda tambahkan, atau pilih **Input ARN manual** dan ketik ARN topik Amazon SNS. 

1. Pilih **Ubah**.

### Menambahkan topik Amazon SNS (CLI AWS )
<a name="mdbevents.sns.adding.cli"></a>

Untuk menambah atau memodifikasi topik Amazon SNS untuk klaster, gunakan perintah. AWS CLI `update-cluster` 

Contoh kode berikut menambahkan ARN topik Amazon SNS ke *my-cluster*.

Untuk Linux, macOS, atau Unix:

```
aws memorydb update-cluster \
    --cluster-name my-cluster \
    --sns-topic-arn arn:aws:sns:us-east-1:565419523791:memorydbNotifications
```

Untuk Windows:

```
aws memorydb update-cluster ^
    --cluster-name my-cluster ^
    --sns-topic-arn arn:aws:sns:us-east-1:565419523791:memorydbNotifications
```

Untuk informasi selengkapnya, lihat [UpdateCluster](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UpdateCluster.html).

### Menambahkan topik Amazon SNS (MemoryDB API)
<a name="mdbevents.sns.adding.api"></a>

Untuk menambahkan atau memperbarui topik Amazon SNS untuk kluster, panggil `UpdateCluster` tindakan dengan parameter berikut:
+ `ClusterName``=my-cluster`
+ `SnsTopicArn``=arn%3Aaws%3Asns%3Aus-east-1%3A565419523791%3AmemorydbNotifications`

Untuk menambahkan atau memperbarui topik Amazon SNS untuk klaster, panggil tindakan tersebut. `UpdateCluster`

Untuk informasi selengkapnya, lihat [UpdateCluster](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UpdateCluster.html).

## Mengaktifkan dan menonaktifkan notifikasi Amazon SNS
<a name="mdbevents.sns.disabling"></a>

 Anda dapat mengaktifkan atau menonaktifkan notifikasi untuk klaster. Prosedur berikut menunjukkan cara menonaktifkan notifikasi Amazon SNS. 

### Mengaktifkan dan menonaktifkan notifikasi Amazon SNS (Konsol)
<a name="mdbevents.sns.disablingclusters.viewdetails.console"></a>

**Untuk menonaktifkan notifikasi Amazon SNS menggunakan Konsol Manajemen AWS**

1. Masuk ke Konsol Manajemen AWS dan buka konsol MemoryDB di. [https://console.aws.amazon.com/memorydb/](https://console.aws.amazon.com/memorydb/)

1. Pilih tombol radio di sebelah kiri cluster yang ingin Anda ubah notifikasi.

1. Pilih **Ubah**.

1. Di **Ubah Klaster** di bagian **Topik untuk Notifikasi SNS**, pilih *Nonaktifkan Notifikasi*.

1. Pilih **Ubah**.

### Mengaktifkan dan menonaktifkan notifikasi Amazon SNS (CLI)AWS
<a name="mdbevents.sns.disabling.cli"></a>

Untuk menonaktifkan notifikasi Amazon SNS, gunakan perintah `update-cluster` dengan parameter berikut:

Untuk Linux, macOS, atau Unix:

```
aws memorydb update-cluster \
    --cluster-name my-cluster \
    --sns-topic-status inactive
```

Untuk Windows:

```
aws memorydb update-cluster ^
    --cluster-name my-cluster ^
    --sns-topic-status inactive
```

### Mengaktifkan dan menonaktifkan notifikasi Amazon SNS (MemoryDB API)
<a name="mdbevents.sns.disabling.api"></a>

Untuk menonaktifkan notifikasi Amazon SNS, panggil tindakan `UpdateCluster` dengan parameter berikut:
+ `ClusterName``=my-cluster`
+ `SnsTopicStatus``=inactive`

Panggilan ini menghasilkan output seperti yang berikut ini:

**Example**  

```
 1. https://memory-db.us-east-1.amazonaws.com/
 2.     ?Action=UpdateCluster    
 3.     &ClusterName=my-cluster
 4.     &SnsTopicStatus=inactive
 5.     &Version=2021-01-01
 6.     &SignatureVersion=4
 7.     &SignatureMethod=HmacSHA256
 8.     &Timestamp=20210801T220302Z
 9.     &X-Amz-Algorithm=Amazon4-HMAC-SHA256
10.     &X-Amz-Date=20210801T220302Z
11.     &X-Amz-SignedHeaders=Host
12.     &X-Amz-Expires=20210801T220302Z
13.     &X-Amz-Credential=<credential>
14.     &X-Amz-Signature=<signature>
```

# Melihat acara MemoryDB
<a name="mdbevents.viewing"></a>

MemoryDB mencatat peristiwa yang berhubungan dengan cluster, grup keamanan, dan grup parameter Anda. Informasi ini mencakup tanggal dan waktu peristiwa, nama sumber dan jenis sumber peristiwa, serta deskripsi dari peristiwa tersebut. Anda dapat dengan mudah mengambil peristiwa dari log menggunakan konsol MemoryDB, AWS CLI `describe-events` perintah, atau tindakan API MemoryDB. `DescribeEvents` 

Prosedur berikut menunjukkan cara melihat semua acara MemoryDB selama 24 jam terakhir (1440 menit).

## Melihat acara MemoryDB (Konsol)
<a name="mdbevents.viewingclusters.viewdetails"></a>

Prosedur berikut menampilkan peristiwa menggunakan konsol MemoryDB.

**Untuk melihat acara menggunakan konsol MemoryDB**

1. Masuk ke Konsol Manajemen AWS dan buka konsol MemoryDB di. [https://console.aws.amazon.com/memorydb/](https://console.aws.amazon.com/memorydb/)

1. Di panel navigasi kiri, pilih **Acara**.

   Layar *Acara* muncul mencantumkan semua acara yang tersedia. Setiap baris daftar mewakili satu peristiwa dan menampilkan sumber peristiwa, jenis acara (seperti cluster, parameter-grup, acl, security-group atau subnet group), waktu GMT acara, dan deskripsi acara.

   Dengan **Filter**, Anda dapat menentukan apakah Anda ingin melihat semua peristiwa, atau hanya peristiwa dari jenis tertentu dalam daftar peristiwa.

## Melihat acara MemoryDB (CLI AWS )
<a name="mdbevents.viewing.cli"></a>

Untuk menghasilkan daftar peristiwa MemoryDB menggunakan AWS CLI, gunakan perintah. `describe-events` Anda dapat menggunakan parameter opsional untuk mengontrol jenis peristiwa yang tercantum, jangka waktu peristiwa yang dicantumkan, jumlah maksimum peristiwa yang akan dicantumkan, dan lainnya.

Kode berikut mencantumkan hingga 40 peristiwa cluster.

```
aws memorydb describe-events --source-type cluster --max-results 40  
```

Kode berikut menampilkan daftar semua peristiwa selama 24 jam terakhir (1.440 menit).

```
aws memorydb describe-events --duration 1440  
```

Output dari perintah `describe-events` terlihat seperti berikut ini.

```
{
    "Events": [        
        {
            "Date": "2021-03-29T22:17:37.781Z", 
            "Message": "Added node 0001 in Availability Zone us-east-1a", 
            "SourceName": "memorydb01", 
            "SourceType": "cluster"
        }, 
        {
            "Date": "2021-03-29T22:17:37.769Z", 
            "Message": "cluster created", 
            "SourceName": "memorydb01", 
            "SourceType": "cluster"
        }
    ]
}
```

Untuk informasi selengkapnya, seperti parameter yang tersedia dan nilai parameter yang diizinkan, lihat [https://docs.aws.amazon.com/cli/latest/reference/memorydb/describe-events.html](https://docs.aws.amazon.com/cli/latest/reference/memorydb/describe-events.html).

## Melihat acara MemoryDB (MemoryDB API)
<a name="mdbevents.viewing.api"></a>

Untuk menghasilkan daftar peristiwa MemoryDB menggunakan API MemoryDB, gunakan tindakan. `DescribeEvents` Anda dapat menggunakan parameter opsional untuk mengontrol jenis peristiwa yang tercantum, jangka waktu peristiwa yang dicantumkan, jumlah maksimum peristiwa yang akan dicantumkan, dan lainnya.

Kode berikut mencantumkan 40 peristiwa -cluster terbaru.

```
https://memory-db.us-east-1.amazonaws.com/
   ?Action=DescribeEvents
   &MaxResults=40
   &SignatureVersion=4
   &SignatureMethod=HmacSHA256
   &SourceType=cluster
   &Timestamp=20210802T192317Z
   &Version=2021-01-01
   &X-Amz-Credential=<credential>
```

Kode berikut mencantumkan peristiwa cluster selama 24 jam terakhir (1440 menit).

```
https://memory-db.us-east-1.amazonaws.com/
   ?Action=DescribeEvents
   &Duration=1440
   &SignatureVersion=4
   &SignatureMethod=HmacSHA256
   &SourceType=cluster
   &Timestamp=20210802T192317Z
   &Version=2021-01-01
   &X-Amz-Credential=<credential>
```

Perintah di atas akan menghasilkan output yang serupa dengan berikut ini.

```
<DescribeEventsResponse xmlns="http://memory-db.us-east-1.amazonaws.com/doc/2021-01-01/"> 
    <DescribeEventsResult> 
        <Events> 
            <Event> 
                <Message>cluster created</Message> 
                <SourceType>cluster</SourceType> 
                <Date>2021-08-02T18:22:18.202Z</Date> 
                <SourceName>my-memorydb-primary</SourceName> 
            </Event> 
               
 (...output omitted...)
          
        </Events> 
    </DescribeEventsResult> 
    <ResponseMetadata> 
        <RequestId>e21c81b4-b9cd-11e3-8a16-7978bb24ffdf</RequestId> 
    </ResponseMetadata> 
</DescribeEventsResponse>
```

Untuk informasi selengkapnya, seperti parameter yang tersedia dan nilai parameter yang diizinkan, lihat [https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeEvents.html](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeEvents.html).

# Notifikasi Peristiwa dan Amazon SNS
<a name="memorydbsns"></a>

MemoryDB dapat mempublikasikan pesan menggunakan Amazon Simple Notification Service (SNS) ketika peristiwa penting terjadi di klaster. Fitur ini dapat digunakan untuk menyegarkan daftar server pada mesin klien yang terhubung ke titik akhir node individual dari sebuah cluster.

**catatan**  
Untuk informasi selengkapnya tentang Amazon Simple Notification Service (SNS), termasuk informasi tentang harga dan tautan ke dokumentasi Amazon SNS, lihat [Halaman produk Amazon SNS](https://aws.amazon.com/sns).

Notifikasi dipublikasikan ke *topik* Amazon SNS tertentu. Berikut ini adalah persyaratan untuk notifikasi:
+ Hanya satu topik yang dapat dikonfigurasi untuk pemberitahuan MemoryDB.
+  AWS Akun yang memiliki topik Amazon SNS harus merupakan akun yang sama yang memiliki cluster tempat notifikasi diaktifkan.

## Acara MemoryDB
<a name="memorydbSNS.Events"></a>

Peristiwa MemoryDB berikut memicu pemberitahuan Amazon SNS:


| Nama Peristiwa | Pesan | Deskripsi | 
| --- | --- | --- | 
|  MemoryDB: AddNodeComplete  |  "Modified number of nodes from %d to %d"  |  Sebuah node telah ditambahkan ke cluster dan siap digunakan.  | 
|  MemoryDB: AddNodeFailed karena alamat IP gratis yang tidak mencukupi  |  "Failed to modify number of nodes from %d to %d due to insufficient free IP addresses"  |  Sebuah node tidak dapat ditambahkan karena tidak ada cukup alamat IP yang tersedia.  | 
|  MemoryDB: ClusterParametersChanged  |  "Updated parameter group for the cluster" Dalam hal membuat, kirim juga `"Updated to use a ParameterGroup %s"`  |  Satu atau lebih parameter cluster telah diubah.  | 
|  MemoryDB: ClusterProvisioningComplete  |  "Cluster created."  |  Penyediaan cluster selesai, dan node di cluster siap digunakan.  | 
|  MemoryDB: ClusterProvisioningFailed karena status jaringan yang tidak kompatibel  |  "Failed to create cluster due to incompatible network state. %s"  |  Upaya dilakukan untuk meluncurkan cluster baru ke virtual private cloud (VPC) yang tidak ada.  | 
|  MemoryDB: ClusterRestoreFailed  |  "Restore from %s failed for node %s. %s"  |  MemoryDB tidak dapat mengisi cluster dengan data snapshot. Ini mungkin karena file snapshot yang tidak ada di Amazon S3, atau izin yang salah pada file itu. Jika Anda menggambarkan cluster, statusnya akan`restore-failed`. Anda harus menghapus cluster dan memulai dari awal. Untuk informasi selengkapnya, lihat [Menyemai cluster baru dengan snapshot yang dibuat secara eksternal](snapshots-seeding-redis.md).  | 
| MemoryDB: ClusterScalingComplete  | `"Succeeded applying modification to node type to %s."` | Skala untuk cluster selesai dengan sukses. | 
| MemoryDB: ClusterScalingFailed | `"Failed applying modification to node type to %s."` | Operasi peningkatan skala pada cluster gagal.  | 
|  MemoryDB: NodeReplaceStarted  |  "Recovering node %s"  |  MemoryDB telah mendeteksi bahwa host yang menjalankan node terdegradasi atau tidak dapat dijangkau dan telah mulai mengganti node.  Entri DNS untuk node yang diganti tidak berubah.  Pada kebanyakan kasus, Anda tidak perlu menyegarkan daftar server untuk klien Anda ketika peristiwa ini terjadi. Namun, beberapa pustaka klien mungkin berhenti menggunakan node bahkan setelah MemoryDB menggantikan node; dalam hal ini, aplikasi harus menyegarkan daftar server ketika peristiwa ini terjadi.  | 
|  MemoryDB: NodeReplaceComplete  |  "Finished recovery for node %s"  |  MemoryDB telah mendeteksi bahwa host yang menjalankan node terdegradasi atau tidak dapat dijangkau dan telah selesai mengganti node.  Entri DNS untuk node yang diganti tidak berubah.  Pada kebanyakan kasus, Anda tidak perlu menyegarkan daftar server untuk klien Anda ketika peristiwa ini terjadi. Namun, beberapa pustaka klien mungkin berhenti menggunakan node bahkan setelah MemoryDB menggantikan node; dalam hal ini, aplikasi harus menyegarkan daftar server ketika peristiwa ini terjadi.  | 
|  MemoryDB: CreateClusterComplete  |  "Cluster created"  |  Cluster berhasil dibuat.  | 
|  MemoryDB: CreateClusterFailed  |  "Failed to create cluster due to unsuccessful creation of its node(s)." dan "Deleting all nodes belonging to this cluster."  |  Cluster tidak dibuat.  | 
|  MemoryDB: DeleteClusterComplete  |  "Cluster deleted."  |  Penghapusan cluster dan semua node terkait telah selesai.  | 
| MemoryDB: FailoverComplete | `"Failover to replica node %s completed"` | Failover ke simpul replika telah berhasil. | 
|  MemoryDB: NodeReplacementCanceled  |  "The replacement of node %s which was scheduled during the maintenance window from start time: %s, end time: %s has been canceled"  |  Sebuah simpul di klaster Anda yang dijadwalkan akan diganti tidak lagi dijadwalkan akan diganti.   | 
|  MemoryDB: NodeReplacementRescheduled  |  "The replacement in maintenance window for node %s has been re-scheduled from previous start time: %s, previous end time: %s to new start time: %s, new end time: %s"  |  Sebuah simpul di klaster Anda yang sebelumnya dijadwalkan akan diganti telah dijadwalkan ulang untuk diganti selama periode baru yang dijelaskan dalam notifikasi.  Untuk informasi tentang tindakan yang dapat Anda lakukan, lihat [Mengganti simpul](nodes.nodereplacement.md).  | 
|  MemoryDB: NodeReplacementScheduled  |  "The node %s is scheduled for replacement during the maintenance window from start time: %s to end time: %s"  |  Sebuah simpul di klaster Anda dijadwalkan untuk penggantian selama jendela yang dijelaskan dalam notifikasi.  Untuk informasi tentang tindakan yang dapat Anda ambil, lihat [Mengganti simpul](nodes.nodereplacement.md).  | 
|  MemoryDB: RemoveNodeComplete  |  "Removed node %s"  |  Sebuah node telah dihapus dari cluster.  | 
|  MemoryDB: SnapshotComplete  |  "Snapshot %s succeeded for node %s"  |  Sebuah snapshot telah berhasil diselesaikan.  | 
|  MemoryDB: SnapshotFailed  |  "Snapshot %s failed for node %s"  |  Sebuah snapshot telah gagal. Lihat peristiwa cluster untuk penyebab lebih rinci. Jika Anda mendeskripsikan snapshot, lihat [DescribeSnapshots](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeSnapshots.html), statusnya adalah `failed`.  | 

# Mencatat panggilan API MemoryDB dengan AWS CloudTrail
<a name="logging-using-cloudtrail"></a>

MemoryDB terintegrasi dengan AWS CloudTrail, layanan yang menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau AWS layanan di MemoryDB. CloudTrail menangkap semua panggilan API untuk MemoryDB sebagai peristiwa, termasuk panggilan dari konsol MemoryDB dan dari panggilan kode ke operasi API MemoryDB. Jika Anda membuat jejak, Anda dapat mengaktifkan pengiriman CloudTrail acara secara terus menerus ke bucket Amazon S3, termasuk acara untuk MemoryDB. Jika Anda tidak mengonfigurasi jejak, Anda masih dapat melihat peristiwa terbaru di CloudTrail konsol dalam **Riwayat acara**. Dengan menggunakan informasi yang dikumpulkan oleh CloudTrail, Anda dapat menentukan permintaan yang dibuat ke MemoryDB, alamat IP dari mana permintaan dibuat, siapa yang membuat permintaan, kapan dibuat, dan detail tambahan. 

Untuk mempelajari selengkapnya CloudTrail, lihat [Panduan AWS CloudTrail Pengguna](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).

## Informasi MemoryDB di CloudTrail
<a name="memorydb-info-in-cloudtrail"></a>

CloudTrail diaktifkan di AWS akun Anda saat Anda membuat akun. Ketika aktivitas terjadi di MemoryDB, aktivitas tersebut direkam dalam suatu CloudTrail peristiwa bersama dengan peristiwa AWS layanan lainnya dalam riwayat **Acara**. Anda dapat melihat, mencari, dan mengunduh acara terbaru di AWS akun Anda. Untuk informasi selengkapnya, lihat [Melihat Acara dengan Riwayat CloudTrail Acara](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html). 

Untuk catatan peristiwa yang sedang berlangsung di AWS akun Anda, termasuk acara untuk MemoryDB, buat jejak. Jejak memungkinkan CloudTrail untuk mengirimkan file log ke bucket Amazon S3. Secara default, ketika Anda membuat jejak di konsol, jejak ini diterapkan ke semua Wilayah. Trail mencatat peristiwa dari semua wilayah di AWS partisi dan mengirimkan file log ke bucket Amazon S3 yang Anda tentukan. Selain itu, Anda dapat mengonfigurasi AWS layanan lain untuk menganalisis lebih lanjut dan menindaklanjuti data peristiwa yang dikumpulkan dalam CloudTrail log. Untuk informasi selengkapnya, lihat berikut: 
+ [Gambaran Umum untuk Membuat Jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail Layanan dan Integrasi yang Didukung](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Mengonfigurasi Notifikasi Amazon SNS untuk CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Menerima File CloudTrail Log dari Beberapa Wilayah](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) dan [Menerima File CloudTrail Log dari Beberapa Akun](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)

Semua tindakan MemoryDB dicatat oleh. CloudTrail Misalnya, panggilan ke`CreateCluster`, `DescribeClusters` dan `UpdateCluster` tindakan menghasilkan entri dalam file CloudTrail log. 

Setiap entri peristiwa atau log berisi informasi tentang entitas yang membuat permintaan tersebut. Informasi identitas membantu Anda menentukan hal berikut ini: 
+ Apakah permintaan tersebut dibuat dengan kredensial root atau pengguna IAM.
+ Apakah permintaan tersebut dibuat dengan kredensial keamanan sementara untuk satu peran atau pengguna terfederasi.
+ Apakah permintaan itu dibuat oleh AWS layanan lain.

Untuk informasi lain, lihat [Elemen userIdentity CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).

## Memahami entri file log MemoryDB
<a name="understanding-memorydb-entries"></a>

Trail adalah konfigurasi yang memungkinkan pengiriman peristiwa sebagai file log ke bucket Amazon S3 yang Anda tentukan. CloudTrail file log berisi satu atau lebih entri log. Peristiwa mewakili permintaan tunggal dari sumber mana pun dan mencakup informasi tentang tindakan yang diminta, tanggal dan waktu tindakan, parameter permintaan, dan sebagainya. CloudTrail file log bukanlah jejak tumpukan yang diurutkan dari panggilan API publik, sehingga file tersebut tidak muncul dalam urutan tertentu. 

Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan `CreateCluster` tindakan.

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EKIAUAXQT3SWDEXAMPLE",
        "arn": "arn:aws:iam::123456789012:user/john",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "john"
    },
    "eventTime": "2021-07-10T17:56:46Z",
    "eventSource": "memorydb.amazonaws.com",
    "eventName": "CreateCluster",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.01",
    "userAgent": "aws-cli/2.2.29 Python/3.9.6 Darwin/19.6.0 source/x86_64 prompt/off command/memorydb.create-cluster",
    "requestParameters": {
        "clusterName": "memorydb-cluster",
        "nodeType": "db.r6g.large",
        "subnetGroupName": "memorydb-subnet-group",
        "aCLName": "open-access"
    },
    "responseElements": {
        "cluster": {
            "name": "memorydb-cluster",
            "status": "creating",
            "numberOfShards": 1,
            "availabilityMode": "MultiAZ",
            "clusterEndpoint": {
                "port": 6379
            },
            "nodeType": "db.r6g.large",
            "engineVersion": "6.2",
            "enginePatchVersion": "6.2.6",
            "parameterGroupName": "default.memorydb-redis6",
            "parameterGroupStatus": "in-sync",
            "subnetGroupName": "memorydb-subnet-group",
            "tLSEnabled": true,
            "aRN": "arn:aws:memorydb:us-east-1:123456789012:cluster/memorydb-cluster",
            "snapshotRetentionLimit": 0,
            "maintenanceWindow": "tue:06:30-tue:07:30",
            "snapshotWindow": "09:00-10:00",
            "aCLName": "open-access",
            "dataTiering": "false",
            "autoMinorVersionUpgrade": true
        }
    },
    "requestID": "506fc951-9ae2-42bb-872c-98028dc8ed11",
    "eventID": "2ecf3dc3-c931-4df0-a2b3-be90b596697e",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management"
}
```

Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan `DescribeClusters` tindakan. Perhatikan bahwa untuk semua panggilan MemoryDB Describe dan List (`Describe*`dan`List*`), `responseElements` bagian dihapus dan muncul sebagai. `null` 

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EKIAUAXQT3SWDEXAMPLE",
        "arn": "arn:aws:iam::123456789012:user/john",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "john"
    },
    "eventTime": "2021-07-10T18:39:51Z",
    "eventSource": "memorydb.amazonaws.com",
    "eventName": "DescribeClusters",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.01",
    "userAgent": "aws-cli/2.2.29 Python/3.9.6 Darwin/19.6.0 source/x86_64 prompt/off command/memorydb.describe-clusters",
    "requestParameters": {
        "maxResults": 50,
        "showShardDetails": true
    },
    "responseElements": null,
    "requestID": "5e831993-52bb-494d-9bba-338a117c2389",
    "eventID": "32a3dc0a-31c8-4218-b889-1a6310b7dd50",
    "readOnly": true,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management"
}
```

Contoh berikut menunjukkan entri CloudTrail log yang mencatat `UpdateCluster` tindakan. 

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EKIAUAXQT3SWDEXAMPLE",
        "arn": "arn:aws:iam::123456789012:user/john",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "john"
    },
    "eventTime": "2021-07-10T19:23:20Z",
    "eventSource": "memorydb.amazonaws.com",
    "eventName": "UpdateCluster",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.01",
    "userAgent": "aws-cli/2.2.29 Python/3.9.6 Darwin/19.6.0 source/x86_64 prompt/off command/memorydb.update-cluster",
    "requestParameters": {
        "clusterName": "memorydb-cluster",
        "snapshotWindow": "04:00-05:00",
        "shardConfiguration": {
            "shardCount": 2
        }
    },
    "responseElements": {
        "cluster": {
            "name": "memorydb-cluster",
            "status": "updating",
            "numberOfShards": 2,
            "availabilityMode": "MultiAZ",
            "clusterEndpoint": {
                "address": "clustercfg.memorydb-cluster.cde8da.memorydb.us-east-1.amazonaws.com",
                "port": 6379
            },
            "nodeType": "db.r6g.large",
            "engineVersion": "6.2",
            "EnginePatchVersion": "6.2.6",
            "parameterGroupName": "default.memorydb-redis6",
            "parameterGroupStatus": "in-sync",
            "subnetGroupName": "memorydb-subnet-group",
            "tLSEnabled": true,
            "aRN": "arn:aws:memorydb:us-east-1:123456789012:cluster/memorydb-cluster",
            "snapshotRetentionLimit": 0,
            "maintenanceWindow": "tue:06:30-tue:07:30",
            "snapshotWindow": "04:00-05:00",
            "autoMinorVersionUpgrade": true,
            "DataTiering": "false"
        }
    },
    "requestID": "dad021ce-d161-4365-8085-574133afab54",
    "eventID": "e0120f85-ab7e-4ad4-ae78-43ba15dee3d8",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management"
}
```

Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan `CreateUser` tindakan. Perhatikan bahwa untuk panggilan MemoryDB yang berisi data sensitif, data tersebut akan disunting dalam CloudTrail peristiwa yang sesuai seperti yang ditunjukkan pada bagian di bawah ini`requestParameters`.

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EKIAUAXQT3SWDEXAMPLE",
        "arn": "arn:aws:iam::123456789012:user/john",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "john"
    },
    "eventTime": "2021-07-10T19:56:13Z",
    "eventSource": "memorydb.amazonaws.com",
    "eventName": "CreateUser",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.01",
    "userAgent": "aws-cli/2.2.29 Python/3.9.6 Darwin/19.6.0 source/x86_64 prompt/off command/memorydb.create-user",
    "requestParameters": {
        "userName": "memorydb-user",
        "authenticationMode": {
            "type": "password",
            "passwords": [
                "HIDDEN_DUE_TO_SECURITY_REASONS"
            ]
        },
        "accessString": "~* &* -@all +@read"
    },
    "responseElements": {
        "user": {
            "name": "memorydb-user",
            "status": "active",
            "accessString": "off ~* &* -@all +@read",
            "aCLNames": [],
            "minimumEngineVersion": "6.2",
            "authentication": {
                "type": "password",
                "passwordCount": 1
            },
            "aRN": "arn:aws:memorydb:us-east-1:123456789012:user/memorydb-user"
        }
    },
    "requestID": "ae288b5e-80ab-4ff8-989a-5ee5c67cd193",
    "eventID": "ed096e3e-16f1-4a23-866c-0baa6ec769f6",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management"
}
```

# Validasi kepatuhan untuk MemoryDB
<a name="memorydb-compliance"></a>

Auditor pihak ketiga menilai keamanan dan kepatuhan MemoryDB sebagai bagian dari beberapa AWS program kepatuhan. Hal ini mencakup:
+ Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS). Untuk informasi lain, lihat [PCI DSS](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/).
+ Undang-Undang Akuntabilitas dan Portabilitas Asuransi Kesehatan Perjanjian Rekan Bisnis (HIPAA BAA). Untuk informasi lebih lanjut, lihat [Kepatuhan HIPAA.](https://aws.amazon.com/compliance/hipaa-compliance)
+ Kontrol Sistem dan Organisasi (SOC) 1, 2, dan 3. Untuk informasi selengkapnya, lihat [SOC](https://aws.amazon.com/compliance/soc-faqs).
+ Program Manajemen Risiko dan Otorisasi Federal (FedRAMP) Moderat. Untuk informasi lebih lanjut, lihat [FedRAMP](https://aws.amazon.com/compliance/services-in-scope/FedRAMP/).
+  ISO/IEC 27001:2013, 27017:2015, 27018:2019, dan 9001:2015. ISO/IEC Untuk informasi selengkapnya, lihat [sertifikasi dan layanan AWS ISO dan CSA STAR](https://aws.amazon.com/compliance/iso-certified/).

Untuk daftar AWS layanan dalam lingkup program kepatuhan tertentu, lihat [AWS Layanan dalam Lingkup berdasarkan Program Kepatuhan](https://aws.amazon.com/compliance/services-in-scope/).

Anda dapat mengunduh laporan audit pihak ketiga menggunakan AWS Artifact. Untuk informasi selengkapnya, lihat [Mengunduh Laporan di AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .

Tanggung jawab kepatuhan Anda saat menggunakan MemoryDB ditentukan oleh sensitivitas data Anda, tujuan kepatuhan perusahaan Anda, dan hukum dan peraturan yang berlaku. AWS menyediakan sumber daya berikut untuk membantu kepatuhan:
+ [Panduan Quick Start Keamanan dan Kepatuhan](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) – Panduan deployment ini membahas pertimbangan arsitektur dan menyediakan langkah–langkah untuk melakukan deployment terhadap lingkungan dasar di AWS yang menjadi fokus keamanan dan kepatuhan.
+ [AWS Sumber Daya AWS](https://aws.amazon.com/compliance/resources/) — Kumpulan buku kerja dan panduan ini mungkin berlaku untuk industri dan lokasi Anda.
+ [Mengevaluasi Sumber Daya dengan Aturan](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) dalam *Panduan Developer AWS Config * – AWS Config menilai seberapa patuh konfigurasi sumber daya Anda terhadap praktik internal, panduan industri, dan peraturan.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— AWS Layanan ini memberikan pandangan komprehensif tentang keadaan keamanan Anda di dalamnya AWS yang membantu Anda memeriksa kepatuhan Anda terhadap standar industri keamanan dan praktik terbaik.
+ [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html) — AWS Layanan ini membantu Anda terus mengaudit AWS penggunaan Anda untuk menyederhanakan cara Anda mengelola risiko dan kepatuhan terhadap peraturan dan standar industri.

# Keamanan infrastruktur di MemoryDB
<a name="infrastructure-security"></a>

Sebagai layanan terkelola, MemoryDB dilindungi oleh prosedur keamanan jaringan AWS global yang dijelaskan dalam whitepaper [Amazon Web Services: Overview of Security Processes](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf).

Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses MemoryDB melalui jaringan. Klien harus mendukung Keamanan Lapisan Pengangkutan (TLS) 1.2 atau versi yang lebih baru. Kami merekomendasikan TLS 1.3 atau versi yang lebih baru. Klien juga harus mendukung cipher suite dengan perfect forward secrecy (PFS) seperti Ephemeral Diffie-Hellman (DHE) atau Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). Sebagian besar sistem-sistem modern seperti Java 7 dan versi yang lebih baru mendukung mode-mode ini.

Selain itu, permintaan harus ditandatangani menggunakan ID kunci akses dan kunci akses rahasia yang dikaitkan dengan pengguna utama IAM. Atau Anda dapat menggunakan [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) untuk membuat kredensial keamanan sementara untuk menandatangani permintaan.

# Privasi lalu lintas antarjaringan
<a name="Security.traffic"></a>

MemoryDB menggunakan teknik berikut untuk mengamankan data Anda dan melindunginya dari akses yang tidak sah:
+ **[MemoryDB dan Amazon VPC](vpcs.md)** menjelaskan jenis grup keamanan yang Anda butuhkan untuk instalasi Anda.
+ **[MemoryDB API dan antarmuka titik akhir VPC ()AWS PrivateLink](memorydb-privatelink.md)**memungkinkan Anda membuat koneksi pribadi antara titik akhir VPC dan MemoryDB API Anda.
+ **[Manajemen identitas dan akses di MemoryDB](iam.md)** untuk memberikan dan membatasi tindakan pengguna, grup, dan peran.

# MemoryDB dan Amazon VPC
<a name="vpcs"></a>

Layanan Amazon Virtual Private Cloud (Amazon VPC) mendefinisikan jaringan virtual yang mirip dengan pusat data biasa. Saat Anda mengonfigurasi virtual private cloud (VPC) dengan Amazon VPC, Anda dapat memilih rentang alamat IP-nya, membuat subnet, dan mengonfigurasi tabel rute, gateway jaringan, dan pengaturan keamanan. Anda juga dapat menambahkan cluster ke jaringan virtual, dan mengontrol akses ke cluster dengan menggunakan grup keamanan Amazon VPC. 

Bagian ini menjelaskan cara mengkonfigurasi cluster MemoryDB secara manual di VPC. Informasi ini ditujukan untuk pengguna yang menginginkan pemahaman yang lebih dalam tentang bagaimana MemoryDB dan Amazon VPC bekerja sama.

**Topics**
+ [Memahami MemoryDB dan VPCs](vpcs.mdb.md)
+ [Pola Akses untuk Mengakses Cluster MemoryDB di Amazon VPC](memorydb-vpc-accessing.md)
+ [Membuat Cloud Privat Virtual (VPC)](VPCs.creatingVPC.md)

# Memahami MemoryDB dan VPCs
<a name="vpcs.mdb"></a>

MemoryDB sepenuhnya terintegrasi dengan Amazon VPC. Untuk pengguna MemoryDB, ini berarti sebagai berikut:
+ MemoryDB selalu meluncurkan cluster Anda dalam VPC.
+ Jika Anda baru AWS, VPC default akan dibuat untuk Anda secara otomatis.
+ Jika Anda memiliki VPC default dan tidak menentukan subnet saat Anda meluncurkan sebuah klaster, maka klaster itu akan diluncurkan ke Amazon VPC default Anda.

Untuk informasi selengkapnya, lihat [Mendeteksi Platform Anda yang Didukung dan Apakah Anda Memiliki VPC Default](https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html#detecting-platform).

Dengan Amazon VPC, Anda dapat membuat jaringan virtual di AWS Cloud yang sangat mirip dengan pusat data tradisional. Anda dapat mengonfigurasi VPC Anda, termasuk memilih rentang alamat IP-nya, membuat subnet, dan mengonfigurasi tabel rute, gateway jaringan, dan pengaturan keamanan.

MemoryDB mengelola peningkatan perangkat lunak, penambalan, deteksi kegagalan, dan pemulihan.

## Ikhtisar MemoryDB dalam VPC
<a name="memorydbandvpc.overview"></a>
+ VPC adalah bagian terisolasi dari AWS Cloud yang diberi blok alamat IP sendiri.
+ Gateway internet menghubungkan VPC Anda langsung ke internet dan menyediakan akses ke AWS sumber daya lain seperti Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) yang berjalan di luar VPC Anda.
+ Subnet Amazon VPC adalah segmen dari rentang alamat IP VPC tempat Anda dapat mengisolasi AWS sumber daya sesuai dengan kebutuhan keamanan dan operasional Anda.
+ Grup keamanan Amazon VPC mengontrol lalu lintas masuk dan keluar untuk cluster MemoryDB dan instans Amazon Anda. EC2 
+ Anda dapat meluncurkan cluster MemoryDB di subnet. Node memiliki alamat IP pribadi dari berbagai alamat subnet.
+ Anda juga dapat meluncurkan EC2 instans Amazon di subnet. Setiap EC2 instans Amazon memiliki alamat IP pribadi dari rentang alamat subnet. EC2 Instans Amazon dapat terhubung ke node apa pun di subnet yang sama.
+ Agar EC2 instance Amazon di VPC Anda dapat dijangkau dari internet, Anda perlu menetapkan alamat publik statis yang disebut alamat IP Elastis ke instans.

## Prasyarat
<a name="memorydbandvpc.prereqs"></a>

Untuk membuat cluster MemoryDB dalam VPC, VPC Anda harus memenuhi persyaratan berikut:
+ VPC Anda harus mengizinkan instans Amazon EC2 yang tidak berdedikasi. Anda tidak dapat menggunakan MemoryDB dalam VPC yang dikonfigurasi untuk penyewaan instans khusus.
+ Grup subnet harus ditentukan untuk VPC Anda. MemoryDB menggunakan grup subnet itu untuk memilih subnet dan alamat IP dalam subnet itu untuk dikaitkan dengan node Anda.
+ Grup keamanan harus ditentukan untuk VPC Anda, atau Anda dapat menggunakan default yang disediakan.
+ Blok CIDR untuk setiap subnet harus cukup besar untuk memberikan alamat IP cadangan untuk MemoryDB untuk digunakan selama kegiatan pemeliharaan.

## Perutean dan keamanan
<a name="memorydbandvpc.routingandsecurity"></a>

Anda dapat mengonfigurasi perutean di VPC Anda untuk mengontrol di mana arus lalu lintas (misalnya, ke gateway internet atau gateway pribadi virtual). Dengan gateway internet, VPC Anda memiliki akses langsung ke AWS sumber daya lain yang tidak berjalan di VPC Anda. Jika Anda memilih untuk hanya memiliki gateway pribadi virtual dengan koneksi ke jaringan lokal organisasi Anda, Anda dapat merutekan lalu lintas internet Anda melalui VPN dan menggunakan kebijakan keamanan lokal dan firewall untuk mengontrol jalan keluar. Dalam hal ini, Anda dikenakan biaya bandwidth tambahan ketika Anda mengakses AWS sumber daya melalui internet.

Anda dapat menggunakan grup keamanan Amazon VPC untuk membantu mengamankan kluster MemoryDB dan instans Amazon di EC2 VPC Amazon Anda. Grup keamanan bertindak seperti firewall di tingkat instans, bukan di tingkat subnet.

**catatan**  
Kami sangat menyarankan agar Anda menggunakan nama DNS untuk terhubung ke node Anda, karena alamat IP yang mendasarinya dapat berubah seiring waktu.

## Dokumentasi Amazon VPC
<a name="memorydbandvpc.vpcdocs"></a>

Amazon VPC memiliki kumpulan dokumentasinya sendiri untuk menjelaskan cara membuat dan menggunakan Amazon VPC Anda. Tabel berikut menunjukkan di mana menemukan informasi dalam panduan VPC Amazon.


| Deskripsi | Dokumentasi | 
| --- | --- | 
| Cara mulai menggunakan Amazon VPC | [Mulai menggunakan Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-getting-started.html) | 
| Cara menggunakan Amazon VPC melalui Konsol Manajemen AWS | [Panduan Pengguna Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/) | 
| Deskripsi lengkap dari semua perintah Amazon VPC | [Referensi Baris EC2 Perintah Amazon](https://docs.aws.amazon.com/AWSEC2/latest/CommandLineReference/) (perintah Amazon VPC ditemukan di referensi Amazon EC2 ) | 
| Deskripsi lengkap dari operasi API Amazon VPC, jenis data, dan kesalahan | [Referensi EC2 API Amazon](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/) (operasi API VPC Amazon ditemukan di referensi Amazon EC2 ) | 
| Informasi untuk administrator jaringan yang perlu mengonfigurasi gateway di akhir koneksi IPsec VPN opsional Anda | [Apa itu AWS Site-to-Site VPN?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) | 

Untuk informasi lebih detail tentang Amazon Virtual Private Cloud, lihat [Amazon Virtual Private Cloud](https://aws.amazon.com/vpc/).

# Pola Akses untuk Mengakses Cluster MemoryDB di Amazon VPC
<a name="memorydb-vpc-accessing"></a>

MemoryDB mendukung skenario berikut untuk mengakses cluster di VPC Amazon:

**Contents**
+ [Mengakses Cluster MemoryDB saat dan EC2 Instans Amazon berada di VPC Amazon yang Sama](#memorydb-vpc-accessing-same-vpc)
+ [Mengakses Cluster MemoryDB saat dan EC2 Instans Amazon berada di Amazon yang Berbeda VPCs](#memorydb-vpc-accessing-different-vpc)
  + [Di Amazon yang Berbeda VPCs di Wilayah yang Sama](#memorydb-vpc-accessing-different-vpc-same-region)
    + [Menggunakan Gateway Transit](#memorydb-vpc-accessing-using-transit-gateway)
  + [Di Amazon yang Berbeda VPCs di Berbagai Wilayah](#memorydb-vpc-accessing-different-vpc-different-region)
    + [Menggunakan VPC Transit](#memorydb-vpc-accessing-different-vpc-different-region-using-transit-vpc)
+ [Mengakses Cluster MemoryDB dari Aplikasi yang Berjalan di Pusat Data Pelanggan](#memorydb-vpc-accessing-data-center)
  + [Menggunakan Konektivitas VPN](#memorydb-vpc-accessing-data-center-vpn)
  + [Menggunakan Direct Connect](#memorydb-vpc-accessing-data-center-direct-connect)

## Mengakses Cluster MemoryDB saat dan EC2 Instans Amazon berada di VPC Amazon yang Sama
<a name="memorydb-vpc-accessing-same-vpc"></a>

Kasus penggunaan yang paling umum adalah ketika aplikasi yang digunakan pada sebuah EC2 instance perlu terhubung ke cluster di VPC yang sama.

Cara termudah untuk mengelola akses antara EC2 instance dan cluster di VPC yang sama adalah dengan melakukan hal berikut:

1. Buat grup keamanan VPC untuk klaster Anda. Grup keamanan ini dapat digunakan untuk membatasi akses ke cluster. Sebagai contoh, Anda dapat membuat aturan kustom untuk grup keamanan ini yang mengizinkan akses TCP menggunakan port yang Anda tetapkan untuk klaster saat Anda membuatnya dan alamat IP yang Anda gunakan untuk mengakses klaster tersebut. 

   Port default untuk cluster MemoryDB adalah. `6379`

1. Buat grup keamanan VPC untuk EC2 instance Anda (server web dan aplikasi). Grup keamanan ini dapat, jika diperlukan, mengizinkan akses ke EC2 instance dari Internet melalui tabel routing VPC. Misalnya, Anda dapat menetapkan aturan pada grup keamanan ini untuk mengizinkan akses TCP ke EC2 instance melalui port 22.

1. Buat aturan kustom di grup keamanan untuk klaster Anda yang memungkinkan koneksi dari grup keamanan yang Anda buat untuk EC2 instans Anda. Hal ini akan mengizinkan semua anggota grup keamanan untuk mengakses klaster.

**Untuk membuat aturan dalam grup keamanan VPC yang memungkinkan koneksi dari grup keamanan lain**

1. [Masuk ke Konsol AWS Manajemen dan buka konsol VPC Amazon di https://console.aws.amazon.com /vpc.](https://console.aws.amazon.com/vpc)

1. Di panel navigasi kiri, pilih **Grup Keamanan**.

1. Pilih atau buat grup keamanan yang akan Anda gunakan untuk cluster Anda. Pada **Aturan Masuk**, pilih **Edit Aturan Masuk** lalu pilih **Tambahkan Aturan**. Grup keamanan ini akan mengizinkan akses bagi anggota dari grup keamanan lain.

1. Dari **Jenis**, pilih **Aturan TCP Kustom**.

   1. Untuk **Rentang Port**, tentukan port yang Anda gunakan saat membuat klaster.

      Port default untuk cluster MemoryDB adalah. `6379`

   1. Pada kotak **Sumber**, masukkan ID dari grup keamanan. Dari daftar pilih grup keamanan yang akan Anda gunakan untuk EC2 instans Amazon Anda.

1. Pilih **Simpan** jika selesai.

## Mengakses Cluster MemoryDB saat dan EC2 Instans Amazon berada di Amazon yang Berbeda VPCs
<a name="memorydb-vpc-accessing-different-vpc"></a>

Ketika cluster Anda berada di VPC yang berbeda dari EC2 instance yang Anda gunakan untuk mengaksesnya, ada beberapa cara untuk mengakses cluster. Jika cluster dan EC2 instance berbeda VPCs tetapi di wilayah yang sama, Anda dapat menggunakan peering VPC. Jika cluster dan EC2 instans berada di wilayah yang berbeda, Anda dapat membuat konektivitas VPN antar wilayah.

**Topics**
+ [Di Amazon yang Berbeda VPCs di Wilayah yang Sama](#memorydb-vpc-accessing-different-vpc-same-region)
+ [Di Amazon yang Berbeda VPCs di Berbagai Wilayah](#memorydb-vpc-accessing-different-vpc-different-region)

 

### Mengakses Cluster MemoryDB saat dan EC2 Instans Amazon berada di Amazon yang Berbeda VPCs di Wilayah yang Sama
<a name="memorydb-vpc-accessing-different-vpc-same-region"></a>

*Cluster diakses oleh EC2 instans Amazon di VPC Amazon yang berbeda dalam Wilayah yang sama - VPC Peering Connection*

Koneksi peering VPC adalah koneksi jaringan antara dua VPCs yang memungkinkan Anda untuk merutekan lalu lintas di antara mereka menggunakan alamat IP pribadi. Instans di kedua VPC tersebut dapat berkomunikasi satu sama lain seolah berada di jaringan yang sama. Anda dapat membuat koneksi peering VPC antara Amazon Anda sendiri VPCs, atau dengan VPC Amazon di AWS akun lain dalam satu wilayah. Untuk mempelajari selengkapnya peering Amazon VPC, lihat [Dokumentasi VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-peering.html).

**Untuk mengakses cluster di VPC Amazon yang berbeda melalui peering**

1. Pastikan keduanya VPCs tidak memiliki rentang IP yang tumpang tindih atau Anda tidak akan dapat mengintip mereka.

1. Peer keduanya VPCs. Untuk informasi selengkapnya, lihat [Membuat dan Menerima Koneksi Peering VPC Amazon](https://docs.aws.amazon.com/AmazonVPC/latest/PeeringGuide/create-vpc-peering-connection.html).

1. Perbarui tabel rute Anda. Untuk informasi selengkapnya, lihat [Memperbarui Tabel Rute Anda untuk Koneksi Peering VPC](https://docs.aws.amazon.com/AmazonVPC/latest/PeeringGuide/vpc-peering-routing.html)

1. Ubah Grup Keamanan klaster MemoryDB Anda untuk memungkinkan koneksi masuk dari grup keamanan Aplikasi di VPC peered. Untuk informasi lain, lihat [Grup Keamanan VPC Peer Referensi](https://docs.aws.amazon.com/AmazonVPC/latest/PeeringGuide/vpc-peering-security-groups.html).

Mengakses klaster melalui koneksi peering akan dikenakan biaya transfer data tambahan.

 

#### Menggunakan Transit Gateway
<a name="memorydb-vpc-accessing-using-transit-gateway"></a>

Gateway transit memungkinkan Anda untuk melampirkan VPCs dan koneksi VPN di AWS Wilayah yang sama dan merutekan lalu lintas di antara mereka. Gateway transit berfungsi di seluruh AWS akun, dan Anda dapat menggunakan AWS Resource Access Manager untuk berbagi gateway transit Anda dengan akun lain. Setelah Anda berbagi gateway transit dengan AWS akun lain, pemilik akun dapat melampirkannya VPCs ke gateway transit Anda. Pengguna dari kedua akun ini dapat menghapus lampiran VPC tersebut kapan saja.

Anda dapat mengaktifkan multicast pada gateway transit, lalu membuat domain multicast gateway transit yang memungkinkan lalu lintas multicast dikirim dari sumber multicast Anda untuk anggota grup multicast melalui lampiran VPC yang Anda kaitkan dengan domain.

Anda juga dapat membuat lampiran koneksi peering antara gateway transit di Wilayah yang berbeda. AWS Hal ini memungkinkan Anda merutekan lalu lintas di antara beberapa lampiran gateway transit di Wilayah yang berbeda.

Untuk informasi selengkapnya, lihat [Gateway transit](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html).

### Mengakses Cluster MemoryDB saat dan EC2 Instans Amazon berada di Amazon yang Berbeda di Berbagai Wilayah VPCs
<a name="memorydb-vpc-accessing-different-vpc-different-region"></a>

#### Menggunakan VPC Transit
<a name="memorydb-vpc-accessing-different-vpc-different-region-using-transit-vpc"></a>

Alternatif untuk menggunakan VPC peering, strategi umum lainnya untuk menghubungkan beberapa jaringan, tersebar secara geografis VPCs dan jarak jauh adalah dengan membuat VPC transit yang berfungsi sebagai pusat transit jaringan global. VPC transit menyederhanakan manajemen jaringan dan meminimalkan jumlah koneksi yang diperlukan untuk menghubungkan beberapa VPCs jaringan dan jarak jauh. Rancangan ini dapat menghemat waktu dan tenaga serta mengurangi biaya karena diimplementasikan secara virtual tanpa biaya yang biasa diperlukan untuk membangun kehadiran fisik di hub transit kolokasi atau men-deploy peralatan jaringan fisik.

*Menghubungkan VPCs di berbagai wilayah*

Setelah VPC Transit Amazon dibuat, aplikasi yang digunakan dalam VPC “spoke” di satu wilayah dapat terhubung ke cluster MemoryDB di VPC “spoke” di wilayah lain. 

**Untuk mengakses cluster di VPC yang berbeda dalam Wilayah yang berbeda AWS**

1. Lakukan deployment Solusi VPC Transit. Untuk informasi selengkapnya, lihat [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/).

1. Perbarui tabel perutean VPC di Aplikasi dan VPCs untuk merutekan lalu lintas melalui VGW (Virtual Private Gateway) dan VPN Appliance. Dalam kasus Perutean Dinamis dengan Protokol Gateway Batas (BGP), rute Anda dapat disebarkan secara otomatis.

1. Ubah Grup Keamanan klaster MemoryDB Anda untuk memungkinkan koneksi masuk dari rentang IP instance Aplikasi. Perhatikan bahwa Anda tidak akan dapat mereferensikan Grup Keamanan server aplikasi dalam skenario ini.

Mengakses klaster di seluruh wilayah akan memperkenalkan latensi jaringan dan biaya transfer data lintas wilayah tambahan.

## Mengakses Cluster MemoryDB dari Aplikasi yang Berjalan di Pusat Data Pelanggan
<a name="memorydb-vpc-accessing-data-center"></a>

Skenario lain yang mungkin adalah arsitektur Hybrid di mana klien atau aplikasi di pusat data pelanggan mungkin perlu mengakses Cluster MemoryDB di VPC. Skenario ini juga didukung jika ada konektivitas antara VPC pelanggan dan pusat data baik melalui VPN atau Direct Connect.

**Topics**
+ [Menggunakan Konektivitas VPN](#memorydb-vpc-accessing-data-center-vpn)
+ [Menggunakan Direct Connect](#memorydb-vpc-accessing-data-center-direct-connect)

 

### Mengakses Cluster MemoryDB dari Aplikasi yang Berjalan di Pusat Data Pelanggan Menggunakan Konektivitas VPN
<a name="memorydb-vpc-accessing-data-center-vpn"></a>

*Menghubungkan ke MemoryDB dari pusat data Anda melalui VPN*

**Untuk mengakses klaster di VPC dari aplikasi on-prem melalui koneksi VPN**

1. Membuat Konektivitas VPN dengan menambahkan perangkat keras Gateway Privat Virtual ke VPC Anda. Untuk informasi selengkapnya, lihat [Menambahkan Gateway Privat Virtual Perangkat Keras ke VPC Anda](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_VPN.html).

1. Perbarui tabel perutean VPC untuk subnet tempat klaster MemoryDB Anda digunakan untuk memungkinkan lalu lintas dari server aplikasi lokal Anda. Dalam kasus Perutean Dinamis dengan BGP, rute Anda dapat disebarkan secara otomatis.

1. Ubah Grup Keamanan klaster MemoryDB Anda untuk mengizinkan koneksi masuk dari server aplikasi lokal.

Mengakses klaster melalui koneksi VPN akan menimbulkan latensi jaringan dan biaya transfer data tambahan.

 

### Mengakses Cluster MemoryDB dari Aplikasi yang Berjalan di Pusat Data Pelanggan Menggunakan Direct Connect
<a name="memorydb-vpc-accessing-data-center-direct-connect"></a>

*Menghubungkan ke MemoryDB dari pusat data Anda melalui Direct Connect*

**Untuk mengakses cluster MemoryDB dari aplikasi yang berjalan di jaringan Anda menggunakan Direct Connect**

1. Buat konektivitas Direct Connect. Untuk informasi selengkapnya, lihat [Memulai dengan AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/getting_started.html).

1. Ubah Grup Keamanan klaster MemoryDB Anda untuk mengizinkan koneksi masuk dari server aplikasi lokal.

Mengakses klaster melalui koneksi DX dapat menimbulkan latensi jaringan dan biaya transfer data tambahan.

# Membuat Cloud Privat Virtual (VPC)
<a name="VPCs.creatingVPC"></a>

Dalam contoh ini, Anda membuat virtual private cloud (VPC) berdasarkan layanan Amazon VPC dengan subnet pribadi untuk setiap Availability Zone.

## Membuat VPC (Konsol)
<a name="VPCs.creatingVPCclusters.viewdetails"></a>

**Untuk membuat cluster MemoryDB di dalam Amazon Virtual Private Cloud**

1. Masuk ke Konsol AWS Manajemen, dan buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Pada dasbor VPC, pilih **Buat VPC**.

1. Di bagian **Sumber daya yang akan dibuat**, pilih **VPC dan lainnya**.

1. Di bawah **Jumlah Availability Zones (AZs)**, pilih jumlah Availability Zone yang ingin Anda luncurkan subnet.

1. Di bagian **Jumlah subnet publik**, pilih jumlah subnet publik yang ingin Anda tambahkan ke VPC Anda.

1. Di bagian **Jumlah subnet privat**, pilih jumlah subnet privat yang ingin Anda tambahkan ke VPC Anda.
**Tip**  
Perhatikan pengidentifikasi subnet Anda, serta identifikasi mana yang publik dan privat. Anda akan memerlukan informasi ini nanti saat meluncurkan cluster dan menambahkan EC2 instance Amazon ke VPC Amazon Anda.

1. Buat grup keamanan Amazon VPC. Anda akan menggunakan grup ini untuk cluster dan EC2 instans Amazon Anda.

   1. Di panel navigasi kiri Konsol Manajemen AWS, pilih **Grup Keamanan**.

   1. Pilih **Buat Grup Keamanan**.

   1. Masukkan nama dan deskripsi untuk grup keamanan Anda di kotak yang sesuai. Untuk **VPC**, pilih pengenal untuk VPC Anda.

   1. Jika pengaturan sudah sesuai keinginan Anda, pilih **Ya, Buat**.

1. Tentukan aturan masuk jaringan untuk grup keamanan Anda. Aturan ini akan memungkinkan Anda untuk terhubung ke EC2 instans Amazon Anda menggunakan Secure Shell (SSH).

   1. Di panel navigasi kiri, pilih **Grup Keamanan**.

   1. Temukan grup keamanan Anda dalam daftar, lalu pilih grup tersebut. 

   1. Di bagian **Grup Keamanan**, pilih tab **Masuk**. Di kotak **Buat aturan baru**, pilih **SSH**, lalu pilih **Tambahkan Aturan**.

      Tetapkan nilai berikut untuk aturan masuk baru yang akan mengizinkan akses HTTP: 
      + Jenis: HTTP
      + Sumber: 0.0.0.0/0

   1. Tetapkan nilai berikut untuk aturan masuk baru yang akan mengizinkan akses HTTP: 
      + Jenis: HTTP
      + Sumber: 0.0.0.0/0

      Pilih **Terapkan Perubahan Aturan**.

Sekarang Anda siap untuk membuat [grup subnet](https://docs.aws.amazon.com/memorydb/latest/devguide/subnetgroups.html) dan [membuat cluster di VPC](https://docs.aws.amazon.com/memorydb/latest/devguide/getting-started.createcluster.html) Anda. 

# Subnet dan grup subnet
<a name="subnetgroups"></a>

Grup *subnet adalah kumpulan* subnet (biasanya pribadi) yang dapat Anda tentukan untuk kluster yang berjalan di lingkungan Amazon Virtual Private Cloud (VPC).

Saat membuat klaster di VPC Amazon, Anda dapat menentukan grup subnet atau menggunakan grup default yang disediakan. MemoryDB menggunakan grup subnet itu untuk memilih subnet dan alamat IP dalam subnet itu untuk dikaitkan dengan node Anda.

Bagian ini mencakup cara membuat dan memanfaatkan subnet dan grup subnet untuk mengelola akses ke sumber daya MemoryDB Anda. 

Untuk informasi selengkapnya tentang penggunaan grup subnet di lingkungan Amazon VPC, lihat [Langkah 3: Mengizinkan akses ke klaster](getting-started.md#getting-started.authorizeaccess).


**Didukung MemoryDB AZ IDs**  

| Nama Wilayah/Wilayah | AZ yang didukung IDs | 
| --- | --- | 
| Wilayah AS Timur (Ohio) `us-east-2` | `use2-az1, use2-az2, use2-az3` | 
| Wilayah AS Timur (Virginia Utara) `us-east-1` | `use1-az1, use1-az2, use1-az4, use1-az5, use1-az6` | 
| Wilayah AS Barat (California Utara) `us-west-1` | `usw1-az1, usw1-az2, usw1-az3` | 
| Wilayah AS Barat (Oregon) `us-west-2` | `usw2-az1, usw2-az2, usw2-az3, usw2-az4` | 
| Wilayah Kanada (Pusat) `ca-central-1` | `cac1-az1, cac1-az2, cac1-az4` | 
| Wilayah Asia Pasifik (Hong Kong) `ap-east-1` | `ape1-az1, ape1-az2, ape1-az3` | 
| Wilayah Asia Pasifik (Mumbai) `ap-south-1` | `aps1-az1, aps1-az2, aps1-az3` | 
| Wilayah Asia Pasifik (Tokyo) `ap-northeast-1` | `apne1-az1, apne1-az2, apne1-az4` | 
| Wilayah Asia Pasifik (Seoul) `ap-northeast-2` | `apne2-az1, apne2-az2, apne2-az3` | 
| Wilayah Asia Pasifik (Singapura) `ap-southeast-1` | `apse1-az1, apse1-az2, apse1-az3` | 
| Wilayah Asia Pasifik (Sydney) `ap-southeast-2` | apse2-az1, apse2-az2, apse2-az3  | 
| Wilayah Eropa (Frankfurt) `eu-central-1` | `euc1-az1, euc1-az2, euc1-az3` | 
| Wilayah Eropa (Irlandia) `eu-west-1` | `euw1-az1, euw1-az2, euw1-az3` | 
| Wilayah Eropa (London) `eu-west-2` | `euw2-az1, euw2-az2, euw2-az3` | 
| Wilayah Eropa (Paris) `eu-west-3` | `euw3-az1, euw3-az2, euw3-az3` | 
| Wilayah Eropa (Stockholm) `eu-north-1` | `eun1-az1, eun1-az2, eun1-az3 ` | 
| Wilayah Eropa (Milan) `eu-south-1` | `eus1-az1, eus1-az2, eus1-az3 ` | 
| Wilayah Amerika Selatan (Sao Paulo) `sa-east-1` | `sae1-az1, sae1-az2, sae1-az3` | 
| Wilayah Tiongkok (Beijing) `cn-north-1` | `cnn1-az1, cnn1-az2` | 
| Wilayah China (Ningxia) `cn-northwest-1` | `cnw1-az1, cnw1-az2, cnw1-az3` | 
|  `us-gov-east-1` | `usge1-az1, usge1-az2, usge1-az3` | 
|  `us-gov-west-1` | `usgw1-az1, usgw1-az2, usgw1-az3` | 
| Wilayah Eropa (Spanyol) `eu-south-2` | `eus2-az1, eus2-az2, eus2-az3` | 

**Topics**
+ [MemoryDB dan IPV6](subnetgroups.ipv6.md)
+ [Membuat grup subnet](subnetgroups.creating.md)
+ [Memperbarui grup subnet](subnetgroups.modifying.md)
+ [Melihat detail grup subnet](subnetgroups.Viewing.md)
+ [Menghapus grup subnet](subnetgroups.deleting.md)

# MemoryDB dan IPV6
<a name="subnetgroups.ipv6"></a>

Anda dapat membuat cluster dual stack dan ipv6-only baru dengan mesin Valkey dan Redis OSS, dengan menyediakan subnet grup dengan dual stack dan subnet ipv6 saja. Anda tidak dapat mengubah jenis jaringan untuk klaster yang ada.

Dengan fungsi ini Anda dapat:
+ Buat ipv4 saja dan cluster tumpukan ganda pada subnet tumpukan ganda.
+ Buat cluster khusus ipv6 pada subnet khusus ipv6.
+ Buat grup subnet baru untuk mendukung subnet khusus ipv4, tumpukan ganda, dan ipv6 saja.
+ Ubah grup subnet yang ada untuk menyertakan subnet tambahan dari VPC yang mendasarinya.
+ Ubah subnet yang ada di grup subnet
  + Tambahkan IPv6 hanya subnet ke grup subnet yang dikonfigurasi untuk IPv6
  + Tambahkan IPv4 atau dua subnet tumpukan ke grup subnet yang dikonfigurasi untuk IPv4 dan dukungan tumpukan ganda
+ Temukan semua node di cluster dengan alamat ipv4 ATAU ipv6, melalui perintah penemuan mesin untuk cluster tumpukan ganda dan ipv6. Perintah penemuan ini termasuk`redis_info`,`redis_cluster`, dan serupa.
+ Temukan alamat ipv4 dan ipv6 dari semua node di cluster, melalui perintah penemuan DNS untuk dual stack dan ipv6 cluster.

# Membuat grup subnet
<a name="subnetgroups.creating"></a>

Saat Anda membuat grup subnet baru, perhatikan jumlah alamat IP yang tersedia. Jika subnet memiliki sangat sedikit alamat IP yang bebas, Anda akan dibatasi dalam hal jumlah simpul yang dapat ditambahkan ke klaster. Untuk mengatasi masalah ini, Anda dapat menetapkan satu atau beberapa subnet ke grup subnet sehingga Anda memiliki jumlah alamat IP yang cukup dalam Zona Ketersediaan dari klaster Anda. Setelah itu, Anda dapat menambahkan lebih banyak simpul ke klaster Anda.

Prosedur berikut menunjukkan cara membuat grup subnet yang disebut `mysubnetgroup` (konsol), API AWS CLI, dan MemoryDB.

## Membuat grup subnet (Konsol)
<a name="subnetgroups.creatingclusters.viewdetails"></a>

Prosedur berikut menunjukkan cara membuat grup subnet (konsol).

**Untuk membuat grup subnet (Konsol)**

1. Masuk ke Konsol AWS Manajemen, dan buka konsol MemoryDB di. [https://console.aws.amazon.com/memorydb/](https://console.aws.amazon.com/memorydb/)

1. Di panel navigasi kiri, pilih Grup **Subnet**.

1. Pilih **Buat Grup Subnet**.

1. Di halaman **Create Subnet Group**, lakukan hal berikut: 

   1. Pada kotak **Nama**, ketik nama grup subnet Anda.

      Batasan penamaan klaster adalah sebagai berikut:
      + Harus berisi 1–40 karakter alfanumerik atau tanda hubung.
      + Harus diawali dengan huruf.
      + Tidak boleh berisi dua tanda hubung berurutan.
      + Tidak boleh diakhiri dengan tanda hubung.

   1. Di kotak **Deskripsi**, ketik deskripsi untuk grup subnet Anda.

   1. Pada kotak **ID VPC**, pilih Amazon VPC yang Anda buat. Jika Anda belum membuatnya, pilih tombol **Buat VPC** dan ikuti langkah-langkah untuk membuatnya. 

   1. **Di **subnet yang dipilih**, pilih Availability Zone dan ID subnet pribadi Anda, lalu pilih Pilih.**

1. Untuk **Tag**, Anda dapat menerapkan tag secara opsional untuk mencari dan memfilter subnet Anda atau melacak biaya Anda AWS . 

1. Jika semua pengaturan sudah sesuai keinginan Anda, pilih **Buat**.

1. Pada pesan konfirmasi yang muncul, pilih **Tutup**.

Grup subnet baru Anda muncul di daftar **Grup Subnet konsol** MemoryDB. Di bagian bawah jendela, Anda dapat memilih grup subnet untuk melihat detailnya, misalnya semua subnet yang terkait dengan grup ini.

## Membuat grup subnet (AWS CLI)
<a name="subnetgroups.creating.cli"></a>

Pada prompt perintah, gunakan perintah `create-subnet-group` untuk membuat grup subnet.

Untuk Linux, macOS, atau Unix:

```
aws memorydb create-subnet-group \
    --subnet-group-name mysubnetgroup \
    --description "Testing" \
    --subnet-ids subnet-53df9c3a
```

Untuk Windows:

```
aws memorydb create-subnet-group ^
    --subnet-group-name mysubnetgroup ^
    --description "Testing" ^
    --subnet-ids subnet-53df9c3a
```

Perintah ini seharusnya menghasilkan output yang serupa dengan yang berikut:

```
    {
        "SubnetGroup": {
            "Subnets": [
                {
                    "Identifier": "subnet-53df9c3a", 
                    "AvailabilityZone": {
                    "Name": "us-east-1a"
                    }
                }
            ], 
            "VpcId": "vpc-3cfaef47", 
            "Name": "mysubnetgroup", 
            "ARN": "arn:aws:memorydb:us-east-1:012345678912:subnetgroup/mysubnetgroup", 
            "Description": "Testing"
        }
    }
```

Untuk informasi lebih lanjut, lihat AWS CLI topiknya[create-subnet-group](https://docs.aws.amazon.com/cli/latest/reference/memorydb/create-subnet-group.html).

## Membuat grup subnet (MemoryDB API)
<a name="subnetgroups.creating.api"></a>

Menggunakan MemoryDB API, panggil `CreateSubnetGroup` dengan parameter berikut: 
+ `SubnetGroupName=``mysubnetgroup`
+ `Description=``Testing`
+ `SubnetIds.member.1=``subnet-53df9c3a`

# Memperbarui grup subnet
<a name="subnetgroups.modifying"></a>

Anda dapat memperbarui deskripsi grup subnet, atau memodifikasi daftar subnet yang IDs terkait dengan grup subnet. Anda tidak dapat menghapus ID subnet dari grup subnet jika klaster saat ini menggunakan subnet tersebut.

Prosedur berikut menunjukkan cara memperbarui grup subnet.

## Memperbarui grup subnet (Konsol)
<a name="subnetgroups.modifyingclusters.viewdetails"></a>

**Untuk memperbarui grup subnet**

1. Masuk ke Konsol Manajemen AWS dan buka konsol MemoryDB di. [https://console.aws.amazon.com/memorydb/](https://console.aws.amazon.com/memorydb/)

1. Di panel navigasi kiri, pilih Grup **Subnet**.

1. Pada daftar grup subnet, pilih grup subnet yang ingin Anda ubah.

1. Bidang **nama**, **VPCId**dan **Deskripsi** tidak dapat dimodifikasi. 

1. Di bagian **Subnet yang dipilih** klik **Kelola** untuk membuat perubahan apa pun pada Availability Zone yang Anda butuhkan untuk subnet. Untuk menyimpan perubahan Anda, pilih **Simpan**.

## Memperbarui grup subnet (AWS CLI)
<a name="subnetgroups.modifying.cli"></a>

Pada prompt perintah, gunakan perintah `update-subnet-group` untuk memperbarui grup subnet.

Untuk Linux, macOS, atau Unix:

```
aws memorydb update-subnet-group \
    --subnet-group-name mysubnetgroup \
    --description "New description" \
    --subnet-ids "subnet-42df9c3a" "subnet-48fc21a9"
```

Untuk Windows:

```
aws memorydb update-subnet-group ^
    --subnet-group-name mysubnetgroup ^
    --description "New description" ^
    --subnet-ids "subnet-42df9c3a" "subnet-48fc21a9"
```

Perintah ini seharusnya menghasilkan output yang serupa dengan yang berikut:

```
{
    "SubnetGroup": {
        "VpcId": "vpc-73cd3c17", 
        "Description": "New description", 
        "Subnets": [
            {
                "Identifier": "subnet-42dcf93a", 
                "AvailabilityZone": {
                    "Name": "us-east-1a"
                }
            },
            {
                "Identifier": "subnet-48fc12a9", 
                "AvailabilityZone": {
                    "Name": "us-east-1a"
                }
            }
        ], 
        "Name": "mysubnetgroup",
        "ARN": "arn:aws:memorydb:us-east-1:012345678912:subnetgroup/mysubnetgroup",
    }
}
```

Untuk informasi lebih lanjut, lihat AWS CLI topiknya [update-subnet-group](https://docs.aws.amazon.com/cli/latest/reference/memorydb/update-subnet-group.html).

## Memperbarui grup subnet (MemoryDB API)
<a name="subnetgroups.modifying.api"></a>

Menggunakan MemoryDB API, panggil `UpdateSubnetGroup` dengan parameter berikut:
+ `SubnetGroupName=``mysubnetgroup`
+ Parameter lain apa pun yang nilainya ingin Anda ubah. Contoh ini menggunakan `Description=``New%20description` untuk mengubah deskripsi grup subnet.

**Example**  

```
https://memory-db.us-east-1.amazonaws.com/
    ?Action=UpdateSubnetGroup
    &Description=New%20description
    &SubnetGroupName=mysubnetgroup
    &SubnetIds.member.1=subnet-42df9c3a
    &SubnetIds.member.2=subnet-48fc21a9
    &SignatureMethod=HmacSHA256
    &SignatureVersion=4
    &Timestamp=20141201T220302Z
    &Version=2014-12-01
    &X-Amz-Algorithm=Amazon4-HMAC-SHA256
    &X-Amz-Credential=<credential>
    &X-Amz-Date=20141201T220302Z
    &X-Amz-Expires=20141201T220302Z
    &X-Amz-Signature=<signature>
    &X-Amz-SignedHeaders=Host
```

**catatan**  
Saat Anda membuat grup subnet baru, perhatikan jumlah alamat IP yang tersedia. Jika subnet memiliki sangat sedikit alamat IP yang bebas, Anda akan dibatasi dalam hal jumlah simpul yang dapat ditambahkan ke klaster. Untuk mengatasi masalah ini, Anda dapat menetapkan satu atau beberapa subnet ke grup subnet sehingga Anda memiliki jumlah alamat IP yang cukup dalam Zona Ketersediaan dari klaster Anda. Setelah itu, Anda dapat menambahkan lebih banyak simpul ke klaster Anda.

# Melihat detail grup subnet
<a name="subnetgroups.Viewing"></a>

Prosedur berikut menunjukkan kepada Anda cara melihat detail grup subnet.

## Melihat detail grup subnet (konsol)
<a name="subnetgroups.Viewingclusters.viewdetails"></a>

**Untuk melihat detail grup subnet (Konsol)**

1. Masuk ke Konsol Manajemen AWS dan buka konsol MemoryDB di. [https://console.aws.amazon.com/memorydb/](https://console.aws.amazon.com/memorydb/)

1. Di panel navigasi kiri, pilih Grup **Subnet**.

1. Pada halaman **grup Subnet**, pilih grup subnet di bawah **Nama** atau masukkan nama grup subnet di bilah pencarian.

1. Pada halaman **grup Subnet**, pilih grup subnet di bawah **Nama** atau masukkan nama grup subnet di bilah pencarian.

1. Di bawah **Pengaturan grup Subnet**, Anda dapat melihat nama, deskripsi, ID VPC, dan Nama Sumber Daya Amazon (ARN) dari grup subnet.

1. Di bawah **Subnet** Anda dapat melihat blok Availability Zones, Subnet IDs dan CIDR dari grup subnet

1. Di bawah **Tag** Anda dapat melihat tag apa pun yang terkait dengan grup subnet.

## Melihat detail grup subnet (AWS CLI)
<a name="subnetgroups.Viewing.cli"></a>

Pada prompt perintah, gunakan perintah `describe-subnet-groups` untuk melihat detail grup subnet tertentu.

Untuk Linux, macOS, atau Unix:

```
aws memorydb describe-subnet-groups \
    --subnet-group-name mysubnetgroup
```

Untuk Windows:

```
aws memorydb describe-subnet-groups ^
    --subnet-group-name mysubnetgroup
```

Perintah ini seharusnya menghasilkan output yang serupa dengan yang berikut:

```
{
  "subnetgroups": [
    {
      "Subnets": [
        {
          "Identifier": "subnet-060cae3464095de6e", 
          "AvailabilityZone": {
            "Name": "us-east-1a"
          }
        }, 
        {
          "Identifier": "subnet-049d11d4aa78700c3", 
          "AvailabilityZone": {
            "Name": "us-east-1c"
          }
        }, 
        {
          "Identifier": "subnet-0389d4c4157c1edb4", 
          "AvailabilityZone": {
            "Name": "us-east-1d"
          }
        }
      ], 
      "VpcId": "vpc-036a8150d4300bcf2", 
      "Name": "mysubnetgroup", 
      "ARN": "arn:aws:memorydb:us-east-1:53791xzzz7620:subnetgroup/mysubnetgroup", 
      "Description": "test"
    }
  ]
}
```

Untuk melihat detail pada semua grup subnet, gunakan perintah yang sama tetapi tanpa menentukan nama grup subnet.

```
aws memorydb describe-subnet-groups
```

Untuk informasi lebih lanjut, lihat AWS CLI topiknya[describe-subnet-groups](https://docs.aws.amazon.com/cli/latest/reference/memorydb/update-subnet-group.html).

## Melihat grup subnet (MemoryDB API)
<a name="subnetgroups.Viewing.api"></a>

Menggunakan MemoryDB API, panggil `DescribeSubnetGroups` dengan parameter berikut:

`SubnetGroupName=``mysubnetgroup`

**Example**  

```
https://memory-db.us-east-1.amazonaws.com/
    ?Action=UpdateSubnetGroup
    &Description=New%20description
    &SubnetGroupName=mysubnetgroup
    &SubnetIds.member.1=subnet-42df9c3a
    &SubnetIds.member.2=subnet-48fc21a9
    &SignatureMethod=HmacSHA256
    &SignatureVersion=4
    &Timestamp=20211801T220302Z
    &Version=2021-01-01
    &X-Amz-Algorithm=Amazon4-HMAC-SHA256
    &X-Amz-Credential=<credential>
    &X-Amz-Date=20210801T220302Z
    &X-Amz-Expires=20210801T220302Z
    &X-Amz-Signature=<signature>
    &X-Amz-SignedHeaders=Host
```

# Menghapus grup subnet
<a name="subnetgroups.deleting"></a>

Jika Anda memutuskan bahwa Anda tidak lagi memerlukan grup subnet, Anda dapat menghapusnya. Anda tidak dapat menghapus grup subnet jika saat ini digunakan oleh sebuah klaster. Anda juga tidak dapat menghapus grup subnet pada klaster dengan pengaktifan Multi-AZ jika melakukannya meninggalkan klaster dengan kurang dari dua subnet. Anda harus terlebih dahulu menghapus centang **Multi-AZ** dan kemudian menghapus subnet.

Prosedur berikut menunjukkan cara menghapus grup subnet.

## Menghapus grup subnet (Konsol)
<a name="subnetgroups.deletingclusters.viewdetails"></a>

**Untuk menghapus grup subnet**

1. Masuk ke Konsol Manajemen AWS dan buka konsol MemoryDB di. [https://console.aws.amazon.com/memorydb/](https://console.aws.amazon.com/memorydb/)

1. Di panel navigasi kiri, pilih Grup **Subnet**.

1. Dalam daftar grup subnet, pilih salah satu yang ingin Anda hapus, pilih **Tindakan** dan kemudian pilih **Hapus**.
**catatan**  
Anda tidak dapat menghapus grup subnet default atau grup yang terkait dengan cluster apa pun.

1. Layar konfirmasi **Hapus Grup Subnet** akan muncul.

1. Untuk menghapus grup subnet, masukkan `delete` di kotak teks konfirmasi. Untuk menyinmpan grup subnet, pilih **Batal**.

## Menghapus grup subnet (CLI AWS )
<a name="subnetgroups.deleting.cli"></a>

Dengan menggunakan AWS CLI, panggil perintah **delete-subnet-group** dengan parameter berikut:
+ `--subnet-group-name` *mysubnetgroup*

Untuk Linux, macOS, atau Unix:

```
aws memorydb delete-subnet-group \
    --subnet-group-name mysubnetgroup
```

Untuk Windows:

```
aws memorydb delete-subnet-group ^
    --subnet-group-name mysubnetgroup
```

Untuk informasi lebih lanjut, lihat AWS CLI topiknya [delete-subnet-group](https://docs.aws.amazon.com/cli/latest/reference/memorydb/delete-subnet-group.html).

## Menghapus grup subnet (MemoryDB API)
<a name="subnetgroups.deleting.api"></a>

Menggunakan MemoryDB API, panggil `DeleteSubnetGroup` dengan parameter berikut:
+ `SubnetGroupName=mysubnetgroup`

**Example**  

```
https://memory-db.us-east-1.amazonaws.com/
    ?Action=DeleteSubnetGroup
    &SubnetGroupName=mysubnetgroup
    &SignatureMethod=HmacSHA256
    &SignatureVersion=4
    &Timestamp=20210801T220302Z
    &Version=2021-01-01
    &X-Amz-Algorithm=Amazon4-HMAC-SHA256
    &X-Amz-Credential=<credential>
    &X-Amz-Date=20210801T220302Z
    &X-Amz-Expires=20210801T220302Z
    &X-Amz-Signature=<signature>
    &X-Amz-SignedHeaders=Host
```

Perintah ini tidak menghasilkan output.

Untuk informasi selengkapnya, lihat topik API MemoryDB. [DeleteSubnetGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DeleteSubnetGroup.html)

# MemoryDB API dan antarmuka titik akhir VPC ()AWS PrivateLink
<a name="memorydb-privatelink"></a>

*Anda dapat membuat koneksi pribadi antara titik akhir VPC dan Amazon MemoryDB API dengan membuat titik akhir VPC antarmuka.* Endpoint antarmuka didukung oleh [AWS PrivateLink](https://aws.amazon.com/privatelink). AWS PrivateLink memungkinkan Anda mengakses operasi API MemoryDB secara pribadi tanpa gateway internet, perangkat NAT, koneksi VPN, atau koneksi Direct AWS Connect. 

Instans di VPC Anda tidak memerlukan alamat IP publik untuk berkomunikasi dengan titik akhir API MemoryDB. Instans Anda juga tidak memerlukan alamat IP publik untuk menggunakan salah satu operasi API MemoryDB yang tersedia. Lalu lintas antara VPC dan MemoryDB Anda tidak meninggalkan jaringan Amazon. Setiap titik akhir antarmuka direpresentasikan oleh satu atau beberapa antarmuka jaringan elastis di subnet Anda. Untuk informasi selengkapnya tentang antarmuka jaringan elastis, lihat [Antarmuka jaringan elastis](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) dalam *Panduan Pengguna Amazon EC2*. 
+ *Untuk informasi selengkapnya tentang titik akhir VPC, lihat Titik akhir [VPC Antarmuka () di AWS PrivateLink Panduan](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) Pengguna Amazon VPC.*
+ Untuk informasi selengkapnya tentang operasi API MemoryDB, lihat operasi API [MemoryDB](https://docs.aws.amazon.com/memorydb/latest/APIReference/Welcome.html). 

Setelah Anda membuat titik akhir VPC antarmuka, jika Anda mengaktifkan nama host [DNS pribadi untuk titik akhir, titik akhir MemoryDB](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-private-dns) default (https://memorydb. *Region*.amazonaws.com) menyelesaikan ke titik akhir VPC Anda. Jika Anda tidak mengaktifkan nama host DNS privat, Amazon VPC menyediakan nama titik akhir DNS yang dapat Anda gunakan dalam format berikut:

```
VPC_Endpoint_ID.memorydb.Region.vpce.amazonaws.com
```

Untuk informasi selengkapnya, lihat [VPC Endpoint Antarmuka (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) dalam *Panduan Pengguna Amazon VPC*. MemoryDB mendukung panggilan ke semua [Tindakan API](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_Operations.html) di dalam VPC Anda. 

**catatan**  
Nama host DNS privat dapat diaktifkan hanya untuk satu titik akhir VPC di VPC. Jika Anda ingin membuat titik akhir VPC tambahan maka nama host DNS privat harus dinonaktifkan.

## Pertimbangan untuk titik akhir VPC
<a name="memorydb-privatelink-considerations"></a>

*Sebelum menyiapkan titik akhir VPC antarmuka untuk titik akhir API MemoryDB, pastikan Anda meninjau [properti dan batasan titik akhir Antarmuka di](https://docs.aws.amazon.com/vpc/latest/privatelink/endpoint-services-overview.html) Panduan Pengguna Amazon VPC.* Semua operasi API MemoryDB yang relevan untuk mengelola sumber daya MemoryDB tersedia dari VPC Anda menggunakan. AWS PrivateLink Kebijakan titik akhir VPC didukung untuk titik akhir API MemoryDB. Secara default, akses penuh ke operasi API MemoryDB diizinkan melalui titik akhir. Untuk informasi selengkapnya, lihat [Mengontrol Akses ke Layanan dengan titik akhir VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) dalam *Panduan Pengguna Amazon VPC*. 

### Membuat titik akhir VPC antarmuka untuk API MemoryDB
<a name="memorydb-privatelink-create-vpc-endpoint"></a>

Anda dapat membuat titik akhir VPC untuk API MemoryDB menggunakan konsol VPC Amazon atau. AWS CLI Untuk informasi selengkapnya, lihat [Membuat titik akhir antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/create-endpoint-service.html) dalam *Panduan Pengguna Amazon VPC*.

 Setelah Anda membuat antarmuka VPC endpoint, Anda dapat mengaktifkan nama host DNS pribadi untuk titik akhir. Ketika Anda melakukannya, titik akhir MemoryDB default (https://memorydb. *Region*.amazonaws.com) menyelesaikan ke titik akhir VPC Anda. Untuk informasi selengkapnya, lihat [Mengakses layanan melalui titik akhir antarmuka](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint) dalam *Panduan Pengguna Amazon VPC*. 

### Membuat kebijakan titik akhir VPC untuk Amazon MemoryDB API
<a name="memorydb-privatelink-policy"></a>

Anda dapat melampirkan kebijakan titik akhir ke titik akhir VPC Anda yang mengontrol akses ke API MemoryDB. Kebijakan menentukan informasi berikut:
+ Prinsipal yang dapat melakukan tindakan.
+ Tindakan yang dapat dilakukan.
+ Sumber daya yang menjadi target tindakan.

Untuk informasi selengkapnya, lihat [Mengontrol Akses ke Layanan dengan titik akhir VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) dalam *Panduan Pengguna Amazon VPC*.

**Example Kebijakan titik akhir VPC untuk tindakan API MemoryDB**  
Berikut ini adalah contoh kebijakan endpoint untuk API MemoryDB. Saat dilampirkan ke titik akhir, kebijakan ini memberikan akses ke tindakan API MemoryDB yang terdaftar untuk semua prinsipal di semua sumber daya.  

```
{
	"Statement": [{
		"Principal": "*",
		"Effect": "Allow",
		"Action": [
			"memorydb:CreateCluster",
			"memorydb:UpdateCluster",
			"memorydb:CreateSnapshot"
		],
		"Resource": "*"
	}]
}
```

**Example Kebijakan titik akhir VPC yang menolak semua akses dari akun tertentu AWS**  
Kebijakan titik akhir VPC berikut menolak *123456789012* semua akses AWS akun ke sumber daya menggunakan titik akhir. Kebijakan ini mengizinkan semua tindakan dari akun lainnya.  

```
{
	"Statement": [{
			"Action": "*",
			"Effect": "Allow",
			"Resource": "*",
			"Principal": "*"
		},
		{
			"Action": "*",
			"Effect": "Deny",
			"Resource": "*",
			"Principal": {
				"AWS": [
					"123456789012"
				]
			}
		}
	]
}
```

# Kerentanan dan Eksposur Umum (CVE): Kerentanan keamanan yang ditangani di MemoryDB
<a name="cve"></a>

Kerentanan dan Eksposur Umum (CVE) adalah daftar entri untuk kerentanan keamanan siber yang diketahui publik. Setiap entri adalah tautan yang berisi nomor identifikasi, deskripsi, dan setidaknya satu referensi publik. Anda dapat menemukan di halaman ini daftar kerentanan keamanan yang telah ditangani di MemoryDB. 

Kami menyarankan Anda untuk selalu meningkatkan ke versi MemoryDB terbaru agar terlindungi dari kerentanan yang diketahui. MemoryDB mengekspos komponen PATCH. Versi PATCH adalah untuk perbaikan bug yang kompatibel ke belakang, perbaikan keamanan, dan perubahan non-fungsional. 

Anda dapat menggunakan tabel berikut untuk memverifikasi apakah versi tertentu dari MemoryDB menyertakan perbaikan untuk kerentanan keamanan tertentu. Jika cache MemoryDB Anda sedang menunggu pembaruan layanan, mungkin rentan terhadap salah satu kerentanan keamanan yang tercantum di bawah ini. Kami menyarankan Anda menerapkan pembaruan layanan. Untuk informasi selengkapnya tentang versi mesin MemoryDB yang didukung dan cara memutakhirkan, lihat. [Versi mesin](engine-versions.md)

**catatan**  
Jika CVE ditangani dalam versi MemoryDB, itu berarti CVE juga dibahas dalam versi yang lebih baru. 
Tanda bintang (\$1) dalam tabel berikut menunjukkan Anda harus memiliki pembaruan layanan terbaru yang diterapkan untuk klaster MemoryDB yang menjalankan versi yang ditentukan untuk mengatasi kerentanan keamanan. Untuk informasi selengkapnya tentang cara memverifikasi bahwa Anda memiliki pembaruan layanan terbaru yang diterapkan untuk versi MemoryDB yang sedang dijalankan klaster Anda, lihat. [Mengelola pembaruan layanan](managing-updates.md)


| Versi MemoryDB | CVEs Dialamatkan | 
| --- | --- | 
|  Valkey 7.3 dan semua versi Valkey sebelumnya Redis OSS 7.1 dan semua versi Redis OSS sebelumnya  |   [CVE-2025-49844\$1, CVE-2025-46817\$1, CVE-2025-46818\$1](https://www.cve.org/CVERecord?id=CVE-2025-49844) [https://www.cve.org/CVERecord?id=CVE-2025-46818](https://www.cve.org/CVERecord?id=CVE-2025-46818)   | 
|  Valkey 7.2 dan 7.3  |   [CVE-2025-21607 \$1, CVE-2025-21605 \$1, CVE-2024-31449 \$1, CVE-2024-31227](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21607) [\$1, CVE-2024-31228](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21605) [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-31449](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-31449)   | 
|  Valkey 7.2.7  |  [CVE-2024-51741](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-51741)  | 
|  Redis OSS 7.1 dan 6.2  |   [CVE-2025-21605 \$1, CVE-2024-31449 \$1, CVE-2024-31227 \$1, CVE-2024-31228](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21605) [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-31449](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-31449)   | 
|  Redis OSS 7.0.7  |  [CVE-2023-41056 \$1](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41056)   | 
|  Redis OSS 6.2.7  |  [CVE-2024-46981](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-46981)  | 
|  Redis OSS 6.2.6  |  [CVE-2022-24834 \$1, CVE-2022-35977 \$1, CVE-2022-36021](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24834) [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-36021](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-36021)  [CVE-2023-45145](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-45145): Perhatikan bahwa CVE ini telah ditangani di Redis OSS 6.2 dan 7.0 tetapi tidak di Redis OSS 7.1.   | 
|  Redis OSS 6.0.5  |  [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24735](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24735)  | 

# Pembaruan layanan di MemoryDB
<a name="service-updates"></a>

MemoryDB secara otomatis memantau armada cluster dan node Anda untuk menerapkan pembaruan layanan saat tersedia. Biasanya, Anda mengatur jendela pemeliharaan yang telah ditentukan sehingga MemoryDB dapat menerapkan pembaruan ini. Namun, dalam beberapa kasus Anda mungkin menganggap cara ini terlalu kaku dan cenderung menghambat alur bisnis Anda. 

Dengan[Pembaruan layanan di MemoryDB](#service-updates), Anda mengontrol kapan dan pembaruan mana yang diterapkan. Anda juga dapat memantau kemajuan pembaruan ini ke cluster MemoryDB pilihan Anda secara real time. 

# Mengelola pembaruan layanan
<a name="managing-updates"></a>

Pembaruan layanan MemoryDB dirilis secara teratur. Jika Anda memiliki satu atau beberapa klaster yang memenuhi syarat untuk pembaruan layanan tersebut, Anda menerima pemberitahuan melalui email, SNS, Personal Health Dashboard (PHD), dan CloudWatch acara Amazon saat pembaruan dirilis. Pembaruan juga ditampilkan di halaman **Pembaruan Layanan** di konsol MemoryDB. Dengan menggunakan dasbor ini, Anda dapat melihat semua pembaruan layanan dan statusnya untuk armada MemoryDB Anda. 

Anda mengontrol waktu penerapan pembaruan sebelum pembaruan otomatis dimulai. Kami sangat menyarankan agar Anda menerapkan pembaruan jenis **pembaruan keamanan** sesegera mungkin untuk memastikan bahwa MemoryDB Anda selalu up-to-date dengan patch keamanan saat ini. 

Bagian berikut membahas opsi-opsi tersebut secara terperinci.

**Topics**
+ [Amazon MemoryDB Pemeliharaan terkelola dan ikhtisar pembaruan layanan](#managing-updates-maintenance)

## Amazon MemoryDB Pemeliharaan terkelola dan ikhtisar pembaruan layanan
<a name="managing-updates-maintenance"></a>

Kami sering meningkatkan armada MemoryDB kami, dengan tambalan dan peningkatan diterapkan ke instans dengan mulus. Kami melakukan ini dengan salah satu dari dua cara: 

1. Pemeliharaan terkelola berkelanjutan.

1. Pembaruan layanan.

Pembaruan pemeliharaan dan layanan ini diperlukan untuk menerapkan peningkatan yang memperkuat keamanan, keandalan, dan kinerja operasional. 

Pemeliharaan terkelola berkelanjutan terjadi dari waktu ke waktu dan langsung di jendela pemeliharaan Anda tanpa memerlukan tindakan apa pun dari pihak Anda. Penting untuk dicatat bahwa jendela pemeliharaan wajib untuk semua pelanggan, dan Anda tidak memiliki opsi untuk memilih keluar. Kami sangat menyarankan untuk menghindari aktivitas penting atau penting selama jendela pemeliharaan yang ditetapkan ini. Selain itu, perlu diketahui bahwa pembaruan penting tidak dapat dilewati untuk memastikan keamanan dan kinerja sistem yang optimal. 

Pembaruan layanan memberi Anda fleksibilitas untuk menerapkannya sendiri. Mereka diatur waktunya dan dapat dipindahkan ke jendela pemeliharaan untuk diterapkan oleh kami setelah tanggal jatuh tempo mereka berakhir. 

Anda dapat mengelola pembaruan dengan menerapkannya pada kenyamanan Anda paling awal atau dengan mengganti node, karena pembaruan diterapkan secara otomatis pada penggantian. Tidak akan ada aktivitas pembaruan selama jendela pemeliharaan masuk jika pembaruan telah diterapkan ke semua node sebelumnya. 

### Pembaruan layanan
<a name="managing-updates-maintenance.service"></a>

[Pembaruan layanan di MemoryDB](service-updates.md)memungkinkan Anda untuk menerapkan pembaruan layanan tertentu sesuai kebijaksanaan Anda. Pembaruan ini dapat dari jenis berikut: patch keamanan atau pembaruan perangkat lunak kecil. Pembaruan ini membantu memperkuat keamanan, keandalan, dan kinerja operasional klaster Anda. 

Nilai pembaruan layanan ini adalah Anda dapat mengontrol kapan harus menerapkan pembaruan (misalnya, Anda dapat menunda penerapan pembaruan layanan ketika ada acara bisnis penting yang memerlukan ketersediaan 24x7 cluster MemoryDB).

[Jika Anda memiliki satu atau beberapa klaster yang memenuhi syarat untuk pembaruan layanan tersebut, Anda menerima pemberitahuan melalui email, [Amazon SNS](mdbevents.sns.md), Dasbor,AWS Health dan peristiwa [ CloudWatch Amazon](monitoring-cloudwatch.md) Events saat pembaruan dirilis.](https://docs.aws.amazon.com/health/latest/ug/getting-started-health-dashboard.html) Pembaruan juga ditampilkan di halaman **Pembaruan Layanan** di konsol MemoryDB. Dengan menggunakan dasbor ini, Anda dapat melihat semua pembaruan layanan dan statusnya untuk armada MemoryDB Anda. 

Anda mengontrol waktu penerapan pembaruan sebelum pembaruan otomatis dimulai. Kami sangat menyarankan agar Anda menerapkan pembaruan jenis pembaruan keamanan sesegera mungkin untuk memastikan bahwa MemoryDB Anda selalu up-to-date dengan patch keamanan saat ini. 

Cluster Anda mungkin menjadi bagian dari pembaruan layanan yang berbeda. Sebagian besar pembaruan tidak mengharuskan Anda untuk menerapkannya secara terpisah. Menerapkan satu pembaruan ke klaster Anda akan menandai pembaruan lainnya sebagai selesai di mana pun berlaku. Anda mungkin perlu menerapkan beberapa pembaruan ke cluster yang sama secara terpisah jika status tidak berubah menjadi “selesai” secara otomatis.

#### Dampak dan downtime pembaruan layanan
<a name="managing-updates-maintenance.service.impact"></a>

Ketika Anda atau Amazon MemoryDB menerapkan pembaruan layanan ke satu atau beberapa cluster MemoryDB, pembaruan diterapkan ke tidak lebih dari satu node pada satu waktu dalam setiap pecahan sampai semua cluster yang dipilih diperbarui. Node yang diperbarui akan mengalami downtime beberapa detik, sedangkan sisanya dari cluster akan terus melayani lalu lintas.
+ Tidak akan ada perubahan dalam konfigurasi cluster.
+ Anda akan melihat penundaan dalam CloudWatch metrik Anda yang mengejar ketinggalan sesegera mungkin.

**Bagaimana dampak penggantian node pada aplikasi saya?** - Untuk node MemoryDB, proses penggantian dirancang untuk menjamin daya tahan dan ketersediaan. Untuk cluster MemoryDB node tunggal, MemoryDB secara dinamis memutar replika, mengembalikan data dari komponen daya tahan kami, dan kemudian gagal melakukannya. Untuk grup replikasi yang terdiri dari beberapa node, MemoryDB menggantikan replika yang ada dan menyinkronkan data dari komponen daya tahan kami ke replika baru. MemoryDB hanya multi-AZ ketika ada lebih dari 1 node sehingga dalam skenario ini, mengganti pemicu utama failover ke replika baca. Penggantian node yang direncanakan selesai sementara cluster melayani permintaan tulis yang masuk. Jika hanya ada satu node, MemoryDB menggantikan primer dan kemudian menyinkronkan data dari komponen daya tahan kami. Node primer tidak tersedia selama waktu ini, yang menyebabkan gangguan penulisan yang lebih lama.

**Praktik terbaik apa yang harus saya ikuti untuk pengalaman penggantian yang lancar dan meminimalkan kehilangan data?** - Dalam MemoryDB, data sangat tahan lama, dan kehilangan data tidak diharapkan bahkan dalam implementasi node tunggal. Namun disarankan untuk menerapkan strategi multi-AZ dan cadangan untuk meminimalkan kemungkinan kerugian jika terjadi kegagalan. Untuk pengalaman penggantian yang lancar, kami mencoba mengganti node yang cukup dari cluster yang sama pada satu waktu untuk menjaga cluster tetap stabil. Anda dapat menyediakan replika primer dan baca di zona ketersediaan yang berbeda dengan mengaktifkan Multi-AZ. Dalam hal ini, ketika sebuah node diganti, peran utama akan gagal menjadi replika di pecahan. Pecahan ini sekarang akan melayani lalu lintas, dan data akan dipulihkan dari komponen daya tahannya. Jika konfigurasi Anda hanya menyertakan satu replika primer dan satu replika per pecahan, sebaiknya tambahkan replika tambahan sebelum penambalan. Ini akan mencegah berkurangnya ketersediaan selama proses penambalan. Kami merekomendasikan penjadwalan penggantian selama periode dengan lalu lintas tulis masuk rendah.

**Praktik terbaik konfigurasi klien apa yang harus saya ikuti untuk meminimalkan gangguan aplikasi selama pemeliharaan?** - Di MemoryDB, konfigurasi mode cluster selalu diaktifkan, yang memberikan ketersediaan terbaik selama operasi terkelola atau tidak terkelola. Titik akhir node individual dari node replika dapat digunakan untuk semua operasi baca. Di MemoryDB, auto-failover selalu diaktifkan di cluster, yang berarti node utama dapat berubah. Oleh karena itu, aplikasi harus mengonfirmasi peran node dan memperbarui semua titik akhir baca untuk memastikan bahwa Anda tidak menyebabkan beban besar pada primer. Demikian pula, hindari membebani replika dengan permintaan baca selama jendela pemeliharaan. Salah satu cara untuk mencapai ini adalah memastikan bahwa Anda memiliki setidaknya dua replika baca untuk menghindari gangguan baca selama pemeliharaan.

Penting untuk menguji aplikasi klien untuk mengonfirmasi bahwa aplikasi tersebut mematuhi protokol Redis/Valkey Cluster, dan permintaan dapat dialihkan ke seluruh node dengan benar. Dianjurkan untuk menerapkan strategi back-off dan coba lagi untuk menghindari kelebihan beban node MemoryDB selama kegiatan pemeliharaan dan penggantian.

**Penjadwalan** [Ulang - Anda dapat menunda pembaruan layanan dengan mengubah jendela pemeliharaan.](maintenance-window.md) Pembaruan terjadwal hanya akan diterapkan ke cluster jika tanggal yang dijadwalkan cocok dengan jendela pemeliharaan cluster. Setelah Anda mengubah jendela pemeliharaan dan tanggal yang dijadwalkan telah berlalu, pembaruan layanan akan dijadwalkan ulang ke jendela yang baru ditentukan dalam minggu-minggu berikutnya. Anda akan menerima pemberitahuan baru satu minggu sebelum tanggal baru tercapai.

Keamanan di AWS adalah tanggung jawab bersama. Kami sangat menyarankan agar Anda menerapkan pembaruan paling awal.

**Memilih keluar dari pembaruan layanan** - Anda dapat menentukan apakah Anda dapat memilih keluar dari pembaruan layanan dengan memverifikasi nilai atribut “Tanggal mulai pembaruan otomatis”. Jika nilai atribut “Tanggal mulai pembaruan otomatis” dari pembaruan layanan ditetapkan, MemoryDB akan menjadwalkan pembaruan layanan ke cluster yang tersisa untuk jendela pemeliharaan yang akan datang, dan tidak mungkin untuk memilih keluar. Namun, jika Anda menerapkan pembaruan layanan ke cluster yang tersisa sebelum jendela pemeliharaan, MemoryDB tidak akan menerapkan kembali pembaruan layanan selama jendela pemeliharaan. Untuk informasi selengkapnya, lihat [Menerapkan pembaruan layanan](applying-updates.md).

**Mengapa pembaruan layanan tidak dapat langsung diterapkan oleh MemoryDB selama jendela pemeliharaan?** - Harap dicatat bahwa tujuan pembaruan layanan adalah untuk memberi Anda fleksibilitas kapan harus menerapkannya. Cluster yang tidak berpartisipasi dalam program [kepatuhan](memorydb-compliance.md) yang didukung MemoryDB dapat memilih untuk tidak menerapkan pembaruan ini, atau menerapkannya pada frekuensi yang dikurangi sepanjang tahun. Namun disarankan untuk menerapkan pembaruan agar tetap mematuhi peraturan. Ini benar hanya jika nilai atribut “Tanggal mulai pembaruan otomatis” dari pembaruan layanan tidak ada. Untuk informasi selengkapnya, lihat [Validasi kepatuhan untuk MemoryDB](memorydb-compliance.md).

**Bagaimana pembaruan yang diterapkan di jendela pemeliharaan berbeda dari pembaruan layanan?** - Pembaruan yang diterapkan melalui pemeliharaan terkelola berkelanjutan dijadwalkan langsung di jendela pemeliharaan Anda tanpa tindakan apa pun yang diperlukan dari pihak Anda. Pembaruan layanan diatur waktunya dan memberi Anda kontrol kapan Anda ingin mendaftar dengan “Tanggal mulai pembaruan otomatis”. Jika mereka masih belum diterapkan saat itu, MemoryDB dapat menjadwalkan pembaruan ini di jendela pemeliharaan Anda. 

### Pembaruan Pemeliharaan Terkelola Berkelanjutan
<a name="managing-updates-maintenance.continuous"></a>

Pembaruan ini wajib dan diterapkan langsung di jendela pemeliharaan Anda tanpa tindakan apa pun yang diperlukan dari pihak Anda. Pembaruan ini terpisah dari yang ditawarkan oleh pembaruan layanan.

#### Dampak pemeliharaan berkelanjutan dan waktu henti
<a name="managing-updates-maintenance.continuous.impact"></a>

**Berapa lama waktu yang dibutuhkan penggantian node?** - Penggantian biasanya selesai dalam waktu 30 menit. Penggantian mungkin memakan waktu lebih lama dalam konfigurasi contoh dan pola lalu lintas tertentu.

**Bagaimana dampak penggantian node pada aplikasi saya?** - Pembaruan Pemeliharaan Terkelola Berkelanjutan diterapkan dengan cara yang sama seperti “Pembaruan layanan”, melalui penggantian node. Silakan lihat bagian dampak dan waktu henti pembaruan Layanan di atas untuk detailnya.

**Bagaimana cara mengelola penggantian simpul sendiri?** - Anda memiliki opsi untuk mengelola penggantian ini sendiri kapan saja sebelum jendela penggantian node yang dijadwalkan. Jika Anda memilih untuk mengelola penggantian sendiri, Anda dapat mengambil berbagai tindakan tergantung pada kasus penggunaan Anda.
+ [Ganti node dalam cluster dengan satu atau lebih pecahan](nodes.nodereplacement.md)[: Anda dapat menggunakan [backup dan restore](snapshots-restoring.md) atau scale-out diikuti oleh scale-in untuk menggantikan node.](cluster-resharding-online.md)
+ [Ubah jendela pemeliharaan Anda](maintenance-window.md): Juga, Anda dapat mengubah jendela pemeliharaan cluster Anda. Untuk mengubah jendela pemeliharaan Anda ke waktu yang lebih nyaman nanti, Anda dapat menggunakan [UpdateCluster API](clusters.modify.md), [CLI update-cluster](https://docs.aws.amazon.com/cli/latest/reference/memorydb/update-cluster.html) atau klik Modify [di](clusters.modify.md) MemoryDB Management Console. Setelah Anda mengubah jendela pemeliharaan Anda, MemoryDB akan menjadwalkan node Anda untuk pemeliharaan selama jendela yang baru ditentukan. 

   Untuk melihat bagaimana ini bekerja dalam praktiknya, katakanlah saat ini Kamis 11/09 pukul 1500 dan jendela pemeliharaan berikutnya adalah Jumat, 11/10, pukul 1700. Berikut adalah 3 skenario:
  + Anda mengubah jendela pemeliharaan Anda menjadi Jumat pukul 1600 (setelah waktu tanggal saat ini dan sebelum jendela pemeliharaan terjadwal berikutnya). Node akan diganti pada hari Jumat, 11/10, pukul 1600.
  + Anda mengubah jendela pemeliharaan Anda menjadi Sabtu pukul 1600 (setelah waktu tanggal saat ini dan setelah jendela pemeliharaan terjadwal berikutnya). Node akan diganti pada hari Sabtu, 11/11, pukul 1600.
  + Anda mengubah jendela pemeliharaan Anda menjadi Rabu pukul 1600 (lebih awal dalam seminggu dari waktu tanggal saat ini). Node akan diganti Rabu depan, 11/15, pukul 1600.

  Untuk informasi selengkapnya, lihat [Mengelola pemeliharaan](maintenance-window.md).

  Harap dicatat bahwa node dalam cluster yang berbeda dari wilayah yang berbeda dapat diganti pada saat yang sama asalkan jendela pemeliharaan Anda untuk cluster ini dikonfigurasi menjadi sama. 

**Bagaimana cara mengetahui tentang penggantian terjadwal yang akan datang?** - Anda harus mendapatkan pemberitahuan kesehatan di Dashboard AWS kesehatan. Anda juga dapat menemukan status peningkatan layanan yang berbeda dengan DescribeServiceUpdates API. Harap dicatat bahwa kami melakukan semua upaya untuk secara proaktif memberi tahu pelanggan tentang penggantian yang dapat diperkirakan. Namun, dalam kasus luar biasa seperti kegagalan yang tidak terduga, mungkin ada penggantian yang tidak diumumkan.

**Dapatkah saya mengubah pemeliharaan terjadwal pada waktu yang lebih tepat?** - Ya, Anda dapat menunda pemeliharaan terjadwal ke waktu yang lebih sesuai dengan mengubah [jendela pemeliharaan](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeServiceUpdates.html). 

**Mengapa Anda melakukan penggantian simpul ini?** - Penggantian ini diperlukan untuk menerapkan pembaruan perangkat lunak wajib ke host yang mendasarinya. Pembaruan membantu memperkuat keamanan, keandalan, dan kinerja operasional kami.

**Apakah penggantian ini memengaruhi node saya di Beberapa Availability Zone dan cluster dari berbagai wilayah secara bersamaan?** - Penggantian dapat berjalan di beberapa Availability Zone atau wilayah secara paralel, tergantung pada jendela pemeliharaan untuk cluster.

# Menerapkan pembaruan layanan
<a name="applying-updates"></a>

Anda dapat memulai menerapkan pembaruan layanan untuk armada Anda sejak pembaruan berstatus **tersedia**. Pembaruan layanan bersifat kumulatif. Dengan kata lain, pembaruan apa pun yang belum diterapkan akan disertakan dalam pembaruan terbaru Anda.

Jika pembaruan layanan memiliki opsi pembaruan otomatis yang aktif, Anda dapat memilih untuk tidak mengambil tindakan apa pun saat pembaruan tersedia. **MemoryDB akan menjadwalkan untuk menerapkan pembaruan selama jendela pemeliharaan cluster Anda setelah tanggal mulai pembaruan Otomatis.** Anda akan menerima notifikasi terkait untuk setiap tahap pembaruan.

**catatan**  
Anda dapat menerapkan hanya pembaruan layanan yang berstatus **tersedia** atau **terjadwal**.

Untuk informasi selengkapnya tentang meninjau dan menerapkan pembaruan khusus layanan apa pun ke kluster MemoryDB yang berlaku, lihat. [Menerapkan pembaruan layanan menggunakan konsol](#applying-updates-console-APIReferenceconsole)

Ketika pembaruan layanan baru tersedia untuk satu atau beberapa cluster MemoryDB Anda, Anda dapat menggunakan konsol MemoryDB, API, atau AWS CLI untuk menerapkan pembaruan. Bagian berikut menjelaskan opsi yang dapat Anda gunakan untuk menerapkan pembaruan.

## Menerapkan pembaruan layanan menggunakan konsol
<a name="applying-updates-console-APIReferenceconsole"></a>

Untuk melihat daftar pembaruan layanan yang tersedia, bersama informasi lainnya, buka halaman **Pembaruan Layanan** pada konsol.

1. Masuk ke Konsol Manajemen AWS dan buka konsol MemoryDB di. [https://console.aws.amazon.com/memorydb/](https://console.aws.amazon.com/memorydb/)

1. Pada panel navigasi, pilih **Pembaruan Layanan**.

Di bawah **Detail pembaruan Layanan**, Anda dapat melihat hal berikut:
+ **Nama pembaruan layanan**: Nama unik pembaruan layanan
+ **Perbarui deskripsi**: Informasi terperinci tentang pembaruan layanan
+ **Tanggal mulai pembaruan otomatis**: Jika atribut ini disetel, MemoryDB akan mulai menjadwalkan cluster Anda untuk diperbarui secara otomatis di jendela pemeliharaan yang sesuai setelah tanggal ini. Anda akan menerima pemberitahuan sebelumnya pada jendela pemeliharaan terjadwal yang tepat, yang mungkin tidak langsung setelah **tanggal mulai pembaruan Otomatis**. Anda masih dapat menerapkan pembaruan ke cluster Anda kapan saja Anda memilih. Jika atribut tidak disetel, pembaruan layanan tidak diaktifkan pembaruan otomatis dan MemoryDB tidak akan memperbarui cluster Anda secara otomatis.

Di bagian **Status pembaruan klaster**, Anda dapat melihat daftar klaster yang berisi pembaruan yang belum diterapkan atau baru saja diterapkan. Untuk setiap klaster, Anda dapat melihat hal berikut:
+ **Nama klaster**: Nama dari klaster
+ **Simpul diperbarui:** Rasio simpul individual dalam klaster tertentu yang telah diperbarui atau tetap tersedia setelah pembaruan layanan tertentu.
+ **Jenis Pembaruan**: Jenis pembaruan layanan, yaitu **pembaruan keamanan** atau **pembaruan mesin**
+ **Status**: Status pembaruan layanan pada klaster, yang merupakan salah satu dari berikut ini:
  + *tersedia:* Pembaruan ini tersedia untuk klaster yang diperlukan.
  + *in-progres*: Pembaruan sedang diterapkan ke cluster ini.
  + *dijadwalkan*: Tanggal pembaruan telah dijadwalkan.
  + *selesai*: Pembaruan telah berhasil diterapkan. Klaster dengan status selesai akan ditampilkan selama 7 hari setelah selesai.

  Jika Anda memilih salah satu atau semua klaster dengan status **tersedia** atau **dijadwalkan**, lalu memilih **Terapkan sekarang**, pembaruan akan mulai diterapkan pada klaster tersebut.

## Menerapkan pembaruan layanan menggunakan AWS CLI
<a name="applying-updates-cli-redis"></a>

Setelah Anda menerima notifikasi bahwa pembaruan layanan telah tersedia, Anda dapat memeriksa dan menerapkannya menggunakan AWS CLI:
+ Untuk mendapatkan deskripsi pembaruan layanan yang tersedia, jalankan perintah berikut:

  `aws memorydb describe-service-updates --status available`

  Untuk informasi selengkapnya, lihat [describe-service-updates](https://docs.aws.amazon.com/cli/latest/reference/memorydb/describe-service-updates.html). 
+ Untuk menerapkan pembaruan layanan pada daftar klaster, jalankan perintah berikut:

  `aws memorydb batch-update-cluster --service-update ServiceUpdateNameToApply=sample-service-update --cluster-names cluster-1 cluster2`

  Lihat informasi yang lebih lengkap di [batch-update-cluster](https://docs.aws.amazon.com/cli/latest/reference/memorydb/batch-update-cluster.html).