Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Keamanan di AWS Resource Access Manager
Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.
Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) menggambarkan hal ini sebagai keamanan *dari* cloud dan keamanan *di* cloud:
+ **Keamanan cloud** — AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan AWS layanan di AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Auditor pihak ketiga secara berkala menguji dan memverifikasi efektivitas keamanan kami sebagai bagian dari [Program kepatuhan AWS](https://aws.amazon.com/compliance/programs/). Untuk mempelajari tentang program kepatuhan yang berlaku untuk AWS Resource Access Manager (AWS RAM), lihat [AWS Layanan dalam Lingkup berdasarkan Program Kepatuhan](https://aws.amazon.com/compliance/services-in-scope/).
+ **Keamanan di cloud** — Tanggung jawab Anda ditentukan oleh AWS layanan yang Anda gunakan. Anda juga bertanggung jawab atas faktor lain, yang mencakup sensitivitas data Anda, persyaratan perusahaan Anda, serta undang-undang dan peraturan yang berlaku.
Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan AWS RAM. Topik berikut menunjukkan cara mengonfigurasi AWS RAM untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga belajar cara menggunakan AWS layanan lain yang membantu Anda memantau dan mengamankan AWS RAM sumber daya Anda.
**Topics**
+ [Perlindungan data di AWS Resource Access Manager](data-protection.md)
+ [Identitas dan manajemen akses untuk AWS Resource Access Manager](security-iam.md)
+ [Penebangan dan pemantauan di AWS RAM](security-monitoring.md)
+ [Validasi kepatuhan untuk AWS Resource Access Manager](compliance-validation.md)
+ [Ketahanan di AWS Resource Access Manager](disaster-recovery-resiliency.md)
+ [Keamanan infrastruktur di AWS Resource Access Manager](infrastructure-security.md)
+ [Akses AWS Resource Access Manager menggunakan endpoint antarmuka ()AWS PrivateLink](vpc-interface-endpoints.md)
# Perlindungan data di AWS Resource Access Manager
[Model tanggung jawab AWS bersama model](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data di AWS Resource Access Manager. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam [Pertanyaan Umum Privasi Data](https://aws.amazon.com/compliance/data-privacy-faq/). Lihat informasi tentang perlindungan data di Eropa di pos blog [Model Tanggung Jawab Bersama dan GDPR AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) di *Blog Keamanan AWS *.
Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensi dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
+ Gunakan autentikasi multi-faktor (MFA) pada setiap akun.
+ Gunakan SSL/TLS untuk berkomunikasi dengan AWS sumber daya. Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat [Bekerja dengan CloudTrail jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) di *AWS CloudTrail Panduan Pengguna*.
+ Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.
+ Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.
+ Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-3 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi selengkapnya tentang titik akhir FIPS yang tersedia di [Standar Pemrosesan Informasi Federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang **Nama**. Ini termasuk saat Anda bekerja dengan AWS RAM atau lainnya Layanan AWS menggunakan konsol, API AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.
# Identitas dan manajemen akses untuk AWS Resource Access Manager
AWS Identity and Access Management (IAM) adalah AWS layanan yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator dalam kontrol IAM yang dapat *diautentikasi* (masuk) dan *diberi wewenang* (memiliki izin) untuk menggunakan sumber daya. AWS Dengan menggunakan IAM, Anda membuat prinsipal, seperti peran, pengguna, dan grup di Anda. Akun AWS Anda mengontrol izin yang dimiliki kepala sekolah tersebut untuk melakukan tugas menggunakan sumber daya. AWS Anda dapat menggunakan IAM tanpa biaya tambahan. Untuk informasi selengkapnya tentang mengelola dan membuat kebijakan IAM kustom, lihat [Mengelola kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) di Panduan Pengguna *IAM*.
**Topics**
+ [Bagaimana AWS RAM bekerja dengan IAM](security-iam-policies.md)
+ [AWS kebijakan terkelola untuk AWS Resource Access Manager](security-iam-awsmanpol.md)
+ [Menggunakan peran terkait layanan untuk AWS RAM](using-service-linked-roles.md)
+ [Contoh kebijakan IAM untuk AWS RAM](security-iam-policies-examples.md)
+ [Contoh kebijakan kontrol layanan untuk AWS Organizations dan AWS RAM](security-scp.md)
+ [Menonaktifkan berbagi sumber daya dengan AWS Organizations](security-disable-sharing-with-orgs.md)
# Bagaimana AWS RAM bekerja dengan IAM
Secara default, kepala sekolah IAM tidak memiliki izin untuk membuat atau memodifikasi sumber daya. AWS RAM Untuk mengizinkan kepala sekolah IAM membuat atau memodifikasi sumber daya dan melakukan tugas, Anda melakukan salah satu langkah berikut. Tindakan ini memberikan izin untuk menggunakan sumber daya dan tindakan API tertentu.
Untuk memberikan akses dan menambahkan izin bagi pengguna, grup, atau peran Anda:
+ Pengguna dan grup di AWS IAM Identity Center:
Buat rangkaian izin. Ikuti instruksi di [Buat rangkaian izin](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) dalam *Panduan Pengguna AWS IAM Identity Center *.
+ Pengguna yang dikelola di IAM melalui penyedia identitas:
Buat peran untuk federasi identitas. Ikuti instruksi dalam [Buat peran untuk penyedia identitas pihak ketiga (federasi)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dalam *Panduan Pengguna IAM*.
+ Pengguna IAM:
+ Buat peran yang dapat diambil pengguna Anda. Ikuti instruksi dalam [Buat peran untuk pengguna IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dalam *Panduan Pengguna IAM*.
+ (Tidak disarankan) Lampirkan kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk dalam [Menambahkan izin ke pengguna (konsol)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*.
AWS RAM menyediakan beberapa kebijakan AWS terkelola yang dapat Anda gunakan yang akan memenuhi kebutuhan banyak pengguna. Untuk informasi lebih lanjut tentang ini, lihat[AWS kebijakan terkelola untuk AWS Resource Access Manager](security-iam-awsmanpol.md).
Jika Anda memerlukan kontrol yang lebih baik atas izin yang diberikan kepada pengguna, Anda dapat membuat kebijakan sendiri di konsol IAM. *Untuk informasi tentang membuat kebijakan dan melampirkannya ke peran dan pengguna IAM Anda, lihat [Kebijakan dan izin di IAM di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) Pengguna.AWS Identity and Access Management *
Bagian berikut memberikan rincian AWS RAM spesifik untuk membangun kebijakan izin IAM.
**Contents**
+ [Struktur kebijakan](#structure)
+ [Efek](#iam-policies-effect)
+ [Tindakan](#iam-policies-action)
+ [Sumber daya](#iam-policies-resource)
+ [Kondisi](#iam-policies-condition)
## Struktur kebijakan
Kebijakan izin IAM adalah dokumen JSON yang mencakup pernyataan berikut: Efek, Tindakan, Sumber Daya, dan Kondisi. Kebijakan IAM biasanya mengambil bentuk berikut.
```
{
"Statement":[{
"Effect":"",
"Action":"",
"Resource":"",
"Condition":{
"":{
"":""
}
}
}]
}
```
### Efek
Pernyataan *Efek* menunjukkan apakah kebijakan mengizinkan atau menolak izin utama untuk melakukan suatu tindakan. Nilai yang mungkin meliputi: `Allow` dan`Deny`.
### Tindakan
Pernyataan *Action* menentukan tindakan AWS RAM API yang memungkinkan atau menolak izin oleh kebijakan tersebut. Untuk daftar lengkap tindakan yang diizinkan, lihat [Tindakan yang ditentukan oleh AWS Resource Access Manager](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsresourceaccessmanager.html#awsresourceaccessmanager-actions-as-permissions) dalam *Panduan Pengguna IAM*.
### Sumber daya
Pernyataan *Sumber Daya* menentukan AWS RAM sumber daya yang dipengaruhi oleh kebijakan. Untuk menentukan sumber daya dalam pernyataan, Anda perlu menggunakan Nama Sumber Daya Amazon (ARN) yang unik. Untuk daftar lengkap sumber daya yang diizinkan, lihat Sumber [daya yang ditentukan oleh AWS Resource Access Manager](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsresourceaccessmanager.html#awsresourceaccessmanager-resources-for-iam-policies) dalam *Panduan Pengguna IAM*.
### Kondisi
Pernyataan *kondisi* bersifat opsional. Mereka dapat digunakan untuk lebih menyempurnakan kondisi di mana kebijakan berlaku. AWS RAM mendukung kunci kondisi berikut:
+ `aws:RequestTag/${TagKey}`— Menguji apakah permintaan layanan menyertakan tag dengan kunci tag yang ditentukan ada dan memiliki nilai yang ditentukan.
+ `aws:ResourceTag/${TagKey}`— Menguji apakah sumber daya yang ditindaklanjuti oleh permintaan layanan memiliki tag terlampir dengan kunci tag yang Anda tentukan dalam kebijakan.
Contoh kondisi berikut memeriksa bahwa sumber daya yang direferensikan dalam permintaan layanan memiliki tag terlampir dengan nama kunci “Pemilik” dan nilai “Tim Pengembang”.
```
"Condition" : {
"StringEquals" : {
"aws:ResourceTag/Owner" : "Dev Team"
}
}
```
+ `aws:TagKeys`— Menentukan kunci tag yang harus digunakan untuk membuat atau menandai berbagi sumber daya.
+ `ram:AllowsExternalPrincipals`— Menguji apakah pembagian sumber daya dalam permintaan layanan memungkinkan berbagi dengan prinsipal eksternal. Kepala sekolah eksternal adalah Akun AWS bagian luar organisasi Anda di AWS Organizations. Jika ini dievaluasi`False`, maka Anda dapat berbagi sumber daya ini dengan akun hanya di organisasi yang sama.
+ `ram:PermissionArn`— Menguji apakah ARN izin yang ditentukan dalam permintaan layanan cocok dengan string ARN yang Anda tentukan dalam kebijakan.
+ `ram:PermissionResourceType`— Menguji apakah izin yang ditentukan dalam permintaan layanan valid untuk jenis sumber daya yang Anda tentukan dalam kebijakan. Tentukan jenis sumber daya menggunakan format yang ditampilkan dalam daftar [jenis sumber daya yang dapat dibagikan](shareable.md).
+ `ram:Principal`— Menguji apakah ARN dari prinsipal yang ditentukan dalam permintaan layanan cocok dengan string ARN yang Anda tentukan dalam kebijakan.
+ `ram:RequestedAllowsExternalPrincipals`— Menguji apakah permintaan layanan menyertakan `allowExternalPrincipals` parameter dan apakah argumennya cocok dengan nilai yang Anda tentukan dalam kebijakan.
+ `ram:RequestedResourceType`— Menguji apakah jenis sumber daya sumber daya yang ditindaklanjuti cocok dengan string tipe sumber daya yang Anda tentukan dalam kebijakan. Tentukan jenis sumber daya menggunakan format yang ditampilkan dalam daftar [jenis sumber daya yang dapat dibagikan](shareable.md).
+ `ram:ResourceArn`— Menguji apakah ARN sumber daya yang ditindaklanjuti oleh permintaan layanan cocok dengan ARN yang Anda tentukan dalam kebijakan.
+ `ram:ResourceShareName`— Menguji apakah nama pembagian sumber daya yang ditindaklanjuti oleh permintaan layanan cocok dengan string yang Anda tentukan dalam kebijakan.
+ `ram:ShareOwnerAccountId`— Menguji nomor ID akun dari pembagian sumber daya yang ditindaklanjuti oleh permintaan layanan cocok dengan string yang Anda tentukan dalam kebijakan.
# AWS kebijakan terkelola untuk AWS Resource Access Manager
AWS Resource Access Manager saat ini menyediakan beberapa kebijakan AWS RAM terkelola, yang dijelaskan dalam topik ini.
**Topics**
+ [AWSResourceAccessManagerReadOnlyAccess](#security-iam-managed-policies-AWSResourceAccessManagerReadOnlyAccess)
+ [AWSResourceAccessManagerFullAccess](#security-iam-managed-policies-AWSResourceAccessManagerFullAccess)
+ [AWSResourceAccessManagerResourceShareParticipantAccess](#security-iam-managed-policies-AWSResourceAccessManagerResourceShareParticipantAccess)
+ [AWSResourceAccessManagerServiceRolePolicy](#security-iam-managed-policies-AWSResourceAccessManagerServiceRolePolicy)
+ [Pembaruan kebijakan](#security-iam-awsmanpol-updates)
Di daftar sebelumnya, Anda dapat melampirkan tiga kebijakan pertama ke peran, grup, dan pengguna IAM Anda untuk memberikan izin. Kebijakan terakhir dalam daftar dicadangkan untuk peran AWS RAM layanan terkait layanan.
Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.
Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan [kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) yang khusus untuk kasus penggunaan Anda.
Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.
Untuk informasi selengkapnya, lihat [Kebijakan terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.
## AWS kebijakan terkelola: AWSResource AccessManagerReadOnlyAccess
Anda dapat melampirkan kebijakan `AWSResourceAccessManagerReadOnlyAccess` ke identitas IAM Anda.
Kebijakan ini memberikan izin hanya-baca untuk pembagian sumber daya yang dimiliki oleh Anda. Akun AWS
Hal ini dilakukan dengan memberikan izin untuk menjalankan salah satu `Get*` atau `List*` operasi. Itu tidak memberikan kemampuan apa pun untuk memodifikasi pembagian sumber daya apa pun.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `ram`— Memungkinkan kepala sekolah untuk melihat detail tentang pembagian sumber daya yang dimiliki oleh akun.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ram:Get*",
"ram:List*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS kebijakan terkelola: AWSResource AccessManagerFullAccess
Anda dapat melampirkan kebijakan `AWSResourceAccessManagerFullAccess` ke identitas IAM Anda.
Kebijakan ini menyediakan akses administratif penuh untuk melihat atau memodifikasi pembagian sumber daya yang dimiliki oleh Anda Akun AWS.
Ini dilakukan dengan memberikan izin untuk menjalankan `ram` operasi apa pun.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `ram`— Memungkinkan kepala sekolah untuk melihat atau memodifikasi informasi apa pun tentang pembagian sumber daya yang dimiliki oleh. Akun AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ram:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS kebijakan terkelola: AWSResource AccessManagerResourceShareParticipantAccess
Anda dapat melampirkan kebijakan `AWSResourceAccessManagerResourceShareParticipantAccess` ke identitas IAM Anda.
Kebijakan ini memberi para prinsipal kemampuan untuk menerima atau menolak pembagian sumber daya yang dibagikan dengan ini Akun AWS, dan untuk melihat detail tentang pembagian sumber daya ini. Itu tidak memberikan kemampuan apa pun untuk memodifikasi pembagian sumber daya tersebut.
Ini dilakukan dengan memberikan izin untuk menjalankan beberapa `ram` operasi.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `ram`— Memungkinkan prinsipal untuk menerima atau menolak undangan berbagi sumber daya dan untuk melihat detail tentang pembagian sumber daya yang dibagikan dengan akun.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ram:AcceptResourceShareInvitation",
"ram:GetResourcePolicies",
"ram:GetResourceShareInvitations",
"ram:GetResourceShares",
"ram:ListPendingInvitationResources",
"ram:ListPrincipals",
"ram:ListResources",
"ram:RejectResourceShareInvitation"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS kebijakan terkelola: AWSResource AccessManagerServiceRolePolicy
Kebijakan AWS terkelola hanya `AWSResourceAccessManagerServiceRolePolicy` dapat digunakan dengan peran terkait layanan untuk. AWS RAM Anda tidak dapat melampirkan, melepaskan, memodifikasi, atau menghapus kebijakan ini.
Kebijakan ini AWS RAM menyediakan akses hanya-baca ke struktur organisasi Anda. Saat Anda mengaktifkan integrasi antara AWS RAM dan AWS Organizations, AWS RAM secara otomatis membuat peran terkait layanan bernama [AWSServiceRoleForResourceAccessManager](https://console.aws.amazon.com/iam/home#/roles/AWSServiceRoleForResourceAccessManager)yang diasumsikan layanan saat perlu mencari informasi tentang organisasi Anda dan akunnya, misalnya, saat Anda melihat struktur organisasi di konsol. AWS RAM
Ini dilakukan dengan memberikan izin read-only untuk menjalankan `organizations:Describe` dan `organizations:List` operasi yang memberikan rincian struktur dan akun organisasi.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `organizations`Memungkinkan kepala sekolah untuk melihat informasi tentang struktur organisasi, termasuk unit organisasi, dan yang dikandungnya. Akun AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListChildren",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListRoots"
],
"Resource": "*"
},
{
"Sid": "AllowDeletionOfServiceLinkedRoleForResourceAccessManager",
"Effect": "Allow",
"Action": [
"iam:DeleteRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/ram.amazonaws.com/*"
]
}
]
}
```
------
## AWS RAM pembaruan kebijakan AWS terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola AWS RAM sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman Riwayat AWS RAM dokumen.
| Ubah | Deskripsi | Date |
| --- | --- | --- |
| AWS Resource Access Manager mulai melacak perubahan | AWS RAM mendokumentasikan kebijakan terkelola yang ada dan mulai melacak perubahan. | September 16, 2021 |
# Menggunakan peran terkait layanan untuk AWS RAM
AWS Resource Access Manager menggunakan AWS Identity and Access Management peran [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran terkait layanan adalah jenis peran IAM unik yang ditautkan langsung ke layanan. AWS RAM Peran terkait layanan telah ditentukan sebelumnya oleh AWS dan menyertakan semua izin yang AWS RAM perlu memanggil AWS layanan lain atas nama Anda.
Peran terkait layanan membuat konfigurasi AWS RAM lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. AWS RAM mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya AWS RAM dapat mengambil peran terkait layanannya. Izin yang ditetapkan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas IAM lainnya.
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, lihat [Layanan AWS yang bisa digunakan dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan carilah layanan yang memiliki opsi **Ya** di kolom **Peran Terkait Layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
## Izin Peran Tertaut Layanan untuk AWS RAM
AWS RAM menggunakan nama peran terkait layanan `AWSServiceRoleForResourceAccessManager` saat Anda mengaktifkan berbagi dengan. AWS Organizations Peran ini memberikan izin ke AWS RAM layanan untuk melihat detail organisasi, seperti daftar akun anggota dan unit organisasi mana setiap akun berada.
Peran terkait layanan ini mempercayai layanan berikut untuk mengambil peran:
+ `ram.amazonaws.com`
Kebijakan izin peran bernama AWSResource AccessManagerServiceRolePolicy dilampirkan ke peran terkait layanan ini, dan memungkinkan AWS RAM untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
+ Tindakan: tindakan hanya-baca yang mengambil detail tentang struktur organisasi Anda. Untuk daftar tindakan lengkap, Anda dapat melihat kebijakan di konsol IAM: [AWSResourceAccessManagerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceAccessManagerServiceRolePolicy$jsonEditor).
Agar prinsipal mengaktifkan AWS RAM berbagi dalam organisasi Anda, prinsipal tersebut (entitas IAM seperti pengguna, grup, atau peran), harus memiliki izin untuk membuat peran terkait layanan. Untuk informasi selengkapnya, silakan lihat [Izin Peran Tertaut Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) di *Panduan Pengguna IAM*.
## Membuat Peran Tertaut Layanan untuk AWS RAM
Anda tidak perlu membuat peran terkait layanan secara manual. Ketika Anda mengaktifkan AWS RAM berbagi dalam organisasi Anda di Konsol Manajemen AWS, atau menjalankan [EnableSharingWithAwsOrganization](https://docs.aws.amazon.com/ram/latest/APIReference/API_EnableSharingWithAwsOrganization.html)di akun Anda menggunakan AWS CLI atau AWS API, AWS RAM membuat peran terkait layanan untuk Anda.
Hubungi `enable-sharing-with-aws-organizations` untuk membuat peran terkait layanan di akun Anda.
Jika Anda menghapus peran terkait layanan ini, maka AWS RAM tidak lagi memiliki izin untuk melihat detail struktur organisasi Anda.
## Mengedit peran terkait layanan untuk AWS RAM
AWS RAM tidak memungkinkan Anda untuk mengedit peran AWSResource AccessManagerServiceRolePolicy terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin merujuk peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit Peran Tertaut Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.
## Menghapus Peran Tertaut Layanan untuk AWS RAM
Anda dapat menggunakan konsol IAM, AWS CLI atau AWS API untuk menghapus peran terkait layanan secara manual.
**Untuk menghapus peran tertaut layanan secara manual menggunakan IAM**
Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran `AWSResourceAccessManagerServiceRolePolicy` terkait layanan. Untuk informasi selengkapnya, silakan lihat [Menghapus Peran Terkait Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) di *Panduan Pengguna IAM*.
## Wilayah yang Didukung untuk Peran AWS RAM Tertaut Layanan
AWS RAM mendukung penggunaan peran terkait layanan di semua Wilayah tempat layanan tersedia. Untuk informasi selengkapnya, lihat [AWS Wilayah dan Titik Akhir](https://docs.aws.amazon.com/general/latest/gr/rande.html) di. *Referensi Umum Amazon Web Services*
# Contoh kebijakan IAM untuk AWS RAM
Topik ini mencakup contoh kebijakan IAM AWS RAM yang menunjukkan berbagi sumber daya dan jenis sumber daya tertentu dan membatasi berbagi.
**Topics**
+ [Izinkan berbagi sumber daya tertentu](#owner-share-specific-resources)
+ [Izinkan berbagi jenis sumber daya tertentu](#owner-share-resource-types)
+ [Batasi berbagi dengan eksternal Akun AWS](#control-access-owner-external)
## Contoh 1: Izinkan berbagi sumber daya tertentu
Anda dapat menggunakan kebijakan izin IAM untuk membatasi prinsipal agar hanya mengaitkan sumber daya tertentu dengan pembagian sumber daya.
Misalnya, kebijakan berikut membatasi prinsipal untuk hanya membagikan aturan resolver dengan Nama Sumber Daya Amazon (ARN) yang ditentukan. Operator `StringEqualsIfExists` mengizinkan permintaan jika permintaan tidak menyertakan `ResourceArn` parameter, atau jika memang menyertakan parameter itu, nilainya sama persis dengan ARN yang ditentukan.
Untuk informasi selengkapnya tentang kapan dan mengapa menggunakan `...IfExists` operator, lihat[... IfExists operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IfExists) di *Panduan Pengguna IAM*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
"Resource": "*",
"Condition": {
"StringEqualsIfExists": {
"ram:ResourceArn": "arn:aws:route53resolver:us-west-2:123456789012:resolver-rule/rslvr-rr-5328a0899aexample"
}
}
}]
}
```
------
## Contoh 2: Izinkan berbagi jenis sumber daya tertentu
Anda dapat menggunakan kebijakan IAM untuk membatasi prinsipal agar hanya mengaitkan jenis sumber daya tertentu dengan pembagian sumber daya.
Tindakan, `AssociateResourceShare` dan`CreateResourceShare`, dapat menerima prinsip dan `resourceArns` sebagai parameter input independen. Oleh karena itu, AWS RAM otorisasi setiap prinsipal dan sumber daya secara independen, sehingga mungkin ada beberapa [konteks permintaan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic_policy-eval-reqcontext.html). Ini berarti ketika prinsipal dikaitkan dengan pembagian AWS RAM sumber daya, kunci `ram:RequestedResourceType` kondisi tidak ada dalam konteks permintaan. Demikian pula, ketika sumber daya dikaitkan dengan pembagian AWS RAM sumber daya, kunci `ram:Principal` kondisi tidak ada dalam konteks permintaan. [Oleh karena itu, untuk mengizinkan `AssociateResourceShare` dan `CreateResourceShare` ketika mengaitkan prinsipal ke pembagian AWS RAM sumber daya, Anda dapat menggunakan operator kondisi. `Null`](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_Null)
Misalnya, kebijakan berikut membatasi prinsipal untuk hanya membagikan aturan penyelesai Amazon Route 53 dan memungkinkan mereka untuk mengaitkan prinsipal apa pun dengan pembagian tersebut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowOnlySpecificResourceType",
"Effect": "Allow",
"Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
"Resource": "*",
"Condition": {
"StringEquals": {
"ram:RequestedResourceType": "route53resolver:ResolverRule"
}
}
},
{
"Sid": "AllowAssociatingPrincipals",
"Effect": "Allow",
"Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
"Resource": "*",
"Condition": {
"Null": {
"ram:Principal": "false"
}
}
}
]
}
```
------
## Contoh 3: Batasi berbagi dengan eksternal Akun AWS
Anda dapat menggunakan kebijakan IAM untuk mencegah prinsipal berbagi sumber daya dengan Akun AWS yang berada di luar organisasinya. AWS
Misalnya, kebijakan IAM berikut mencegah prinsipal menambahkan eksternal Akun AWS ke pembagian sumber daya.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "ram:CreateResourceShare",
"Resource": "*",
"Condition": {
"Bool": {
"ram:RequestedAllowsExternalPrincipals": "false"
}
}
}]
}
```
------
# Contoh kebijakan kontrol layanan untuk AWS Organizations dan AWS RAM
AWS RAM mendukung kebijakan kontrol layanan (SCPs). SCPs adalah kebijakan yang Anda lampirkan ke elemen dalam organisasi untuk mengelola izin dalam organisasi tersebut. SCP berlaku untuk semua Akun AWS [di bawah elemen yang Anda lampirkan SCP](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_inheritance_auth.html). SCPs menawarkan kontrol pusat atas izin maksimum yang tersedia untuk semua akun di organisasi Anda. Mereka dapat membantu Anda memastikan Anda Akun AWS tetap berada dalam pedoman kontrol akses organisasi Anda. Untuk informasi selengkapnya, lihat [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_type-auth.html) di *Panduan AWS Organizations Pengguna*.
## Prasyarat
Untuk menggunakannya SCPs, Anda harus terlebih dahulu melakukan hal berikut:
+ Aktifkan semua fitur di organisasi Anda. Untuk informasi selengkapnya, lihat [Mengaktifkan semua fitur di organisasi Anda](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) di *AWS Organizations Panduan Pengguna*
+ Aktifkan SCPs untuk digunakan dalam organisasi Anda. *Untuk informasi selengkapnya, lihat [Mengaktifkan dan menonaktifkan jenis kebijakan di Panduan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_enable-disable.html) Pengguna AWS Organizations *
+ Buat SCPs yang Anda butuhkan. Untuk informasi selengkapnya tentang membuat SCPs, lihat [Membuat dan memperbarui SCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scp-create.html) di *Panduan AWS Organizations Pengguna*.
## Contoh Kebijakan Kontrol Layanan
**Contents**
+ [Contoh 1: Mencegah berbagi eksternal](#example-one)
+ [Contoh 2: Mencegah pengguna menerima undangan berbagi sumber daya dari akun eksternal di luar organisasi Anda](#example-two)
+ [Contoh 3: Izinkan akun tertentu untuk berbagi jenis sumber daya tertentu](#example-three)
+ [Contoh 4: Mencegah berbagi dengan seluruh organisasi atau dengan unit organisasi](#example-four)
+ [Contoh 5: Izinkan berbagi hanya dengan prinsipal tertentu](#example-five)
+ [Contoh 6: Mencegah pembagian sumber daya dengan RetainSharingOnAccountLeaveOrganization diaktifkan](#example-six)
Contoh berikut menunjukkan bagaimana Anda dapat mengontrol berbagai aspek berbagi sumber daya dalam suatu organisasi.
### Contoh 1: Mencegah berbagi eksternal
SCP berikut mencegah pengguna membuat pembagian sumber daya yang memungkinkan berbagi dengan prinsipal yang berada di luar organisasi pengguna berbagi.
AWS RAM mengotorisasi APIs secara terpisah untuk setiap prinsipal dan sumber daya yang tercantum dalam panggilan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:UpdateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"ram:RequestedAllowsExternalPrincipals": "true"
}
}
}
]
}
```
------
### Contoh 2: Mencegah pengguna menerima undangan berbagi sumber daya dari akun eksternal di luar organisasi Anda
SCP berikut memblokir setiap prinsipal di akun yang terpengaruh agar tidak menerima undangan untuk menggunakan pembagian sumber daya. Pembagian sumber daya yang dibagikan ke akun lain di organisasi yang sama dengan akun berbagi tidak menghasilkan undangan dan karenanya tidak terpengaruh oleh SCP ini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ram:AcceptResourceShareInvitation",
"Resource": "*"
}
]
}
```
------
### Contoh 3: Izinkan akun tertentu untuk berbagi jenis sumber daya tertentu
SCP berikut *hanya* mengizinkan akun `111111111111` dan `222222222222` membuat pembagian sumber daya baru yang berbagi daftar awalan Amazon EC2 atau untuk mengaitkan daftar awalan dengan pembagian sumber daya yang ada.
AWS RAM mengotorisasi APIs secara terpisah untuk setiap prinsipal dan sumber daya yang tercantum dalam panggilan.
Operator `StringEqualsIfExists` mengizinkan permintaan jika permintaan tidak menyertakan parameter tipe sumber daya, atau jika menyertakan parameter itu, nilainya sama persis dengan jenis sumber daya yang ditentukan. Jika Anda termasuk kepala sekolah, Anda harus memilikinya`...IfExists`.
Untuk informasi selengkapnya tentang kapan dan mengapa menggunakan `...IfExists` operator, lihat[... IfExists operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IfExists) di *Panduan Pengguna IAM*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": [
"111111111111",
"222222222222"
]
},
"StringEqualsIfExists": {
"ram:RequestedResourceType": "ec2:PrefixList"
}
}
}
]
}
```
------
### Contoh 4: Mencegah berbagi dengan seluruh organisasi atau dengan unit organisasi
SCP berikut mencegah pengguna membuat pembagian sumber daya yang berbagi sumber daya dengan seluruh organisasi atau dengan unit organisasi apa pun. Pengguna *dapat* berbagi dengan individu Akun AWS dalam organisasi, atau dengan peran IAM atau pengguna.
AWS RAM mengotorisasi APIs secara terpisah untuk setiap prinsipal dan sumber daya yang tercantum dalam panggilan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ram:Principal": [
"arn:aws:organizations::*:organization/*",
"arn:aws:organizations::*:ou/*"
]
}
}
}
]
}
```
------
### Contoh 5: Izinkan berbagi hanya dengan prinsipal tertentu
Contoh SCP berikut memungkinkan pengguna untuk berbagi sumber daya dengan *hanya* unit organisasi `o-12345abcdef,` organisasi`ou-98765fedcba`, dan Akun AWS `111111111111`.
Jika Anda menggunakan `"Effect": "Deny"` elemen dengan operator kondisi yang dinegasikan`StringNotEqualsIfExists`, seperti, permintaan masih ditolak meskipun kunci kondisi tidak ada. Gunakan operator `Null` kondisi untuk memeriksa apakah kunci kondisi tidak ada pada saat otorisasi.
AWS RAM mengotorisasi APIs secara terpisah untuk setiap prinsipal dan sumber daya yang tercantum dalam panggilan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"ram:Principal": [
"arn:aws:organizations::123456789012:organization/o-12345abcdef",
"arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba",
"111111111111"
]
},
"Null": {
"ram:Principal": "false"
}
}
}
]
}
```
------
### Contoh 6: Mencegah pembagian sumber daya dengan RetainSharingOnAccountLeaveOrganization diaktifkan
SCP berikut mencegah pengguna membuat atau memodifikasi pembagian sumber daya saat kunci `ram:RetainSharingOnAccountLeaveOrganization` kondisi disetel ke. `true`
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare",
"ram:DisassociateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"ram:RetainSharingOnAccountLeaveOrganization": "true"
}
}
}
]
}
```
# Menonaktifkan berbagi sumber daya dengan AWS Organizations
Jika sebelumnya Anda mengaktifkan berbagi dengan AWS Organizations dan Anda tidak perlu lagi berbagi sumber daya dengan seluruh organisasi atau unit organisasi (OUs), Anda dapat menonaktifkan berbagi. Ketika Anda menonaktifkan berbagi dengan AWS Organizations, semua organisasi atau OUs dihapus dari berbagi sumber daya yang telah Anda buat dan mereka kehilangan akses ke sumber daya bersama. Akun eksternal (akun yang ditambahkan ke pembagian sumber daya melalui undangan) tidak akan terpengaruh, dan akan terus dikaitkan dengan pembagian sumber daya.
**Untuk menonaktifkan berbagi dengan AWS Organizations**
1. Nonaktifkan akses tepercaya untuk AWS Organizations menggunakan AWS Organizations [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) AWS CLI perintah.
```
$ aws organizations disable-aws-service-access --service-principal ram.amazonaws.com
```
**penting**
Saat Anda menonaktifkan akses tepercaya ke AWS Organizations, prinsipal dalam organisasi Anda akan dihapus dari semua pembagian sumber daya dan kehilangan akses ke sumber daya bersama tersebut.
1. Gunakan konsol IAM, operasi API IAM AWS CLI, atau IAM untuk menghapus peran terkait **AWSServiceRoleForResourceAccessManager**layanan. Untuk informasi selengkapnya, lihat [Menghapus peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dalam *Panduan Pengguna IAM*.
# Penebangan dan pemantauan di AWS RAM
Pemantauan adalah bagian penting dari menjaga keandalan, ketersediaan, dan kinerja AWS RAM dan AWS solusi Anda. Anda harus mengumpulkan data pemantauan dari semua bagian AWS solusi Anda sehingga Anda dapat lebih mudah men-debug kegagalan multi-titik jika terjadi. AWS menyediakan beberapa alat untuk memantau AWS RAM sumber daya Anda dan menanggapi potensi insiden:
**Amazon EventBridge**
Memberikan near-real-time aliran peristiwa sistem yang menggambarkan perubahan AWS sumber daya. EventBridge mengaktifkan komputasi berbasis peristiwa otomatis, karena Anda dapat menulis aturan yang mengawasi peristiwa tertentu dan memicu tindakan otomatis di AWS layanan lain saat peristiwa ini terjadi. Untuk informasi selengkapnya, lihat [Pemantauan AWS RAM menggunakan EventBridge](using-eventbridge.md).
**AWS CloudTrail**
Menangkap panggilan API dan peristiwa terkait yang dibuat oleh atau atas nama Anda Akun AWS dan mengirimkan file log ke bucket Amazon S3 yang Anda tentukan. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. Lihat informasi yang lebih lengkap di [Pencatatan panggilan AWS RAM API dengan AWS CloudTrail](cloudtrail-logging.md).
# Pemantauan AWS RAM menggunakan EventBridge
Menggunakan Amazon EventBridge, Anda dapat mengatur notifikasi otomatis untuk acara tertentu di AWS RAM. Acara dari AWS RAM dikirim ke EventBridge dalam waktu nyaris nyata. Anda dapat mengonfigurasi EventBridge untuk memantau peristiwa dan memanggil target sebagai respons terhadap peristiwa yang menunjukkan perubahan pada pembagian sumber daya Anda. Perubahan pada pembagian sumber daya memicu peristiwa untuk pemilik pembagian sumber daya dan prinsipal yang diberikan akses ke pembagian sumber daya.
Saat Anda membuat pola acara, sumbernya adalah`aws.ram`.
**catatan**
Berhati-hatilah menulis kode yang tergantung pada peristiwa ini. Peristiwa ini tidak dijamin, tetapi dipancarkan atas dasar upaya terbaik. Jika terjadi kesalahan saat AWS RAM mencoba memancarkan suatu peristiwa, layanan mencoba beberapa kali lagi. Namun, itu bisa time out dan mengakibatkan hilangnya peristiwa spesifik itu.
Untuk informasi selengkapnya, lihat Panduan EventBridge Pengguna Amazon.
## Contoh: Peringatan tentang kegagalan berbagi sumber daya
Pertimbangkan skenario di mana Anda ingin berbagi reservasi kapasitas Amazon EC2 dengan akun lain di organisasi Anda. Melakukan ini adalah cara yang baik untuk mengurangi biaya Anda.
Namun, jika Anda tidak memenuhi semua [prasyarat untuk berbagi reservasi kapasitas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/capacity-reservation-sharing.html#sharing-cr-prereq), maka secara diam-diam dapat gagal melakukan tugas asinkron yang terlibat dalam berbagi sumber daya. Jika operasi berbagi gagal, dan pengguna Anda di akun lain mencoba meluncurkan instans dengan salah satu reservasi kapasitas tersebut, Amazon EC2 bertindak seolah-olah reservasi kapasitas penuh dan meluncurkan instans sebagai instans sesuai permintaan. Ini dapat menghasilkan biaya yang lebih tinggi dari yang diharapkan.
Untuk memantau kegagalan berbagi sumber daya, siapkan EventBridge aturan Amazon yang memberi tahu Anda setiap kali pembagian AWS RAM sumber daya gagal. Prosedur tutorial berikut menggunakan topik Amazon Simple Notification Service (SNS) untuk memberi tahu semua pelanggan topik setiap kali EventBridge menemukan kegagalan berbagi sumber daya. Untuk informasi selengkapnya tentang Amazon SNS, lihat [Panduan Developer Amazon Simple Notification Service](https://docs.aws.amazon.com/sns/latest/dg/).
**Untuk membuat aturan yang memberi tahu Anda saat berbagi sumber daya gagal**
1. Buka [ EventBridge konsol Amazon](https://console.aws.amazon.com/events).
1. Di panel navigasi, pilih **Aturan**, lalu di daftar **Aturan**, pilih **Buat aturan**.
1. Masukkan nama dan deskripsi opsional untuk aturan Anda, lalu pilih **Berikutnya**.
1. Gulir ke bawah ke kotak **Pola acara**, dan pilih **Pola kustom (editor JSON)**.
1. Salin dan tempel pola acara berikut:
```
{
"source": ["aws.ram"],
"detail-type": ["Resource Sharing State Change"],
"detail": {
"event": ["Resource Share Association"],
"status": ["failed"]
}
}
```
1. Pilih **Berikutnya**.
1. Untuk **Target 1**, di bawah **Jenis target**, pilih **Layanan AWS**.
1. Di bawah **Pilih target**, pilih **topik SNS**.
1. Untuk **Topik**, pilih topik SNS yang ingin Anda publikasikan notifikasi. Topik ini pasti sudah ada.
1. Pilih **Berikutnya**, lalu pilih **Berikutnya** lagi untuk melihat untuk meninjau konfigurasi Anda.
1. Jika Anda puas dengan pilihan Anda, pilih **Buat aturan**.
1. Kembali ke halaman **Aturan**, pastikan aturan baru Anda ditandai **Diaktifkan**. Jika perlu, pilih tombol radio di sebelah nama aturan Anda, lalu pilih **Aktifkan**.
Selama aturan itu diaktifkan, pembagian AWS RAM sumber daya apa pun yang gagal menghasilkan peringatan SNS kepada penerima topik yang Anda publikasikan.
Anda juga dapat mengonfirmasi bahwa reservasi kapasitas bersama dapat diakses ke akun yang Anda bagikan dengan mencoba [melihatnya di konsol Amazon EC2 dari](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/capacity-reservation-sharing.html#identifying-shared-cr) akun tersebut.
# Pencatatan panggilan AWS RAM API dengan AWS CloudTrail
AWS RAM terintegrasi dengan AWS CloudTrail, layanan yang menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau AWS layanan di AWS RAM. CloudTrail menangkap semua panggilan API untuk AWS RAM sebagai peristiwa. Panggilan yang diambil termasuk panggilan dari AWS RAM konsol dan panggilan kode ke operasi AWS RAM API. Jika Anda membuat jejak, Anda dapat mengaktifkan pengiriman CloudTrail peristiwa secara terus menerus ke bucket Amazon S3 yang Anda tentukan, termasuk acara untuk. AWS RAM Jika Anda tidak mengonfigurasi jejak, Anda masih dapat melihat peristiwa terbaru di CloudTrail konsol dalam **Riwayat acara**. Gunakan informasi yang dikumpulkan oleh CloudTrail untuk menentukan permintaan yang dibuat AWS RAM, alamat IP yang meminta, pemohon, kapan dibuat, dan detail tambahan.
Untuk informasi selengkapnya CloudTrail, lihat [Panduan AWS CloudTrail Pengguna](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## AWS RAM informasi di CloudTrail
CloudTrail diaktifkan pada Akun AWS saat Anda membuat akun. Ketika aktivitas terjadi di AWS RAM, aktivitas tersebut dicatat dalam suatu CloudTrail peristiwa bersama dengan peristiwa AWS layanan lainnya dalam **riwayat Acara**. Anda dapat melihat, mencari, dan mengunduh acara terbaru di situs Anda Akun AWS. Untuk informasi selengkapnya, lihat [Melihat Acara dengan Riwayat CloudTrail Acara](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Untuk catatan berkelanjutan tentang peristiwa di Akun AWS, termasuk peristiwa untuk AWS RAM, buat jejak. *Jejak* memungkinkan CloudTrail untuk mengirimkan file log ke bucket Amazon S3. Secara default, saat Anda membuat jejak di konsol, jejak tersebut berlaku untuk semua AWS Wilayah. Jejak mencatat peristiwa dari semua Wilayah di partisi AWS dan mengirimkan file log ke bucket Amazon S3 yang Anda tentukan. Selain itu, Anda dapat mengonfigurasi AWS layanan lain untuk menganalisis lebih lanjut dan menindaklanjuti data peristiwa yang dikumpulkan dalam CloudTrail log. Untuk informasi selengkapnya, lihat berikut ini:
+ [Membuat jejak untuk Anda Akun AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [Layanan AWS integrasi dengan log CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Mengkonfigurasi Notifikasi Amazon SNS untuk CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Menerima file CloudTrail log dari beberapa Wilayah](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) dan [Menerima file CloudTrail log dari beberapa akun](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Semua AWS RAM tindakan dicatat oleh CloudTrail dan didokumentasikan dalam [Referensi AWS RAM API](https://docs.aws.amazon.com/ram/latest/APIReference/). Misalnya, panggilan untuk tindakan `CreateResourceShare`, `AssociateResourceShare`, dan `EnableSharingWithAwsOrganization` menghasilkan entri dalam file log CloudTrail.
Setiap acara atau entri log berisi informasi yang membantu Anda menentukan siapa yang membuat permintaan.
+ Akun AWS kredensi root
+ Kredensi keamanan sementara dari peran AWS Identity and Access Management (IAM) atau pengguna federasi.
+ Kredensi keamanan jangka panjang dari pengguna IAM.
+ AWS Layanan lain.
Untuk informasi selengkapnya, lihat [Elemen userIdentity CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Memahami entri file AWS RAM log
Trail adalah konfigurasi yang memungkinkan pengiriman peristiwa sebagai file log ke bucket Amazon S3 yang Anda tentukan. CloudTrail file log berisi satu atau lebih entri log. Peristiwa mewakili permintaan tunggal dari sumber manapun dan mencakup informasi tentang tindakan yang diminta, tanggal dan waktu tindakan, parameter permintaan, dan sebagainya. CloudTrail file log bukanlah jejak tumpukan yang diurutkan dari panggilan API publik, jadi file tersebut tidak muncul dalam urutan tertentu.
Contoh berikut menunjukkan entri CloudTrail log untuk `CreateResourceShare` tindakan tersebut.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "NOPIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:user/admin",
"accountId": "111122223333",
"accessKeyId": "BCDIOSFODNN7EXAMPLE",
"userName": "admin"
},
"eventTime": "2018-11-03T04:23:19Z",
"eventSource": "ram.amazonaws.com",
"eventName": "CreateResourceShare",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.1.0",
"userAgent": "aws-cli/1.16.2 Python/2.7.10 Darwin/16.7.0 botocore/1.11.2",
"requestParameters": {
"name": "foo"
},
"responseElements": {
"resourceShare": {
"allowExternalPrincipals": true,
"name": "foo",
"owningAccountId": "111122223333",
"resourceShareArn": "arn:aws:ram:us-east-1:111122223333:resource-share/EXAMPLE0-1234-abcd-1212-987656789098",
"status": "ACTIVE"
}
},
"requestID": "EXAMPLE0-abcd-1234-mnop-987654567876",
"eventID": "EXAMPLE0-1234-abcd-hijk-543234565434",
"readOnly": false,
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# Validasi kepatuhan untuk AWS Resource Access Manager
Untuk mempelajari apakah an Layanan AWS berada dalam lingkup program kepatuhan tertentu, lihat [Layanan AWS di Lingkup oleh Program Kepatuhan Layanan AWS](https://aws.amazon.com/compliance/services-in-scope/) dan pilih program kepatuhan yang Anda minati. Untuk informasi umum, lihat [Program AWS Kepatuhan Program AWS](https://aws.amazon.com/compliance/programs/) .
Anda dapat mengunduh laporan audit pihak ketiga menggunakan AWS Artifact. Untuk informasi selengkapnya, lihat [Mengunduh Laporan di AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS ditentukan oleh sensitivitas data Anda, tujuan kepatuhan perusahaan Anda, dan hukum dan peraturan yang berlaku. Untuk informasi selengkapnya tentang tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS, lihat [Dokumentasi AWS Keamanan](https://docs.aws.amazon.com/security/).
# Ketahanan di AWS Resource Access Manager
Infrastruktur AWS global dibangun di sekitar Wilayah AWS dan Availability Zones. Wilayah AWS menyediakan beberapa Availability Zone yang terpisah secara fisik dan terisolasi, yang terhubung dengan latensi rendah, throughput tinggi, dan jaringan yang sangat redundan. Dengan Zona Ketersediaan, Anda dapat merancang dan mengoperasikan aplikasi dan basis data yang secara otomatis melakukan failover di antara Zona Ketersediaan tanpa gangguan. Zona Ketersediaan memiliki ketersediaan dan toleransi kesalahan yang lebih baik, dan dapat diskalakan dibandingkan infrastruktur biasa yang terdiri dari satu atau beberapa pusat data.
Untuk informasi selengkapnya tentang Wilayah AWS dan Availability Zone, lihat [Infrastruktur AWS Global](https://aws.amazon.com/about-aws/global-infrastructure/).
# Keamanan infrastruktur di AWS Resource Access Manager
Sebagai layanan terkelola, AWS Resource Access Manager dilindungi oleh keamanan jaringan AWS global. Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat [Keamanan AWS Cloud](https://aws.amazon.com/security/). Untuk mendesain AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat [Perlindungan Infrastruktur dalam Kerangka Kerja](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) yang * AWS Diarsiteksikan dengan Baik Pilar Keamanan*.
Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses AWS RAM melalui jaringan. Klien harus mendukung hal-hal berikut:
+ Keamanan Lapisan Pengangkutan (TLS). Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Sandi cocok dengan sistem kerahasiaan maju sempurna (perfect forward secrecy, PFS) seperti DHE (Ephemeral Diffie-Hellman) atau ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.
# Akses AWS Resource Access Manager menggunakan endpoint antarmuka ()AWS PrivateLink
Anda dapat menggunakan AWS PrivateLink untuk membuat koneksi pribadi antara VPC Anda dan. AWS Resource Access Manager Anda dapat mengakses AWS RAM seolah-olah itu ada di VPC Anda, tanpa menggunakan gateway internet, perangkat NAT, koneksi VPN, atau koneksi. Direct Connect Instans di VPC Anda tidak memerlukan alamat IP publik untuk mengakses. AWS RAM
Anda membuat koneksi pribadi ini dengan membuat *titik akhir antarmuka*, yang didukung oleh AWS PrivateLink. Kami membuat antarmuka jaringan endpoint di setiap subnet yang Anda aktifkan untuk titik akhir antarmuka. Ini adalah antarmuka jaringan yang dikelola pemohon yang berfungsi sebagai titik masuk untuk lalu lintas yang ditakdirkan. AWS RAM
Untuk informasi selengkapnya, lihat [Mengakses Layanan AWS melalui AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) di *Panduan AWS PrivateLink *.
## Pertimbangan untuk AWS RAM
*Sebelum Anda menyiapkan titik akhir antarmuka AWS RAM, tinjau [Pertimbangan](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) dalam Panduan.AWS PrivateLink *
AWS RAM mendukung panggilan ke semua tindakan API-nya melalui titik akhir antarmuka.
Kebijakan titik akhir VPC didukung untuk. AWS RAM Secara default, akses penuh ke AWS RAM diizinkan melalui titik akhir antarmuka.
## Buat titik akhir antarmuka untuk AWS RAM
Anda dapat membuat titik akhir antarmuka untuk AWS RAM menggunakan konsol VPC Amazon atau () AWS Command Line Interface .AWS CLI Untuk informasi selengkapnya, lihat [Membuat titik akhir antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) di *AWS PrivateLink Panduan*.
Buat titik akhir antarmuka untuk AWS RAM menggunakan nama layanan berikut:
```
com.amazonaws.region.ram
```
Jika Anda mengaktifkan DNS pribadi untuk titik akhir antarmuka, Anda dapat membuat permintaan API untuk AWS RAM menggunakan nama DNS Regional default. Misalnya, `ram.us-east-1.amazonaws.com`.
## Buat kebijakan titik akhir untuk titik akhir antarmuka Anda
Kebijakan endpoint adalah sumber daya IAM yang dapat Anda lampirkan ke titik akhir antarmuka. Kebijakan endpoint default memungkinkan akses penuh AWS RAM melalui titik akhir antarmuka. Untuk mengontrol akses yang diizinkan AWS RAM dari VPC Anda, lampirkan kebijakan titik akhir kustom ke titik akhir antarmuka.
kebijakan titik akhir mencantumkan informasi berikut:
+ Prinsipal yang dapat melakukan tindakan (Akun AWS, pengguna IAM, dan peran IAM).
+ Tindakan yang dapat dilakukan.
+ Sumber daya untuk melakukan tindakan.
Untuk informasi selengkapnya, lihat [Mengontrol akses ke layanan menggunakan kebijakan titik akhir](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) di *Panduan AWS PrivateLink *.
**Contoh: Kebijakan titik akhir VPC untuk tindakan AWS RAM**
Berikut ini adalah contoh kebijakan endpoint kustom. Saat Anda melampirkan kebijakan ini ke titik akhir antarmuka Anda, kebijakan ini akan memberikan akses ke AWS RAM tindakan yang tercantum untuk semua prinsip di semua sumber daya.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"ram:CreateResourceShare"
],
"Resource": "*"
}
]
}
```
------