Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Keamanan di AWS Outposts
Keamanan di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.
Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) menjelaskan hal ini sebagai keamanan cloud dan keamanan dalam cloud:
+ **Keamanan cloud** — AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan AWS layanan di AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Auditor pihak ketiga secara teratur menguji dan memverifikasi efektivitas keamanan kami sebagai bagian dari [Program AWS Kepatuhan Program AWS Kepatuhan](https://aws.amazon.com/compliance/programs/) . Untuk mempelajari tentang program kepatuhan yang berlaku AWS Outposts, lihat [AWS Layanan dalam Lingkup oleh AWS Layanan Program Kepatuhan](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Keamanan di cloud** — Tanggung jawab Anda ditentukan oleh AWS layanan yang Anda gunakan. Anda juga bertanggung jawab atas faktor lain, yang mencakup sensitivitas data Anda, persyaratan perusahaan Anda, serta undang-undang dan peraturan yang berlaku.
Untuk informasi selengkapnya tentang keamanan dan kepatuhan AWS Outposts, lihat [FAQ rak](https://aws.amazon.com/outposts/rack/faqs/#Security_.26_compliance).
Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan AWS Outposts. Ini menunjukkan kepada Anda bagaimana memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga belajar cara menggunakan AWS layanan lain yang membantu Anda memantau dan mengamankan sumber daya Anda.
**Topics**
+ [Perlindungan data](data-protection.md)
+ [Manajemen identitas dan akses](identity-access-management.md)
+ [Keamanan infrastruktur](infrastructure-security.md)
+ [Ketahanan](disaster-recovery-resiliency.md)
+ [Validasi kepatuhan](compliance-validation.md)
+ [Akses internet](internet-access.md)
# Perlindungan data di AWS Outposts
[Model tanggung jawab AWS bersama model](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data di AWS Outposts. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Konten ini mencakup konfigurasi keamanan dan tugas manajemen untuk Layanan AWS yang Anda gunakan.
Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensyal dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya.
Lihat informasi yang lebih lengkap tentang privasi data dalam [Pertanyaan Umum Privasi Data](https://aws.amazon.com/compliance/data-privacy-faq/). Lihat informasi tentang perlindungan data di Eropa di pos blog [Model Tanggung Jawab Bersama dan GDPR AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) di *Blog Keamanan AWS *.
## Enkripsi saat diam
Dengan AWS Outposts, semua data dienkripsi saat istirahat. Bahan kunci dibungkus ke kunci eksternal yang disimpan dalam perangkat yang dapat dilepas, Nitro Security Key (NSK).
Anda dapat menggunakan enkripsi Amazon EBS untuk volume dan snapshot EBS Anda. Enkripsi Amazon EBS menggunakan AWS Key Management Service (AWS KMS) dan kunci KMS. Untuk informasi selengkapnya, lihat [Enkripsi Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) di *Panduan Pengguna Amazon EBS*.
## Enkripsi saat bergerak
AWS mengenkripsi data dalam perjalanan antara Outpost Anda dan Wilayahnya. AWS Untuk informasi selengkapnya, lihat [Konektivitas melalui tautan layanan](service-links.md).
Anda dapat menggunakan protokol enkripsi, seperti Transport Layer Security (TLS), untuk mengenkripsi data sensitif dalam perjalanan melalui gateway lokal ke jaringan lokal Anda.
## Penghapusan data
Ketika Anda menghentikan atau menghentikan instans EC2, memori yang dialokasikan untuk itu digosok (disetel ke nol) oleh hypervisor sebelum dialokasikan ke instance baru, dan setiap blok penyimpanan diatur ulang.
Menghancurkan Kunci Keamanan Nitro secara kriptografis menghancurkan data di Pos Luar Anda.
# Manajemen identitas dan akses (IAM) untuk AWS Outposts
AWS Identity and Access Management (IAM) adalah AWS layanan yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengontrol siapa yang dapat diautentikasi (masuk) dan diberi wewenang (memiliki izin) untuk menggunakan sumber daya. AWS Outposts Anda dapat menggunakan IAM tanpa biaya tambahan.
**Topics**
+ [Bagaimana AWS Outposts bekerja dengan IAM](security_iam_service-with-iam.md)
+ [Contoh kebijakan](security_iam_id-based-policy-examples.md)
+ [Peran terkait layanan](using-service-linked-roles.md)
+ [AWS kebijakan terkelola](security-iam-awsmanpol.md)
# Bagaimana AWS Outposts bekerja dengan IAM
Sebelum Anda menggunakan IAM untuk mengelola akses ke AWS Outposts, pelajari fitur IAM apa yang tersedia untuk digunakan dengan Outposts. AWS
| Fitur IAM | AWS Dukungan Outposts |
| --- | --- |
| [Kebijakan berbasis identitas](#security_iam_service-with-iam-id-based-policies) | Ya |
| Kebijakan berbasis sumber daya | Tidak |
| [Tindakan kebijakan](#security_iam_service-with-iam-id-based-policies-actions) | Ya |
| [Sumber daya kebijakan](#security_iam_service-with-iam-id-based-policies-resources) | Ya |
| [kunci-kunci persyaratan kebijakan (spesifik layanan)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Ya |
| ACLs | Tidak |
| [ABAC (tanda dalam kebijakan)](#security_iam_service-with-iam-tags) | Ya |
| [Kredensial sementara](#security_iam_service-with-iam-roles-tempcreds) | Ya |
| [Izin principal](#security_iam_service-with-iam-principal-permissions) | Ya |
| Peran layanan | Tidak |
| [Peran terkait layanan](#security_iam_service-with-iam-roles-service-linked) | Ya |
## Kebijakan berbasis identitas untuk Outposts AWS
**Mendukung kebijakan berbasis identitas**: Ya
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang dapat Anda lampirkan ke sebuah identitas, seperti pengguna IAM, grup pengguna IAM, atau peran IAM. Kebijakan ini mengontrol jenis tindakan yang dapat dilakukan oleh pengguna dan peran, di sumber daya mana, dan berdasarkan kondisi seperti apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan terkelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan secara spesifik apakah tindakan dan sumber daya diizinkan atau ditolak, serta kondisi yang menjadi dasar dikabulkan atau ditolaknya tindakan tersebut. Untuk mempelajari semua elemen yang dapat Anda gunakan dalam kebijakan JSON, lihat [Referensi elemen kebijakan JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dalam *Panduan Pengguna IAM*.
### Contoh kebijakan berbasis identitas untuk Outposts AWS
Untuk melihat contoh kebijakan berbasis identitas AWS Outposts, lihat. [AWS Contoh kebijakan Outposts](security_iam_id-based-policy-examples.md)
## Tindakan kebijakan untuk AWS Outposts
**Mendukung tindakan kebijakan:** Ya
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen `Action` dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.
Untuk melihat daftar tindakan AWS Outposts, lihat [Tindakan yang ditentukan oleh AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-actions-as-permissions) dalam Referensi *Otorisasi Layanan*.
Tindakan kebijakan di AWS Outposts menggunakan awalan berikut sebelum tindakan:
```
outposts
```
Untuk menetapkan secara spesifik beberapa tindakan dalam satu pernyataan, pisahkan tindakan tersebut dengan koma.
```
"Action": [
"outposts:action1",
"outposts:action2"
]
```
Anda juga dapat menentukan beberapa tindakan menggunakan wildcard (\$1). Sebagai contoh, untuk menentukan semua tindakan yang dimulai dengan kata `List`, sertakan tindakan berikut:
```
"Action": "outposts:List*"
```
## Sumber daya kebijakan untuk AWS Outposts
**Mendukung sumber daya kebijakan:** Ya
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen kebijakan JSON `Resource` menentukan objek yang menjadi target penerapan tindakan. Praktik terbaiknya, tentukan sumber daya menggunakan [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, gunakan wildcard (\$1) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.
```
"Resource": "*"
```
Beberapa tindakan API AWS Outposts mendukung beberapa sumber daya. Untuk menentukan beberapa sumber daya dalam satu pernyataan, pisahkan ARNs dengan koma.
```
"Resource": [
"resource1",
"resource2"
]
```
Untuk melihat daftar jenis sumber daya AWS Outposts dan jenisnya ARNs, lihat Jenis sumber [daya yang ditentukan oleh AWS Outposts dalam Referensi](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-resources-for-iam-policies) *Otorisasi Layanan*. Untuk mempelajari dengan tindakan mana Anda dapat menentukan ARN setiap sumber daya, lihat [Tindakan yang ditentukan oleh AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-actions-as-permissions).
## Kunci kondisi kebijakan untuk AWS Outposts
**Mendukung kunci kondisi kebijakan khusus layanan:** Yes
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **principal** dapat melakukan **tindakan** pada suatu **sumber daya**, dan dalam suatu **syarat**.
Elemen `Condition` menentukan ketika pernyataan dieksekusi berdasarkan kriteria yang ditetapkan. Anda dapat membuat ekspresi bersyarat yang menggunakan [operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.
Untuk melihat daftar kunci kondisi AWS Outposts, lihat Kunci kondisi [untuk AWS Outposts Referensi](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-policy-keys) *Otorisasi Layanan*. Untuk mempelajari tindakan dan sumber daya yang dapat Anda gunakan kunci kondisi, lihat [Tindakan yang ditentukan oleh AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-actions-as-permissions).
Untuk melihat contoh kebijakan berbasis identitas AWS Outposts, lihat. [AWS Contoh kebijakan Outposts](security_iam_id-based-policy-examples.md)
## ABAC dengan Outposts AWS
**Mendukung ABAC (tanda dalam kebijakan):** Ya
Kontrol akses berbasis atribut (ABAC) adalah strategi otorisasi yang menentukan izin berdasarkan atribut tanda. Anda dapat melampirkan tag ke entitas dan AWS sumber daya IAM, lalu merancang kebijakan ABAC untuk mengizinkan operasi saat tag prinsipal cocok dengan tag pada sumber daya.
Untuk mengendalikan akses berdasarkan tanda, berikan informasi tentang tanda di [elemen kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dari kebijakan menggunakan kunci kondisi `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, atau `aws:TagKeys`.
Jika sebuah layanan mendukung ketiga kunci kondisi untuk setiap jenis sumber daya, nilainya adalah **Ya** untuk layanan tersebut. Jika suatu layanan mendukung ketiga kunci kondisi untuk hanya beberapa jenis sumber daya, nilainya adalah **Parsial**.
Untuk informasi selengkapnya tentang ABAC, lihat [Tentukan izin dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dalam *Panduan Pengguna IAM.* Untuk melihat tutorial yang menguraikan langkah-langkah pengaturan ABAC, lihat [Menggunakan kontrol akses berbasis atribut (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) dalam *Panduan Pengguna IAM*.
## Menggunakan kredensil sementara dengan Outposts AWS
**Mendukung kredensial sementara:** Ya
Kredensyal sementara menyediakan akses jangka pendek ke AWS sumber daya dan secara otomatis dibuat saat Anda menggunakan federasi atau beralih peran. AWS merekomendasikan agar Anda secara dinamis menghasilkan kredensi sementara alih-alih menggunakan kunci akses jangka panjang. Untuk informasi selengkapnya, lihat [Kredensial keamanan sementara di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) dan [Layanan AWS yang berfungsi dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dalam *Panduan Pengguna IAM*.
## Izin utama lintas layanan untuk Outposts AWS
**Mendukung sesi akses terusan (FAS):** Ya
Sesi akses teruskan (FAS) menggunakan izin dari pemanggilan utama Layanan AWS, dikombinasikan dengan permintaan Layanan AWS untuk membuat permintaan ke layanan hilir. Untuk detail kebijakan ketika mengajukan permintaan FAS, lihat [Sesi akses terusan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Peran terkait layanan untuk Outposts AWS
**Mendukung peran terkait layanan**: Ya
Peran terkait layanan adalah jenis peran layanan yang ditautkan ke. Layanan AWS Layanan tersebut dapat menjalankan peran untuk melakukan tindakan atas nama Anda. Peran terkait layanan muncul di Anda Akun AWS dan dimiliki oleh layanan. Administrator IAM dapat melihat, tetapi tidak dapat mengedit izin untuk peran terkait layanan.
Untuk detail tentang membuat atau mengelola peran terkait layanan AWS Outposts, lihat. [Peran terkait layanan untuk AWS Outposts](using-service-linked-roles.md)
# AWS Contoh kebijakan Outposts
Secara default, pengguna dan peran tidak memiliki izin untuk membuat atau memodifikasi sumber daya AWS Outposts. Untuk memberikan izin kepada pengguna untuk melakukan tindakan di sumber daya yang mereka perlukan, administrator IAM dapat membuat kebijakan IAM.
*Untuk mempelajari cara membuat kebijakan berbasis identitas IAM dengan menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat kebijakan IAM (konsol) di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html).*
Untuk detail tentang tindakan dan jenis sumber daya yang ditentukan oleh AWS Outposts, termasuk format ARNs untuk setiap jenis sumber daya, lihat [Kunci tindakan, sumber daya, dan kondisi AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html) di Referensi *Otorisasi Layanan*.
**Topics**
+ [Praktik terbaik kebijakan](#security_iam_service-with-iam-policy-best-practices)
+ [Contoh: Menggunakan izin tingkat sumber daya](#outposts-policy-examples)
## Praktik terbaik kebijakan
Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus sumber daya AWS Outposts di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
+ **Mulailah dengan kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit — Untuk mulai memberikan izin** kepada pengguna dan beban kerja Anda, gunakan *kebijakan AWS terkelola* yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Anda Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola AWS pelanggan yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat [Kebijakan yang dikelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) atau [Kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dalam *Panduan Pengguna IAM*.
+ **Menerapkan izin dengan hak akses paling rendah** – Ketika Anda menetapkan izin dengan kebijakan IAM, hanya berikan izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai *izin dengan hak akses paling rendah*. Untuk informasi selengkapnya tentang cara menggunakan IAM untuk mengajukan izin, lihat [Kebijakan dan izin dalam IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan kondisi dalam kebijakan IAM untuk membatasi akses lebih lanjut** – Anda dapat menambahkan suatu kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Sebagai contoh, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakan SSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui yang spesifik Layanan AWS, seperti CloudFormation. Untuk informasi selengkapnya, lihat [Elemen kebijakan JSON IAM: Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk memastikan izin yang aman dan fungsional** – IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan tersebut mematuhi bahasa kebijakan IAM (JSON) dan praktik terbaik IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat [Validasi kebijakan dengan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dalam *Panduan Pengguna IAM*.
+ **Memerlukan otentikasi multi-faktor (MFA)** - Jika Anda memiliki skenario yang mengharuskan pengguna IAM atau pengguna root di Anda, Akun AWS aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA ketika operasi API dipanggil, tambahkan kondisi MFA pada kebijakan Anda. Untuk informasi selengkapnya, lihat [Amankan akses API dengan MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dalam *Panduan Pengguna IAM*.
Untuk informasi selengkapnya tentang praktik terbaik dalam IAM, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.
## Contoh: Menggunakan izin tingkat sumber daya
Contoh berikut menggunakan izin tingkat sumber daya untuk memberikan izin untuk mendapatkan informasi tentang Outpost yang ditentukan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "outposts:GetOutpost",
"Resource": "arn:aws:outposts:us-east-1:111122223333:outpost/op-1234567890abcdef0"
}
]
}
```
------
Contoh berikut menggunakan izin tingkat sumber daya untuk memberikan izin untuk mendapatkan informasi tentang situs yang ditentukan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "outposts:GetSite",
"Resource": "arn:aws:outposts:us-east-1:111122223333:site/os-0abcdef1234567890"
}
]
}
```
------
# Peran terkait layanan untuk AWS Outposts
AWS Outposts menggunakan AWS Identity and Access Management peran terkait layanan (IAM). Peran terkait layanan adalah jenis peran layanan yang ditautkan langsung ke. AWS Outposts AWS Outposts mendefinisikan peran terkait layanan dan mencakup semua izin yang diperlukan untuk memanggil AWS layanan lain atas nama Anda.
Peran terkait layanan membuat pengaturan Anda AWS Outposts lebih efisien karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. AWS Outposts mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya AWS Outposts dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas IAM lainnya.
Anda dapat menghapus peran tertaut layanan hanya setelah menghapus sumber daya terkait terlebih dahulu. Ini melindungi AWS Outposts sumber daya Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.
## Izin peran terkait layanan untuk AWS Outposts
AWS Outposts **menggunakan peran terkait layanan bernama AWSService RoleForOutposts \$1. *OutpostID*** Peran ini memberikan izin Outposts untuk mengelola sumber daya jaringan guna mengaktifkan konektivitas pribadi atas nama Anda. Peran ini juga memungkinkan Outposts untuk membuat dan mengonfigurasi antarmuka jaringan, mengelola grup keamanan, dan melampirkan antarmuka ke instance titik akhir tautan layanan. Izin ini diperlukan untuk membangun dan memelihara koneksi pribadi yang aman antara Pos Luar dan AWS layanan lokal Anda, memastikan pengoperasian penyebaran Outpost Anda yang andal.
Peran *OutpostID* terkait layanan AWSService RoleForOutposts \$1 mempercayai layanan berikut untuk mengambil peran:
+ `outposts.amazonaws.com`
### Kebijakan peran terkait layanan
*OutpostID*Peran terkait layanan AWSService RoleForOutposts \$1 mencakup kebijakan berikut:
+ [AWSOutpostsServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOutpostsServiceRolePolicy.html)
+ AWSOutpostsPrivateConnectivityPolicy\$1*OutpostID*
#### AWSOutpostsServiceRolePolicy
`AWSOutpostsServiceRolePolicy`Kebijakan ini memungkinkan akses ke AWS sumber daya yang dikelola oleh AWS Outposts.
Kebijakan ini memungkinkan AWS Outposts untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
+ Tindakan: `ec2:DescribeNetworkInterfaces` pada semua AWS sumber daya
+ Tindakan: `ec2:DescribeSecurityGroups` pada semua AWS sumber daya
+ Tindakan: `ec2:DescribeSubnets` pada semua AWS sumber daya
+ Tindakan: `ec2:DescribeVpcEndpoints` pada semua AWS sumber daya
+ Tindakan: `ec2:CreateNetworkInterface` pada AWS sumber daya berikut:
```
"arn:*:ec2:*:*:vpc/*",
"arn:*:ec2:*:*:subnet/*",
"arn:*:ec2:*:*:security-group/*"
```
+ Tindakan: `ec2:CreateNetworkInterface` pada AWS sumber daya `"arn:*:ec2:*:*:network-interface/*"` yang cocok dengan kondisi berikut:
```
"ForAnyValue:StringEquals" : { "aws:TagKeys": [ "outposts:private-connectivity-resourceId" ] }
```
+ Tindakan: `ec2:CreateSecurityGroup` pada AWS sumber daya berikut:
```
"arn:*:ec2:*:*:vpc/*"
```
+ Tindakan: `ec2:CreateSecurityGroup` pada AWS sumber daya `"arn:*:ec2:*:*:security-group/*"` yang cocok dengan kondisi berikut:
```
"ForAnyValue:StringEquals": { "aws:TagKeys": [ "outposts:private-connectivity-resourceId" ] }
```
#### AWSOutpostsPrivateConnectivityPolicy\$1OutpostID
`AWSOutpostsPrivateConnectivityPolicy_OutpostID`Kebijakan ini memungkinkan AWS Outposts untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
+ Tindakan: `ec2:AuthorizeSecurityGroupIngress` pada semua AWS sumber daya yang cocok dengan kondisi berikut:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ Tindakan: `ec2:AuthorizeSecurityGroupEgress` pada semua AWS sumber daya yang cocok dengan kondisi berikut:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ Tindakan: `ec2:CreateNetworkInterfacePermission` pada semua AWS sumber daya yang cocok dengan kondisi berikut:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ Tindakan: `ec2:CreateTags` pada semua AWS sumber daya yang cocok dengan kondisi berikut:
```
{ "StringLike" : { "aws:RequestTag/outposts:private-connectivity-resourceId" : "{{OutpostId}}*"}},
"StringEquals": {"ec2:CreateAction" : ["CreateSecurityGroup", "CreateNetworkInterface"]}
```
+ Tindakan: `ec2:RevokeSecurityGroupIngress` pada semua AWS sumber daya yang cocok dengan kondisi berikut:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ Tindakan: `ec2:RevokeSecurityGroupEgress` pada semua AWS sumber daya yang cocok dengan kondisi berikut:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ Tindakan: `ec2:DeleteNetworkInterface` pada semua AWS sumber daya yang cocok dengan kondisi berikut:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ Tindakan: `ec2:DeleteSecurityGroup` pada semua AWS sumber daya yang cocok dengan kondisi berikut:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat [Izin peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.
## Membuat peran terkait layanan untuk AWS Outposts
Anda tidak perlu membuat peran tertaut layanan secara manual. Saat Anda mengonfigurasi konektivitas pribadi untuk Outpost Anda di Konsol Manajemen AWS, AWS Outposts buat peran terkait layanan untuk Anda.
Untuk informasi selengkapnya, lihat [Opsi konektivitas pribadi tautan layanan](private-connectivity.md).
## Mengedit peran terkait layanan untuk AWS Outposts
AWS Outposts tidak mengizinkan Anda mengedit peran *OutpostID* terkait layanan AWSService RoleForOutposts \$1. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat menyunting penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Memperbarui peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html) di Panduan Pengguna *IAM*.
## Menghapus peran terkait layanan untuk AWS Outposts
Jika Anda tidak lagi memerlukan fitur atau layanan yang memerlukan peran terkait layanan, sebaiknya hapus peran tersebut. Dengan demikian, Anda menghindari memiliki entitas tidak terpakai yang tidak dipantau atau dipelihara secara aktif. Tetapi, Anda harus membersihkan sumber daya peran terkait layanan sebelum menghapusnya secara manual.
Jika AWS Outposts layanan menggunakan peran saat Anda mencoba menghapus sumber daya, maka penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.
Anda harus menghapus Outpost Anda sebelum dapat menghapus peran *OutpostID* terkait layanan AWSService RoleForOutposts \$1.
Sebelum memulai, pastikan Outpost Anda tidak dibagikan menggunakan AWS Resource Access Manager (AWS RAM). Untuk informasi selengkapnya, lihat [Membatalkan berbagi sumber daya Outpost](https://docs.aws.amazon.com/outposts/latest/network-userguide/sharing-outposts.html#sharing-unshare) bersama.
**Untuk menghapus AWS Outposts sumber daya yang digunakan oleh AWSService RoleForOutposts \$1 *OutpostID***
Hubungi AWS Enterprise Support untuk menghapus Outpost Anda.
**Untuk menghapus peran tertaut layanan secara manual menggunakan IAM**
Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) di Panduan Pengguna *IAM*.
## Wilayah yang Didukung untuk AWS Outposts peran terkait layanan
AWS Outposts mendukung penggunaan peran terkait layanan di semua Wilayah tempat layanan tersedia. Untuk informasi lebih lanjut, lihat rak FAQs untuk [Outposts](https://aws.amazon.com/outposts/rack/faqs/).
# AWS kebijakan terkelola untuk AWS Outposts
Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.
Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan [kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) yang khusus untuk kasus penggunaan Anda.
Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pemutakhiran akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.
Untuk informasi selengkapnya, lihat [Kebijakan terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.
## AWS kebijakan terkelola: AWSOutposts ServiceRolePolicy
Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan AWS Outposts melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat [Peran terkait layanan](using-service-linked-roles.md).
## AWS Update Outposts ke AWS kebijakan terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk AWS Outposts sejak layanan ini mulai melacak perubahan ini.
| Ubah | Deskripsi | Date |
| --- | --- | --- |
| Pembaruan untuk peran AWS Identity and Access Management terkait layanan \$1 AWSService RoleForOutposts OutpostID | Izin peran OutpostID terkait layanan AWSServiceRoleForOutposts\$1 diperbarui untuk menyempurnakan cara AWS Outposts mengelola sumber daya jaringan untuk konektivitas pribadi, dengan kontrol yang lebih tepat atas antarmuka jaringan dan operasi grup keamanan yang diperlukan untuk instance titik akhir tautan layanan. | April 18, 2025 |
| AWS Outposts mulai melacak perubahan | AWS Outposts mulai melacak perubahan untuk kebijakan AWS terkelolanya. | Desember 03, 2019 |
# Keamanan infrastruktur di AWS Outposts
Sebagai layanan terkelola, AWS Outposts dilindungi oleh keamanan jaringan AWS global. Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat [Keamanan AWS Cloud](https://aws.amazon.com/security/). Untuk mendesain AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat [Perlindungan Infrastruktur dalam Kerangka Kerja](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) yang * AWS Diarsiteksikan dengan Baik Pilar Keamanan*.
Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses AWS Outposts melalui jaringan. Klien harus mendukung hal-hal berikut:
+ Keamanan Lapisan Pengangkutan (TLS). Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Sandi cocok dengan sistem kerahasiaan maju sempurna (perfect forward secrecy, PFS) seperti DHE (Ephemeral Diffie-Hellman) atau ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.
Untuk informasi selengkapnya tentang keamanan infrastruktur yang disediakan untuk instans EC2 dan volume EBS yang berjalan di Pos Luar Anda, lihat Keamanan [Infrastruktur di Amazon](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/infrastructure-security.html) EC2.
VPC Flow Logs berfungsi dengan cara yang sama seperti yang mereka lakukan di Region. AWS Ini berarti bahwa mereka dapat dipublikasikan ke CloudWatch Log, Amazon S3, atau ke Amazon GuardDuty untuk analisis. Data perlu dikirim kembali ke Wilayah untuk dipublikasikan ke layanan ini, sehingga tidak terlihat dari CloudWatch atau layanan lain ketika Pos Luar dalam keadaan terputus.
## Pemantauan tamper pada peralatan AWS Outposts
Pastikan tidak ada yang memodifikasi, mengubah, merekayasa balik, atau merusak peralatan. AWS Outposts AWS Outposts peralatan dapat dilengkapi dengan pemantauan tamper untuk memastikan kepatuhan terhadap [Ketentuan AWS Layanan](https://aws.amazon.com/service-terms/).
# Ketahanan di AWS Outposts
AWS Outposts dirancang agar sangat tersedia. Rak Outposts dirancang dengan kekuatan redundan dan peralatan jaringan. Untuk ketahanan tambahan, kami menyarankan Anda menyediakan sumber daya ganda dan konektivitas jaringan redundan untuk Outpost Anda.
Untuk ketersediaan tinggi, Anda dapat menyediakan tambahan kapasitas built-in dan selalu aktif pada Outposts rack tambahan. Konfigurasi kapasitas pos terdepan dirancang untuk beroperasi di lingkungan produksi, dan mendukung instans N\$11 untuk setiap rangkaian instans saat Anda menyediakan kapasitas untuk melakukannya. AWS merekomendasikan agar Anda mengalokasikan kapasitas tambahan yang cukup untuk aplikasi penting misi Anda untuk mengaktifkan pemulihan dan failover jika ada masalah host yang mendasarinya. Anda dapat menggunakan metrik ketersediaan CloudWatch kapasitas Amazon dan mengatur alarm untuk memantau kesehatan aplikasi Anda, membuat CloudWatch tindakan untuk mengonfigurasi opsi pemulihan otomatis, dan memantau pemanfaatan kapasitas Outposts Anda dari waktu ke waktu.
Saat Anda membuat Outpost, Anda memilih Availability Zone dari AWS Region. Availability Zone ini mendukung operasi bidang kontrol seperti menanggapi panggilan API, memantau Outpost, dan memperbarui Outpost. Untuk mendapatkan manfaat dari ketahanan yang disediakan oleh Availability Zones, Anda dapat menerapkan aplikasi di beberapa Outpost, masing-masing dilampirkan ke Availability Zone yang berbeda. Ini memungkinkan Anda membangun ketahanan aplikasi tambahan dan menghindari ketergantungan pada satu Availability Zone. Untuk informasi selengkapnya tentang Wilayah dan Availability Zone, lihat [Infrastruktur AWS Global](https://aws.amazon.com/about-aws/global-infrastructure/).
Anda dapat menggunakan grup penempatan dengan strategi penyebaran untuk memastikan bahwa instance ditempatkan di rak Outposts yang berbeda. Dengan demikian, ini dapat membantu mengurangi kegagalan yang berkorelasi. Untuk informasi selengkapnya, lihat [Grup penempatan di Outposts](outposts-optimizations.md#placement-groups-outpost).
Anda dapat meluncurkan instans di Outposts menggunakan Amazon EC2 Auto Scaling dan membuat Application Load Balancer untuk mendistribusikan lalu lintas antar instans. Untuk informasi selengkapnya, lihat [Mengonfigurasi Application Load AWS Outposts Balancer](https://aws.amazon.com/blogs/networking-and-content-delivery/configuring-an-application-load-balancer-on-aws-outposts/) di.
# Validasi kepatuhan untuk AWS Outposts
Untuk mempelajari apakah an Layanan AWS berada dalam lingkup program kepatuhan tertentu, lihat [Layanan AWS di Lingkup oleh Program Kepatuhan Layanan AWS](https://aws.amazon.com/compliance/services-in-scope/) dan pilih program kepatuhan yang Anda minati. Untuk informasi umum, lihat [Program AWS Kepatuhan Program AWS](https://aws.amazon.com/compliance/programs/) .
Anda dapat mengunduh laporan audit pihak ketiga menggunakan AWS Artifact. Untuk informasi selengkapnya, lihat [Mengunduh Laporan di AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS ditentukan oleh sensitivitas data Anda, tujuan kepatuhan perusahaan Anda, dan hukum dan peraturan yang berlaku. Untuk informasi selengkapnya tentang tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS, lihat [Dokumentasi AWS Keamanan](https://docs.aws.amazon.com/security/).
# Akses internet untuk beban AWS Outposts kerja
Bagian ini menjelaskan bagaimana AWS Outposts beban kerja dapat mengakses internet dengan cara berikut:
+ Melalui AWS Wilayah induk
+ Melalui jaringan pusat data lokal Anda
## Akses internet melalui AWS Wilayah induk
Dalam opsi ini, beban kerja di Outposts mengakses internet melalui tautan layanan dan kemudian melalui gateway internet (IGW) di Wilayah induk. AWS Lalu lintas keluar ke internet dapat melalui gateway NAT yang dipakai di VPC Anda. Untuk keamanan tambahan untuk lalu lintas masuk dan keluar, Anda dapat menggunakan layanan AWS keamanan seperti AWS WAF,, AWS Shield dan Amazon CloudFront di Wilayah. AWS
Untuk pengaturan tabel rute pada subnet Outposts, lihat Tabel rute [gateway lokal](https://docs.aws.amazon.com/outposts/latest/userguide/routing.html).
### Pertimbangan-pertimbangan
+ Gunakan opsi ini ketika:
+ Anda membutuhkan fleksibilitas dalam mengamankan lalu lintas internet dengan berbagai AWS layanan di AWS Wilayah.
+ Anda tidak memiliki titik kehadiran internet di pusat data atau fasilitas co-location Anda.
+ Dalam opsi ini, lalu lintas harus melintasi AWS Wilayah induk, yang memperkenalkan latensi.
+ Mirip dengan biaya transfer data di AWS Wilayah, transfer data keluar dari Availability Zone induk ke Outpost menimbulkan biaya. Untuk mempelajari selengkapnya tentang transfer data, lihat Harga Sesuai [Permintaan Amazon EC2](https://aws.amazon.com/ec2/pricing/on-demand/).
+ Pemanfaatan bandwidth link layanan akan meningkat.
Gambar berikut menunjukkan lalu lintas antara beban kerja di instance Outposts dan internet melalui Wilayah induk. AWS
![\[Menunjukkan lalu lintas antara beban kerja di instance Outposts dan internet melalui Wilayah induk. AWS\]](http://docs.aws.amazon.com/id_id/outposts/latest/userguide/images/racks-internet-access-via-region.png)
## Akses internet melalui jaringan pusat data lokal Anda
Dalam opsi ini, beban kerja yang berada di Outposts mengakses internet melalui pusat data lokal Anda. Lalu lintas beban kerja yang mengakses internet melintasi titik keberadaan dan jalan keluar internet lokal Anda secara lokal. Lapisan keamanan jaringan pusat data lokal Anda bertanggung jawab untuk mengamankan lalu lintas beban kerja Outposts.
Untuk pengaturan tabel rute pada subnet Outposts, lihat Tabel rute [gateway lokal](https://docs.aws.amazon.com/outposts/latest/userguide/routing.html).
### Pertimbangan-pertimbangan
+ Gunakan opsi ini ketika:
+ Beban kerja Anda memerlukan akses latensi rendah ke layanan internet.
+ Anda lebih suka menghindari biaya Transfer Data Out (DTO).
+ Anda ingin mempertahankan bandwidth tautan layanan untuk mengontrol lalu lintas pesawat.
+ Lapisan keamanan Anda bertanggung jawab untuk mengamankan lalu lintas beban kerja Outposts.
+ Jika Anda memilih Direct VPC Routing (DVR), maka Anda harus memastikan bahwa Outposts CIDRs tidak bertentangan dengan lokal. CIDRs
+ Jika rute default (0/0) disebarkan melalui gateway lokal (LGW), maka instance mungkin tidak dapat mencapai titik akhir layanan. Atau, Anda dapat memilih titik akhir VPC untuk mencapai layanan yang diinginkan.
Gambar berikut menunjukkan lalu lintas antara beban kerja di instance Outposts dan internet melalui pusat data lokal Anda.
![\[Menunjukkan lalu lintas antara beban kerja di instance Outposts dan internet melalui jaringan pusat data Anda.\]](http://docs.aws.amazon.com/id_id/outposts/latest/userguide/images/racks-internet-access-via-customer-network.png)