• AWS Systems Manager CloudWatch Dasbor tidak akan lagi tersedia setelah 30 April 2026. Pelanggan dapat terus menggunakan CloudWatch konsol Amazon untuk melihat, membuat, dan mengelola CloudWatch dasbor Amazon mereka, seperti yang mereka lakukan hari ini. Untuk informasi selengkapnya, lihat [dokumentasi CloudWatch Dasbor Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Keamanan di AWS Systems Manager
<a name="security"></a>

Keamanan cloud di Amazon Web Services merupakan prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.

Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) menjelaskan hal ini sebagai keamanan *dari* cloud dan keamanan *dalam* cloud:
+ **Keamanan cloud** — AWS bertanggung jawab untuk melindungi infrastruktur yang berjalan Layanan AWS di dalamnya AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Auditor pihak ketiga secara teratur menguji dan memverifikasi efektivitas keamanan kami sebagai bagian dari [Program AWS Kepatuhan Program AWS Kepatuhan](https://aws.amazon.com/compliance/programs/) . Untuk mempelajari tentang program kepatuhan yang berlakuAWS Systems Manager, lihat [Layanan AWS di Lingkup oleh Program Kepatuhan Layanan AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Keamanan di cloud** — Tanggung jawab Anda ditentukan oleh Layanan AWS yang Anda gunakan. Anda juga bertanggung jawab atas faktor lain termasuk sensitivitas data Anda, persyaratan perusahaan Anda, serta hukum dan peraturan yang berlaku. 

Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan AWS Systems Manager. Topik berikut menunjukkan cara mengonfigurasi Systems Manager untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga belajar cara menggunakan Layanan AWS yang lain yang membantu Anda memantau dan mengamankan Systems Manager sumber daya Anda. 

**Topics**
+ [Perlindungan data di AWS Systems Manager](data-protection.md)
+ [Perimeter data di AWS Systems Manager](data-perimeters.md)
+ [Identity and access management untuk AWS Systems Manager](security-iam.md)
+ [Menggunakan peran terkait layanan untuk Systems Manager](using-service-linked-roles.md)
+ [Pencatatan dan pemantauan di AWS Systems Manager](logging-and-monitoring.md)
+ [Validasi kepatuhan untuk AWS Systems Manager](compliance-validation.md)
+ [Ketahanan di AWS Systems Manager](disaster-recovery-resiliency.md)
+ [Keamanan infrastruktur dalam AWS Systems Manager](infrastructure-security.md)
+ [Analisis konfigurasi dan kerentanan dalam AWS Systems Manager](vulnerability-analysis-and-management.md)
+ [Praktik terbaik keamanan untuk Systems Manager](security-best-practices.md)

# Perlindungan data di AWS Systems Manager
<a name="data-protection"></a>

Perlindungan data mengacu pada melindungi data saat *transit* (saat bepergian ke dan dari Systems Manager) dan *saat istirahat* (saat disimpan di pusat AWS data).

[Model tanggung jawab AWS bersama model](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data di AWS Systems Manager. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam [Pertanyaan Umum Privasi Data](https://aws.amazon.com/compliance/data-privacy-faq/). Lihat informasi tentang perlindungan data di Eropa di pos blog [Model Tanggung Jawab Bersama dan GDPR AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) di *Blog Keamanan AWS *.

Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensyal dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
+ Gunakan autentikasi multi-faktor (MFA) pada setiap akun.
+ Gunakan SSL/TLS untuk berkomunikasi dengan sumber daya. AWS Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat [Bekerja dengan CloudTrail jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) di *AWS CloudTrail Panduan Pengguna*.
+ Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.
+ Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.
+ Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-3 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi selengkapnya tentang titik akhir FIPS yang tersedia di [Standar Pemrosesan Informasi Federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).

Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang **Nama**. Ini termasuk ketika Anda bekerja dengan Systems Manager atau lainnya Layanan AWS menggunakan konsol, API AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.

## Enkripsi data
<a name="data-encryption"></a>

### Enkripsi saat istirahat
<a name="encryption-at-rest"></a>

**Parameter Store parameter**  
Jenis parameter yang dapat Anda buat Parameter Store, alat di AWS Systems Manager, termasuk`String`,`StringList`, dan`SecureString`.

Semua parameter, terlepas dari jenisnya, dienkripsi baik dalam perjalanan maupun saat istirahat. Dalam perjalanan, parameter dienkripsi menggunakan transport layer security (TLS) untuk membuat koneksi HTTPS yang aman untuk permintaan API. Saat istirahat, mereka dienkripsi dengan Kunci milik AWS in AWS Key Management Service ()AWS KMS. Untuk informasi selengkapnya tentang Kunci milik AWS enkripsi, lihat [Kunci milik AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)di *Panduan AWS Key Management Service Pengembang*.

`SecureString`Jenis ini menawarkan opsi enkripsi tambahan dan direkomendasikan untuk semua data sensitif. Anda dapat memilih dari jenis AWS KMS kunci berikut untuk mengenkripsi dan mendekripsi nilai parameter: `SecureString`
+  Kunci yang dikelola AWS Untuk akun Anda
+ Kunci terkelola pelanggan (CMK) yang telah Anda buat di akun Anda
+ CMK di CMK lain Akun AWS yang telah dibagikan dengan Anda

Untuk informasi selengkapnya tentang AWS KMS enkripsi, lihat [Panduan AWS Key Management Service Pengembang](https://docs.aws.amazon.com/kms/latest/developerguide/).

**Konten dalam ember S3**  
Sebagai bagian dari Anda Systems Manager operasi, Anda dapat memilih untuk mengunggah atau menyimpan data dalam satu atau beberapa bucket Amazon Simple Storage Service (Amazon S3). 

Untuk informasi tentang enkripsi bucket S3, lihat [Melindungi data menggunakan enkripsi](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html) dan [perlindungan Data di Amazon](https://docs.aws.amazon.com/AmazonS3/latest/userguide/DataDurability.html) S3 di Panduan Pengguna *Layanan Penyimpanan Sederhana Amazon*.

Berikut ini adalah jenis data yang dapat Anda unggah atau simpan di bucket S3 sebagai bagian dari Systems Manager kegiatan:
+ Output dari perintah di Run Command, alat di AWS Systems Manager
+ Paket di Distributor, alat di AWS Systems Manager
+ Menambal log operasi di Patch Manager, alat di AWS Systems Manager
+ Patch Manager daftar penggantian tambalan
+ Skrip atau Ansible Buku pedoman untuk dijalankan dalam alur kerja runbook di Otomasi, alat di AWS Systems Manager 
+ Chef InSpec profil untuk digunakan dengan pemindaian di Kepatuhan, alat di AWS Systems Manager
+ AWS CloudTrail log
+ Riwayat sesi log masuk Session Manager, alat di AWS Systems Manager
+ Laporan dari Explorer, alat di AWS Systems Manager
+ OpsData dari OpsCenter, alat di AWS Systems Manager
+ AWS CloudFormation template untuk digunakan dengan alur kerja Otomasi
+ Data kepatuhan dari pemindaian sinkronisasi data sumber daya
+ Keluaran permintaan untuk membuat atau mengedit asosiasi di State Manager, alat di AWS Systems Manager, pada node yang dikelola
+ Dokumen Systems Manager khusus (SSM dokumen) yang dapat Anda jalankan menggunakan AWS Dokumen SSM terkelola `AWS-RunDocument`

**CloudWatch Grup log log**  
Sebagai bagian dari Anda Systems Manager operasi, Anda dapat memilih untuk mengalirkan data ke satu atau beberapa grup CloudWatch log Amazon Logs.

Untuk informasi tentang enkripsi grup CloudWatch log log, lihat [Mengenkripsi data CloudWatch log di Log menggunakan AWS Key Management Service](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html) *Panduan Pengguna CloudWatch Log Amazon*.

Berikut ini adalah jenis data yang mungkin telah dialirkan ke grup CloudWatch log Log sebagai bagian dari Systems Manager kegiatan:
+ Output dari Run Command perintah
+ Output dari skrip dijalankan menggunakan tindakan `aws:executeScript` dalam runbook otomatisasi
+ Session Manager log riwayat sesi
+ Log dari SSM Agent pada node terkelola Anda

### Enkripsi bergerak
<a name="encryption-in-transit"></a>

Kami menyarankan Anda menggunakan protokol enkripsi seperti Transport Layer Security (TLS) untuk mengenkripsi data sensitif dalam perjalanan antara klien dan node Anda.

Systems Manager menyediakan dukungan berikut untuk enkripsi data Anda dalam perjalanan.

**Koneksi ke Systems Manager Titik akhir API**  
Systems Manager Titik akhir API hanya mendukung koneksi aman melalui HTTPS. Ketika Anda mengelola Systems Manager sumber daya dengan Konsol Manajemen AWS, AWS SDK, atau Systems Manager API, semua komunikasi dienkripsi dengan Transport Layer Security (TLS). Untuk daftar lengkap titik akhir API, lihat [Layanan AWS titik akhir](https://docs.aws.amazon.com/general/latest/gr/rande.html) di. *Referensi Umum Amazon Web Services* 

**Instans terkelola**  
AWS menyediakan konektivitas aman dan pribadi antara instans Amazon Elastic Compute Cloud (Amazon EC2). Selain itu, kami secara otomatis mengenkripsi lalu lintas dalam transit antara instans yang didukung di virtual private cloud (VPC) yang sama atau di peered VPCs, menggunakan algoritma AEAD dengan enkripsi 256-bit. Fitur enkripsi ini menggunakan kemampuan offload dari perangkat keras yang mendasari, dan tidak ada dampak pada kinerja jaringan. Instans yang didukung adalah: C5n, G4, I3en, M5dn, M5n, P3dn, R5dn, dan R5n.

**Session Manager sidang**  
Secara default, Session Manager menggunakan TLS 1.3 untuk mengenkripsi data sesi yang dikirimkan antara mesin lokal pengguna di akun Anda dan instans Anda EC2 . Anda juga dapat memilih untuk mengenkripsi lebih lanjut data dalam perjalanan menggunakan AWS KMS key yang telah dibuat di AWS KMS. AWS KMS enkripsi tersedia untuk`Standard_Stream`,`InteractiveCommands`, dan jenis `NonInteractiveCommands` sesi. 

**Run Command akses**  
Secara default, akses jarak jauh ke node Anda menggunakan Run Command dienkripsi menggunakan TLS 1.3, dan permintaan untuk membuat koneksi ditandatangani menggunakan SiGv4.

## Privasi lalu lintas antarjaringan
<a name="internetwork-privacy"></a>

Anda dapat menggunakan Amazon Virtual Private Cloud (Amazon VPC) untuk membuat batasan antara sumber daya di node terkelola dan mengontrol lalu lintas di antara mereka, jaringan lokal, dan internet. Untuk detailnya, lihat [Meningkatkan keamanan EC2 instans dengan menggunakan titik akhir VPC untuk Systems Manager](setup-create-vpc.md). 

Untuk informasi selengkapnya tentang keamanan Amazon Virtual Private Cloud, lihat [Privasi lalu lintas Internetwork di Amazon VPC di Panduan Pengguna](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html) Amazon *VPC*.

# Perimeter data di AWS Systems Manager
<a name="data-perimeters"></a>

Perimeter data adalah seperangkat pagar pembatas pencegahan di AWS lingkungan Anda yang membantu memastikan data Anda hanya dapat diakses oleh identitas tepercaya dari jaringan dan sumber daya yang diharapkan. Saat menerapkan kontrol perimeter data, Anda mungkin perlu menyertakan pengecualian untuk sumber daya AWS milik layanan yang diakses Systems Manager atas nama Anda.

**Contoh skenario: Kategori dokumen SSM S3 bucket**  
Systems Manager mengakses bucket S3 AWS terkelola untuk mengambil informasi kategori dokumen. [AWS Systems Manager Dokumen](documents.md) Bucket ini berisi metadata tentang kategori dokumen yang membantu mengatur dan mengklasifikasikan Dokumen SSM di konsol.

Pola ARN sumber daya  
`arn:aws:s3:::ssm-document-categories-region`  
Contoh regional:  
+ `arn:aws:s3:::ssm-document-categories-us-east-1`
+ `arn:aws:s3:::ssm-document-categories-us-west-2`
+ `arn:aws:s3:::ssm-document-categories-eu-west-1`
+ `arn:aws:s3:::ssm-document-categories-ap-northeast-1`

Saat diakses  
Sumber daya ini diakses saat Anda melihat Dokumen SSM di konsol Systems Manager atau saat menggunakan metadata dan kategori dokumen APIs yang diambil.

Data disimpan  
Bucket berisi file JSON dengan definisi kategori dokumen dan metadata. Data ini hanya-baca dan tidak berisi informasi khusus pelanggan.

Identitas yang digunakan  
Systems Manager mengakses sumber daya ini menggunakan kredensil AWS layanan atas nama permintaan Anda.

Izin yang diperlukan  
`s3:GetObject`pada isi ember.

**Pertimbangan kebijakan perimeter data**  
Saat menerapkan kontrol perimeter data menggunakan Kebijakan Kontrol Layanan (SCPs) atau kebijakan titik akhir VPC dengan kondisi seperti`aws:ResourceOrgID`, Anda perlu membuat pengecualian untuk AWS sumber daya milik layanan yang dibutuhkan Systems Manager.

Misalnya, jika Anda menggunakan SCP `aws:ResourceOrgID` untuk membatasi akses ke sumber daya di luar organisasi, Anda perlu menambahkan pengecualian untuk keranjang kategori Dokumen SSM.

Kebijakan ini perlu mengakses sumber daya di luar organisasi Anda, tetapi menyertakan pengecualian untuk bucket S3 yang sesuai, yang memungkinkan Systems Manager untuk terus berfungsi dengan baik.

Demikian pula, jika Anda menggunakan kebijakan titik akhir VPC untuk membatasi akses S3, Anda perlu memastikan bahwa bucket kategori dokumen SSM dapat diakses melalui titik akhir VPC Anda.

**Informasi selengkapnya**  
Untuk informasi selengkapnya tentang perimeter data di AWS, lihat topik berikut:
+ [Perimeter data](https://aws.amazon.com/identity/data-perimeters-on-aws/) aktif. AWS
+ [Menetapkan pagar pembatas izin menggunakan perimeter data di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_data-perimeters.html) *Pengguna IAM*
+ [Panduan khusus layanan: AWS Systems Manager](https://github.com/aws-samples/data-perimeter-policy-examples/blob/main/service_specific_guidance/ssm-specific-guidance.md) *dan [sumber daya milik Layanan di repositori Sampel](https://github.com/aws-samples/data-perimeter-policy-examples/blob/main/service_owned_resources.md) di AWS * GitHub

# Identity and access management untuk AWS Systems Manager
<a name="security-iam"></a>

AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengontrol siapa yang dapat *terautentikasi* (masuk) dan *berwenang* (memiliki izin) untuk menggunakan sumber daya Systems Manager. IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.

**Topics**
+ [Audiens](#security_iam_audience)
+ [Mengautentikasi dengan identitas](#security_iam_authentication)
+ [Mengelola akses menggunakan kebijakan](#security_iam_access-manage)
+ [Cara kerja AWS Systems Manager dengan IAM](security_iam_service-with-iam.md)
+ [Contoh kebijakan berbasis identitas AWS Systems Manager](security_iam_id-based-policy-examples.md)
+ [AWS kebijakan terkelola untuk AWS Systems Manager](security-iam-awsmanpol.md)
+ [Pemecahan masalah identitas dan akses AWS Systems Manager](security_iam_troubleshoot.md)

## Audiens
<a name="security_iam_audience"></a>

Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda berdasarkan peran Anda:
+ **Pengguna layanan** - minta izin dari administrator Anda jika Anda tidak dapat mengakses fitur (lihat [Pemecahan masalah identitas dan akses AWS Systems Manager](security_iam_troubleshoot.md))
+ **Administrator layanan** - tentukan akses pengguna dan mengirimkan permintaan izin (lihat [Cara kerja AWS Systems Manager dengan IAM](security_iam_service-with-iam.md))
+ **Administrator IAM** - tulis kebijakan untuk mengelola akses (lihat [Contoh kebijakan berbasis identitas AWS Systems Manager](security_iam_id-based-policy-examples.md))

## Mengautentikasi dengan identitas
<a name="security_iam_authentication"></a>

Otentikasi adalah cara Anda masuk AWS menggunakan kredensi identitas Anda. Anda harus diautentikasi sebagai Pengguna root akun AWS, pengguna IAM, atau dengan mengasumsikan peran IAM.

Anda dapat masuk sebagai identitas federasi menggunakan kredensil dari sumber identitas seperti AWS IAM Identity Center (Pusat Identitas IAM), otentikasi masuk tunggal, atau kredensional. Google/Facebook Untuk informasi selengkapnya tentang cara masuk, lihat [Cara masuk ke Akun AWS Anda](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dalam *Panduan Pengguna AWS Sign-In *.

Untuk akses terprogram, AWS sediakan SDK dan CLI untuk menandatangani permintaan secara kriptografis. Untuk informasi selengkapnya, lihat [AWS Signature Version 4 untuk permintaan API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dalam *Panduan Pengguna IAM*.

### Akun AWS pengguna root
<a name="security_iam_authentication-rootuser"></a>

 Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang disebut *pengguna Akun AWS root* yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Untuk tugas yang memerlukan kredensial pengguna root, lihat [Tugas yang memerlukan kredensial pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dalam *Panduan Pengguna IAM*. 

### Pengguna dan grup IAM
<a name="security_iam_authentication-iamuser"></a>

*[Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* adalah identitas dengan izin khusus untuk satu orang atau aplikasi. Sebaiknya gunakan kredensial sementara alih-alih pengguna IAM dengan kredensial jangka panjang. Untuk informasi selengkapnya, lihat [Mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) di Panduan Pengguna *IAM*.

[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) menentukan kumpulan pengguna IAM dan mempermudah pengelolaan izin untuk pengguna dalam jumlah besar. Untuk mempelajari selengkapnya, lihat [Kasus penggunaan untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dalam *Panduan Pengguna IAM*.

### Peran IAM
<a name="security_iam_authentication-iamrole"></a>

*[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* adalah identitas dengan izin khusus yang menyediakan kredensial sementara. Anda dapat mengambil peran dengan [beralih dari pengguna ke peran IAM (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) atau dengan memanggil operasi AWS CLI atau AWS API. Untuk informasi selengkapnya, lihat [Metode untuk mengambil peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dalam *Panduan Pengguna IAM*.

Peran IAM berguna untuk akses pengguna terfederasi, izin pengguna IAM sementara, akses lintas akun, akses lintas layanan, dan aplikasi yang berjalan di Amazon EC2. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.

## Mengelola akses menggunakan kebijakan
<a name="security_iam_access-manage"></a>

Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan menentukan izin saat dikaitkan dengan identitas atau sumber daya. AWS mengevaluasi kebijakan ini ketika kepala sekolah membuat permintaan. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang dokumen kebijakan JSON, lihat [Gambaran umum kebijakan JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dalam *Panduan Pengguna IAM*.

Menggunakan kebijakan, administrator menentukan siapa yang memiliki akses ke apa dengan mendefinisikan **principal** mana yang dapat melakukan **tindakan** pada **sumber daya** apa, dan dalam **kondisi** apa.

Secara default, pengguna dan peran tidak memiliki izin. Administrator IAM membuat kebijakan IAM dan menambahkannya ke peran, yang kemudian dapat diambil oleh pengguna. Kebijakan IAM mendefinisikan izin terlepas dari metode yang Anda gunakan untuk melakukan operasinya.

### Kebijakan berbasis identitas
<a name="security_iam_access-manage-id-based-policies"></a>

Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang Anda lampirkan ke identitas (pengguna, grup, atau peran). Kebijakan ini mengontrol tindakan apa yang bisa dilakukan oleh identitas tersebut, terhadap sumber daya yang mana, dan dalam kondisi apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.

Kebijakan berbasis identitas dapat berupa *kebijakan inline* (disematkan langsung ke dalam satu identitas) atau *kebijakan terkelola* (kebijakan mandiri yang dilampirkan pada banyak identitas). Untuk mempelajari cara memilih antara kebijakan terkelola dan kebijakan inline, lihat [Pilih antara kebijakan terkelola dan kebijakan inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dalam *Panduan Pengguna IAM*.

Untuk informasi tentang kebijakan AWS terkelolaSystems Manager, lihat[Kebijakan yang dikelola AWS Systems Manager](security_iam_service-with-iam.md#managed-policies).

### Kebijakan berbasis sumber daya
<a name="security_iam_access-manage-resource-based-policies"></a>

Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contohnya termasuk *kebijakan kepercayaan peran IAM* dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya.

Kebijakan berbasis sumber daya merupakan kebijakan inline yang terletak di layanan tersebut. Anda tidak dapat menggunakan kebijakan AWS terkelola dari IAM dalam kebijakan berbasis sumber daya.

### Kunci kondisi kebijakan
<a name="policy-condition-keys"></a>

Tindakan yang dapat dilakukan pengguna dan peran dan sumber daya tempat mereka dapat mengambil tindakan tersebut dapat dibatasi lebih lanjut oleh *kondisi* tertentu. 

Dalam dokumen kebijakan JSON, `Condition` elemen (atau `Condition` blok) memungkinkan Anda menentukan kondisi di mana pernyataan berlaku. Elemen `Condition` bersifat opsional. Anda dapat membuat ekspresi bersyarat yang menggunakan [operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), seperti `StringEquals` atau`StringNotLike`, untuk mencocokkan kondisi dalam kebijakan dengan nilai dalam permintaan. 

Jika Anda menentukan beberapa elemen `Condition` dalam sebuah pernyataan, atau beberapa kunci dalam elemen `Condition` tunggal, maka AWS akan mengevaluasinya menggunakan operasi `AND` logis. Jika Anda menentukan beberapa nilai untuk satu kunci kondisi, AWS mengevaluasi kondisi menggunakan `OR` operasi logis. Semua kondisi harus dipenuhi sebelum izin pernyataan diberikan.

Anda juga dapat menggunakan variabel placeholder saat menentukan kondisi. Sebagai contoh, Anda dapat memberikan izin kepada pengguna IAM untuk mengakses sumber daya hanya jika izin tersebut mempunyai tanda yang sesuai dengan nama pengguna IAM mereka. Untuk informasi selengkapnya, lihat [Elemen kebijakan IAM: variabel dan tanda](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) dalam *Panduan Pengguna IAM*. 

AWS mendukung kunci kondisi global dan kunci kondisi khusus layanan. Untuk informasi selengkapnya, lihat [Kunci konteks kondisi global AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dalam *Panduan Pengguna IAM*.

**penting**  
Jika Anda menggunakan Systems Manager Automation, kami sarankan Anda tidak menggunakan kunci SourceIp kondisi [aws:](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip) dalam kebijakan Anda. Perilaku kunci kondisi ini bergantung pada beberapa faktor, termasuk apakah peran IAM untuk eksekusi runbook Otomasi disediakan dan tindakan Otomasi yang digunakan dalam runbook. Akibatnya, kunci kondisi dapat menghasilkan perilaku yang tidak terduga. Untuk alasan ini, kami sarankan Anda tidak menggunakannya.

Systems Manager mendukung sejumlah kunci kondisinya sendiri. Untuk informasi selengkapnya, lihat [Kunci Kondisi untuk AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-policy-keys) *Referensi Otorisasi Layanan*. Tindakan dan sumber daya yang dapat Anda gunakan kunci kondisi khusus Manajer Sistem tercantum dalam [tipe sumber daya yang ditentukan oleh AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-policy-keys) dalam Referensi *Otorisasi Layanan*.

Jika polis Anda harus bergantung pada nama utama layanan yang dimiliki oleh layanan Systems Manager, kami sarankan Anda memeriksa keberadaan atau tidak keberadaannya menggunakan [kunci kondisi `aws:PrincipalServiceNamesList` multivaluasi, bukan kunci kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-single-vs-multi-valued-context-keys.html#reference_policies_condition-multi-valued-context-keys). `aws:PrincipalServiceName` Kunci `aws:PrincipalServiceName` kondisi hanya berisi satu entri dari daftar nama utama layanan dan mungkin tidak selalu menjadi nama utama layanan yang Anda harapkan. `Condition`Blok berikut menunjukkan pemeriksaan keberadaan. `ssm.amazonaws.com` 

```
{
    "Condition": {
        "ForAnyValue:StringEquals": {
            "aws:PrincipalServiceNamesList": "ssm.amazonaws.com"
        }
    }
}
```

Untuk melihat contoh identitas berbasis kebijakan Systems Manager, lihat [Contoh kebijakan berbasis identitas AWS Systems Manager](security_iam_id-based-policy-examples.md).

### Daftar kontrol akses (ACLs)
<a name="security_iam_access-manage-acl"></a>

Access control lists (ACLs) mengontrol prinsipal mana (anggota akun, pengguna, atau peran) yang memiliki izin untuk mengakses sumber daya. ACLs mirip dengan kebijakan berbasis sumber daya, meskipun mereka tidak menggunakan format dokumen kebijakan JSON.

Amazon S3, AWS WAF, dan Amazon VPC adalah contoh layanan yang mendukung. ACLs Untuk mempelajari selengkapnya ACLs, lihat [Ringkasan daftar kontrol akses (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) di *Panduan Pengembang Layanan Penyimpanan Sederhana Amazon*.

### Jenis-jenis kebijakan lain
<a name="security_iam_access-manage-other-policies"></a>

AWS mendukung jenis kebijakan tambahan yang dapat menetapkan izin maksimum yang diberikan oleh jenis kebijakan yang lebih umum:
+ **Batasan izin** – Menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Untuk informasi selengkapnya, lihat [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dalam *Panduan Pengguna IAM*.
+ **Kebijakan kontrol layanan (SCPs)** — Tentukan izin maksimum untuk organisasi atau unit organisasi di AWS Organizations. Untuk informasi selengkapnya, lihat [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dalam *Panduan Pengguna AWS Organizations *.
+ **Kebijakan kontrol sumber daya (RCPs)** — Tetapkan izin maksimum yang tersedia untuk sumber daya di akun Anda. Untuk informasi selengkapnya, lihat [Kebijakan kontrol sumber daya (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) di *Panduan AWS Organizations Pengguna*.
+ **Kebijakan sesi** – Kebijakan lanjutan yang diteruskan sebagai parameter saat membuat sesi sementara untuk peran atau pengguna terfederasi. Untuk informasi selengkapnya, lihat [Kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dalam *Panduan Pengguna IAM*.

### Berbagai jenis kebijakan
<a name="security_iam_access-manage-multiple-policies"></a>

Ketika beberapa jenis kebijakan berlaku pada suatu permintaan, izin yang dihasilkan lebih rumit untuk dipahami. Untuk mempelajari cara AWS menentukan apakah akan mengizinkan permintaan saat beberapa jenis kebijakan terlibat, lihat [Logika evaluasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) di *Panduan Pengguna IAM*.

# Cara kerja AWS Systems Manager dengan IAM
<a name="security_iam_service-with-iam"></a>

Sebelum Anda menggunakan AWS Identity and Access Management (IAM) untuk mengelola akses AWS Systems Manager, Anda harus memahami fitur IAM apa yang tersedia untuk digunakan. Systems Manager Untuk mendapatkan tampilan tingkat tinggi tentang bagaimana Systems Manager dan Layanan AWS pekerjaan lainnya dengan IAM, lihat [Layanan AWS bahwa bekerja dengan IAM di Panduan Pengguna *IAM*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).

**Topics**
+ [Kebijakan berbasis identitas Systems Manager](#security_iam_service-with-iam-id-based-policies)
+ [Systems Manager Kebijakan berbasis sumber daya](#security_iam_service-with-iam-resource-based-policies)
+ [Otorisasi berdasarkan tag Systems Manager](#security_iam_service-with-iam-tags)
+ [Peran IAM Systems Manager](#security_iam_service-with-iam-roles)

## Kebijakan berbasis identitas Systems Manager
<a name="security_iam_service-with-iam-id-based-policies"></a>

Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan tindakan dan sumber daya yang diizinkan atau ditolak, dan juga ketentuan di mana tindakan tersebut diperbolehkan atau ditolak. Systems Manager mendukung tindakan, sumber daya, dan kunci kondisi tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam kebijakan JSON, lihat [Referensi elemen kebijakan IAM JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dalam *Panduan Pengguna IAM*.

### Tindakan
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.

Elemen `Action` dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.

Tindakan kebijakan di Systems Manager menggunakan prefiks berikut sebelum tindakan: `ssm:`. Misalnya, untuk memberikan izin kepada seseorang untuk membuat Systems Manager parameter (parameter SSM) dengan operasi Systems Manager `PutParameter` API, Anda menyertakan `ssm:PutParameter` tindakan tersebut dalam kebijakan mereka. Pernyataan kebijakan harus menyertakan elemen `Action` atau `NotAction`. Systems Manager menentukan set tindakan sendiri yang menjelaskan tugas yang dapat Anda lakukan dengan layanan ini.

Untuk menetapkan beberapa tindakan dalam satu pernyataan, pisahkan tindakan-tindakan tersebut menggunakan koma seperti berikut:

```
"Action": [
      "ssm:action1",
      "ssm:action2"
]
```

**catatan**  
Alat-alat berikut AWS Systems Manager menggunakan awalan yang berbeda sebelum tindakan.  
AWS AppConfig menggunakan awalan `appconfig:` sebelum tindakan.
Manajer Insiden menggunakan awalan `ssm-incidents:` atau `ssm-contacts:` sebelum tindakan.
Systems Manager GUI Connect menggunakan awalan `ssm-guiconnect:` sebelum tindakan.
Quick Setupmenggunakan awalan `ssm-quicksetup:` sebelum tindakan.

Anda dapat menentukan beberapa tindakan menggunakan wildcard (\$1). Sebagai contoh, untuk menentukan semua tindakan yang dimulai dengan kata `Describe`, sertakan tindakan berikut:

```
"Action": "ssm:Describe*"
```



Untuk melihat daftar tindakan Systems Manager, lihat [Tindakan yang Ditentukan oleh AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-actions-as-permissions) dalam *Referensi Otorisasi Layanan*.

### Sumber daya
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.

Elemen kebijakan JSON `Resource` menentukan objek yang menjadi target penerapan tindakan. Praktik terbaiknya, tentukan sumber daya menggunakan [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, gunakan wildcard (\$1) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.

```
"Resource": "*"
```



Misalnya, sumber daya jendela Systems Manager pemeliharaan memiliki format ARN berikut.

```
arn:aws:ssm:region:account-id:maintenancewindow/window-id
```

Untuk menentukan jendela pemeliharaan MW-0C50858D01Example dalam pernyataan Anda di Wilayah AS Timur (Ohio), Anda akan menggunakan ARN yang mirip dengan yang berikut ini.

```
"Resource": "arn:aws:ssm:us-east-2:123456789012:maintenancewindow/mw-0c50858d01EXAMPLE"
```

Untuk menentukan semua windowa pemeliharaan milik akun tertentu, gunakan wildcard (\$1).

```
"Resource": "arn:aws:ssm:region:123456789012:maintenancewindow/*"
```

Untuk operasi `Parameter Store` API, Anda dapat menyediakan atau membatasi akses ke semua parameter dalam satu tingkat hierarki dengan menggunakan nama hierarkis dan kebijakan AWS Identity and Access Management (IAM) sebagai berikut.

```
"Resource": "arn:aws:ssm:region:123456789012:parameter/Dev/ERP/Oracle/*"
```

Beberapa tindakan Systems Manager, seperti tindakan untuk membuat sumber daya, tidak dapat dilakukan pada sumber daya tertentu. Dalam kasus tersebut, Anda harus menggunakan wildcard (\$1).

```
"Resource": "*"
```

Beberapa operasi Systems Manager API menerima banyak sumber daya. Untuk menentukan beberapa sumber daya dalam satu pernyataan, pisahkan ARNs dengan koma sebagai berikut.

```
"Resource": [
      "resource1",
      "resource2"
```

**catatan**  
Sebagian besar Layanan AWS memperlakukan titik dua (:) atau garis miring (/) sebagai karakter yang sama di ARNs. Namun, Systems Manager membutuhkan kecocokan yang tepat dalam pola dan aturan sumber daya. Saat membuat pola peristiwa, pastikan untuk menggunakan karakter ARN yang benar sehingga cocok dengan ARN sumber daya.

Tabel di bawah ini menjelaskan format ARN untuk jenis sumber daya yang didukung oleh. Systems Manager

**catatan**  
Perhatikan pengecualian berikut untuk format ARN.  
Alat-alat berikut AWS Systems Manager menggunakan awalan yang berbeda sebelum tindakan.  
AWS AppConfig menggunakan awalan `appconfig:` sebelum tindakan.
Manajer Insiden menggunakan awalan `ssm-incidents:` atau `ssm-contacts:` sebelum tindakan.
Systems Manager GUI Connect menggunakan awalan `ssm-guiconnect` sebelum tindakan.
Dokumen dan sumber daya definisi otomatisasi yang dimiliki oleh Amazon, serta parameter publik yang disediakan oleh Amazon dan sumber pihak ketiga, tidak menyertakan akun IDs dalam format ARN mereka. Contoh:  
Dokumen `AWS-RunPatchBaseline` SSM:  
`arn:aws:ssm:us-east-2::document/AWS-RunPatchBaseline` 
Runbook `AWS-ConfigureMaintenanceWindows` otomatisasi:   
`arn:aws:ssm:us-east-2::automation-definition/AWS-ConfigureMaintenanceWindows`
Parameter publik`/aws/service/bottlerocket/aws-ecs-1-nvidia/x86_64/1.13.4/image_version`:   
`arn:aws:ssm:us-east-2::parameter/aws/service/bottlerocket/aws-ecs-1-nvidia/x86_64/1.13.4/image_version`
Untuk informasi selengkapnya tentang ketiga jenis sumber daya ini, lihat topik berikut:  
[Bekerja dengan dokumen](documents-using.md)
[Jalankan operasi otomatis yang didukung oleh Systems Manager Automation](running-simple-automations.md)
[Bekerja dengan parameter publik di Parameter Store](parameter-store-public-parameters.md)
Quick Setupmenggunakan awalan `ssm-quicksetup:` sebelum tindakan.


| Tipe sumber daya | Format ARN | 
| --- | --- | 
| Aplikasi (AWS AppConfig) | arn:aws:appconfig: ::aplikasi/ region account-id application-id | 
| Asosiasi | arn:aws:ssm: ::asosiasi/regionaccount-idassociation-id | 
| Eksekusi otomatisasi | arn:aws:ssm: ::otomasi-eksekusi/regionaccount-idautomation-execution-id | 
| Definisi otomatisasi (dengan versi subsumber daya) |  **arn:aws:ssm: ::otomasi-definisi/: 1 *region* *account-id* *automation-definition-id* *version-id***  | 
| Profil konfigurasi (AWS AppConfig) | arn:aws:appconfig: ::application/ /configurationprofile/ region account-id application-id configurationprofile-id | 
| Kontak (Manajer Insiden) |  arn:aws:ssm-kontak: ::kontak/*region**account-id**contact-alias*  | 
| Strategi penyebaran ()AWS AppConfig | arn:aws:appconfig: ::deploymentstrategy/ region account-id deploymentstrategy-id | 
| Dokumen |  arn:aws:ssm: ::dokumen/*region**account-id**document-name*  | 
| Lingkungan (AWS AppConfig) | arn:aws:appconfig: ::aplikasi//lingkungan/regionaccount-idapplication-idenvironment-id | 
| Insiden |  arn:aws:ssm-insiden: ::catatan insiden/*region**account-id**response-plan-name**incident-id*  | 
| Periode pemeliharaan |  arn:aws:ssm: ::maintenance window/ *region* *account-id* *window-id*  | 
| Node terkelola |  arn:aws:ssm: ::instance-manage/ *region* *account-id* *managed-node-id*  | 
| Inventaris simpul terkelola | arn:aws:ssm:::/regionaccount-idmanaged-instance-inventorymanaged-node-id | 
| OpsItem | arn:aws:ssm: ::opsitem/regionaccount-idOpsItem-id | 
| Parameter |  Parameter satu tingkat: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/security_iam_service-with-iam.html) Parameter bernama dengan konstruksi hierarkis: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/security_iam_service-with-iam.html)  | 
| Garis dasar patch |  arn:aws:ssm: ::patchbaseline/*region**account-id**patch-baseline-id*   | 
| Rencana respons |  arn:aws:ssm-insiden: ::respons-plan/ *region* *account-id* *response-plan-name*  | 
| Sesi |  **arn:aws:ssm: ::sesi/ 3 *region* *account-id* *session-id***  | 
|  Semua sumber daya Systems Manager  |  arn:aws:ssm:\$1  | 
|  Semua Systems Manager sumber daya yang dimiliki oleh yang ditentukan Akun AWS dalam yang ditentukan Wilayah AWS  |  arn:aws:ssm::: \$1 *region* *account-id*  | 

**catatan**  
Sumber daya definisi otomatisasi tidak digunakan lagi. Harap perbarui kebijakan IAM Anda untuk menyertakan izin untuk `ssm:StartAutomationExecution` atau `ssm:StartChangeRequestExecution` aktif `document` dan `automation-execution` sumber daya. Untuk melihat praktik dan contoh terbaik untuk menyiapkan izin IAM, lihat panduan pengguna [contoh kebijakan Menyiapkan identitas](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-setup-identity-based-policies.html) kami. 

**1** Untuk definisi otomatisasi, Systems Manager mendukung sumber daya tingkat kedua, ID *versi*. *Pada tahun AWS, sumber daya tingkat kedua ini dikenal sebagai subsumber daya.* Menentukan versi subsumber daya untuk sumber definisi otomatisasi memungkinkan Anda untuk menyediakan akses ke versi tertentu dari definisi otomatisasi. Misalnya, Anda mungkin ingin memastikan bahwa hanya versi terbaru dari definisi otomatisasi yang digunakan dalam manajemen node Anda.

**2** Untuk mengatur dan mengelola parameter, Anda dapat membuat nama untuk parameter dengan konstruksi hierarkis. Dengan konstruksi hirarkis, nama parameter dapat mencakup jalur yang Anda tentukan dengan menggunakan garis miring ke depan. Anda dapat menyebutkan sumber daya parameter maksimum lima belas tingkat. Kami menyarankan agar Anda membuat hierarki yang mencerminkan struktur hierarkis yang ada di lingkungan Anda. Untuk informasi selengkapnya, lihat [Membuat Parameter Store parameter di Systems Manager](sysman-paramstore-su-create.md).

**3** Dalam kebanyakan kasus, ID sesi dibuat menggunakan ID pengguna akun yang memulai sesi, ditambah akhiran alfanumerik. Contoh:

```
arn:aws:us-east-2:111122223333:session/JohnDoe-1a2b3c4sEXAMPLE
```

Namun, jika ID pengguna tidak tersedia, ARN dibangun dengan cara ini sebagai gantinya:

```
arn:aws:us-east-2:111122223333:session/session-1a2b3c4sEXAMPLE
```

Untuk informasi selengkapnya tentang format ARNs, lihat [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) di *Referensi Umum Amazon Web Services*.

Untuk daftar jenis sumber daya dan jenis Systems Manager sumber daya ARNs, lihat [Sumber Daya yang Ditentukan oleh AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-resources-for-iam-policies) dalam *Referensi Otorisasi Layanan*. Untuk mempelajari dengan tindakan mana Anda dapat menentukan ARN setiap sumber daya, lihat [Tindakan yang ditentukan oleh AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-actions-as-permissions).<a name="policy-conditions"></a>

### Kunci kondisi untuk Systems Manager
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **principal** dapat melakukan **tindakan** pada suatu **sumber daya**, dan dalam suatu **syarat**.

Elemen `Condition` menentukan ketika pernyataan dieksekusi berdasarkan kriteria yang ditetapkan. Anda dapat membuat ekspresi bersyarat yang menggunakan [operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.



Untuk melihat daftar kunci syarat Systems Manager, lihat [Kunci Syarat untuk AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-policy-keys) dalam *Referensi Otorisasi Layanan*. Untuk mempelajari tindakan dan sumber daya mana yang dapat Anda gunakan kunci syarat, lihat [Tindakan yang Ditentukan oleh AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-actions-as-permissions).

Untuk informasi tentang penggunaan kunci kondisi `ssm:resourceTag/*`, lihat topik berikut:
+ [Membatasi akses ke perintah tingkat root melalui SSM Agent](ssm-agent-restrict-root-level-commands.md)
+ [Membatasi Run Command akses berdasarkan tag](run-command-setting-up.md#tag-based-access) 
+ [Batasi akses sesi berdasarkan tag instance](getting-started-restrict-access-examples.md#restrict-access-example-instance-tags)

Untuk informasi tentang menggunakan tombol `ssm:Recursive``ssm:Policies`,, dan `ssm:Overwrite` kondisi, lihat[Mencegah akses ke operasi Parameter Store API](parameter-store-policy-conditions.md).

### Contoh
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>



Untuk melihat contoh kebijakan berbasis identitas Systems Manager, lihat [Contoh kebijakan berbasis identitas AWS Systems Manager](security_iam_id-based-policy-examples.md).

## Systems Manager Kebijakan berbasis sumber daya
<a name="security_iam_service-with-iam-resource-based-policies"></a>

Lainnya Layanan AWS, seperti Amazon Simple Storage Service (Amazon S3), mendukung kebijakan izin berbasis sumber daya. Misalnya, Anda dapat melampirkan kebijakan izin ke bucket S3 untuk mengelola izin akses ke bucket tersebut. 

Systems Manager tidak mendukung kebijakan berbasis sumber daya.

## Otorisasi berdasarkan tag Systems Manager
<a name="security_iam_service-with-iam-tags"></a>

Anda dapat melampirkan tanda ke sumber daya Systems Manager atau meneruskan tanda dalam sebuah permintaan ke Systems Manager. Untuk mengontrol akses berdasarkan tag, Anda memberikan informasi tag di [elemen kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) kebijakan menggunakan kunci kondisi `ssm:resourceTag/key-name`, `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, atau `aws:TagKeys`. Anda dapat menambahkan tag ke jenis sumber daya berikut saat Anda membuat atau memperbaruinya:
+ Dokumen
+ Node terkelola
+ Periode pemeliharaan
+ Parameter
+ Garis dasar patch
+ OpsItem

Untuk melihat contoh kebijakan berbasis identitas untuk membatasi akses ke sumber daya berdasarkan tanda pada sumber daya tersebut, lihat [Melihat Systems Manager dokumen berdasarkan tag](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-documents-tags).

## Peran IAM Systems Manager
<a name="security_iam_service-with-iam-roles"></a>

[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) adalah entitas di dalam Anda Akun AWS yang memiliki izin khusus.

### Menggunakan kredensial sementara dengan Systems Manager
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

Anda dapat menggunakan kredensial sementara untuk masuk dengan gabungan, menjalankan IAM role, atau menjalankan peran lintas akun. Anda memperoleh kredensyal keamanan sementara dengan memanggil AWS Security Token Service (AWS STS) operasi API seperti [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)atau. [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)

Systems Manager mendukung penggunaan kredensial sementara. 

### Peran terkait layanan
<a name="security_iam_service-with-iam-roles-service-linked"></a>

[Peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) memungkinkan Layanan AWS untuk mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran terkait layanan tercantum dalam akun IAM Anda dan dimiliki oleh layanan tersebut. Administrator dapat melihat tetapi tidak dapat mengedit izin untuk peran yang terkait dengan layanan.

Systems Manager mendukung peran terkait layanan Untuk informasi selengkapnya tentang cara membuat atau mengelola peran terkait layanan Systems Manager, lihat [Menggunakan peran terkait layanan untuk Systems Manager](using-service-linked-roles.md).

### Peran layanan
<a name="security_iam_service-with-iam-roles-service"></a>

Fitur ini memungkinkan layanan untuk menerima [peran layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) atas nama Anda. Peran ini memungkinkan layanan mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran layanan ditampilkan dalam akun IAM Anda dan dimiliki oleh akun tersebut. Ini berarti bahwa administrator dapat mengubah izin untuk peran ini. Namun, melakukannya mungkin merusak fungsi layanan.

Systems Manager mendukung peran layanan 

### Memilih IAM role dalam Systems Manager
<a name="security_iam_service-with-iam-roles-choose"></a>

Systems ManagerAgar dapat berinteraksi dengan node terkelola Anda, Anda harus memilih peran yang Systems Manager memungkinkan mengakses node atas nama Anda. Jika sebelumnya Anda telah membuat peran layanan atau peran terkait layanan, Systems Manager berikan daftar peran yang dapat dipilih. Penting untuk memilih peran yang memungkinkan akses untuk memulai dan menghentikan node yang dikelola. 

Untuk mengakses instans EC2, Anda harus mengonfigurasi izin instans. Untuk selengkapnya, lihat [Mengonfigurasi izin instans yang diperlukan untuk Systems Manager](setup-instance-permissions.md). 

Untuk mengakses node non-EC2 dalam [hybrid dan multicloud](operating-systems-and-machine-types.md#supported-machine-types), peran yang Anda Akun AWS butuhkan adalah peran layanan IAM. Untuk selengkapnya, lihat [Membuat peran layanan IAM yang diperlukan untuk Systems Manager di lingkungan hybrid dan multicloud](hybrid-multicloud-service-role.md).

Alur kerja otomatisasi dapat dimulai di bawah konteks peran layanan (atau peran asumsi). Hal ini mengizinkan layanan untuk kemudian melakukan tindakan atas nama Anda. Jika Anda tidak menentukan peran asumsi, otomatisasi menggunakan konteks pengguna yang dipanggil eksekusi. Namun, situasi tertentu mengharuskan Anda menentukan peran layanan untuk otomatisasi. Untuk informasi selengkapnya, lihat [Mengonfigurasi akses peran layanan (peran asumsi) untuk otomatisasi](automation-setup.md#automation-setup-configure-role).

### Kebijakan yang dikelola AWS Systems Manager
<a name="managed-policies"></a>

AWS mengatasi banyak kasus penggunaan umum dengan menyediakan kebijakan IAM mandiri yang dibuat dan dikelola oleh. AWS*Kebijakan terkelola AWS * ini memberikan izin yang diperlukan untuk kasus penggunaan umum sehingga Anda tidak perlu menyelidiki izin mana yang diperlukan. (Anda juga dapat membuat kebijakan IAM kustom Anda sendiri untuk mengizinkan izin Systems Manager tindakan dan sumber daya.) 

Untuk informasi selengkapnya tentang kebijakan terkelola untuk Systems Manager, lihat [AWS kebijakan terkelola untuk AWS Systems Manager](security-iam-awsmanpol.md)

Untuk informasi umum tentang kebijakan terkelola, lihat [kebijakan AWS terkelola](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) di *Panduan Pengguna IAM*.

# Contoh kebijakan berbasis identitas AWS Systems Manager
<a name="security_iam_id-based-policy-examples"></a>

Secara default, entitas AWS Identity and Access Management (IAM) (pengguna dan peran) tidak memiliki izin untuk membuat atau memodifikasi AWS Systems Manager sumber daya. Mereka juga tidak dapat melakukan tugas menggunakan konsol Systems Manager, AWS Command Line Interface (AWS CLI), atau AWS API. Administrator harus membuat kebijakan IAM yang memberikan izin kepada pengguna dan peran untuk melakukan operasi API tertentu pada sumber daya tertentu yang mereka butuhkan. Administrator kemudian harus melampirkan kebijakan tersebut ke pengguna atau grup yang memerlukan izin tersebut.

Berikut ini adalah contoh kebijakan izin yang memungkinkan pengguna untuk menghapus dokumen dengan nama yang dimulai dengan **MyDocument-** di AS Timur (Ohio) (us-east-2). Wilayah AWS

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement" : [
    {
      "Effect" : "Allow",
      "Action" : [
        "ssm:DeleteDocument"
      ],
      "Resource" : [
        "arn:aws:ssm:us-east-1:111122223333:document/MyDocument-*"
      ]
    }
  ]
}
```

------

*Untuk mempelajari cara membuat kebijakan berbasis identitas IAM menggunakan contoh dokumen Kebijakan JSON ini, lihat [Membuat kebijakan IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor).*

**Topics**
+ [Praktik terbaik kebijakan](#security_iam_service-with-iam-policy-best-practices)
+ [Contoh: Izin untuk menggunakan Systems Manager konsol](#security_iam_id-based-policy-examples-console)
+ [Contoh: Izin untuk mengizinkan pengguna melihat izin mereka sendiri](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Contoh: Izin untuk membaca dan menjelaskan parameter individual](#security_iam_id-based-policy-examples-view-one-parameter)
+ [Pencegahan "confused deputy" lintas layanan](cross-service-confused-deputy-prevention.md)
+ [Contoh kebijakan yang dikelola pelanggan](#customer-managed-policies)
+ [Melihat Systems Manager dokumen berdasarkan tag](#security_iam_id-based-policy-examples-view-documents-tags)

## Praktik terbaik kebijakan
<a name="security_iam_service-with-iam-policy-best-practices"></a>

Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus sumber daya Systems Manager yang ada di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
+ **Mulailah dengan kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit — Untuk mulai memberikan izin** kepada pengguna dan beban kerja Anda, gunakan *kebijakan AWS terkelola* yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Anda Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola AWS pelanggan yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat [Kebijakan yang dikelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) atau [Kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dalam *Panduan Pengguna IAM*.
+ **Menerapkan izin dengan hak akses paling rendah** – Ketika Anda menetapkan izin dengan kebijakan IAM, hanya berikan izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai *izin dengan hak akses paling rendah*. Untuk informasi selengkapnya tentang cara menggunakan IAM untuk mengajukan izin, lihat [Kebijakan dan izin dalam IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan kondisi dalam kebijakan IAM untuk membatasi akses lebih lanjut** – Anda dapat menambahkan suatu kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Sebagai contoh, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakan SSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui yang spesifik Layanan AWS, seperti CloudFormation. Untuk informasi selengkapnya, lihat [Elemen kebijakan JSON IAM: Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk memastikan izin yang aman dan fungsional** – IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan tersebut mematuhi bahasa kebijakan IAM (JSON) dan praktik terbaik IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat [Validasi kebijakan dengan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dalam *Panduan Pengguna IAM*.
+ **Memerlukan otentikasi multi-faktor (MFA)** - Jika Anda memiliki skenario yang mengharuskan pengguna IAM atau pengguna root di Anda, Akun AWS aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA ketika operasi API dipanggil, tambahkan kondisi MFA pada kebijakan Anda. Untuk informasi selengkapnya, lihat [Amankan akses API dengan MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dalam *Panduan Pengguna IAM*.

Untuk informasi selengkapnya tentang praktik terbaik dalam IAM, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.

## Contoh: Izin untuk menggunakan Systems Manager konsol
<a name="security_iam_id-based-policy-examples-console"></a>

Untuk mengakses konsol Systems Manager, Anda harus memiliki rangkaian izin minimum. Izin ini harus memungkinkan Anda untuk membuat daftar dan melihat detail tentang Systems Manager sumber daya dan sumber daya lainnya di Anda Akun AWS. 

Jika Anda membuat kebijakan berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana dimaksud untuk entitas IAM (pengguna atau peran) dengan kebijakan tersebut.

Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau AWS API. Sebagai alternatif, hanya izinkan akses ke tindakan yang cocok dengan operasi API yang sedang Anda coba lakukan.

Untuk memastikan bahwa pengguna dan peran masih dapat menggunakan konsol Systems Manager, lampirkan juga kebijakan [Amazon SSMFull Access](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMFullAccess.html) atau [Amazon](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html) yang SSMRead OnlyAccess AWS dikelola ke entitas. Untuk informasi selengkapnya, lihat [Menambah izin untuk pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*.

## Contoh: Izin untuk mengizinkan pengguna melihat izin mereka sendiri
<a name="security_iam_id-based-policy-examples-view-own-permissions"></a>

Contoh ini menunjukkan cara membuat kebijakan yang mengizinkan pengguna IAM melihat kebijakan inline dan terkelola yang dilampirkan ke identitas pengguna mereka. Kebijakan ini mencakup izin untuk menyelesaikan tindakan ini di konsol atau menggunakan API atau secara terprogram. AWS CLI AWS 

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```

## Contoh: Izin untuk membaca dan menjelaskan parameter individual
<a name="security_iam_id-based-policy-examples-view-one-parameter"></a>

**Example Baca dan jelaskan satu parameter**  
Anda dapat memberikan akses ke parameter dengan melampirkan kebijakan berikut ke identitas.    
****  

```
{
"Version":"2012-10-17",		 	 	 
"Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "ssm:GetParameter",
      "ssm:DescribeParameters"
      ],
    "Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/parameter-name"
  }
]
}
```

# Pencegahan "confused deputy" lintas layanan
<a name="cross-service-confused-deputy-prevention"></a>

Masalah "confused deputy" adalah masalah keamanan di mana entitas yang tidak memiliki izin untuk melakukan tindakan dapat memengaruhi entitas yang memiliki hak akses lebih tinggi untuk melakukan tindakan. Pada tahun AWS, peniruan lintas layanan dapat mengakibatkan masalah wakil yang membingungkan. Peniruan identitas lintas layanan dapat terjadi ketika satu layanan (*layanan yang dipanggil*) memanggil layanan lain (*layanan yang dipanggil*). Layanan pemanggilan dapat dimanipulasi menggunakan izinnya untuk bertindak pada sumber daya pelanggan lain dengan cara yang seharusnya tidak dilakukannya kecuali bila memiliki izin untuk mengakses. Untuk mencegah hal ini, AWS sediakan alat yang membantu Anda melindungi data Anda untuk semua layanan dengan prinsip layanan yang telah diberikan akses ke sumber daya di akun Anda. 

Kami merekomendasikan penggunaan kunci konteks kondisi global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) dan [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) dalam kebijakan sumber daya untuk membatasi izin yang diberikan oleh AWS Systems Manager ke layanan lain untuk mengakses sumber daya. Jika `aws:SourceArn` nilai tidak berisi ID akun, seperti Nama Sumber Daya Amazon (ARN) untuk bucket S3, Anda harus menggunakan kedua kunci konteks kondisi global untuk membatasi izin. Jika Anda menggunakan kunci konteks kondisi global dan nilai `aws:SourceArn` berisi ID akun, nilai `aws:SourceAccount` dan akun dalam nilai `aws:SourceArn` harus menggunakan ID akun yang sama saat digunakan dalam pernyataan kebijakan yang sama. Gunakan `aws:SourceArn` jika Anda ingin hanya satu sumber daya yang akan dikaitkan dengan akses lintas layanan. Gunakan `aws:SourceAccount` jika Anda ingin mengizinkan sumber daya apa pun di akun tersebut dikaitkan dengan penggunaan lintas layanan.

Bagian berikut memberikan contoh kebijakan untuk AWS Systems Manager alat.

## Contoh kebijakan aktivasi hibrida
<a name="cross-service-confused-deputy-prevention-hybrid"></a>

Untuk peran layanan yang digunakan dalam [aktivasi hibrida](activations.md), nilai `aws:SourceArn` harus ARN dari. Akun AWS Pastikan untuk menentukan Wilayah AWS di ARN tempat Anda membuat aktivasi hybrid Anda. Jika Anda tidak mengetahui ARN lengkap sumber daya atau jika Anda menentukan beberapa sumber daya, gunakan kunci kondisi konteks `aws:SourceArn` global dengan wildcard (`*`) untuk bagian ARN yang tidak diketahui. Misalnya, `arn:aws:ssm:*:region:123456789012:*`.

Contoh berikut menunjukkan penggunaan `aws:SourceArn` dan kunci konteks kondisi `aws:SourceAccount` global untuk Otomasi untuk mencegah masalah wakil yang membingungkan di Wilayah Timur AS (Ohio) (us-east-2).

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Sid":"",
         "Effect":"Allow",
         "Principal":{
            "Service":"ssm.amazonaws.com"
         },
         "Action":"sts:AssumeRole",
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":"123456789012"
            },
            "ArnEquals":{
               "aws:SourceArn":"arn:aws:ssm:us-east-1:123456789012:*"
            }
         }
      }
   ]
}
```

------

## Contoh kebijakan sinkronisasi data sumber daya
<a name="cross-service-confused-deputy-prevention-rds"></a>

InventarisExplorer, dan Kepatuhan Systems Manager memungkinkan Anda membuat sinkronisasi data sumber daya untuk memusatkan penyimpanan data operasi (OpsData) di bucket Amazon Simple Storage Service pusat. Jika Anda ingin mengenkripsi sinkronisasi data sumber daya dengan menggunakan AWS Key Management Service (AWS KMS), Anda harus membuat kunci baru yang menyertakan kebijakan berikut, atau Anda harus memperbarui kunci yang ada dan menambahkan kebijakan ini ke dalamnya. Kunci `aws:SourceArn` dan `aws:SourceAccount` kondisi dalam kebijakan ini mencegah masalah wakil yang membingungkan. Berikut adalah contoh kebijakan.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "ssm-access-policy",
    "Statement": [
        {
            "Sid": "ssm-access-policy-statement",
            "Action": [
                "kms:GenerateDataKey"
            ],
            "Effect": "Allow",
            "Principal": {
                "Service": "ssm.amazonaws.com"
            },
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/KMS_key_id",
            "Condition": {
                "StringLike": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:ssm:*:123456789012:role/aws-service-role/ssm.amazonaws.com/AWSServiceRoleForAmazonSSM"
                }
            }
        }
    ]
}
```

------

**catatan**  
ARN dalam contoh kebijakan memungkinkan sistem untuk mengenkripsi OpsData dari semua sumber kecuali. AWS Security Hub CSPM Jika Anda perlu mengenkripsi data CSPM Security Hub, misalnya jika Anda menggunakannya Explorer untuk mengumpulkan data CSPM Security Hub, maka Anda harus melampirkan kebijakan tambahan yang menentukan ARN berikut:  
`"aws:SourceArn": "arn:aws:ssm:*:account-id:role/aws-service-role/opsdatasync.ssm.amazonaws.com/AWSServiceRoleForSystemsManagerOpsDataSync"` 

## Contoh kebijakan yang dikelola pelanggan
<a name="customer-managed-policies"></a>

Anda dapat membuat kebijakan mandiri yang Anda kelola di Akun AWS Anda. Kami menyebut ini sebagai *Kebijakan terkelola pelanggan*. Anda dapat melampirkan kebijakan ini ke beberapa entitas utama di Anda Akun AWS. Saat Anda melampirkan kebijakan pada entitas prinsipal, Anda memberikan entitas sebuah izin yang ditentukan dalam kebijakan. Untuk informasi selengkapnya, lihat [contoh kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) di *[Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/)*.

Contoh kebijakan pengguna berikut memberikan izin untuk berbagai tindakan Systems Manager. Gunakan mereka untuk membatasi Systems Manager akses untuk entitas IAM Anda (pengguna dan peran). Kebijakan ini berfungsi saat melakukan tindakan di Systems Manager API AWS SDKs, atau AWS CLI. Untuk pengguna yang menggunakan konsol, Anda perlu memberikan izin tambahan khusus untuk konsol. Untuk informasi selengkapnya, lihat [Contoh: Izin untuk menggunakan Systems Manager konsol](#security_iam_id-based-policy-examples-console).

**catatan**  
Semua contoh menggunakan Wilayah Barat AS (Oregon) (us-west-2) dan berisi akun fiktif. IDs ID akun tidak boleh ditentukan dalam Nama Sumber Daya Amazon (ARN) untuk dokumen AWS publik (dokumen yang dimulai dengan`AWS-*`).

 **Contoh** 
+  [Contoh 1: Izinkan pengguna untuk melakukan Systems Manager operasi di satu Wilayah](#identity-based-policies-example-1) 
+  [Contoh 2: Memungkinkan pengguna untuk mendaftarkan dokumen untuk satu Wilayah](#identity-based-policies-example-2) 

### Contoh 1: Izinkan pengguna untuk melakukan Systems Manager operasi di satu Wilayah
<a name="identity-based-policies-example-1"></a>

Contoh berikut memberikan izin untuk melakukan Systems Manager operasi hanya di Wilayah AS Timur (Ohio) (us-east-2).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:*"
            ],
            "Resource": [
                "arn:aws:ssm:us-east-1:111122223333:*"
            ]
        }
    ]
}
```

------

### Contoh 2: Memungkinkan pengguna untuk mendaftarkan dokumen untuk satu Wilayah
<a name="identity-based-policies-example-2"></a>

Contoh berikut memberikan izin untuk mencantumkan semua nama dokumen yang dimulai dengan **Update** di Wilayah AS Timur (Ohio) (us-east-2).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:ListDocuments"
            ],
            "Resource": [
                "arn:aws:ssm:us-east-1:111122223333:document/Update*"
            ]
        }
    ]
}
```

------

### Contoh 3: Izinkan pengguna menggunakan dokumen SSM tertentu untuk menjalankan perintah pada node tertentu
<a name="identity-based-policies-example-3"></a>

Contoh berikut kebijakan IAM memungkinkan pengguna untuk melakukan hal berikut di Wilayah AS Timur (Ohio) (us-east-2):
+ Daftar Systems Manager dokumen (dokumen SSM) dan versi dokumen.
+ Lihat detail tentang dokumen.
+ Kirim perintah menggunakan dokumen yang telah ditentukan dalam kebijakan. Nama dokumen ditentukan oleh entri berikut.

  ```
  arn:aws:ssm:us-east-2:aws-account-ID:document/Systems-Manager-document-name
  ```
+ Kirim perintah ke tiga node. Node ditentukan oleh entri berikut di `Resource` bagian kedua.

  ```
  "arn:aws:ec2:us-east-2:aws-account-ID:instance/i-02573cafcfEXAMPLE",
  "arn:aws:ec2:us-east-2:aws-account-ID:instance/i-0471e04240EXAMPLE",
  "arn:aws:ec2:us-east-2:aws-account-ID:instance/i-07782c72faEXAMPLE"
  ```
+ Melihat rincian tentang perintah setelah dikirim.
+ Mulai dan hentikan alur kerja di Otomasi, alat di AWS Systems Manager.
+ Dapatkan informasi tentang alur kerja Otomatisasi.

Jika Anda ingin memberikan izin pengguna untuk menggunakan dokumen ini untuk mengirim perintah pada setiap node yang pengguna memiliki akses, Anda dapat menentukan entri yang mirip dengan berikut di `Resource` bagian dan menghapus entri node lainnya. Contoh berikut menggunakan Wilayah Timur AS (Ohio) (us-east-2).

```
"arn:aws:ec2:us-east-2:*:instance/*"
```

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "ssm:ListDocuments",
                "ssm:ListDocumentVersions",
                "ssm:DescribeDocument",
                "ssm:GetDocument",
                "ssm:DescribeInstanceInformation",
                "ssm:DescribeDocumentParameters",
                "ssm:DescribeInstanceProperties"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "ssm:SendCommand",
            "Effect": "Allow",
            "Resource": [
                "arn:aws:ec2:us-east-1:111122223333:instance/i-02573cafcfEXAMPLE",
                "arn:aws:ec2:us-east-1:111122223333:instance/i-0471e04240EXAMPLE",
                "arn:aws:ec2:us-east-1:111122223333:instance/i-07782c72faEXAMPLE",
                
                "arn:aws:ssm:us-east-1:111122223333:document/Systems-Manager-document-name"
            ]
        },
        {
            "Action": [
                "ssm:CancelCommand",
                "ssm:ListCommands",
                "ssm:ListCommandInvocations"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "ec2:DescribeInstanceStatus",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "ssm:StartAutomationExecution",
            "Effect": "Allow",
            "Resource": [
                "arn:aws:ssm:us-east-1:111122223333:document/*",
                "arn:aws:ssm:us-east-1:111122223333:automation-execution/*"
            ]
        },
        {
            "Action": "ssm:DescribeAutomationExecutions",
            "Effect": "Allow",
            "Resource": [
                "*"
            ]
        },
        {
            "Action": [
                "ssm:StopAutomationExecution",
                "ssm:GetAutomationExecution"
            ],
            "Effect": "Allow",
            "Resource": [
                "*"
            ]
        }
    ]
}
```

------

## Melihat Systems Manager dokumen berdasarkan tag
<a name="security_iam_id-based-policy-examples-view-documents-tags"></a>

Anda dapat menggunakan syarat dalam kebijakan berbasis identitas Anda untuk mengontrol akses ke sumber daya Systems Manager berdasarkan tanda. Contoh ini menunjukkan cara bagaimana Anda dapat membuat kebijakan yang memperbolehkan melihat dokumen SSM. Namun, izin diberikan hanya jika tag dokumen `Owner` memiliki nilai nama pengguna dari pengguna tersebut. Kebijakan ini juga memberi izin yang diperlukan untuk menyelesaikan tindakan ini pada konsol tersebut.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ListDocumentsInConsole",
            "Effect": "Allow",
            "Action": "ssm:ListDocuments",
            "Resource": "*"
        },
        {
            "Sid": "ViewDocumentIfOwner",
            "Effect": "Allow",
            "Action": "ssm:GetDocument",
            "Resource": "arn:aws:ssm:*:*:document/*",
            "Condition": {
                "StringEquals": {"ssm:ResourceTag/Owner": "${aws:username}"}
            }
        }
    ]
}
```

------

Anda dapat melampirkan kebijakan ini ke pengguna di akun Anda. Jika pengguna bernama `richard-roe` mencoba untuk melihat Systems Manager dokumen, dokumen harus ditandai `Owner=richard-roe` atau`owner=richard-roe`. Jika tidak, mereka ditolak aksesnya. Kunci tag kondisi `Owner` cocok dengan `Owner` dan `owner` karena nama kunci kondisi tidak terpengaruh huruf besar/kecil. Untuk informasi selengkapnya, lihat [Elemen kebijakan JSON IAM: Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.

# AWS kebijakan terkelola untuk AWS Systems Manager
<a name="security-iam-awsmanpol"></a>





Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.

Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan [kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) yang khusus untuk kasus penggunaan Anda.

Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pemutakhiran akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.

Untuk informasi selengkapnya, lihat [Kebijakan terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.









**Topics**
+ [AWS kebijakan terkelola: Amazon SSMService RolePolicy](#security-iam-awsmanpol-AmazonSSMServiceRolePolicy)
+ [AWS kebijakan terkelola: SSMAutomation Peran Amazon](#security-iam-awsmanpol-AmazonSSMAutomationRole)
+ [AWS kebijakan terkelola: Amazon SSMRead OnlyAccess](#security-iam-awsmanpol-AmazonSSMReadOnlyAccess)
+ [AWS kebijakan terkelola: AWSSystems ManagerOpsDataSyncServiceRolePolicy](#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy)
+ [AWS kebijakan terkelola: Amazon SSMManaged EC2 InstanceDefaultPolicy](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy)
+ [AWS kebijakan terkelola: SSMQuick SetupRolePolicy](#security-iam-awsmanpol-SSMQuickSetupRolePolicy)
+ [AWS kebijakan terkelola: AWSQuick SetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy)
+ [AWS kebijakan terkelola: AWSQuick SetupPatchPolicyDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyDeploymentRolePolicy)
+ [AWS kebijakan terkelola: AWSQuick SetupPatchPolicyBaselineAccess](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyBaselineAccess)
+ [AWS kebijakan terkelola: `AWSSystemsManagerEnableExplorerExecutionPolicy`](#security-iam-awsmanpol-AWSSystemsManagerEnableExplorerExecutionPolicy)
+ [AWS kebijakan terkelola: `AWSSystemsManagerEnableConfigRecordingExecutionPolicy`](#security-iam-awsmanpol-AWSSystemsManagerEnableConfigRecordingExecutionPolicy)
+ [AWS kebijakan terkelola: AWSQuick SetupDevOpsGuruPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDevOpsGuruPermissionsBoundary)
+ [AWS kebijakan terkelola: AWSQuick SetupDistributorPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDistributorPermissionsBoundary)
+ [AWS kebijakan terkelola: AWSQuick Pengaturan SSMHost MgmtPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSSMHostMgmtPermissionsBoundary)
+ [AWS kebijakan terkelola: AWSQuick SetupPatchPolicyPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyPermissionsBoundary)
+ [AWS kebijakan terkelola: AWSQuick SetupSchedulerPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSchedulerPermissionsBoundary)
+ [AWS kebijakan terkelola: AWSQuick Pengaturan CFGCPacks PermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupCFGCPacksPermissionsBoundary)
+ [AWS kebijakan terkelola: AWSQuick SetupStartStopInstancesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartStopInstancesExecutionPolicy)
+ [AWS kebijakan terkelola: AWSQuick SetupStart SSMAssociations ExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartSSMAssociationsExecutionPolicy)
+ [AWS kebijakan terkelola: AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy)
+ [AWS kebijakan terkelola: AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy)
+ [AWS kebijakan terkelola: AWS-SSM-RemediationAutomation-AdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy)
+ [AWS kebijakan terkelola: AWS-SSM-RemediationAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy)
+ [AWS kebijakan terkelola: AWSQuick Pengaturan SSMManage ResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupSSMManageResourcesExecutionPolicy)
+ [AWS kebijakan terkelola: AWSQuick Pengaturan SSMLifecycle ManagementExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupSSMLifecycleManagementExecutionPolicy)
+ [AWS kebijakan terkelola: AWSQuick Pengaturan SSMDeployment RolePolicy](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentRolePolicy)
+ [AWS kebijakan terkelola: AWSQuick Pengaturan SSMDeployment S3 BucketRolePolicy](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentS3BucketRolePolicy)
+ [AWS kebijakan terkelola: AWSQuickSetupEnableDHMCExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupEnableDHMCExecutionPolicy)
+ [AWS kebijakan terkelola: AWSQuickSetupEnableAREXExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupEnableAREXExecutionPolicy)
+ [AWS kebijakan terkelola: AWSQuick SetupManagedInstanceProfileExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManagedInstanceProfileExecutionPolicy)
+ [AWS kebijakan terkelola: AWSQuick SetupManage JITNAResources ExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy)
+ [AWS kebijakan terkelola: AWSQuick Pengaturan JITNADeployment RolePolicy](#security-iam-awsmanpol-AWSQuickSetupJITNADeploymentRolePolicy)
+ [AWS kebijakan terkelola: AWSSystems ManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy)
+ [AWS kebijakan terkelola: AWSSystems ManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy)
+ [AWS kebijakan terkelola: AWSSystems ManagerJustInTimeAccessTokenSessionPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenSessionPolicy)
+ [AWS kebijakan terkelola: AWSSystems ManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy)
+ [AWS kebijakan terkelola: AWSSystems ManagerNotificationsServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy)
+ [AWS kebijakan terkelola: AWS-SSM-Automation-DiagnosisBucketPolicy](#security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy)
+ [AWS kebijakan terkelola: AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy)
+ [AWS kebijakan terkelola: AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy)
+ [Systems Managerpembaruan kebijakan AWS terkelola](#security-iam-awsmanpol-updates)
+ [Kebijakan terkelola tambahan untuk Systems Manager](#policies-list)

## AWS kebijakan terkelola: Amazon SSMService RolePolicy
<a name="security-iam-awsmanpol-AmazonSSMServiceRolePolicy"></a>

Kebijakan ini menyediakan akses ke sejumlah AWS sumber daya yang dikelola oleh AWS Systems Manager atau digunakan dalam operasi Systems Manager.

Anda tidak dapat melampirkan `AmazonSSMServiceRolePolicy` ke entitas AWS Identity and Access Management (IAM) Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan AWS Systems Manager untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat [Menggunakan peran untuk mengumpulkan inventaris dan melihat OpsData](using-service-linked-roles-service-action-1.md).

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `ssm`— Memungkinkan prinsipal untuk memulai dan menghentikan eksekusi untuk keduanya dan Otomasi; Run Command dan untuk mengambil informasi tentang Run Command dan operasi Otomasi; untuk mengambil informasi tentang Change Calendar kalender Parameter Store parameter; untuk memperbarui dan mengambil informasi tentang pengaturan layanan Systems Manager untuk OpsCenter sumber daya; dan untuk membaca informasi tentang tag yang telah diterapkan pada sumber daya.
+ `cloudformation`— Memungkinkan prinsipal untuk mengambil informasi tentang operasi stackset dan instance stackset, dan untuk menghapus stackset pada sumber daya. `arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*` Memungkinkan prinsipal untuk menghapus instance tumpukan yang terkait dengan sumber daya berikut:

  ```
  arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*
  arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-SSM*:*
  arn:aws:cloudformation:*:*:type/resource/*
  ```
+ `cloudwatch`— Memungkinkan kepala sekolah untuk mengambil informasi tentang alarm Amazon. CloudWatch 
+ `compute-optimizer`— Memungkinkan kepala sekolah untuk mengambil status pendaftaran (ikut serta) akun ke AWS Compute Optimizer layanan, dan untuk mengambil rekomendasi untuk instans Amazon EC2 yang memenuhi serangkaian persyaratan tertentu yang dinyatakan.
+ `config`— Memungkinkan kepala sekolah untuk mengambil konfigurasi remediasi informasi dan perekam konfigurasi di AWS Config, dan untuk menentukan apakah aturan dan sumber daya yang ditentukan sesuai. AWS Config AWS 
+ `events`— Memungkinkan prinsipal mengambil informasi tentang EventBridge aturan; untuk membuat EventBridge aturan dan target secara eksklusif untuk layanan Systems Manager (`ssm.amazonaws.com`); dan untuk menghapus aturan dan target untuk sumber daya. `arn:aws:events:*:*:rule/SSMExplorerManagedRule`
+ `ec2`— Memungkinkan kepala sekolah untuk mengambil informasi tentang instans Amazon EC2..
+ `iam`— Memungkinkan prinsipal untuk meneruskan izin peran untuk layanan Systems Manager (). `ssm.amazonaws.com`
+ `lambda`— Memungkinkan prinsipal untuk memanggil fungsi Lambda yang dikonfigurasi khusus untuk digunakan oleh Systems Manager.
+ `resource-explorer-2`— Memungkinkan prinsipal untuk mengambil data tentang instans EC2 untuk menentukan apakah setiap instans saat ini dikelola oleh Systems Manager atau tidak.

  Tindakan `resource-explorer-2:CreateManagedView` diizinkan untuk `arn:aws:resource-explorer-2:*:*:managed-view/AWSManagedViewForSSM*` sumber daya.
+ `resource-groups`— Memungkinkan prinsipal untuk mengambil daftar kelompok sumber daya dan anggotanya dari AWS Resource Groups sumber daya yang termasuk dalam kelompok sumber daya.
+ `securityhub`— Memungkinkan kepala sekolah untuk mengambil informasi tentang sumber daya AWS Security Hub CSPM hub di akun saat ini.
+ `states`— Memungkinkan prinsipal untuk memulai dan mengambil informasi AWS Step Functions yang dikonfigurasi khusus untuk digunakan oleh Systems Manager.
+ `support`— Memungkinkan kepala sekolah untuk mengambil informasi tentang cek dan kasus di. AWS Trusted Advisor
+ `tag`— Memungkinkan prinsipal untuk mengambil informasi tentang semua sumber daya yang ditandai atau yang sebelumnya ditandai yang terletak di ditentukan untuk akun. Wilayah AWS 

Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [Amazon SSMService RolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMServiceRolePolicy.html) di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: SSMAutomation Peran Amazon
<a name="security-iam-awsmanpol-AmazonSSMAutomationRole"></a>

Anda dapat melampirkan kebijakan `AmazonSSMAutomationRole` ke identitas IAM Anda. Kebijakan ini memberikan izin bagi layanan AWS Systems Manager Otomasi untuk menjalankan aktivitas yang ditentukan dalam runbook Otomasi.

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `lambda`— Memungkinkan kepala sekolah untuk memanggil fungsi Lambda dengan nama yang dimulai dengan “Otomasi”. Ini diperlukan untuk runbook Otomasi untuk menjalankan fungsi Lambda sebagai bagian dari alur kerjanya.
+ `ec2`— Memungkinkan prinsipal untuk melakukan berbagai operasi Amazon EC2 termasuk membuat, menyalin, dan membatalkan pendaftaran gambar; mengelola snapshot; memulai, menjalankan, menghentikan, dan mengakhiri instance; mengelola status instans; dan membuat, menghapus, dan menjelaskan tag. Izin ini memungkinkan runbook Otomasi mengelola sumber daya Amazon EC2 selama eksekusi.
+ `cloudformation`— Memungkinkan prinsipal untuk membuat, mendeskripsikan, memperbarui, dan menghapus tumpukan. CloudFormation Ini memungkinkan runbook Otomasi untuk mengelola infrastruktur sebagai kode melalui CloudFormation.
+ `ssm`— Memungkinkan prinsipal untuk menggunakan semua tindakan Systems Manager. Akses komprehensif ini diperlukan untuk runbook Otomasi untuk berinteraksi dengan semua kemampuan Systems Manager.
+ `sns`— Memungkinkan kepala sekolah untuk mempublikasikan pesan ke topik Amazon SNS dengan nama yang dimulai dengan “Otomasi”. Ini memungkinkan runbook Otomasi untuk mengirim pemberitahuan selama eksekusi.
+ `ssmmessages`— Memungkinkan kepala sekolah untuk membuka saluran data ke sesi Systems Manager. Hal ini memungkinkan runbook Otomasi untuk membangun saluran komunikasi untuk operasi berbasis sesi.

Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [SSMAutomationPeran Amazon](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMAutomationRole.html) di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: Amazon SSMRead OnlyAccess
<a name="security-iam-awsmanpol-AmazonSSMReadOnlyAccess"></a>

Anda dapat melampirkan kebijakan `AmazonSSMReadOnlyAccess` ke identitas IAM Anda. Kebijakan ini memberikan akses hanya-baca ke operasi AWS Systems Manager API termasuk`Describe*`,, `Get*` dan. `List*` 

Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [Amazon SSMRead OnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html) di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AWSSystems ManagerOpsDataSyncServiceRolePolicy
<a name="security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy"></a>

Anda tidak dapat melampirkan `AWSSystemsManagerOpsDataSyncServiceRolePolicy` ke entitas IAM Anda. Kebijakan ini dilampirkan ke peran terkait layanan yang mengizinkan Systems Manager untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat [Menggunakan peran untuk membuat OpsData dan OpsItems untuk Explorer](using-service-linked-roles-service-action-3.md).

 `AWSSystemsManagerOpsDataSyncServiceRolePolicy`memungkinkan peran `AWSServiceRoleForSystemsManagerOpsDataSync` terkait layanan untuk membuat dan memperbarui OpsItems dan OpsData dari AWS Security Hub CSPM temuan. 

Kebijakan ini memungkinkan Systems Manager untuk menyelesaikan tindakan berikut pada semua sumber daya terkait (`"Resource": "*"`), kecuali jika ditunjukkan:
+ `ssm:GetOpsItem` [1]
+ `ssm:UpdateOpsItem` [1]
+ `ssm:CreateOpsItem`
+ `ssm:AddTagsToResource` [2]
+ `ssm:UpdateServiceSetting` [3]
+ `ssm:GetServiceSetting` [3]
+ `securityhub:GetFindings`
+ `securityhub:GetFindings`
+ `securityhub:BatchUpdateFindings` [4]

[1] `ssm:UpdateOpsItem` Tindakan `ssm:GetOpsItem` dan diizinkan izin dengan kondisi berikut untuk Systems Manager layanan saja.

```
"Condition": {
    "StringEquals": {
        "aws:ResourceTag/ExplorerSecurityHubOpsItem": "true"
    }
}
```

[2] Tindakan `ssm:AddTagsToResource` yang diperbolehkan izin untuk sumber daya berikut ini saja.

```
arn:aws:ssm:*:*:opsitem/*
```

[3] Tindakan `ssm:UpdateServiceSetting` dan `ssm:GetServiceSetting` yang diperbolehkan izin untuk sumber daya berikut ini saja.

```
arn:aws:ssm:*:*:servicesetting/ssm/opsitem/*
arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*
```

[4] `securityhub:BatchUpdateFindings` Izin ditolak oleh kondisi berikut hanya untuk Systems Manager layanan.

```
{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Confidence": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Criticality": false
				}
			}
		},		
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Note.Text": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Note.UpdatedBy": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/RelatedFindings": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Types": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/UserDefinedFields.key": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/UserDefinedFields.value": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/VerificationState": false
				}
			}
```

Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [AWSSystemsManagerOpsDataSyncServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerOpsDataSyncServiceRolePolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: Amazon SSMManaged EC2 InstanceDefaultPolicy
<a name="security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy"></a>

Anda hanya boleh melampirkan `AmazonSSMManagedEC2InstanceDefaultPolicy` ke peran IAM untuk instans Amazon EC2 yang Anda ingin memiliki izin untuk menggunakan fungsionalitas. Systems Manager Anda tidak boleh melampirkan peran ini ke entitas IAM lainnya, seperti pengguna IAM dan grup IAM, atau ke peran IAM yang melayani tujuan lain. Untuk informasi selengkapnya, lihat [Mengelola instans EC2 secara otomatis dengan Konfigurasi Manajemen Host Default](fleet-manager-default-host-management-configuration.md).

Kebijakan ini memberikan izin yang memungkinkan SSM Agent instans Amazon EC2 Anda berkomunikasi dengan layanan Systems Manager di cloud untuk melakukan berbagai tugas. Ini juga memberikan izin untuk dua layanan yang menyediakan token otorisasi untuk memastikan bahwa operasi dilakukan pada contoh yang benar.

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `ssm`— Memungkinkan prinsipal untuk mengambil Dokumen, menjalankan perintah menggunakan, membuat sesi menggunakan Run CommandSession Manager, mengumpulkan inventaris instance, dan memindai patch dan kepatuhan patch menggunakan. Patch Manager
+ `ssmmessages`— Memungkinkan prinsipal untuk mengakses, untuk setiap instance, token otorisasi yang dipersonalisasi yang dibuat oleh *[Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmessagegatewayservice.html)* Message Gateway Service. Systems Manager memvalidasi token otorisasi yang dipersonalisasi terhadap Amazon Resource Name (ARN) dari instance yang disediakan dalam operasi API. Akses ini diperlukan untuk memastikan bahwa SSM Agent melakukan operasi API pada instance yang benar. 
+ `ec2messages`— Memungkinkan prinsipal untuk mengakses, untuk setiap contoh, token otorisasi yang dipersonalisasi yang dibuat oleh Layanan Pengiriman Pesan *[Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmessagegatewayservice.html)*. Systems Manager memvalidasi token otorisasi yang dipersonalisasi terhadap Amazon Resource Name (ARN) dari instance yang disediakan dalam operasi API. Akses ini diperlukan untuk memastikan bahwa SSM Agent melakukan operasi API pada instance yang benar.

Untuk informasi terkait tentang `ec2messages` titik akhir `ssmmessages` dan titik akhir, termasuk perbedaan antara keduanya, lihat[Operasi API terkait agen (`ssmmessages`dan `ec2messages` titik akhir)](systems-manager-setting-up-messageAPIs.md#message-services).

Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [Amazon SSMManaged EC2 InstanceDefaultPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedEC2InstanceDefaultPolicy.html) di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: SSMQuick SetupRolePolicy
<a name="security-iam-awsmanpol-SSMQuickSetupRolePolicy"></a>

Anda tidak dapat melampirkan SSMQuick SetupRolePolicy ke entitas IAM Anda. Kebijakan ini dilampirkan ke peran terkait layanan yang mengizinkan Systems Manager untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat [Menggunakan peran untuk menjaga kesehatan dan konsistensi sumber daya Quick Setup yang disediakan](using-service-linked-roles-service-action-5.md).

Kebijakan ini memberikan izin hanya-baca yang memungkinkan Systems Manager memeriksa kesehatan konfigurasi, memastikan penggunaan parameter dan sumber daya yang disediakan secara konsisten, serta memulihkan sumber daya saat drift terdeteksi. Ini juga memberikan izin administratif untuk membuat peran terkait layanan. 

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `ssm`— Memungkinkan prinsipal membaca informasi Sinkronisasi Data Sumber Daya dan Dokumen SSM di Systems Manager, termasuk di akun administrator yang didelegasikan. Ini diperlukan agar Quick Setup dapat menentukan status tempat sumber daya yang dikonfigurasi dimaksudkan untuk berada. 
+ `organizations`— Memungkinkan kepala sekolah untuk membaca informasi tentang akun anggota yang dimiliki oleh organisasi sebagaimana dikonfigurasi. AWS Organizations Ini diperlukan agar Quick Setup dapat mengidentifikasi semua akun dalam organisasi di mana pemeriksaan kesehatan sumber daya harus dilakukan. 
+ `cloudformation`— Memungkinkan kepala sekolah untuk membaca informasi dari. CloudFormation Hal ini diperlukan agar Quick Setup dapat mengumpulkan data tentang CloudFormation tumpukan yang digunakan untuk mengelola status sumber daya dan CloudFormation operasi stackset. 

Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [SSMQuickSetupRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SSMQuickSetupRolePolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AWSQuick SetupDeploymentRolePolicy
<a name="security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy"></a>

Kebijakan terkelola `AWSQuickSetupDeploymentRolePolicy` mendukung beberapa jenis Quick Setup konfigurasi. Jenis konfigurasi ini membuat peran dan otomatisasi IAM yang mengonfigurasi layanan dan fitur Amazon Web Services yang sering digunakan dengan praktik terbaik yang direkomendasikan.

Anda dapat melampirkan `AWSQuickSetupDeploymentRolePolicy` ke entitas IAM Anda.

Kebijakan ini memberikan izin administratif yang diperlukan untuk membuat sumber daya yang terkait dengan konfigurasi berikut: Quick Setup
+ [Siapkan manajemen host Amazon EC2 menggunakan Quick Setup](quick-setup-host-management.md)
+ [Buat perekam AWS Config konfigurasi menggunakan Quick Setup](quick-setup-config.md)
+ [Menerapkan paket AWS Config kesesuaian menggunakan Quick Setup](quick-setup-cpack.md)
+ [Mengatur DevOps Guru menggunakan Quick Setup](quick-setup-devops.md)
+ [Menyebarkan Distributor paket menggunakan Quick Setup](quick-setup-distributor.md)
+ [Hentikan dan mulai instans EC2 secara otomatis sesuai jadwal menggunakan Quick Setup](quick-setup-scheduler.md)

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `ssm`— Memungkinkan prinsipal untuk membaca, membuat, memperbarui, dan menghapus dokumen SSM dengan nama yang dimulai dengan "AWSQuickSetup-” atau “AWSOperationsPack-” ketika dipanggil melalui CloudFormation; untuk membaca dokumen yang AWS dimiliki tertentu termasuk "AWSQuickSetupType-ManageInstanceProfile“," “, dan" AWSQuickSetupType-ConfigureDevOpsGuru AWSQuickSetupType-DeployConformancePack “; untuk membuat, memperbarui, dan menghapus asosiasi untuk Quick Setup dokumen dan dokumen yang AWS dimiliki saat dipanggil melalui CloudFormation; dan untuk membersihkan sumber daya lama yang ditandai dengan. `QuickSetupID` Hal ini memungkinkan Quick Setup untuk menyebarkan dan mengelola alur kerja otomatisasi dan asosiasi.
+ `cloudformation`— Memungkinkan kepala sekolah untuk membaca informasi tentang CloudFormation tumpukan dan set tumpukan; dan untuk membuat, memperbarui, dan menghapus CloudFormation tumpukan dan mengubah set untuk sumber daya dengan nama yang dimulai dengan "StackSet-AWS- -”. QuickSetup Hal ini memungkinkan Quick Setup untuk mengelola penyebaran infrastruktur di seluruh akun dan wilayah.
+ `config`— Memungkinkan prinsipal membaca informasi tentang paket AWS Config kesesuaian dan statusnya; dan untuk membuat dan menghapus paket kesesuaian dengan nama yang diawali dengan “AWS- -” saat dipanggil melalui. QuickSetup CloudFormation Hal ini memungkinkan Quick Setup untuk menerapkan konfigurasi pemantauan kepatuhan.
+ `events`— Memungkinkan kepala sekolah untuk mengelola EventBridge aturan dan target untuk sumber daya dengan nama yang berisi "QuickSetup-”. Ini memungkinkan Quick Setup untuk membuat alur kerja otomatisasi terjadwal.
+ `iam`— Memungkinkan prinsipal untuk membuat peran terkait layanan untuk dan Systems AWS Config Manager; untuk membuat, mengelola, dan menghapus peran IAM dengan nama yang diawali dengan “AWS- QuickSetup -” atau “AWSOperationsPack-” saat dipanggil melalui CloudFormation; untuk meneruskan peran ini ke Systems Manager dan EventBridge layanan; untuk melampirkan kebijakan AWS terkelola tertentu ke peran ini; dan untuk menetapkan batas izin menggunakan kebijakan terkelola tertentu. Quick Setup Hal ini memungkinkan Quick Setup untuk membuat peran layanan yang diperlukan untuk operasinya.
+ `resource-groups`— Memungkinkan kepala sekolah untuk mengambil kueri grup sumber daya. Hal ini memungkinkan Quick Setup untuk menargetkan set sumber daya tertentu untuk manajemen konfigurasi.

Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [AWSQuickSetupDeploymentRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupDeploymentRolePolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AWSQuick SetupPatchPolicyDeploymentRolePolicy
<a name="security-iam-awsmanpol-AWSQuickSetupPatchPolicyDeploymentRolePolicy"></a>

Kebijakan terkelola `AWSQuickSetupPatchPolicyDeploymentRolePolicy` mendukung [Mengonfigurasi penambalan untuk instance di organisasi menggunakan kebijakan tambalan Quick Setup](quick-setup-patch-manager.md) Quick Setup tipe tersebut. Jenis konfigurasi ini membantu mengotomatiskan patching aplikasi dan node dalam satu akun atau di seluruh organisasi Anda. 

Anda dapat melampirkan `AWSQuickSetupPatchPolicyDeploymentRolePolicy` ke entitas IAM Anda. Systems Managerjuga melampirkan kebijakan ini ke peran layanan yang memungkinkan Systems Manager untuk melakukan tindakan atas nama Anda. 

Kebijakan ini memberikan izin administratif yang memungkinkan Quick Setup untuk membuat sumber daya yang terkait dengan konfigurasi kebijakan tambalan.

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `iam`— Memungkinkan kepala sekolah untuk mengelola dan menghapus peran IAM yang diperlukan untuk tugas konfigurasi Otomasi; dan untuk mengelola kebijakan peran Otomasi.
+ `cloudformation`— Memungkinkan prinsipal membaca informasi CloudFormation tumpukan; dan untuk mengontrol CloudFormation tumpukan yang dibuat dengan Quick Setup menggunakan set tumpukan. CloudFormation 
+ `ssm`— Memungkinkan prinsipal untuk membuat, memperbarui, membaca, dan menghapus runbook Otomasi yang diperlukan untuk tugas konfigurasi; dan untuk membuat, memperbarui, dan menghapus asosiasi. State Manager
+ `resource-groups`— Memungkinkan prinsipal untuk mengambil kueri sumber daya yang terkait dengan kelompok sumber daya yang ditargetkan oleh konfigurasi. Quick Setup
+ `s3`— Memungkinkan kepala sekolah untuk membuat daftar bucket Amazon S3; dan untuk mengelola bucket untuk menyimpan log akses kebijakan patch.
+ `lambda`— Memungkinkan kepala sekolah untuk mengelola fungsi AWS Lambda remediasi yang mempertahankan konfigurasi dalam keadaan yang benar.
+ `logs`— Memungkinkan prinsipal untuk mendeskripsikan dan mengelola grup log untuk sumber daya konfigurasi Lambda.

Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [AWSQuickSetupPatchPolicyDeploymentRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupPatchPolicyDeploymentRolePolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AWSQuick SetupPatchPolicyBaselineAccess
<a name="security-iam-awsmanpol-AWSQuickSetupPatchPolicyBaselineAccess"></a>

Kebijakan terkelola `AWSQuickSetupPatchPolicyBaselineAccess` mendukung [Mengonfigurasi penambalan untuk instance di organisasi menggunakan kebijakan tambalan Quick Setup](quick-setup-patch-manager.md) Quick Setup tipe tersebut. Jenis konfigurasi ini membantu mengotomatiskan patching aplikasi dan node dalam satu akun atau di seluruh organisasi Anda. 

Anda dapat melampirkan `AWSQuickSetupPatchPolicyBaselineAccess` ke entitas IAM Anda. Systems Managerjuga melampirkan kebijakan ini ke peran layanan yang memungkinkan Systems Manager untuk melakukan tindakan atas nama Anda. 

Kebijakan ini menyediakan izin hanya-baca untuk mengakses garis dasar tambalan yang telah dikonfigurasi oleh administrator saat ini atau organisasi yang menggunakan. Akun AWS Quick Setup Garis dasar tambalan disimpan dalam bucket Amazon S3 dan dapat digunakan untuk menambal instance dalam satu akun atau di seluruh organisasi.

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `s3`- Memungkinkan prinsipal membaca penggantian dasar tambalan yang disimpan di bucket Amazon S3.

Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [AWSQuickSetupPatchPolicyBaselineAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupPatchPolicyBaselineAccess.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: `AWSSystemsManagerEnableExplorerExecutionPolicy`
<a name="security-iam-awsmanpol-AWSSystemsManagerEnableExplorerExecutionPolicy"></a>

Kebijakan terkelola `AWSSystemsManagerEnableExplorerExecutionPolicy` mendukung pengaktifanExplorer, alat di AWS Systems Manager.

Anda dapat melampirkan `AWSSystemsManagerEnableExplorerExecutionPolicy` ke entitas IAM Anda. Systems Managerjuga melampirkan kebijakan ini ke peran layanan yang memungkinkan Systems Manager untuk melakukan tindakan atas nama Anda. 

Kebijakan ini memberikan izin administratif untuk mengaktifkan. Explorer Ini termasuk izin untuk memperbarui setelan Systems Manager layanan terkait, dan untuk membuat peran terkait layanan. Systems Manager

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `config`— Memungkinkan kepala sekolah untuk membantu mengaktifkan Explorer dengan menyediakan akses hanya-baca ke detail perekam konfigurasi.
+ `iam`— Memungkinkan kepala sekolah untuk membantu mengaktifkan. Explorer
+ `ssm`— Memungkinkan kepala sekolah untuk memulai alur kerja Otomasi yang memungkinkan. Explorer

Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [AWSSystemsManagerEnableExplorerExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerEnableExplorerExecutionPolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: `AWSSystemsManagerEnableConfigRecordingExecutionPolicy`
<a name="security-iam-awsmanpol-AWSSystemsManagerEnableConfigRecordingExecutionPolicy"></a>

Kebijakan terkelola `AWSSystemsManagerEnableConfigRecordingExecutionPolicy` mendukung jenis [Buat perekam AWS Config konfigurasi menggunakan Quick Setup](quick-setup-config.md) Quick Setup konfigurasi. Jenis konfigurasi ini memungkinkan Quick Setup untuk melacak dan merekam perubahan pada jenis AWS sumber daya yang Anda pilih AWS Config. Ini juga memungkinkan Quick Setup untuk mengonfigurasi opsi pengiriman dan pemberitahuan untuk data yang direkam. 

Anda dapat melampirkan `AWSSystemsManagerEnableConfigRecordingExecutionPolicy` ke entitas IAM Anda. Systems Managerjuga melampirkan kebijakan ini ke peran layanan yang memungkinkan Systems Manager untuk melakukan tindakan atas nama Anda. 

Kebijakan ini memberikan izin administratif yang memungkinkan Quick Setup untuk mengaktifkan dan mengonfigurasi rekaman AWS Config konfigurasi.

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `s3`— Memungkinkan kepala sekolah membuat dan mengonfigurasi bucket Amazon S3 untuk pengiriman rekaman konfigurasi.
+ `sns`— Memungkinkan kepala sekolah untuk membuat daftar dan membuat topik Amazon SNS.
+ `config`— Memungkinkan kepala sekolah untuk mengkonfigurasi dan memulai perekam konfigurasi; dan untuk membantu mengaktifkan. Explorer
+ `iam`— Memungkinkan prinsipal untuk membuat, mendapatkan, dan meneruskan peran terkait layanan untuk AWS Config; dan untuk membuat peran terkait layanan untuk Systems Manager; dan untuk membantu mengaktifkan. Explorer
+ `ssm`— Memungkinkan kepala sekolah untuk memulai alur kerja Otomasi yang memungkinkan. Explorer
+ `compute-optimizer`— Memungkinkan prinsipal untuk membantu mengaktifkan Explorer dengan menyediakan akses hanya-baca untuk menentukan apakah sumber daya terdaftar. AWS Compute Optimizer
+ `support`— Memungkinkan prinsipal untuk membantu mengaktifkan Explorer dengan menyediakan akses hanya-baca untuk menentukan apakah sumber daya terdaftar. AWS Compute Optimizer

Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [AWSSystemsManagerEnableConfigRecordingExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerEnableConfigRecordingExecutionPolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AWSQuick SetupDevOpsGuruPermissionsBoundary
<a name="security-iam-awsmanpol-AWSQuickSetupDevOpsGuruPermissionsBoundary"></a>

**catatan**  
Kebijakan ini adalah *batas izin*. Batas izin menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Anda tidak boleh menggunakan dan melampirkan kebijakan batas Quick Setup izin sendiri. Quick Setupkebijakan batas izin hanya boleh dilampirkan ke Quick Setup peran terkelola. Untuk informasi selengkapnya tentang batasan izin, lihat [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html) dalam *Panduan Pengguna IAM*.

Kebijakan terkelola `AWSQuickSetupDevOpsGuruPermissionsBoundary` mendukung [Mengatur DevOps Guru menggunakan Quick Setup](quick-setup-devops.md) tipe tersebut. Jenis konfigurasi memungkinkan Amazon DevOps Guru yang didukung pembelajaran mesin. Layanan DevOps Guru dapat membantu meningkatkan kinerja dan ketersediaan operasional aplikasi. 

Saat Anda membuat `AWSQuickSetupDevOpsGuruPermissionsBoundary` konfigurasi menggunakanQuick Setup, sistem menerapkan batas izin ini ke peran IAM yang dibuat saat konfigurasi diterapkan. Batas izin membatasi ruang lingkup peran yang dibuat. Quick Setup

Kebijakan ini memberikan izin administratif yang memungkinkan Quick Setup untuk mengaktifkan dan mengonfigurasi Amazon DevOps Guru.

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `iam`— Memungkinkan kepala sekolah untuk membuat peran terkait layanan untuk Guru dan DevOps Systems Manager; dan untuk membuat daftar peran yang membantu mengaktifkan. Explorer
+ `cloudformation`— Memungkinkan kepala sekolah untuk membuat daftar dan menggambarkan tumpukan. CloudFormation 
+ `sns`— Memungkinkan kepala sekolah untuk membuat daftar dan membuat topik Amazon SNS.
+ `devops-guru`— Memungkinkan kepala sekolah untuk mengkonfigurasi DevOps Guru; dan untuk menambahkan saluran notifikasi.
+ `config`— — Memungkinkan kepala sekolah untuk membantu mengaktifkan Explorer dengan menyediakan akses hanya-baca ke detail perekam konfigurasi.
+ `ssm`— Memungkinkan kepala sekolah untuk memulai alur kerja Otomasi yang memungkinkanExplorer; dan untuk membaca dan memperbarui pengaturan layanan. Explorer 
+ `compute-optimizer`— Memungkinkan prinsipal untuk membantu mengaktifkan Explorer dengan menyediakan akses hanya-baca untuk menentukan apakah sumber daya terdaftar. AWS Compute Optimizer
+ `support`— Memungkinkan prinsipal untuk membantu mengaktifkan Explorer dengan menyediakan akses hanya-baca untuk menentukan apakah sumber daya terdaftar. AWS Compute Optimizer

Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [AWSQuickSetupDevOpsGuruPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupDevOpsGuruPermissionsBoundary.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AWSQuick SetupDistributorPermissionsBoundary
<a name="security-iam-awsmanpol-AWSQuickSetupDistributorPermissionsBoundary"></a>

**catatan**  
Kebijakan ini adalah *batas izin*. Batas izin menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Anda tidak boleh menggunakan dan melampirkan kebijakan batas Quick Setup izin sendiri. Quick Setupkebijakan batas izin hanya boleh dilampirkan ke Quick Setup peran terkelola. Untuk informasi selengkapnya tentang batasan izin, lihat [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html) dalam *Panduan Pengguna IAM*.

Kebijakan terkelola `AWSQuickSetupDistributorPermissionsBoundary` mendukung jenis [Menyebarkan Distributor paket menggunakan Quick Setup](quick-setup-distributor.md) Quick Setup konfigurasi. Jenis konfigurasi membantu mengaktifkan distribusi paket perangkat lunak, seperti agen, ke instans Amazon Elastic Compute Cloud (Amazon EC2) Anda, menggunakan Distributor, alat di dalamnya. AWS Systems Manager

Saat Anda membuat `AWSQuickSetupDistributorPermissionsBoundary` konfigurasi menggunakanQuick Setup, sistem menerapkan batas izin ini ke peran IAM yang dibuat saat konfigurasi diterapkan. Batas izin membatasi ruang lingkup peran yang dibuat. Quick Setup

Kebijakan ini memberikan izin administratif yang Quick Setup memungkinkan distribusi paket perangkat lunak, seperti agen, ke instans Amazon EC2 Anda menggunakan Distributor.

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `iam`— Memungkinkan prinsipal untuk mendapatkan dan meneruskan peran otomatisasi Distributor; untuk membuat, membaca, memperbarui, dan menghapus peran instans default; untuk meneruskan peran instans default ke Amazon EC2 dan Systems Manager; untuk melampirkan kebijakan manajemen instans ke peran instance; untuk membuat peran terkait layanan untuk Systems Manager; untuk menambahkan peran instans default ke profil instance; untuk membaca informasi tentang peran IAM dan profil instans; dan untuk membuat profil instance default.
+ `ec2`— Memungkinkan prinsipal untuk mengaitkan profil instans default dengan instans EC2; dan untuk membantu mengaktifkan. Explorer
+ `ssm`— Memungkinkan prinsipal untuk memulai alur kerja otomatisasi yang mengkonfigurasi instance dan menginstal paket; dan untuk membantu memulai alur kerja otomatisasi yang memungkinkanExplorer; dan untuk membaca dan memperbarui pengaturan layanan. Explorer
+ `config`— Memungkinkan kepala sekolah untuk membantu mengaktifkan Explorer dengan menyediakan akses hanya-baca ke detail perekam konfigurasi.
+ `compute-optimizer`— Memungkinkan prinsipal untuk membantu mengaktifkan Explorer dengan menyediakan akses hanya-baca untuk menentukan apakah sumber daya terdaftar. AWS Compute Optimizer
+ `support`— Memungkinkan prinsipal untuk membantu mengaktifkan Explorer dengan menyediakan akses hanya-baca untuk menentukan apakah sumber daya terdaftar. AWS Compute Optimizer

Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [AWSQuickSetupDistributorPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupDistributorPermissionsBoundary.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AWSQuick Pengaturan SSMHost MgmtPermissionsBoundary
<a name="security-iam-awsmanpol-AWSQuickSetupSSMHostMgmtPermissionsBoundary"></a>

**catatan**  
Kebijakan ini adalah *batas izin*. Batas izin menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Anda tidak boleh menggunakan dan melampirkan kebijakan batas Quick Setup izin sendiri. Quick Setupkebijakan batas izin hanya boleh dilampirkan ke Quick Setup peran terkelola. Untuk informasi selengkapnya tentang batasan izin, lihat [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html) dalam *Panduan Pengguna IAM*.

Kebijakan terkelola `AWSQuickSetupSSMHostMgmtPermissionsBoundary` mendukung jenis [Siapkan manajemen host Amazon EC2 menggunakan Quick Setup](quick-setup-host-management.md) Quick Setup konfigurasi. Jenis konfigurasi ini mengonfigurasi peran IAM dan memungkinkan alat Systems Manager yang umum digunakan untuk mengelola instans Amazon EC2 Anda dengan aman.

Saat Anda membuat `AWSQuickSetupSSMHostMgmtPermissionsBoundary` konfigurasi menggunakanQuick Setup, sistem menerapkan batas izin ini ke peran IAM yang dibuat saat konfigurasi diterapkan. Batas izin membatasi ruang lingkup peran yang dibuat. Quick Setup

Kebijakan ini memberikan izin administratif yang memungkinkan Quick Setup untuk mengaktifkan dan mengonfigurasi alat Systems Manager yang diperlukan untuk mengelola instans EC2 dengan aman.

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `iam`— Memungkinkan kepala sekolah untuk mendapatkan dan meneruskan peran layanan ke Otomasi. Mengizinkan prinsipal membuat, membaca, memperbarui, dan menghapus peran instans default; meneruskan peran instans default ke Amazon EC2 dan Systems Manager; untuk melampirkan kebijakan manajemen instans ke peran instance; untuk membuat peran terkait layanan untuk Systems Manager; untuk menambahkan peran instans default ke profil instance; untuk membaca informasi tentang peran IAM dan profil instance; dan untuk membuat profil instans default.
+ `ec2`— Memungkinkan prinsipal untuk mengaitkan dan memisahkan profil instans default dengan instans EC2.
+ `ssm`— Memungkinkan prinsipal untuk memulai alur kerja Otomasi yang memungkinkanExplorer; untuk membaca dan memperbarui pengaturan Explorer layanan; untuk mengonfigurasi instance; dan untuk mengaktifkan alat Systems Manager pada instance.
+ `compute-optimizer`— Memungkinkan prinsipal untuk membantu mengaktifkan Explorer dengan menyediakan akses hanya-baca untuk menentukan apakah sumber daya terdaftar. AWS Compute Optimizer
+ `support`— Memungkinkan prinsipal untuk membantu mengaktifkan Explorer dengan menyediakan akses hanya-baca untuk menentukan apakah sumber daya terdaftar. AWS Compute Optimizer

Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [AWSQuickPenyiapan SSMHost MgmtPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMHostMgmtPermissionsBoundary.html) di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AWSQuick SetupPatchPolicyPermissionsBoundary
<a name="security-iam-awsmanpol-AWSQuickSetupPatchPolicyPermissionsBoundary"></a>

**catatan**  
Kebijakan ini adalah *batas izin*. Batas izin menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Anda tidak boleh menggunakan dan melampirkan kebijakan batas Quick Setup izin sendiri. Quick Setupkebijakan batas izin hanya boleh dilampirkan ke Quick Setup peran terkelola. Untuk informasi selengkapnya tentang batasan izin, lihat [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html) dalam *Panduan Pengguna IAM*.

Kebijakan terkelola `AWSQuickSetupPatchPolicyPermissionsBoundary` mendukung [Mengonfigurasi penambalan untuk instance di organisasi menggunakan kebijakan tambalan Quick Setup](quick-setup-patch-manager.md) Quick Setup tipe tersebut. Jenis konfigurasi ini membantu mengotomatiskan patching aplikasi dan node dalam satu akun atau di seluruh organisasi Anda. 

Saat Anda membuat `AWSQuickSetupPatchPolicyPermissionsBoundary` konfigurasi menggunakanQuick Setup, sistem menerapkan batas izin ini ke peran IAM yang dibuat saat konfigurasi diterapkan. Batas izin membatasi ruang lingkup peran yang dibuat. Quick Setup

Kebijakan ini memberikan izin administratif yang memungkinkan Quick Setup untuk mengaktifkan dan mengonfigurasi kebijakan tambalan diPatch Manager, alat di. AWS Systems Manager

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `iam`— Memungkinkan prinsipal untuk mendapatkan peran Patch Manager Otomasi; meneruskan peran Otomasi ke operasi Patch Manager penambalan; untuk membuat peran instans default,`AmazonSSMRoleForInstancesQuickSetup`; untuk meneruskan peran instans default ke Amazon EC2 dan Systems Manager; untuk melampirkan kebijakan terkelola yang AWS dipilih ke peran instance; untuk membuat peran terkait layanan untuk Systems Manager; untuk menambahkan peran instance default ke profil instance; untuk membaca informasi tentang profil dan peran instance; untuk membuat peran default profil instance; dan untuk menandai peran yang memiliki izin untuk membaca penggantian dasar tambalan.
+ `ssm`— Memungkinkan kepala sekolah untuk memperbarui peran instance yang dikelola oleh Systems Manager; untuk mengelola asosiasi yang dibuat oleh kebijakan Patch Manager tambalan yang dibuatQuick Setup; untuk menandai instance yang ditargetkan oleh konfigurasi kebijakan tambalan; untuk membaca informasi tentang instance dan status penambalan; untuk memulai alur kerja Otomasi yang mengonfigurasi, mengaktifkan, dan memulihkan penambalan instance; untuk memulai alur kerja otomatisasi yang mengaktifkan; untuk membantu mengaktifkanExplorer; dan untuk membaca dan memperbarui pengaturan layanan. Explorer Explorer
+ `ec2`— Memungkinkan prinsipal untuk mengaitkan dan memisahkan profil instans default dengan instans EC2; untuk menandai instance yang ditargetkan oleh konfigurasi kebijakan tambalan; untuk menandai instance yang ditargetkan oleh konfigurasi kebijakan tambalan; dan untuk membantu mengaktifkan. Explorer
+ `s3`— Memungkinkan prinsipal untuk membuat dan mengonfigurasi bucket S3 untuk menyimpan penggantian baseline patch.
+ `lambda`— Memungkinkan prinsipal untuk memanggil AWS Lambda fungsi yang mengonfigurasi penambalan dan melakukan operasi pembersihan setelah konfigurasi kebijakan tambalan dihapus. Quick Setup
+ `logs`— Memungkinkan kepala sekolah untuk mengkonfigurasi logging untuk fungsi. Patch Manager Quick Setup AWS Lambda 
+ `config`— Memungkinkan kepala sekolah untuk membantu mengaktifkan Explorer dengan menyediakan akses hanya-baca ke detail perekam konfigurasi.
+ `compute-optimizer`— Memungkinkan prinsipal untuk membantu mengaktifkan Explorer dengan menyediakan akses hanya-baca untuk menentukan apakah sumber daya terdaftar. AWS Compute Optimizer
+ `support`— Memungkinkan prinsipal untuk membantu mengaktifkan Explorer dengan menyediakan akses hanya-baca untuk menentukan apakah sumber daya terdaftar. AWS Compute Optimizer

Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [AWSQuickSetupPatchPolicyPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupPatchPolicyPermissionsBoundary.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AWSQuick SetupSchedulerPermissionsBoundary
<a name="security-iam-awsmanpol-AWSQuickSetupSchedulerPermissionsBoundary"></a>

**catatan**  
Kebijakan ini adalah *batas izin*. Batas izin menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Anda tidak boleh menggunakan dan melampirkan kebijakan batas Quick Setup izin sendiri. Quick Setupkebijakan batas izin hanya boleh dilampirkan ke Quick Setup peran terkelola. Untuk informasi selengkapnya tentang batasan izin, lihat [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html) dalam *Panduan Pengguna IAM*.

Kebijakan terkelola `AWSQuickSetupSchedulerPermissionsBoundary` mendukung jenis [Hentikan dan mulai instans EC2 secara otomatis sesuai jadwal menggunakan Quick Setup](quick-setup-scheduler.md) Quick Setup konfigurasi. Jenis konfigurasi ini memungkinkan Anda menghentikan dan memulai instans EC2 dan sumber daya lainnya pada waktu yang Anda tentukan. 

Saat Anda membuat `AWSQuickSetupSchedulerPermissionsBoundary` konfigurasi menggunakanQuick Setup, sistem menerapkan batas izin ini ke peran IAM yang dibuat saat konfigurasi diterapkan. Batas izin membatasi ruang lingkup peran yang dibuat. Quick Setup

Kebijakan ini memberikan izin administratif yang memungkinkan Quick Setup untuk mengaktifkan dan mengonfigurasi operasi terjadwal pada instans EC2 dan sumber daya lainnya.

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `iam`— Memungkinkan kepala sekolah untuk mengambil dan meneruskan peran untuk tindakan otomatisasi manajemen instance; untuk mengelola, meneruskan, dan melampirkan peran instans default untuk manajemen instans EC2; untuk membuat profil instance default; untuk menambahkan peran instance default ke profil instance; untuk membuat peran terkait layanan untuk; membaca informasi tentang peran IAM dan profil instanceSystems Manager; untuk mengaitkan profil instans default dengan instans EC2; dan untuk memulai alur kerja Otomasi untuk mengonfigurasi instance dan mengaktifkan alat pada mereka. Systems Manager
+ `ssm`— Memungkinkan kepala sekolah untuk memulai alur kerja Otomasi yang memungkinkanExplorer; dan untuk membaca dan memperbarui pengaturan layanan. Explorer
+ ec2 — Memungkinkan kepala sekolah untuk menemukan instance yang ditargetkan dan memulai dan menghentikannya sesuai jadwal.
+ `config`— Memungkinkan kepala sekolah untuk membantu mengaktifkan Explorer dengan menyediakan akses hanya-baca ke detail perekam konfigurasi.
+ `compute-optimizer`— Memungkinkan prinsipal untuk membantu mengaktifkan Explorer dengan menyediakan akses hanya-baca untuk menentukan apakah sumber daya terdaftar. AWS Compute Optimizer
+ `support`— Memungkinkan prinsipal untuk membantu mengaktifkan Explorer dengan menyediakan akses hanya-baca untuk AWS Trusted Advisor memeriksa akun.

Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [AWSQuickSetupSchedulerPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSchedulerPermissionsBoundary.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AWSQuick Pengaturan CFGCPacks PermissionsBoundary
<a name="security-iam-awsmanpol-AWSQuickSetupCFGCPacksPermissionsBoundary"></a>

**catatan**  
Kebijakan ini adalah *batas izin*. Batas izin menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Anda tidak boleh menggunakan dan melampirkan kebijakan batas Quick Setup izin sendiri. Quick Setupkebijakan batas izin hanya boleh dilampirkan ke Quick Setup peran terkelola. Untuk informasi selengkapnya tentang batasan izin, lihat [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html) dalam *Panduan Pengguna IAM*.

Kebijakan terkelola `AWSQuickSetupCFGCPacksPermissionsBoundary` mendukung jenis [Menerapkan paket AWS Config kesesuaian menggunakan Quick Setup](quick-setup-cpack.md) Quick Setup konfigurasi. Jenis konfigurasi ini menyebarkan paket AWS Config kesesuaian. Paket kesesuaian adalah kumpulan AWS Config aturan dan tindakan remediasi yang dapat digunakan sebagai satu kesatuan.

Saat Anda membuat `AWSQuickSetupCFGCPacksPermissionsBoundary` konfigurasi menggunakanQuick Setup, sistem menerapkan batas izin ini ke peran IAM yang dibuat saat konfigurasi diterapkan. Batas izin membatasi ruang lingkup peran yang dibuat. Quick Setup

Kebijakan ini memberikan izin administratif yang memungkinkan Quick Setup untuk menerapkan AWS Config paket kesesuaian.

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `iam`— Memungkinkan kepala sekolah untuk membuat, mendapatkan, dan meneruskan peran terkait layanan untuk. AWS Config
+ `sns`— Memungkinkan kepala sekolah untuk membuat daftar aplikasi platform di Amazon SNS. 
+ `config`— Memungkinkan prinsipal untuk menyebarkan paket AWS Config kesesuaian; untuk mendapatkan status paket kesesuaian; dan untuk mendapatkan informasi tentang perekam konfigurasi.
+ `ssm`— Memungkinkan prinsipal untuk mendapatkan informasi tentang dokumen SSM dan alur kerja Otomasi; untuk mendapatkan informasi tentang tag sumber daya; dan untuk mendapatkan informasi tentang dan memperbarui pengaturan layanan.
+ `compute-optimizer`— Memungkinkan kepala sekolah untuk mendapatkan status keikutsertaan dari suatu akun.
+ `support`— Memungkinkan kepala sekolah untuk mendapatkan informasi tentang cek. AWS Trusted Advisor 

Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [AWSQuickPenyiapan CFGCPacks PermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupCFGCPacksConfigurationPolicy.html) di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AWSQuick SetupStartStopInstancesExecutionPolicy
<a name="security-iam-awsmanpol-AWSQuickSetupStartStopInstancesExecutionPolicy"></a>

Anda dapat melampirkan `AWSQuickSetupStartStopInstancesExecutionPolicy` ke entitas IAM Anda. Kebijakan ini memberikan izin Quick Setup untuk mengelola awal dan penghentian instans Amazon EC2 menggunakan otomatisasi Systems Manager.

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `ec2`— Memungkinkan prinsipal untuk mendeskripsikan instans Amazon EC2, status, wilayah, dan tag mereka. Juga memungkinkan memulai dan menghentikan instans Amazon EC2 tertentu.
+ `ssm`— Memungkinkan kepala sekolah untuk mendapatkan status kalender dari Quick Setup mengubah kalender, memulai asosiasi, dan menjalankan dokumen otomatisasi misalnya penjadwalan.
+ `iam`— Memungkinkan prinsipal untuk meneruskan peran Quick Setup IAM ke Systems Manager untuk eksekusi otomatisasi, dengan kondisi yang membatasi layanan ke ssm.amazonaws.com dan sumber daya tertentu. ARNs

Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [AWSQuickSetupStartStopInstancesExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupStartStopInstancesExecutionPolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AWSQuick SetupStart SSMAssociations ExecutionPolicy
<a name="security-iam-awsmanpol-AWSQuickSetupStartSSMAssociationsExecutionPolicy"></a>

Kebijakan ini memberikan izin yang memungkinkan Quick Setup untuk menjalankan runbook `AWSQuickSetupType-Scheduler-ChangeCalendarState` Otomasi. Runbook ini digunakan untuk mengelola status kalender perubahan untuk operasi terjadwal dalam Quick Setup konfigurasi.

Anda dapat melampirkan `AWSQuickSetupStartSSMAssociationsExecutionPolicy` ke entitas IAM Anda. Systems Managerjuga melampirkan kebijakan ini ke peran layanan yang memungkinkan Systems Manager untuk melakukan tindakan atas nama Anda.

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `ssm`— Memungkinkan kepala sekolah untuk memulai eksekusi otomatisasi khusus untuk dokumen. `AWSQuickSetupType-Scheduler-ChangeCalendarState` Ini diperlukan Quick Setup untuk mengelola status kalender perubahan untuk operasi terjadwal.
+ `iam`— Memungkinkan prinsipal untuk meneruskan peran dengan nama yang dimulai dengan “AWS- QuickSetup -” ke layanan Systems Manager. Izin ini dibatasi untuk digunakan dengan dokumen SSM tertentu yang terkait dengan manajemen kalender perubahan. Ini diperlukan Quick Setup untuk meneruskan peran eksekusi yang sesuai ke proses otomatisasi.

Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [AWSQuickSetupStartSSMAssociationsExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupStartSSMAssociationsExecutionPolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy
<a name="security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy"></a>

Kebijakan `AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy` ini memberikan izin untuk mendiagnosis masalah dengan node yang berinteraksi dengan layanan Systems Manager dengan memulai alur kerja Otomasi di akun dan Wilayah tempat node dikelola.

Anda dapat melampirkan `AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy` ke entitas IAM Anda. Systems Managerjuga melampirkan kebijakan ini ke peran layanan yang memungkinkan Systems Manager untuk melakukan tindakan diagnosis atas nama Anda.

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `ssm`— Memungkinkan prinsipal menjalankan runbook Otomasi tertentu yang mendiagnosis masalah node, mengakses status eksekusi untuk alur kerja, dan mengambil detail eksekusi otomatisasi. Kebijakan ini memberikan izin untuk menjelaskan eksekusi otomatisasi, menjelaskan eksekusi langkah otomatisasi, mendapatkan detail eksekusi otomatisasi, dan memulai eksekusi otomatisasi untuk dokumen terkait diagnosis.
+ `kms`— Memungkinkan prinsipal menggunakan kunci yang ditentukan pelanggan untuk dekripsi dan pembuatan AWS Key Management Service kunci data saat mengakses objek terenkripsi di bucket Amazon S3 yang digunakan untuk operasi diagnosis. Izin ini dibatasi untuk kunci yang ditandai `SystemsManagerManaged` dan digunakan melalui layanan Amazon S3 dengan persyaratan konteks enkripsi tertentu.
+ `sts`— Memungkinkan kepala sekolah untuk mengambil peran eksekusi diagnosis untuk menjalankan runbook Otomasi di akun yang sama. Izin ini dibatasi untuk peran dengan pola `AWS-SSM-DiagnosisExecutionRole` penamaan dan menyertakan kondisi untuk memastikan akun sumber daya cocok dengan akun utama.
+ `iam`— Memungkinkan kepala sekolah untuk lulus peran administrasi diagnosis Systems Manager untuk menjalankan runbook Otomasi. Izin ini dibatasi untuk peran dengan pola `AWS-SSM-DiagnosisAdminRole` penamaan dan hanya dapat diteruskan ke layanan Systems Manager.
+ `s3`— Memungkinkan kepala sekolah mengakses, membaca, menulis, dan menghapus objek di bucket Amazon S3 yang digunakan untuk operasi diagnosis. Izin ini dibatasi untuk bucket dengan pola `do-not-delete-ssm-diagnosis-` penamaan dan menyertakan kondisi untuk memastikan operasi dilakukan dalam akun yang sama.

Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [AWS-SSM- DiagnosisAutomation - AdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy.html) di Panduan Referensi Kebijakan *AWS Terkelola*.

## AWS kebijakan terkelola: AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy
<a name="security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy"></a>

Kebijakan terkelola `AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy` memberikan izin administratif untuk menjalankan runbook Otomasi di target Akun AWS dan Wilayah untuk mendiagnosis masalah dengan node terkelola yang berinteraksi dengan layanan Systems Manager.

Anda dapat melampirkan `AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy` ke entitas IAM Anda. Systems Managerjuga melampirkan kebijakan ini ke peran layanan yang memungkinkan Systems Manager untuk melakukan tindakan atas nama Anda. 

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `ec2`— Memungkinkan prinsipal untuk mendeskripsikan sumber daya Amazon EC2 dan Amazon VPC serta konfigurasinya untuk mendiagnosis masalah dengan layanan. Systems Manager Ini termasuk izin untuk mendeskripsikan VPCs, atribut VPC, titik akhir VPC, subnet, grup keamanan, instance, status instance, jaringan, dan gateway internet. ACLs
+ `ssm`— Memungkinkan kepala sekolah menjalankan runbook Otomasi khusus diagnosis dan mengakses status alur kerja otomatisasi dan metadata eksekusi. Ini termasuk izin untuk menjelaskan eksekusi langkah otomatisasi, menjelaskan informasi instans, menjelaskan eksekusi otomatisasi, menjelaskan aktivasi, mendapatkan detail eksekusi otomatisasi, mendapatkan pengaturan layanan, dan memulai eksekusi otomatisasi untuk dokumen diagnosis EC2 tertentu AWS yang tidak dikelola.
+ `kms`— Memungkinkan prinsipal menggunakan kunci yang ditentukan pelanggan untuk dekripsi dan pembuatan AWS Key Management Service kunci data saat mengakses objek terenkripsi di bucket Amazon S3 yang digunakan untuk operasi diagnosis. Izin ini dibatasi untuk kunci yang ditandai `SystemsManagerManaged` dan digunakan melalui layanan Amazon S3 dengan persyaratan konteks enkripsi khusus untuk bucket diagnosis.
+ `iam`— Memungkinkan kepala sekolah untuk lulus peran eksekusi diagnosis Systems Manager untuk menjalankan dokumen Otomasi. Izin ini dibatasi untuk peran dengan pola `AWS-SSM-DiagnosisExecutionRole` penamaan dan hanya dapat diteruskan ke layanan Systems Manager.

Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [AWS-SSM- DiagnosisAutomation - ExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy.html) di Panduan Referensi Kebijakan *AWS Terkelola*.

## AWS kebijakan terkelola: AWS-SSM-RemediationAutomation-AdministrationRolePolicy
<a name="security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy"></a>

Kebijakan `AWS-SSM-RemediationAutomation-AdministrationRolePolicy` ini memberikan izin untuk memulihkan masalah dengan layanan Systems Manager dengan menjalankan aktivitas yang ditentukan dalam dokumen Otomasi, terutama digunakan untuk menjalankan dokumen Otomasi. Kebijakan ini memungkinkan memulai alur kerja Otomasi di akun dan Wilayah tempat node dikelola untuk mengatasi masalah konektivitas dan konfigurasi.

Anda dapat melampirkan `AWS-SSM-RemediationAutomation-AdministrationRolePolicy` ke entitas IAM Anda. Systems Managerjuga melampirkan kebijakan ini ke peran layanan yang memungkinkan Systems Manager untuk melakukan tindakan remediasi atas nama Anda.

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `ssm`— Memungkinkan prinsipal menjalankan runbook Otomasi tertentu yang memperbaiki masalah node, mengakses status eksekusi untuk alur kerja, dan mengambil detail eksekusi otomatisasi. Kebijakan ini memberikan izin untuk menjelaskan eksekusi otomatisasi, menjelaskan eksekusi langkah otomatisasi, mendapatkan detail eksekusi otomatisasi, dan memulai eksekusi otomatisasi untuk dokumen terkait remediasi.
+ `kms`— Memungkinkan prinsipal menggunakan kunci yang ditentukan pelanggan untuk dekripsi dan pembuatan AWS Key Management Service kunci data saat mengakses objek terenkripsi di bucket Amazon S3 yang digunakan untuk operasi remediasi. Izin ini dibatasi untuk kunci yang ditandai `SystemsManagerManaged` dan digunakan melalui layanan Amazon S3 dengan persyaratan konteks enkripsi tertentu.
+ `sts`— Memungkinkan kepala sekolah untuk mengambil peran eksekusi remediasi untuk menjalankan runbook Otomasi di akun yang sama. Izin ini dibatasi untuk peran dengan pola `AWS-SSM-RemediationExecutionRole` penamaan dan menyertakan kondisi untuk memastikan akun sumber daya cocok dengan akun utama.
+ `iam`— Memungkinkan kepala sekolah untuk lulus peran administrasi remediasi untuk Systems Manager menjalankan runbook Otomasi. Izin ini dibatasi untuk peran dengan pola `AWS-SSM-RemediationAdminRole` penamaan dan hanya dapat diteruskan ke layanan Systems Manager.
+ `s3`— Memungkinkan prinsipal mengakses, membaca, menulis, dan menghapus objek di bucket Amazon S3 yang digunakan untuk operasi remediasi. Izin ini dibatasi untuk bucket dengan pola `do-not-delete-ssm-diagnosis-` penamaan dan menyertakan kondisi untuk memastikan operasi dilakukan dalam akun yang sama.

Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [AWS-SSM- RemediationAutomation - AdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-RemediationAutomation-AdministrationRolePolicy.html) di Panduan Referensi Kebijakan *AWS Terkelola*.

## AWS kebijakan terkelola: AWS-SSM-RemediationAutomation-ExecutionRolePolicy
<a name="security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy"></a>

Kebijakan terkelola `AWS-SSM-RemediationAutomation-ExecutionRolePolicy` memberikan izin untuk menjalankan runbook Otomasi di akun target tertentu dan Wilayah untuk memulihkan masalah jaringan dan konektivitas dengan node terkelola yang berinteraksi dengan layanan Systems Manager. Kebijakan ini memungkinkan aktivitas remediasi yang ditentukan dalam dokumen Otomasi, terutama digunakan untuk menjalankan dokumen Otomasi guna mengatasi masalah konektivitas dan konfigurasi.

Anda dapat melampirkan kebijakan ke entitas IAM Anda. Systems Manager juga melampirkan kebijakan ini ke peran layanan yang memungkinkan Systems Manager untuk melakukan tindakan remediasi atas nama Anda. 

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `ssm`— Memungkinkan kepala sekolah untuk mengambil informasi tentang eksekusi Otomasi dan eksekusi langkahnya, dan untuk memulai runbook otomatisasi remediasi tertentu termasuk dan dokumen. `AWS-OrchestrateUnmanagedEC2Actions` `AWS-RemediateSSMAgent` Kebijakan ini memberikan izin untuk menjelaskan eksekusi otomatisasi, menjelaskan eksekusi langkah otomatisasi, mendapatkan detail eksekusi otomatisasi, dan memulai eksekusi otomatisasi untuk dokumen terkait remediasi.
+ `ec2`— Memungkinkan kepala sekolah untuk mendeskripsikan dan memodifikasi sumber daya jaringan Amazon VPC untuk memulihkan masalah konektivitas. Hal ini mencakup:
  + Menjelaskan atribut Amazon VPC, subnet, titik akhir VPC Amazon, dan grup keamanan.
  + Membuat endpoint Amazon VPC untuk layanan Systems Manager (`ssm`,`ssmmessages`, dan`ec2messages`) dengan tag yang diperlukan.
  + Memodifikasi atribut Amazon VPC untuk mengaktifkan dukungan DNS dan nama host.
  + Membuat dan mengelola grup keamanan dengan tag khusus untuk akses endpoint Amazon VPC.
  + Mengotorisasi dan mencabut aturan grup keamanan untuk akses HTTPS dengan tag yang sesuai.
  + Membuat tag di titik akhir Amazon VPC, grup keamanan, dan aturan grup keamanan selama pembuatan sumber daya.
+ `kms`— Memungkinkan prinsipal menggunakan kunci yang ditentukan pelanggan untuk dekripsi dan pembuatan AWS Key Management Service kunci data saat mengakses objek terenkripsi di bucket Amazon S3 yang digunakan untuk operasi remediasi. Izin ini dibatasi untuk kunci yang ditandai `SystemsManagerManaged` dan digunakan melalui layanan Amazon S3 dengan persyaratan konteks enkripsi tertentu.
+ `iam`— Memungkinkan kepala sekolah untuk meneruskan peran eksekusi remediasi untuk Systems Manager menjalankan runbook Otomasi. Izin ini dibatasi untuk peran dengan pola `AWS-SSM-RemediationExecutionRole` penamaan dan hanya dapat diteruskan ke layanan Systems Manager.

Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [AWS-SSM- RemediationAutomation - ExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-RemediationAutomation-ExecutionRolePolicy.html) di Panduan Referensi Kebijakan *AWS Terkelola*.

## AWS kebijakan terkelola: AWSQuick Pengaturan SSMManage ResourcesExecutionPolicy
<a name="security-iam-awsmanpol-AWSQuickSetupSSMManageResourcesExecutionPolicy"></a>

Kebijakan ini memberikan izin yang memungkinkan Quick Setup untuk menjalankan runbook `AWSQuickSetupType-SSM-SetupResources` Otomasi. Runbook ini menciptakan peran IAM untuk Quick Setup asosiasi, yang pada gilirannya dibuat oleh penerapan. `AWSQuickSetupType-SSM` Ini juga memberikan izin untuk membersihkan bucket Amazon S3 terkait selama Quick Setup operasi penghapusan.

Anda dapat melampirkan kebijakan ke entitas IAM Anda. Systems Managerjuga melampirkan kebijakan ini ke peran layanan yang memungkinkan Systems Manager untuk melakukan tindakan atas nama Anda. 

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `iam`— Memungkinkan prinsipal untuk membuat daftar dan mengelola peran IAM untuk digunakan dengan operasi Quick Setup Systems Manager Explorer; untuk melihat, melampirkan, dan melepaskan kebijakan IAM untuk digunakan dengan dan Systems Quick Setup Manager Explorer Izin ini diperlukan sehingga Quick Setup dapat membuat peran yang diperlukan untuk beberapa operasi konfigurasinya.
+ `s3`— Memungkinkan prinsipal untuk mengambil informasi tentang objek di, dan untuk menghapus objek dari bucket Amazon S3, di akun utama, yang digunakan secara khusus dalam operasi konfigurasi. Quick Setup Ini diperlukan agar objek S3 yang tidak lagi diperlukan setelah konfigurasi dapat dihapus.

Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [AWSQuickPenyiapan SSMManage ResourcesExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMManageResourcesExecutionPolicy.html) di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AWSQuick Pengaturan SSMLifecycle ManagementExecutionPolicy
<a name="security-iam-awsmanpol-AWSQuickSetupSSMLifecycleManagementExecutionPolicy"></a>

`AWSQuickSetupSSMLifecycleManagementExecutionPolicy`Kebijakan ini memberikan izin administratif yang memungkinkan Quick Setup untuk menjalankan sumber daya CloudFormation kustom pada peristiwa siklus hidup selama penerapan di. Quick Setup Systems Manager

Anda dapat melampirkan kebijakan ini ke entitas IAM Anda. Systems Managerjuga melampirkan kebijakan ini ke peran layanan yang memungkinkan Systems Manager untuk melakukan tindakan atas nama Anda. 

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `ssm`— Memungkinkan kepala sekolah untuk mendapatkan informasi tentang eksekusi otomatisasi dan memulai eksekusi otomatisasi untuk menyiapkan operasi tertentu. Quick Setup
+ `iam`— Memungkinkan kepala sekolah untuk lulus peran dari IAM untuk menyiapkan sumber daya tertentu. Quick Setup

Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [AWSQuickPenyiapan SSMLifecycle ManagementExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMLifecycleManagementExecutionPolicy.html) di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AWSQuick Pengaturan SSMDeployment RolePolicy
<a name="security-iam-awsmanpol-AWSQuickSetupSSMDeploymentRolePolicy"></a>

Kebijakan terkelola `AWSQuickSetupSSMDeploymentRolePolicy` memberikan izin administratif yang memungkinkan Quick Setup untuk membuat sumber daya yang digunakan selama proses orientasi Systems Manager. 

Meskipun Anda dapat melampirkan kebijakan ini secara manual ke entitas IAM Anda, ini tidak disarankan. Quick Setupmembuat entitas yang melampirkan kebijakan ini ke peran layanan yang memungkinkan Systems Manager untuk melakukan tindakan atas nama Anda.

Kebijakan ini tidak terkait dengan [`SSMQuickSetupRolePolicy`kebijakan](using-service-linked-roles-service-action-5.md), yang digunakan untuk memberikan izin untuk peran `AWSServiceRoleForSSMQuickSetup` terkait layanan.

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `ssm`— Memungkinkan prinsipal untuk mengelola asosiasi untuk sumber daya tertentu yang dibuat menggunakan AWS CloudFormation templat dan kumpulan dokumen SSM tertentu; untuk mengelola peran dan kebijakan peran yang digunakan untuk mendiagnosis dan memulihkan node terkelola melalui CloudFormation templat; dan untuk melampirkan dan menghapus kebijakan untuk peristiwa siklus hidup Quick Setup
+ `iam`— Memungkinkan prinsipal untuk menandai peran dan meneruskan izin peran untuk layanan Systems Manager dan layanan Lambda, dan untuk meneruskan izin peran untuk operasi diagnosis.
+ `lambda`— Memungkinkan prinsipal untuk menandai dan mengelola fungsi untuk Quick Setup siklus hidup di akun utama menggunakan templat. CloudFormation 
+ `cloudformation`— Memungkinkan kepala sekolah untuk membaca informasi dari. CloudFormation Hal ini diperlukan agar Quick Setup dapat mengumpulkan data tentang CloudFormation tumpukan yang digunakan untuk mengelola status sumber daya dan CloudFormation operasi stackset. 

Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [AWSQuickPenyiapan SSMDeployment RolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMDeploymentRolePolicy.html) di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AWSQuick Pengaturan SSMDeployment S3 BucketRolePolicy
<a name="security-iam-awsmanpol-AWSQuickSetupSSMDeploymentS3BucketRolePolicy"></a>

`AWSQuickSetupSSMDeploymentS3BucketRolePolicy`Kebijakan ini memberikan izin untuk mencantumkan semua bucket S3 di akun; dan untuk mengelola dan mengambil informasi tentang bucket tertentu di akun utama yang dikelola melalui templat. CloudFormation 

Anda dapat melampirkan `AWSQuickSetupSSMDeploymentS3BucketRolePolicy` ke entitas IAM Anda. Systems Managerjuga melampirkan kebijakan ini ke peran layanan yang memungkinkan Systems Manager untuk melakukan tindakan atas nama Anda. 

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `s3`— Memungkinkan kepala sekolah mencantumkan semua bucket S3 dalam akun; dan untuk mengelola dan mengambil informasi tentang bucket tertentu di akun utama yang dikelola melalui template. CloudFormation 

Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [AWSQuickMenyiapkan SSMDeployment S3 BucketRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMDeploymentS3BucketRolePolicy.html) di Panduan *Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AWSQuickSetupEnableDHMCExecutionPolicy
<a name="security-iam-awsmanpol-AWSQuickSetupEnableDHMCExecutionPolicy"></a>

Kebijakan ini memberikan izin administratif yang memungkinkan prinsipal menjalankan runbook `AWSQuickSetupType-EnableDHMC` Otomasi, yang memungkinkan Konfigurasi Manajemen Host Default. *Pengaturan Konfigurasi Manajemen Host Default memungkinkan Systems Manager mengelola instans Amazon EC2 secara otomatis sebagai instans terkelola.* Instans terkelola adalah instans EC2 yang dikonfigurasi untuk digunakan dengan Systems Manager. Kebijakan ini juga memberikan izin untuk membuat peran IAM yang ditentukan dalam setelan layanan Systems Manager sebagai peran default. SSM Agent

Anda dapat melampirkan `AWSQuickSetupEnableDHMCExecutionPolicy` ke entitas IAM Anda. Systems Managerjuga melampirkan kebijakan ini ke peran layanan yang memungkinkan Systems Manager untuk melakukan tindakan atas nama Anda. 

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `ssm`— Memungkinkan kepala sekolah untuk memperbarui dan mendapatkan informasi tentang pengaturan layanan Systems Manager.
+ `iam`— Memungkinkan kepala sekolah untuk membuat dan mengambil informasi tentang peran IAM untuk operasi. Quick Setup

Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableDHMCExecutionPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableDHMCExecutionPolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AWSQuickSetupEnableAREXExecutionPolicy
<a name="security-iam-awsmanpol-AWSQuickSetupEnableAREXExecutionPolicy"></a>

Kebijakan ini memberikan izin administratif yang memungkinkan Systems Manager menjalankan runbook `AWSQuickSetupType-EnableAREX` Otomasi, yang memungkinkan Penjelajah Sumber Daya AWS untuk digunakan dengan Systems Manager. Resource Explorer memungkinkan untuk melihat sumber daya di akun Anda dengan pengalaman pencarian yang mirip dengan mesin pencari Internet. Kebijakan ini juga memberikan izin untuk mengelola indeks dan tampilan Resource Explorer.

Anda dapat melampirkan `AWSQuickSetupEnableAREXExecutionPolicy` ke entitas IAM Anda. Systems Managerjuga melampirkan kebijakan ini ke peran layanan yang memungkinkan Systems Manager untuk melakukan tindakan atas nama Anda. 

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `iam`— Memungkinkan prinsipal untuk membuat peran terkait layanan dalam layanan (IAM). AWS Identity and Access Management 
+ `resource-explorer-2`— Memungkinkan prinsipal untuk mengambil informasi tentang tampilan dan indeks Resource Explorer; untuk membuat tampilan dan indeks Resource Explorer; untuk mengubah jenis indeks untuk indeks yang ditampilkan di. Quick Setup

Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableAREXExecutionPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableAREXExecutionPolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AWSQuick SetupManagedInstanceProfileExecutionPolicy
<a name="security-iam-awsmanpol-AWSQuickSetupManagedInstanceProfileExecutionPolicy"></a>

Kebijakan ini memberikan izin administratif yang memungkinkan Systems Manager untuk membuat profil instans IAM default untuk Quick Setup alat tersebut, dan melampirkannya ke instans Amazon EC2 yang belum memiliki profil instans yang dilampirkan. Kebijakan ini juga memberikan Systems Manager kemampuan untuk melampirkan izin ke profil instans yang ada. Hal ini dilakukan untuk memastikan bahwa izin yang diperlukan Systems Manager untuk berkomunikasi dengan SSM Agent instans EC2 sudah ada.

Anda dapat melampirkan `AWSQuickSetupManagedInstanceProfileExecutionPolicy` ke entitas IAM Anda. Systems Managerjuga melampirkan kebijakan ini ke peran layanan yang memungkinkan Systems Manager untuk melakukan tindakan atas nama Anda. 

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `ssm`— Memungkinkan kepala sekolah untuk memulai alur kerja otomatisasi yang terkait dengan proses. Quick Setup
+ `ec2`— Memungkinkan prinsipal untuk melampirkan profil instans IAM ke instans EC2 yang dikelola oleh. Quick Setup
+ `iam`— Memungkinkan prinsipal untuk membuat, memperbarui, dan mengambil informasi tentang peran dari IAM yang digunakan dalam Quick Setup proses; untuk membuat profil instans IAM; untuk melampirkan kebijakan `AmazonSSMManagedInstanceCore` terkelola ke profil instans IAM.

Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [AWSQuickSetupManagedInstanceProfileExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupManagedInstanceProfileExecutionPolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AWSQuick SetupManage JITNAResources ExecutionPolicy
<a name="security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy"></a>

Kebijakan terkelola `AWSQuickSetupManageJITNAResourcesExecutionPolicy` memungkinkanQuick Setup, alat di Systems Manager, untuk mengatur akses just-in-time node.

Anda dapat melampirkan `AWSQuickSetupManageJITNAResourcesExecutionPolicy` ke entitas IAM Anda. Systems Managerjuga melampirkan kebijakan ini ke peran layanan yang memungkinkan Systems Manager untuk melakukan tindakan atas nama Anda. 

Kebijakan ini memberikan izin administratif yang memungkinkan Systems Manager untuk membuat sumber daya yang terkait dengan akses just-in-time node.

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `ssm`— Memungkinkan prinsipal untuk mendapatkan dan memperbarui pengaturan layanan yang menentukan penyedia identitas untuk akses node. just-in-time
+ `iam`— Memungkinkan prinsipal untuk membuat, menandai, dan mendapatkan peran, melampirkan kebijakan peran untuk kebijakan terkelola akses just-in-time node, dan membuat peran terkait layanan untuk just-in-time akses node dan notifikasi.

Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [AWSQuickSetupManageJITNAResourcesExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupManageJITNAResourcesExecutionPolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AWSQuick Pengaturan JITNADeployment RolePolicy
<a name="security-iam-awsmanpol-AWSQuickSetupJITNADeploymentRolePolicy"></a>

Kebijakan terkelola `AWSQuickSetupJITNADeploymentRolePolicy` memungkinkan Quick Setup untuk menerapkan jenis konfigurasi yang diperlukan untuk menyiapkan akses just-in-time node.

Anda dapat melampirkan `AWSQuickSetupJITNADeploymentRolePolicy` ke entitas IAM Anda. Systems Managerjuga melampirkan kebijakan ini ke peran layanan yang memungkinkan Systems Manager untuk melakukan tindakan atas nama Anda. 

Kebijakan ini memberikan izin administratif yang memungkinkan Systems Manager untuk membuat sumber daya yang terkait dengan akses just-in-time node.

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `cloudformation`— Memungkinkan prinsipal untuk membuat, memperbarui, menghapus, dan membaca tumpukan. CloudFormation 
+ `ssm`— Memungkinkan prinsipal untuk membuat, menghapus, memperbarui, dan membaca State Manager asosiasi yang dipanggil oleh. CloudFormation
+ `iam`— Memungkinkan prinsipal membuat, menghapus, membaca, dan menandai peran IAM yang dipanggil oleh. CloudFormation

Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [AWSQuickPenyiapan JITNADeployment RolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupJITNADeploymentRolePolicy.html) di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AWSSystems ManagerJustInTimeAccessServicePolicy
<a name="security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy"></a>

Kebijakan terkelola `AWSSystemsManagerJustInTimeAccessServicePolicy` menyediakan akses ke AWS sumber daya yang dikelola atau digunakan oleh kerangka kerja AWS Systems Manager just-in-time akses. Pembaruan kebijakan ini menambahkan izin penandaan eksekusi otomatisasi untuk memungkinkan pelanggan mengurangi izin operator ke tag tertentu.

Anda tidak dapat melampirkan `AWSSystemsManagerJustInTimeAccessServicePolicy` ke entitas IAM Anda. Kebijakan ini dilampirkan ke peran terkait layanan yang mengizinkan Systems Manager untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat [Menggunakan peran untuk mengaktifkan akses just-in-time node](using-service-linked-roles-service-action-8.md).

Kebijakan ini memberikan izin administratif yang memungkinkan akses ke sumber daya yang terkait dengan akses just-in-time node.

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `ssm`— Memungkinkan prinsipal untuk membuat dan mengelolaOpsItems, menambahkan tag ke dan eksekusi otomatisasi, mendapatkan OpsItems dan memperbarui, mengambil dan mendeskripsikan dokumenOpsItems, mendeskripsikan dan sesi, daftar dokumen OpsItems dan tag untuk instance yang dikelola.
+ `ssm-guiconnect`— Memungkinkan kepala sekolah untuk membuat daftar koneksi.
+ `identitystore`— Memungkinkan kepala sekolah untuk mendapatkan pengguna dan grup IDs, mendeskripsikan pengguna, dan daftar keanggotaan grup.
+ `sso-directory`— Memungkinkan prinsipal untuk menggambarkan pengguna dan menentukan apakah pengguna adalah anggota grup.
+ `sso`— Memungkinkan kepala sekolah untuk menggambarkan Wilayah terdaftar dan daftar contoh dan asosiasi direktori.
+ `cloudwatch`— Memungkinkan prinsipal untuk menempatkan data metrik untuk namespace. `AWS/SSM/JustInTimeAccess`
+ `ec2`— Memungkinkan kepala sekolah untuk menggambarkan tag.

Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [AWSSystemsManagerJustInTimeAccessServicePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeAccessServicePolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AWSSystems ManagerJustInTimeAccessTokenPolicy
<a name="security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy"></a>

Kebijakan terkelola `AWSSystemsManagerJustInTimeAccessTokenPolicy` memberikan izin bagi pengguna untuk membuat koneksi aman ke instans Amazon EC2 dan instans terkelola melalui koneksi RDP GUI Connect Session Manager Systems Manager sebagai bagian dari alur kerja akses node. just-in-time

Anda dapat melampirkan `AWSSystemsManagerJustInTimeAccessTokenPolicy` ke entitas IAM Anda.

Kebijakan ini memberikan izin kontributor yang memungkinkan pengguna untuk memulai dan mengelola sesi aman, membuat koneksi RDP, dan melakukan operasi kriptografi yang diperlukan untuk akses node. just-in-time

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `ssm`— Memungkinkan prinsipal untuk memulai Session Manager sesi di instans Amazon EC2 dan instans terkelola menggunakan dokumen SSM-. SessionManagerRunShell Juga memungkinkan penghentian dan melanjutkan sesi, mengambil detail pemanggilan perintah, dan mengirim perintah ke instance untuk pengaturan pengguna SSO saat dipanggil melalui Systems Manager GUI Connect. Selain itu memungkinkan memulai sesi penerusan port untuk koneksi RDP saat dipanggil melalui Systems Manager GUI Connect.
+ `ssmmessages`— Memungkinkan kepala sekolah untuk membuka saluran data untuk komunikasi yang aman selama sesi. Session Manager
+ `ssm-guiconnect`— Memungkinkan kepala sekolah untuk memulai, mendapatkan detail tentang, dan membatalkan koneksi Systems Manager GUI Connect RDP ke instance.
+ `kms`— Memungkinkan prinsipal untuk menghasilkan kunci data untuk Session Manager enkripsi dan membuat hibah untuk koneksi RDP. Izin ini dibatasi untuk AWS KMS kunci yang ditandai dengan. `SystemsManagerJustInTimeNodeAccessManaged=true` Pembuatan hibah dibatasi lebih lanjut hanya untuk digunakan melalui layanan Systems Manager GUI Connect.
+ `sso`— Memungkinkan kepala sekolah untuk daftar asosiasi direktori ketika dipanggil melalui Systems Manager GUI Connect. Ini diperlukan untuk pengaturan pengguna RDP SSO.
+ `identitystore`— Memungkinkan prinsipal untuk mendeskripsikan pengguna di toko identitas saat dipanggil melalui Systems Manager GUI Connect. Ini diperlukan untuk pengaturan pengguna RDP SSO.

Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [AWSSystemsManagerJustInTimeAccessTokenPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeAccessTokenPolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AWSSystems ManagerJustInTimeAccessTokenSessionPolicy
<a name="security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenSessionPolicy"></a>

Kebijakan terkelola `AWSSystemsManagerJustInTimeAccessTokenSessionPolicy` memungkinkan Systems Manager untuk menerapkan izin bawah cakupan ke token akses just-in-time node. 

Anda dapat melampirkan `AWSSystemsManagerJustInTimeAccessTokenSessionPolicy` ke entitas IAM Anda.

Kebijakan ini memberikan izin administratif yang memungkinkan Systems Manager untuk mengurangi izin untuk token akses just-in-time node.

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `ssm`— Memungkinkan kepala sekolah untuk memulai Session Manager sesi menggunakan dokumen. `SSM-SessionManagerRunShell` Juga ketika dipanggil pertama melalui`ssm-guiconnect`, mulai sesi menggunakan `AWS-StartPortForwardingSession` dokumen, daftar perintah pemanggilan, dan kirim perintah menggunakan dokumen. `AWSSSO-CreateSSOUser`
+ `ssm-guiconnect`— Memungkinkan prinsipal untuk membatalkan, mendapatkan, dan memulai koneksi di semua sumber daya.
+ `kms`— Memungkinkan prinsipal untuk membuat hibah dan menghasilkan kunci data untuk kunci yang ditandai `SystemsManagerJustInTimeNodeAccessManaged` ketika dipanggil melalui layanan. `ssm-guiconnect` AWS 
+ `sso`— Memungkinkan kepala sekolah untuk daftar asosiasi direktori ketika dipanggil via. `ssm-guiconnect`
+ `identitystore`— Memungkinkan kepala sekolah untuk menggambarkan pengguna ketika dipanggil melalui. `ssm-guiconnect`

Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeAccessTokenSessionPolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AWSSystems ManagerJustInTimeNodeAccessRolePropagationPolicy
<a name="security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy"></a>

Kebijakan terkelola `AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy` memungkinkan Systems Manager untuk berbagi kebijakan akses penolakan dari akun administrator yang didelegasikan ke akun anggota, dan mereplikasi kebijakan di beberapa akun. Wilayah AWS

Anda dapat melampirkan `AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy` ke entitas IAM Anda.

Kebijakan ini menyediakan izin administratif yang diperlukan Systems Manager untuk berbagi dan membuat kebijakan akses penolakan. Ini memastikan bahwa kebijakan akses penolakan diterapkan ke semua akun di AWS Organizations organisasi dan Wilayah yang dikonfigurasi untuk akses just-in-time node.

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `ssm`— Memungkinkan kepala sekolah untuk mengelola dokumen SSM dan kebijakan sumber daya.
+ `ssm-quicksetup`— Memungkinkan kepala sekolah membaca Quick Setup manajer konfigurasi.
+ `organizations`— Memungkinkan kepala sekolah untuk membuat daftar rincian tentang AWS Organizations organisasi dan administrator yang didelegasikan.
+ `ram`— Memungkinkan prinsipal untuk membuat, menandai, dan mendeskripsikan pembagian sumber daya.
+ `iam`— Memungkinkan kepala sekolah untuk menggambarkan peran layanan.

Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AWSSystems ManagerNotificationsServicePolicy
<a name="security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy"></a>

Kebijakan terkelola `AWSSystemsManagerNotificationsServicePolicy` memungkinkan Systems Manager untuk mengirim pemberitahuan email untuk permintaan akses just-in-time node untuk mengakses pemberi persetujuan permintaan.

Anda tidak dapat melampirkan `AWSSystemsManagerJustInTimeAccessServicePolicy` ke entitas IAM Anda. Kebijakan ini dilampirkan ke peran terkait layanan yang mengizinkan Systems Manager untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat [Menggunakan peran untuk mengirim pemberitahuan permintaan akses just-in-time node](using-service-linked-roles-service-action-9.md).

Kebijakan ini memberikan izin administratif yang memungkinkan Systems Manager untuk mengirim pemberitahuan email untuk permintaan akses just-in-time node untuk mengakses persetujuan permintaan.

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `identitystore`— Memungkinkan kepala sekolah untuk membuat daftar dan menggambarkan pengguna dan keanggotaan grup.
+ `sso`— Memungkinkan kepala sekolah untuk daftar contoh, direktori, dan menjelaskan Wilayah terdaftar.
+ `sso-directory`— Memungkinkan kepala sekolah untuk mendeskripsikan pengguna dan daftar anggota dalam grup.
+ `iam`— Memungkinkan kepala sekolah untuk mendapatkan informasi tentang peran.

Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [AWSSystemsManagerNotificationsServicePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerNotificationsServicePolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AWS-SSM-Automation-DiagnosisBucketPolicy
<a name="security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy"></a>

Kebijakan terkelola `AWS-SSM-Automation-DiagnosisBucketPolicy` memberikan izin untuk mendiagnosis masalah dengan node yang berinteraksi dengan AWS Systems Manager layanan, dengan mengizinkan akses ke bucket S3 yang digunakan untuk diagnosis dan perbaikan masalah.

Anda dapat melampirkan kebijakan `AWS-SSM-Automation-DiagnosisBucketPolicy` ke identitas IAM Anda. Systems Manager juga melampirkan kebijakan ini ke peran IAM yang memungkinkan Systems Manager untuk melakukan tindakan diagnosis atas nama Anda.

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `s3`— Memungkinkan kepala sekolah untuk mengakses dan menulis objek ke bucket Amazon S3.

*Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [AWS-SSM-Automation- DiagnosisBucketPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-Automation-DiagnosisBucketPolicy.html) di Panduan Referensi Kebijakan Terkelola.AWS *

## AWS kebijakan terkelola: AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy
<a name="security-iam-awsmanpol-AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy"></a>

Kebijakan terkelola `AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy` memberikan izin bagi akun operasional untuk mendiagnosis masalah dengan node dengan memberikan izin khusus organisasi.

Anda dapat `AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy` melampirkan identitas IAM Anda. Systems Manager juga melampirkan kebijakan ini ke peran IAM yang memungkinkan Systems Manager untuk melakukan tindakan diagnosis atas nama Anda.

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `organizations`— Memungkinkan kepala sekolah untuk membuat daftar akar organisasi, dan mendapatkan akun anggota untuk menentukan akun target.
+ `sts`— Memungkinkan kepala sekolah untuk mengambil peran eksekusi remediasi untuk menjalankan dokumen Otomasi SSM di seluruh akun dan Wilayah, dalam organisasi yang sama.

Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [AWS-SSM- RemediationAutomation - OperationalAccountAdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy.html) di Panduan Referensi Kebijakan *AWS Terkelola*.

## AWS kebijakan terkelola: AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy
<a name="security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy"></a>

Kebijakan terkelola `AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy` memberikan izin bagi akun operasional untuk mendiagnosis masalah dengan node dengan memberikan izin khusus organisasi.

Anda dapat melampirkan kebijakan `AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy` ke identitas IAM Anda. Systems Manager juga melampirkan kebijakan ini ke peran IAM yang memungkinkan Systems Manager untuk melakukan tindakan diagnosis atas nama Anda.

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `organizations`— Memungkinkan kepala sekolah untuk membuat daftar akar organisasi, dan mendapatkan akun anggota untuk menentukan akun target.
+ `sts`— Memungkinkan kepala sekolah untuk mengambil peran eksekusi diagnosis untuk menjalankan dokumen Otomasi SSM di seluruh akun dan Wilayah, dalam organisasi yang sama.

Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [AWS-SSM- DiagnosisAutomation - OperationalAccountAdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy.html) di Panduan Referensi Kebijakan *AWS Terkelola*.





## Systems Managerpembaruan kebijakan AWS terkelola
<a name="security-iam-awsmanpol-updates"></a>



Di tabel berikut, lihat detail tentang pembaruan kebijakan AWS terkelola Systems Manager sejak layanan ini mulai melacak perubahan ini pada 12 Maret 2021. Untuk informasi tentang kebijakan terkelola lainnya untuk layanan Systems Manager, lihat [Kebijakan terkelola tambahan untuk Systems Manager](#policies-list) nanti dalam topik ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan RSS feed pada halaman Systems Manager [Riwayat dokumen](systems-manager-release-history.md).




| Perubahan | Deskripsi | Date | 
| --- | --- | --- | 
|  [SSMAutomationPeran Amazon](#security-iam-awsmanpol-AmazonSSMAutomationRole) - Perbarui ke kebijakan yang ada  |  Systems Managermenambahkan `cloudformation:TagResource` dan `cloudformation:UntagResource` izin. Izin ini memungkinkan runbook Otomasi yang membuat CloudFormation tumpukan untuk menambah dan menghapus tag dari sumber daya.  | Maret 20, 2026 | 
|  [AWS-SSM- DiagnosisAutomation - ExecutionRolePolicy -](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy) Kebijakan terkelola yang diperbarui  |  Systems Managermemperbarui kebijakan terkelola untuk menambahkan izin EC2 dan SSM tambahan untuk kemampuan diagnosis yang ditingkatkan. Kebijakan ini sekarang mencakup izin untuk menjelaskan status dan jaringan instans EC2 ACLs, serta aktivasi SSM dan pengaturan layanan, memberikan informasi diagnostik yang lebih komprehensif untuk memecahkan masalah node terkelola.  | Desember 19, 2025 | 
|  [AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy)— Kebijakan terkelola yang diperbarui  |  Systems Managermemperbarui kebijakan terkelola `AWSQuickSetupDeploymentRolePolicy` untuk menambahkan dukungan untuk dua dokumen SSM tambahan: `AWSQuickSetupType-ConfigureDevOpsGuru` dan`AWSQuickSetupType-DeployConformancePack`. Penambahan ini memungkinkan Quick Setup untuk menerapkan konfigurasi DevOps Guru dan paket kesesuaian melalui kebijakan.  | Desember 15, 2025 | 
|  [AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy) – Pembaruan ke kebijakan yang ada  |  Systems Managermemperbarui kebijakan terkelola`AWSSystemsManagerJustInTimeAccessTokenPolicy`. Pernyataan (`SID`) `TerminateAndResumeSession` telah diubah namanya menjadi `TerminateAndResumeSessionAndOpenDataChannel` dan sekarang mencakup `ssmmessages:OpenDataChannel` tindakan, menggabungkan manajemen sesi dan izin saluran data ke dalam satu pernyataan.  | September 25, 2025 | 
| Kebijakan terkelola yang diperbarui: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/security-iam-awsmanpol.html) | Systems Managermemperbarui tiga kebijakan terkelola untuk menambahkan dukungan untuk memulai eksekusi Otomasi pada sumber daya Systems Manager tambahan, termasuk runbook Otomasi tertentu dan dokumen Perintah SSM. | September 12, 2025 | 
|  [AWSQuickSetupStartStopInstancesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartStopInstancesExecutionPolicy)— Kebijakan terkelola yang diperbarui  |  Systems Managermemperbarui kebijakan terkelola untuk menyempurnakan izin untuk konfigurasi Quick Setup penjadwal. Kebijakan ini sekarang memberikan izin yang lebih spesifik untuk memulai dan menghentikan instans Amazon EC2, mengakses kalender perubahan, dan menjalankan dokumen otomatisasi dengan kondisi keamanan yang ditingkatkan.  | September 12, 2025 | 
|  [AWSQuickSetupStartSSMAssociationsExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartSSMAssociationsExecutionPolicy)— Kebijakan terkelola yang diperbarui  |  Systems Managermemperbarui kebijakan terkelola untuk mengubah dokumen otomatisasi dari `AWSQuickSetupType-StartSSMAssociations` menjadi`AWSQuickSetupType-Scheduler-ChangeCalendarState`. Pembaruan ini mengubah tujuan kebijakan dari memulai asosiasi SSM menjadi mengelola status kalender perubahan untuk operasi terjadwal.  | September 12, 2025 | 
|  [SSMAutomationPeran Amazon](#security-iam-awsmanpol-AmazonSSMAutomationRole) - Perbarui ke kebijakan yang ada  |  Systems Managermenambahkan izin baru untuk memungkinkan runbook Otomasi membuat saluran komunikasi untuk operasi berbasis sesi. Menambahkan `ssmmessages:OpenDataChannel` izin untuk sumber daya`arn:*:ssm:*:*:session/*`.  | September 11, 2025 | 
|  [AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy)— Kebijakan terkelola yang diperbarui  |  Systems Managermemperbarui kebijakan terkelola untuk menambahkan izin penandaan eksekusi otomatisasi. Layanan perlu menandai eksekusi otomatisasi dengan `SystemsManagerJustInTimeNodeAccessManaged=true` tag untuk memungkinkan pelanggan mengurangi izin operator ke tag tertentu.  | Agustus 25, 2025 | 
|  [AWSQuickSetupStartSSMAssociationsExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartSSMAssociationsExecutionPolicy) – Kebijakan baru  |  Systems Managermenambahkan kebijakan baru Quick Setup untuk memungkinkan menjalankan runbook `AWSQuickSetupType-StartSSMAssociations` Otomasi. Runbook ini digunakan untuk memulai State Manager asosiasi yang dibuat oleh Quick Setup konfigurasi.  | Agustus 12, 2025 | 
|  [AWSQuickSetupStartStopInstancesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartStopInstancesExecutionPolicy) – Kebijakan baru  |  Systems Managermenambahkan kebijakan baru Quick Setup untuk memungkinkan memulai dan menghentikan instans Amazon EC2 sesuai jadwal. Kebijakan ini memberikan izin yang diperlukan untuk jenis konfigurasi Quick Setup penjadwal untuk mengelola status instans berdasarkan jadwal yang ditentukan.  | Agustus 12, 2025 | 
|  [AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy)- Update ke dokumentasi  |  Systems Manager telah memperbarui kebijakan `AWSQuickSetupDeploymentRolePolicy` terkelola untuk memberikan izin untuk sumber daya tambahan. Selain itu, dokumentasi untuk `AWSQuickSetupDeploymentRolePolicy` telah diperbarui dengan deskripsi yang lebih rinci tentang izin yang diberikan oleh kebijakan ini untuk operasi manajemen Quick Setup konfigurasi.  | Agustus 12, 2025 | 
|  [AWS-SSM- RemediationAutomation - ExecutionRolePolicy -](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy) Update ke kebijakan yang ada  |  Systems Managermemperbarui kebijakan terkelola untuk meningkatkan postur keamanan ssm: StartAutomationExecution API dengan mewajibkan izin untuk jenis sumber daya “dokumen” dan “eksekusi otomatis”. Kebijakan yang diperbarui memberikan izin yang lebih komprehensif dan terperinci untuk eksekusi otomatisasi remediasi, termasuk deskripsi yang disempurnakan untuk kemampuan remediasi jaringan, izin pembuatan titik akhir Amazon VPC yang lebih spesifik, izin manajemen grup keamanan terperinci, dan kontrol penandaan sumber daya yang ditingkatkan untuk operasi remediasi.  | 16 Juli 2025 | 
|  [AWS-SSM- RemediationAutomation - AdministrationRolePolicy -](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy) Update ke kebijakan yang ada  |  Systems Managermemperbarui kebijakan terkelola untuk mendukung peningkatan otorisasi API untuk operasi otomatisasi remediasi. Kebijakan yang diperbarui meningkatkan izin untuk menjalankan aktivitas yang ditentukan dalam dokumen Otomasi, dengan kontrol keamanan yang ditingkatkan dan pola akses sumber daya untuk alur kerja remediasi.  | 16 Juli 2025 | 
|  [AWS-SSM- DiagnosisAutomation - ExecutionRolePolicy -](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy) Update ke kebijakan yang ada  |  Systems Managermemperbarui kebijakan terkelola untuk memberikan izin yang lebih rinci dan akurat untuk eksekusi otomatisasi diagnosis. Kebijakan yang diperbarui mencakup deskripsi yang disempurnakan untuk akses sumber daya Amazon EC2 dan Amazon VPC, izin otomatisasi SSM yang lebih spesifik, serta deskripsi izin IAM yang AWS KMS ditingkatkan dengan batasan sumber daya yang tepat.  | 16 Juli 2025 | 
|  [AWS-SSM- DiagnosisAutomation - AdministrationRolePolicy -](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy) Update ke kebijakan yang ada  |  Systems Managermemperbarui kebijakan terkelola untuk memberikan izin dan kondisi keamanan yang lebih spesifik untuk operasi otomatisasi diagnosis. Kebijakan yang diperbarui menyediakan kontrol keamanan yang disempurnakan untuk penggunaan AWS KMS kunci, akses bucket Amazon S3, dan asumsi peran, dengan kondisi berbasis sumber daya yang lebih ketat dan pembatasan tingkat akun.  | 16 Juli 2025 | 
|  [AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy)— Perbarui ke kebijakan  |  Systems Managermenambahkan izin ke kebijakan terkelola `AWSQuickSetupDeploymentRolePolicy` untuk mengakses runbook milik Amazon. [AWSQuickSetupType-ManageInstanceProfile](https://console.aws.amazon.com/systems-manager/documents/AWSQuickSetupType-ManageInstanceProfile/content) Izin ini memungkinkan Quick Setup untuk membuat asosiasi menggunakan kebijakan terkelola, bukan kebijakan inline.  | 14 Juli 2025 | 
|  [SSMAutomationPeran Amazon](#security-iam-awsmanpol-AmazonSSMAutomationRole) - Perbarui ke dokumentasi  |  Systems Managermenambahkan dokumentasi komprehensif untuk `AmazonSSMAutomationRole` kebijakan yang ada, yang memberikan izin bagi layanan Otomasi Systems Manager untuk menjalankan aktivitas yang ditentukan dalam runbook Otomasi.  | Juli 15, 2025 | 
|  [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy)— Perbarui ke kebijakan  |  Systems Managermenambahkan izin Systems Manager untuk memungkinkan menandai sumber daya yang dibagikan oleh AWS Resource Access Manager untuk akses just-in-time node.  | 30 April 2025 | 
|  [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy)— Perbarui ke kebijakan  |  Systems Managermenambahkan izin Systems Manager untuk memungkinkan menandai peran IAM yang dibuat untuk akses just-in-time node.  | 30 April 2025 | 
|  [AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenSessionPolicy) – Kebijakan baru  |  Systems Managermenambahkan kebijakan baru Systems Manager untuk memungkinkan menerapkan izin cakupan ke token akses just-in-time node.  | 30 April 2025 | 
|  [AWSSystemsManagerNotificationsServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy) – Kebijakan baru  |  Systems Managermenambahkan kebijakan baru untuk memungkinkan pengiriman pemberitahuan email Systems Manager untuk permintaan akses just-in-time node untuk mengakses pemberi persetujuan permintaan.  | 30 April 2025 | 
|  [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy) – Kebijakan baru  |  Systems Managermenambahkan kebijakan baru untuk memungkinkan Systems Manager mereplikasi kebijakan persetujuan ke Wilayah yang berbeda.  | 30 April 2025 | 
|  [AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy) – Kebijakan baru  |  Systems Managermenambahkan kebijakan baru Systems Manager untuk memungkinkan menghasilkan token akses yang digunakan untuk akses just-in-time node.  | 30 April 2025 | 
|  [AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy) – Kebijakan baru  |  Systems Managermenambahkan kebijakan baru untuk memberikan izin ke AWS sumber daya yang dikelola atau digunakan oleh fitur akses just-in-time node Systems Manager.  | 30 April 2025 | 
|  [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy) – Kebijakan baru  |  Systems Managermenambahkan kebijakan baru untuk mengizinkanQuick Setup, alat di Systems Manager, untuk membuat peran IAM yang diperlukan untuk akses just-in-time node.  | 30 April 2025 | 
|  [AWSQuickPengaturan JITNADeployment RolePolicy](#security-iam-awsmanpol-AWSQuickSetupJITNADeploymentRolePolicy) - Kebijakan baru  |  Systems Managermenambahkan kebijakan baru yang menyediakan izin yang memungkinkan Quick Setup untuk menerapkan jenis konfigurasi yang diperlukan untuk mengatur akses just-in-time node.  | 30 April 2025 | 
|  [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy)— Perbarui ke kebijakan  |  Systems Managermenambahkan izin Systems Manager untuk memungkinkan menandai sumber daya yang dibagikan oleh AWS Resource Access Manager untuk akses just-in-time node.  | 30 April 2025 | 
|  [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy)— Perbarui ke kebijakan  |  Systems Managermenambahkan izin Systems Manager untuk memungkinkan menandai peran IAM yang dibuat untuk akses just-in-time node.  | 30 April 2025 | 
|  [AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenSessionPolicy) – Kebijakan baru  |  Systems Managermenambahkan kebijakan baru Systems Manager untuk memungkinkan menerapkan izin cakupan ke token akses just-in-time node.  | 30 April 2025 | 
|  [AWSSystemsManagerNotificationsServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy) – Kebijakan baru  |  Systems Managermenambahkan kebijakan baru untuk memungkinkan pengiriman pemberitahuan email Systems Manager untuk permintaan akses just-in-time node untuk mengakses pemberi persetujuan permintaan.  | 30 April 2025 | 
|  [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy) – Kebijakan baru  |  Systems Managermenambahkan kebijakan baru untuk memungkinkan Systems Manager mereplikasi kebijakan persetujuan ke Wilayah yang berbeda.  | 30 April 2025 | 
|  [AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy) – Kebijakan baru  |  Systems Managermenambahkan kebijakan baru Systems Manager untuk memungkinkan menghasilkan token akses yang digunakan untuk akses just-in-time node.  | 30 April 2025 | 
|  [AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy) – Kebijakan baru  |  Systems Managermenambahkan kebijakan baru untuk memberikan izin ke AWS sumber daya yang dikelola atau digunakan oleh fitur akses just-in-time node Systems Manager.  | 30 April 2025 | 
|  [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy) – Kebijakan baru  |  Systems Managermenambahkan kebijakan baru untuk mengizinkanQuick Setup, alat di Systems Manager, untuk membuat peran IAM yang diperlukan untuk akses just-in-time node.  | 30 April 2025 | 
|  [AWSQuickPengaturan JITNADeployment RolePolicy](#security-iam-awsmanpol-AWSQuickSetupJITNADeploymentRolePolicy) - Kebijakan baru  |  Systems Managermenambahkan kebijakan baru yang menyediakan izin yang memungkinkan Quick Setup untuk menerapkan jenis konfigurasi yang diperlukan untuk mengatur akses just-in-time node.  | 30 April 2025 | 
|  [`AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy`](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy) – Kebijakan baru  |  Systems Managermenambahkan kebijakan baru yang memberikan izin untuk akun operasional untuk mendiagnosis masalah dengan node dengan memberikan izin khusus organisasi.  | November 21, 2024 | 
|  [`AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy`](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy) – Kebijakan baru  |  Systems Managermenambahkan kebijakan baru yang memberikan izin untuk akun operasional untuk mendiagnosis masalah dengan node dengan memberikan izin khusus organisasi.  | November 21, 2024 | 
|  [`AWS-SSM-Automation-DiagnosisBucketPolicy`](#security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy) – Kebijakan baru  |  Systems Managermenambahkan kebijakan baru untuk mendukung memulai alur kerja Otomasi yang mendiagnosis masalah dengan node terkelola di akun dan Wilayah yang ditargetkan.  | November 21, 2024 | 
|  [`AmazonSSMServiceRolePolicy`](#security-iam-awsmanpol-AmazonSSMServiceRolePolicy) – Pembaruan ke kebijakan yang ada  |  Systems Managermenambahkan izin baru Penjelajah Sumber Daya AWS untuk memungkinkan mengumpulkan detail tentang instans Amazon EC2 dan menampilkan hasilnya dalam widget di Dasbor baru. Systems Manager  | November 21, 2024 | 
| [`SSMQuickSetupRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy) – Pembaruan ke kebijakan yang ada | Systems Managertelah memperbarui kebijakan terkelolaSSMQuickSetupRolePolicy. Pembaruan ini memungkinkan peran terkait layanan terkait AWSServiceRoleForSSMQuickSetup untuk mengelola sinkronisasi data sumber daya.  | November 21, 2024 | 
| [`AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy `](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy) – Kebijakan baru | Systems Manager menambahkan kebijakan baru untuk mendukung alur kerja Otomasi awal yang mendiagnosis masalah dengan node terkelola di akun dan Wilayah yang ditargetkan. | November 21, 2024 | 
| [`AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy`](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy) – Kebijakan baru | Systems Manager menambahkan kebijakan baru untuk mendukung alur kerja Otomasi awal yang mendiagnosis masalah dengan node terkelola di akun dan Wilayah yang ditargetkan. | November 21, 2024 | 
| [`AWS-SSM-RemediationAutomation-AdministrationRolePolicy`](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy) – Kebijakan baru | Systems Manager menambahkan kebijakan baru untuk mendukung alur kerja Otomasi awal yang memulihkan masalah di node terkelola di akun dan Wilayah yang ditargetkan. | November 21, 2024 | 
| [`AWS-SSM-RemediationAutomation-ExecutionRolePolicy`](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy) – Kebijakan baru | Systems Manager menambahkan kebijakan baru untuk mendukung alur kerja Otomasi awal yang memulihkan masalah di node terkelola di akun dan Wilayah yang ditargetkan. | November 21, 2024 | 
|  [AWSQuickPenyiapan SSMDeployment RolePolicy](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentRolePolicy) - Perbarui ke kebijakan  |  Systems Managermenambahkan izin Systems Manager untuk memungkinkan menandai peran IAM dan Lambda dibuat untuk konsol terpadu.  | 7 Mei 2025 | 
| [`AWSQuickSetupSSMManageResourcesExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMManageResourcesExecutionPolicy) – Kebijakan baru | Systems Manager menambahkan kebijakan baru untuk mendukung menjalankan operasi Quick Setup yang menciptakan peran IAM untuk Quick Setup asosiasi, yang pada gilirannya dibuat oleh AWSQuickSetupType-SSM penerapan. | November 21, 2024 | 
| [`AWSQuickSetupSSMLifecycleManagementExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMLifecycleManagementExecutionPolicy) – Kebijakan baru | Systems Manager menambahkan kebijakan baru untuk mendukung Quick Setup menjalankan sumber daya CloudFormation kustom pada peristiwa siklus hidup selama penerapan. Quick Setup | November 21, 2024 | 
| [`AWSQuickSetupSSMDeploymentRolePolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentRolePolicy) – Kebijakan baru | Systems Manager menambahkan kebijakan baru untuk mendukung pemberian izin administratif yang Quick Setup memungkinkan pembuatan sumber daya yang digunakan selama proses orientasi Systems Manager.  | November 21, 2024 | 
| [`AWSQuickSetupSSMDeploymentS3BucketRolePolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentS3BucketRolePolicy) – Kebijakan baru | Systems Manager menambahkan kebijakan baru untuk mendukung pengelolaan dan pengambilan informasi tentang bucket tertentu di akun utama yang dikelola melalui template CloudFormation  | November 21, 2024 | 
| [`AWSQuickSetupEnableDHMCExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupEnableDHMCExecutionPolicy) – Kebijakan baru | Systems Manager memperkenalkan kebijakan baru Quick Setup untuk memungkinkan membuat peran IAM yang menggunakan peran yang sudah ada [`AmazonSSMManagedEC2InstanceDefaultPolicy`](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy). Kebijakan ini berisi semua izin yang diperlukan SSM Agent untuk berkomunikasi dengan layanan Systems Manager. Kebijakan baru ini juga memungkinkan modifikasi pada setelan layanan Systems Manager. | November 21, 2024 | 
| [`AWSQuickSetupEnableAREXExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupEnableAREXExecutionPolicy) – Kebijakan baru | Systems Manager menambahkan kebijakan baru Quick Setup untuk memungkinkan membuat peran terkait layanan Penjelajah Sumber Daya AWS, untuk mengakses tampilan Resource Explorer dan indeks agregator. | November 21, 2024 | 
| [`AWSQuickSetupManagedInstanceProfileExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupManagedInstanceProfileExecutionPolicy) – Kebijakan baru |  Systems Manager menambahkan kebijakan baru Quick Setup untuk memungkinkan membuat profil Quick Setup instans default dan melampirkannya ke instans Amazon EC2 yang tidak memiliki profil instans terkait. Kebijakan baru ini juga memungkinkan Quick Setup untuk melampirkan izin ke profil yang ada untuk memastikan bahwa semua izin Systems Manager yang diperlukan telah diberikan.  | November 21, 2024 | 
|  [`SSMQuickSetupRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy) – Pembaruan ke kebijakan yang ada  |  Systems Managermenambahkan izin baru untuk memungkinkan Quick Setup untuk memeriksa kesehatan set AWS CloudFormation tumpukan tambahan yang telah dibuatnya.  | Agustus 13, 2024 | 
| [`AmazonSSMManagedEC2InstanceDefaultPolicy`](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy) – Pembaruan ke kebijakan yang ada | Systems Managertelah menambahkan pernyataan IDs (Sids) ke kebijakan JSON untuk. AmazonSSMManagedEC2InstanceDefaultPolicy Sids ini memberikan deskripsi sebaris tentang tujuan setiap pernyataan kebijakan.  | Juli 18, 2024 | 
| [`SSMQuickSetupRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy) – Kebijakan baru | Systems Managermenambahkan kebijakan baru Quick Setup untuk memungkinkan memeriksa kesehatan sumber daya yang digunakan dan memulihkan instance yang telah hanyut dari konfigurasi asli.  | Juli 3, 2024 | 
| [`AWSQuickSetupDeploymentRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy) – Kebijakan baru | Systems Managermenambahkan kebijakan baru untuk mendukung beberapa jenis konfigurasi Quick Setup yang membuat peran dan otomatisasi IAM, yang pada gilirannya mengonfigurasi layanan dan fitur Amazon Web Services yang sering digunakan dengan praktik terbaik yang direkomendasikan. | Juli 3, 2024 | 
|  [`AWSQuickSetupPatchPolicyDeploymentRolePolicy`](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyDeploymentRolePolicy)  — Kebijakan baru  |  Systems Managermenambahkan kebijakan baru Quick Setup untuk memungkinkan pembuatan sumber daya yang terkait dengan Quick Setup konfigurasi kebijakan Patch Manager tambalan.   | Juli 3, 2024 | 
|  [AWSQuickSetupPatchPolicyBaselineAccess](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyBaselineAccess) – Kebijakan baru  |  Systems Managermenambahkan kebijakan baru Quick Setup untuk memungkinkan mengakses baseline tambalan Patch Manager dengan izin hanya-baca.   | Juli 3, 2024 | 
| [AWSSystemsManagerEnableExplorerExecutionPolicy](#security-iam-awsmanpol-AWSSystemsManagerEnableExplorerExecutionPolicy) – Kebijakan baru | Systems Managermenambahkan kebijakan baru Quick Setup untuk memungkinkan pemberian izin administratif untuk mengaktifkanExplorer. | Juli 3, 2024 | 
| [AWSSystemsManagerEnableConfigRecordingExecutionPolicy](#security-iam-awsmanpol-AWSSystemsManagerEnableConfigRecordingExecutionPolicy) – Kebijakan baru | Systems Managermenambahkan kebijakan baru untuk memungkinkan Quick Setup mengaktifkan dan mengonfigurasi perekaman AWS Config konfigurasi. | Juli 3, 2024 | 
|  [AWSQuickSetupDevOpsGuruPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDevOpsGuruPermissionsBoundary) – Kebijakan baru  |  Systems Managermenambahkan kebijakan baru untuk memungkinkan Quick Setup mengaktifkan dan mengonfigurasi Amazon DevOps Guru.  | Juli 3, 2024 | 
|  [AWSQuickSetupDistributorPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDistributorPermissionsBoundary) – Kebijakan baru  |  Systems Managermenambahkan kebijakan baru untuk memungkinkan Quick Setup mengaktifkan dan mengkonfigurasi Distributor, alat di AWS Systems Manager.   | Juli 3, 2024 | 
|  [AWSQuickPengaturan SSMHost MgmtPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSSMHostMgmtPermissionsBoundary) - Kebijakan baru  |  Systems Managermenambahkan kebijakan baru untuk memungkinkan Quick Setup mengaktifkan dan mengonfigurasi alat Systems Manager untuk mengelola instans Amazon EC2 dengan aman.  | Juli 3, 2024 | 
|  [AWSQuickSetupPatchPolicyPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyPermissionsBoundary) – Kebijakan baru  |  Systems Managermenambahkan kebijakan baru Quick Setup untuk memungkinkan mengaktifkan dan mengonfigurasi kebijakan tambalan diPatch Manager, alat di AWS Systems Manager.   | Juli 3, 2024 | 
|  [AWSQuickSetupSchedulerPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSchedulerPermissionsBoundary) – Kebijakan baru  |  Systems Managermenambahkan kebijakan baru untuk memungkinkan Quick Setup mengaktifkan dan mengonfigurasi operasi terjadwal di instans Amazon EC2 dan sumber daya lainnya.   | Juli 3, 2024 | 
|  [AWSQuickPengaturan CFGCPacks PermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupCFGCPacksPermissionsBoundary) - Kebijakan baru  |  Systems Managermenambahkan kebijakan baru Quick Setup untuk memungkinkan penerapan paket AWS Config kesesuaian.   | Juli 3, 2024 | 
|  [`AWSSystemsManagerOpsDataSyncServiceRolePolicy`](#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy) – Pembaruan ke kebijakan yang ada  | OpsCentermemperbarui kebijakan untuk meningkatkan keamanan kode layanan dalam peran terkait layanan untuk mengelola OpsData operasi Explorer terkait. | 3 Juli 2023 | 
|  [`AmazonSSMManagedEC2InstanceDefaultPolicy`](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy) – Kebijakan baru  |  Systems Managermenambahkan kebijakan baru untuk mengizinkan Systems Manager fungsionalitas pada instans Amazon EC2 tanpa menggunakan profil instans IAM.  | 18 Agustus 2022 | 
|  [Amazon SSMService RolePolicy](#security-iam-awsmanpol-AmazonSSMServiceRolePolicy) - Perbarui ke kebijakan yang ada  |  Systems Managermenambahkan izin baru Explorer untuk memungkinkan membuat aturan terkelola saat Anda mengaktifkan CSPM Security Hub dari atau. Explorer OpsCenter Izin baru ditambahkan untuk memeriksa konfigurasi dan pengoptimal komputasi memenuhi persyaratan yang diperlukan sebelum mengizinkan. OpsData  | 27 April 2021 | 
|  [`AWSSystemsManagerOpsDataSyncServiceRolePolicy`](#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy) – Kebijakan baru  |  Systems Managermenambahkan kebijakan baru untuk membuat dan memperbarui OpsItems dan OpsData dari temuan CSPM Security Hub di Explorer dan. OpsCenter  | 27 April 2021 | 
|  `AmazonSSMServiceRolePolicy` – Pembaruan ke kebijakan yang ada  |  Systems Managermenambahkan izin baru untuk memungkinkan melihat agregat OpsData dan OpsItems detail dari beberapa akun dan Wilayah AWS masuk. Explorer  | 24 Maret 2021 | 
|  Systems Manager mulai melacak perubahan  |  Systems Managermulai melacak perubahan untuk kebijakan AWS terkelolanya.  | 12 Maret 2021 | 

## Kebijakan terkelola tambahan untuk Systems Manager
<a name="policies-list"></a>

Selain kebijakan terkelola yang dijelaskan sebelumnya dalam topik ini, kebijakan berikut juga didukung oleh Systems Manager.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMAutomationApproverAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMAutomationApproverAccess.html)— kebijakan AWS terkelola yang memungkinkan akses untuk melihat eksekusi otomatisasi dan mengirim keputusan persetujuan ke otomatisasi yang menunggu persetujuan.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMDirectoryServiceAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMDirectoryServiceAccess.html)— kebijakan AWS terkelola yang memungkinkan SSM Agent untuk mengakses Directory Service atas nama pengguna untuk permintaan untuk bergabung dengan domain oleh node terkelola.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMFullAccess.html)— kebijakan AWS terkelola yang memberikan akses penuh ke Systems Manager API dan dokumen.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMMaintenanceWindowRole.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMMaintenanceWindowRole.html)— kebijakan AWS terkelola yang menyediakan jendela pemeliharaan dengan izin ke Systems Manager API.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html)— kebijakan AWS terkelola yang memungkinkan node menggunakan fungsionalitas inti Systems Manager layanan.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMPatchAssociation.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMPatchAssociation.html)— kebijakan AWS terkelola yang menyediakan akses ke instance turunan untuk operasi asosiasi tambalan.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html)— kebijakan AWS terkelola yang memberikan akses ke operasi API Systems Manager hanya-baca, seperti dan. `Get*` `List*`
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSMOpsInsightsServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSMOpsInsightsServiceRolePolicy.html)— kebijakan AWS terkelola yang memberikan izin untuk membuat dan memperbarui wawasan operasional *OpsItems*diSystems Manager. Digunakan untuk memberikan izin melalui peran terkait layanan. [`AWSServiceRoleForAmazonSSM_OpsInsights`](using-service-linked-roles-service-action-4.md)
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerAccountDiscoveryServicePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerAccountDiscoveryServicePolicy.html)— kebijakan AWS terkelola yang memberikan izin kepada Systems Manager untuk menemukan Akun AWS informasi.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2RoleforSSM.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2RoleforSSM.html)Kebijakan ini tidak lagi didukung dan tidak boleh digunakan. Sebagai gantinya, gunakan `AmazonSSMManagedInstanceCore` kebijakan untuk mengizinkan fungsionalitas inti Systems Manager layanan pada instans EC2. Untuk selengkapnya, lihat [Mengonfigurasi izin instans yang diperlukan untuk Systems Manager](setup-instance-permissions.md). 

# Pemecahan masalah identitas dan akses AWS Systems Manager
<a name="security_iam_troubleshoot"></a>

Gunakan informasi berikut untuk membantu Anda mendiagnosis dan memperbaiki masalah umum yang mungkin Anda temui saat bekerja dengan AWS Systems Manager dan AWS Identity and Access Management (IAM).

**Topics**
+ [Saya tidak diotorisasi untuk melakukan tindakan di Systems Manager](#security_iam_troubleshoot-no-permissions)
+ [Saya tidak berwenang untuk melakukan iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Saya ingin mengizinkan orang di luar saya Akun AWS untuk mengakses Systems Manager sumber daya saya](#security_iam_troubleshoot-cross-account-access)

## Saya tidak diotorisasi untuk melakukan tindakan di Systems Manager
<a name="security_iam_troubleshoot-no-permissions"></a>

Jika Konsol Manajemen AWS memberitahu Anda bahwa Anda tidak berwenang untuk melakukan tindakan, maka Anda harus menghubungi administrator Anda untuk bantuan. Administrator Anda adalah orang yang memberi Anda kredensial masuk.

Contoh kesalahan berikut terjadi ketika `mateojackson` pengguna mencoba menggunakan konsol untuk melihat detail tentang dokumen tetapi tidak memiliki `ssm:GetDocument` izin.

```
User: arn:aws:ssm::123456789012:user/mateojackson isn't authorized to perform: ssm:GetDocument on resource: MyExampleDocument
```

Dalam hal ini, Mateo meminta administratornya untuk memperbarui kebijakannya untuk mengizinkan dia mengakses sumber daya `MyExampleDocument` menggunakan tindakan `ssm:GetDocument`.

## Saya tidak berwenang untuk melakukan iam: PassRole
<a name="security_iam_troubleshoot-passrole"></a>

Jika Anda menerima kesalahan yang tidak diizinkan untuk melakukan `iam:PassRole` tindakan, kebijakan Anda harus diperbarui agar Anda dapat meneruskan peranSystems Manager.

Beberapa Layanan AWS memungkinkan Anda untuk meneruskan peran yang ada ke layanan tersebut alih-alih membuat peran layanan baru atau peran terkait layanan. Untuk melakukannya, Anda harus memiliki izin untuk meneruskan peran ke layanan.

Contoh kesalahan berikut terjadi ketika pengguna IAM bernama `marymajor` mencoba menggunakan konsol tersebut untuk melakukan tindakan di Systems Manager. Namun, tindakan tersebut memerlukan layanan untuk mendapatkan izin yang diberikan oleh peran layanan. Mary tidak memiliki izin untuk meneruskan peran tersebut pada layanan.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

Dalam kasus ini, kebijakan Mary harus diperbarui agar dia mendapatkan izin untuk melakukan tindakan `iam:PassRole` tersebut.

Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.

## Saya ingin mengizinkan orang di luar saya Akun AWS untuk mengakses Systems Manager sumber daya saya
<a name="security_iam_troubleshoot-cross-account-access"></a>

Anda dapat membuat peran yang dapat digunakan pengguna di akun lain atau orang-orang di luar organisasi Anda untuk mengakses sumber daya Anda. Anda dapat menentukan siapa saja yang dipercaya untuk mengambil peran tersebut. Untuk layanan yang mendukung kebijakan berbasis sumber daya atau daftar kontrol akses (ACLs), Anda dapat menggunakan kebijakan tersebut untuk memberi orang akses ke sumber daya Anda.

Untuk mempelajari selengkapnya, periksa referensi berikut:
+ Untuk mempelajari apakah Systems Manager mendukung fitur-fitur ini, lihat [Cara kerja AWS Systems Manager dengan IAM](security_iam_service-with-iam.md).
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda di seluruh sumber daya Akun AWS yang Anda miliki, lihat [Menyediakan akses ke pengguna IAM di pengguna lain Akun AWS yang Anda miliki](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) di *Panduan Pengguna IAM*.
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda kepada pihak ketiga Akun AWS, lihat [Menyediakan akses yang Akun AWS dimiliki oleh pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dalam *Panduan Pengguna IAM*.
+ Untuk mempelajari cara memberikan akses melalui federasi identitas, lihat [Menyediakan akses ke pengguna terautentikasi eksternal (federasi identitas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dalam *Panduan Pengguna IAM*.
+ *Untuk mempelajari perbedaan antara menggunakan peran dan kebijakan berbasis sumber daya untuk akses lintas akun, lihat [Akses sumber daya lintas akun di IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html).*

# Menggunakan peran terkait layanan untuk Systems Manager
<a name="using-service-linked-roles"></a>

AWS Systems Managermenggunakan AWS Identity and Access Management peran [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran yang terkait dengan layanan adalah tipe IAM role unik yang terkait langsung ke layanan. Peran terkait layanan telah ditentukan sebelumnya oleh Systems Manager dan menyertakan semua izin yang diperlukan layanan untuk memanggil orang lain Layanan AWS atas nama Anda.

**catatan**  
*Peran peran layanan* berbeda dari peran terkait layanan. Peran layanan adalah jenis peran AWS Identity and Access Management (IAM) yang memberikan izin kepada layanan Layanan AWS sehingga layanan dapat mengakses sumber daya. AWS Hanya beberapa skenario Systems Manager yang memerlukan peran layanan. Saat Anda membuat peran layanan untuk Systems Manager, Anda memilih izin yang akan diberikan agar dapat mengakses atau berinteraksi dengan AWS sumber daya lain.

Peran terkait layanan memudahkan penyiapan Systems Manager karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. Systems Manager Peran ini menentukan izin peran terkait layanannya, dan kecuali ditentukan lain, hanya Systems Manager dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas IAM lainnya.

Anda dapat menghapus peran terkait layanan hanya setelah menghapus sumber daya yang terkait terlebih dahulu. Ini melindungi sumber daya Systems Manager karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.

**catatan**  
Untuk node non-EC2 di lingkungan [hybrid dan multicloud](operating-systems-and-machine-types.md#supported-machine-types), Anda memerlukan peran IAM tambahan yang memungkinkan mesin tersebut berkomunikasi dengan layanan. Systems Manager Ini adalah peran layanan IAM untukSystems Manager. Peran ini memberikan AWS Security Token Service (AWS STS) *AssumeRole*kepercayaan pada Systems Manager layanan. Tindakan `AssumeRole` mengembalikan kredensial keamanan sementara (yang terdiri dari token keamanan, access key ID, dan secret access key). Anda menggunakan kredensi sementara ini untuk mengakses AWS sumber daya yang biasanya tidak dapat Anda akses. *[Untuk informasi selengkapnya, lihat [Membuat peran layanan IAM yang diperlukan untuk Systems Manager di lingkungan hybrid dan multicloud](hybrid-multicloud-service-role.md) dan [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)di Referensi API.AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/)* 

Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, lihat layanan [Layanan AWS yang berfungsi dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan cari layanan yang memiliki **Ya** di kolom Peran terkait **layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.

**Topics**
+ [Menggunakan peran untuk mengumpulkan inventaris dan melihat OpsData](using-service-linked-roles-service-action-1.md)
+ [Menggunakan peran untuk mengumpulkan Akun AWS informasi untuk OpsCenter dan Explorer](using-service-linked-roles-service-action-2.md)
+ [Menggunakan peran untuk membuat OpsData dan OpsItems untuk Explorer](using-service-linked-roles-service-action-3.md)
+ [Menggunakan peran untuk menciptakan wawasan operasional OpsItems di Systems Manager OpsCenter](using-service-linked-roles-service-action-4.md)
+ [Menggunakan peran untuk menjaga kesehatan dan konsistensi sumber daya Quick Setup yang disediakan](using-service-linked-roles-service-action-5.md)
+ [Menggunakan peran untuk mengekspor Explorer OpsData](using-service-linked-roles-service-action-6.md)
+ [Menggunakan peran untuk mengaktifkan akses just-in-time node](using-service-linked-roles-service-action-8.md)
+ [Menggunakan peran untuk mengirim pemberitahuan permintaan akses just-in-time node](using-service-linked-roles-service-action-9.md)

# Menggunakan peran untuk mengumpulkan inventaris dan melihat OpsData
<a name="using-service-linked-roles-service-action-1"></a>

Systems Managermenggunakan peran terkait layanan bernama. **`AWSServiceRoleForAmazonSSM`** AWS Systems Manager menggunakan peran layanan IAM ini untuk mengelola AWS sumber daya atas nama Anda.

## Izin peran terkait layanan untuk inventaris,, dan OpsData OpsItems
<a name="service-linked-role-permissions-service-action-1"></a>

Peran terkait layanan `AWSServiceRoleForAmazonSSM` hanya mempercayai layanan `ssm.amazonaws.com` untuk menjalankan peran. 

Anda dapat menggunakan peran terkait layanan Systems Manager `AWSServiceRoleForAmazonSSM` untuk hal berikut:
+ Alat Systems Manager Inventory menggunakan peran terkait layanan `AWSServiceRoleForAmazonSSM` untuk mengumpulkan metadata inventaris dari tag dan grup sumber daya.
+ ExplorerAlat ini menggunakan peran terkait layanan `AWSServiceRoleForAmazonSSM` untuk mengaktifkan tampilan OpsData dan OpsItems dari beberapa akun. Peran terkait layanan ini juga memungkinkan Explorer untuk membuat aturan terkelola saat Anda mengaktifkan CSPM Security Hub sebagai sumber data dari atau. Explorer OpsCenter

**penting**  
Sebelumnya, konsol Systems Manager memberi Anda kemampuan untuk memilih peran tertaut layanan IAM AWS terkelola yang akan digunakan sebagai peran `AWSServiceRoleForAmazonSSM` pemeliharaan untuk tugas Anda. Menggunakan peran ini dan kebijakan terkait,`AmazonSSMServiceRolePolicy`, untuk tugas jendela pemeliharaan tidak lagi disarankan. Jika Anda menggunakan peran ini untuk tugas jendela pemeliharaan sekarang, kami mendorong Anda untuk berhenti menggunakannya. Sebagai gantinya, buat peran IAM Anda sendiri yang memungkinkan komunikasi antara Systems Manager dan lainnya Layanan AWS saat tugas jendela pemeliharaan Anda berjalan.  
Untuk informasi selengkapnya, lihat [Menyiapkan Maintenance Windows](setting-up-maintenance-windows.md).

Kebijakan terkelola yang digunakan untuk memberikan izin untuk Peran `AWSServiceRoleForAmazonSSM` adalah `AmazonSSMServiceRolePolicy`. Untuk detail tentang izin yang diberikan, lihat [AWS kebijakan terkelola: Amazon SSMService RolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSSMServiceRolePolicy).

## Membuat peran `AWSServiceRoleForAmazonSSM` terkait layanan untuk Systems Manager
<a name="create-service-linked-role-service-action-1"></a>

Anda juga dapat menggunakan konsol IAM untuk membuat peran terkait layanan dengan menggunakankasus **EC2**. Menggunakan perintah untuk IAM di AWS Command Line Interface (AWS CLI) atau menggunakan API IAM, membuat peran terkait layanan dengan nama layanan `ssm.amazonaws.com`. Untuk informasi selengkapnya, silakan lihat [Membuat peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dalam *Panduan Pengguna IAM*.

Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. 

## Mengedit peran `AWSServiceRoleForAmazonSSM` terkait layanan untuk Systems Manager
<a name="edit-service-linked-role-service-action-1"></a>

Systems Managertidak memungkinkan Anda untuk mengedit peran `AWSServiceRoleForAmazonSSM` terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat menyunting penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.

## Menghapus peran terkait `AWSServiceRoleForAmazonSSM` layanan untuk Systems Manager
<a name="delete-service-linked-role-service-action-1"></a>

Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, kami menyarankan Anda menghapus peran tersebut. Dengan begitu Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Anda dapat menggunakan konsol IAM, API IAM AWS CLI, atau IAM untuk menghapus peran terkait layanan secara manual. Untuk melakukan ini, Anda harus membersihkan sumber daya peran terkait layanan sebelum menghapusnya secara manual.

Karena peran `AWSServiceRoleForAmazonSSM` terkait layanan dapat digunakan oleh beberapa alat, pastikan tidak ada yang menggunakan peran tersebut sebelum mencoba menghapusnya.
+ **Inventaris:** Jika Anda menghapus peran terkait layanan yang digunakan oleh alat Inventaris, maka data Inventaris untuk tag dan grup sumber daya tidak akan disinkronkan lagi. Anda harus membersihkan sumber daya peran terkait layanan sebelum menghapusnya secara manual.
+ **Explorer:** Jika Anda menghapus peran terkait layanan yang digunakan oleh Explorer alat, maka lintas-akun dan Lintas wilayah OpsData dan OpsItems tidak lagi dapat dilihat. 

**catatan**  
Jika Systems Manager layanan menggunakan peran saat Anda mencoba menghapus tag atau grup sumber daya, maka penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba lagi.

**Untuk menghapus sumber daya Systems Manager yang digunakan oleh `AWSServiceRoleForAmazonSSM`**

1. Untuk menghapus tag, lihat [Menambahkan dan menghapus tag pada sumber daya individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. Untuk menghapus grup sumber daya, lihat [Menghapus grup dari AWS Resource Groups](https://docs.aws.amazon.com/ARG/latest/userguide/deleting-resource-groups.html).

**Untuk menghapus peran `AWSServiceRoleForAmazonSSM` terkait layanan secara manual menggunakan IAM**

Gunakan konsol IAM, API IAM AWS CLI, atau IAM untuk menghapus peran terkait `AWSServiceRoleForAmazonSSM` layanan. Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dalam *Panduan Pengguna IAM*.

## Wilayah yang Didukung untuk peran Systems Manager `AWSServiceRoleForAmazonSSM` terkait layanan
<a name="slr-regions-service-action-1"></a>

Systems Managermendukung penggunaan peran `AWSServiceRoleForAmazonSSM` terkait layanan di semua Wilayah AWS tempat layanan tersedia. Untuk informasi lebih lanjut, lihat [AWS Systems Manager kuota dan titik akhir](https://docs.aws.amazon.com/general/latest/gr/ssm.html).

# Menggunakan peran untuk mengumpulkan Akun AWS informasi untuk OpsCenter dan Explorer
<a name="using-service-linked-roles-service-action-2"></a>

Systems Managermenggunakan peran terkait layanan bernama. **`AWSServiceRoleForAmazonSSM_AccountDiscovery`** AWS Systems Manager menggunakan peran layanan IAM ini untuk memanggil orang lain Layanan AWS untuk menemukan Akun AWS informasi.

## Izin peran terkait layanan untuk penemuan akun Systems Manager
<a name="service-linked-role-permissions-service-action-2"></a>

Peran tertaut layanan `AWSServiceRoleForAmazonSSM_AccountDiscovery` memercayai layanan berikut untuk mengambil peran tersebut:
+ `accountdiscovery.ssm.amazonaws.com`

Kebijakan izin peran mengizinkan Systems Manager untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
+ `organizations:DescribeAccount`
+ `organizations:DescribeOrganizationalUnit`
+ `organizations:DescribeOrganization`
+ `organizations:ListAccounts`
+ `organizations:ListAWSServiceAccessForOrganization`
+ `organizations:ListChildren`
+ `organizations:ListParents`
+ `organizations:ListDelegatedServicesForAccount` 
+ `organizations:ListDelegatedAdministrators`
+ `organizations:ListRoots`

Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat [Izin peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.

## Membuat peran `AWSServiceRoleForAmazonSSM_AccountDiscovery` terkait layanan untuk Systems Manager
<a name="create-service-linked-role-service-action-2"></a>

Anda harus membuat peran terkait layanan jika Anda ingin menggunakan Explorer danOpsCenter, alat di Systems Manager, di beberapa. Akun AWS UntukOpsCenter, Anda harus membuat peran terkait layanan secara manual. Untuk informasi selengkapnya, lihat [(Opsional) Diatur secara manual OpsCenter untuk mengelola OpsItems seluruh akun secara terpusat](OpsCenter-getting-started-multiple-accounts.md).

UntukExplorer, jika Anda membuat sinkronisasi data sumber daya dengan menggunakan Systems Manager di Konsol Manajemen AWS, Anda dapat membuat peran terkait layanan dengan memilih tombol **Buat peran**. Jika Anda ingin membuat sinkronisasi data sumber daya secara terprogram, maka Anda harus membuat peran sebelum Anda membuat sinkronisasi data sumber daya. Anda dapat membuat peran dengan menggunakan operasi [CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html)API.

## Mengedit peran `AWSServiceRoleForAmazonSSM_AccountDiscovery` terkait layanan untuk Systems Manager
<a name="edit-service-linked-role-service-action-2"></a>

Systems Managertidak memungkinkan Anda untuk mengedit peran `AWSServiceRoleForAmazonSSM_AccountDiscovery` terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat menyunting penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.

## Menghapus peran terkait `AWSServiceRoleForAmazonSSM_AccountDiscovery` layanan untuk Systems Manager
<a name="delete-service-linked-role-service-action-2"></a>

Jika Anda tidak lagi memerlukan penggunaan fitur atau layanan yang memerlukan peran terkait layanan, kami menyarankan Anda untuk menghapus peran tersebut. Dengan begitu Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Namun, Anda harus membersihkan peran terkait layanan sebelum Anda dapat menghapusnya.

### Membersihkan peran `AWSServiceRoleForAmazonSSM_AccountDiscovery` terkait layanan
<a name="service-linked-role-review-before-delete-service-action-2"></a>

Sebelum Anda dapat menggunakan IAM untuk menghapus peran `AWSServiceRoleForAmazonSSM_AccountDiscovery` terkait layanan, Anda harus terlebih dahulu menghapus semua sinkronisasi data Explorer sumber daya. 

**catatan**  
Jika layanan Systems Manager menggunakan peran tersebut ketika Anda mencoba menghapus sumber daya, penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.

### Hapus peran terkait `AWSServiceRoleForAmazonSSM_AccountDiscovery` layanan secara manual
<a name="slr-manual-delete-service-action-2"></a>

Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran `AWSServiceRoleForAmazonSSM_AccountDiscovery` terkait layanan. Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dalam *Panduan Pengguna IAM*.

## Wilayah yang Didukung untuk peran Systems Manager `AWSServiceRoleForAmazonSSM_AccountDiscovery` terkait layanan
<a name="slr-regions-service-action-2"></a>

Systems Manager mendukung penggunaan peran terkait layanan di semua Wilayah tempat layanan tersedia. Untuk informasi lebih lanjut, lihat [AWS Systems Manager kuota dan titik akhir](https://docs.aws.amazon.com/general/latest/gr/ssm.html).

## Pembaruan untuk peran AWSServiceRoleForAmazonSSM\$1AccountDiscovery terkait layanan
<a name="service-action-2-updates"></a>

Lihat detail tentang pembaruan pada peran AWSServiceRoleForAmazonSSM\$1AccountDiscovery terkait layanan sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan RSS feed pada halaman Systems Manager [Riwayat dokumen](systems-manager-release-history.md).


| Perubahan | Deskripsi | Date | 
| --- | --- | --- | 
|  Izin baru ditambahkan  |  Peran terkait layanan ini sekarang termasuk `organizations:DescribeOrganizationalUnit` dan `organizations:ListRoots` izin. Izin ini memungkinkan akun AWS Organizations manajemen atau akun administrator yang didelegasikan Systems Manager untuk bekerja dengan OpsItems seluruh akun. Untuk informasi selengkapnya, lihat [(Opsional) Diatur secara manual OpsCenter untuk mengelola OpsItems seluruh akun secara terpusat](OpsCenter-getting-started-multiple-accounts.md).  | Oktober 17, 2022 | 

# Menggunakan peran untuk membuat OpsData dan OpsItems untuk Explorer
<a name="using-service-linked-roles-service-action-3"></a>

Systems Managermenggunakan peran terkait layanan bernama. **`AWSServiceRoleForSystemsManagerOpsDataSync`** AWS Systems Manager menggunakan peran layanan IAM ini Explorer untuk membuat OpsData danOpsItems.

## Izin peran terkait layanan untuk sinkronisasi Systems Manager OpsData
<a name="slr-permissions-service-action-3"></a>

Peran tertaut layanan `AWSServiceRoleForSystemsManagerOpsDataSync` memercayai layanan berikut untuk mengambil peran tersebut:
+ `opsdatasync.ssm.amazonaws.com`

Kebijakan izin peran mengizinkan Systems Manager untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
+ Systems Manager Explorer mengharuskan peran terkait layanan memberikan izin untuk memperbarui temuan keamanan saat diperbarui, membuat dan memperbaruiOpsItem, dan mematikan sumber data CSPM Security Hub saat aturan terkelola SSM dihapus oleh pelanggan. OpsItem

Kebijakan terkelola yang digunakan untuk memberikan izin untuk Peran `AWSServiceRoleForSystemsManagerOpsDataSync` adalah `AWSSystemsManagerOpsDataSyncServiceRolePolicy`. Untuk detail tentang izin yang diberikannya, lihat [AWS kebijakan terkelola: AWSSystems ManagerOpsDataSyncServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy). 

Anda harus mengonfigurasikan izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, menyunting, atau menghapus peran terhubung dengan layanan. Untuk informasi selengkapnya, lihat [Izin peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.

## Membuat peran `AWSServiceRoleForSystemsManagerOpsDataSync` terkait layanan untuk Systems Manager
<a name="create-slr-service-action-3"></a>

Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda mengaktifkan Explorer Konsol Manajemen AWS, Systems Manager buat peran terkait layanan untuk Anda. 

**penting**  
Peran terkait layanan ini dapat ditampilkan di akun Anda jika Anda menyelesaikan tindakan di layanan lain yang menggunakan fitur yang didukung oleh peran ini. Juga, jika Anda menggunakan Systems Manager layanan sebelum 1 Januari 2017, ketika mulai mendukung peran terkait layanan, maka Systems Manager buat `AWSServiceRoleForSystemsManagerOpsDataSync` peran di akun Anda. Untuk mempelajari lebih lanjut, lihat [Peran baru muncul di akun IAM saya](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).

Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda mengaktifkan Explorer di Konsol Manajemen AWS, Systems Manager buat peran terkait layanan untuk Anda lagi. 

Anda juga dapat menggunakan konsol IAM untuk membuat peran terkait layanan dengan **peran AWS layanan yang memungkinkan Explorer untuk membuat OpsData dan OpsItems** menggunakan kasus. Di AWS CLI atau AWS API, buat peran terkait layanan dengan nama `opsdatasync.ssm.amazonaws.com` layanan. Untuk informasi selengkapnya, lihat [Membuat peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dalam *Panduan Pengguna IAM*. Jika Anda menghapus peran tertaut layanan ini, Anda dapat mengulang proses yang sama untuk membuat peran tersebut lagi.

## Mengedit peran `AWSServiceRoleForSystemsManagerOpsDataSync` terkait layanan untuk Systems Manager
<a name="edit-slr-service-action-3"></a>

Systems Managertidak memungkinkan Anda untuk mengedit peran `AWSServiceRoleForSystemsManagerOpsDataSync` terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat menyunting penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.

## Menghapus peran terkait `AWSServiceRoleForSystemsManagerOpsDataSync` layanan untuk Systems Manager
<a name="delete-slr-service-action-3"></a>

Jika Anda tidak lagi memerlukan penggunaan fitur atau layanan yang memerlukan peran terkait layanan, kami menyarankan Anda untuk menghapus peran tersebut. Dengan begitu Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Tetapi, Anda harus membersihkan sumber daya peran terkait layanan sebelum menghapusnya secara manual.

**catatan**  
Jika layanan Systems Manager menggunakan peran tersebut ketika Anda mencoba menghapus sumber daya, penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.

Prosedur untuk menghapus Systems Manager sumber daya yang digunakan oleh `AWSServiceRoleForSystemsManagerOpsDataSync` peran tergantung pada apakah Anda telah mengonfigurasi Explorer atau OpsCenter berintegrasi dengan Security Hub CSPM.

**Untuk menghapus Systems Manager sumber daya yang digunakan oleh `AWSServiceRoleForSystemsManagerOpsDataSync` peran**
+ Untuk berhenti Explorer membuat temuan CSPM Security Hub baruOpsItems, lihat. [Cara berhenti menerima temuan](explorer-securityhub-integration.md#explorer-securityhub-integration-disable-receive)
+ Untuk berhenti OpsCenter membuat temuan CSPM Security Hub yang baruOpsItems, lihat 

**Untuk menghapus peran `AWSServiceRoleForSystemsManagerOpsDataSync` terkait layanan secara manual menggunakan IAM**

Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran `AWSServiceRoleForSystemsManagerOpsDataSync` terkait layanan. Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dalam *Panduan Pengguna IAM*.

## Wilayah yang Didukung untuk peran Systems Manager `AWSServiceRoleForSystemsManagerOpsDataSync` terkait layanan
<a name="slr-regions-service-action-3"></a>

Systems Manager memberikan dukungan dengan peran yang terhubung dengan layanan di semua Wilayah tempat layanan tersedia. Untuk informasi lebih lanjut, lihat [AWS Systems Manager kuota dan titik akhir](https://docs.aws.amazon.com/general/latest/gr/ssm.html).

Systems Managertidak mendukung penggunaan peran terkait layanan di setiap Wilayah tempat layanan tersedia. Anda dapat menggunakan `AWSServiceRoleForSystemsManagerOpsDataSync` peran di Wilayah berikut.


****  

| Wilayah AWS nama | Identitas wilayah | Support di Systems Manager | 
| --- | --- | --- | 
| US East (Northern Virginia) | us-east-1 | Ya | 
| US East (Ohio) | us-east-2 | Ya | 
| US West (N. California) | us-west-1 | Ya | 
| US West (Oregon) | us-west-2 | Ya | 
| Asia Pacific (Mumbai) | ap-south-1 | Ya | 
| Asia Pacific (Osaka) | ap-northeast-3 | Ya | 
| Asia Pacific (Seoul) | ap-northeast-2 | Ya | 
| Asia Pacific (Singapore) | ap-southeast-1 | Ya | 
| Asia Pacific (Sydney) | ap-southeast-2 | Ya | 
| Asia Pacific (Tokyo) | ap-northeast-1 | Ya | 
| Canada (Central) | ca-sentral-1 | Ya | 
| Eropa (Frankfurt) | eu-central-1 | Ya | 
| Eropa (Irlandia) | eu-west-1 | Ya | 
| Eropa (London) | eu-west-2 | Ya | 
| Europe (Paris) | eu-west-3 | Ya | 
| Eropa (Stockholm) | eu-north-1 | Ya | 
| South America (São Paulo) | sa-east-1 | Ya | 
| AWS GovCloud (US) | us-gov-west-1 | Tidak | 

# Menggunakan peran untuk menciptakan wawasan operasional OpsItems di Systems Manager OpsCenter
<a name="using-service-linked-roles-service-action-4"></a>

Systems Managermenggunakan peran terkait layanan bernama. **`AWSServiceRoleForAmazonSSM_OpsInsights`** AWS Systems Manager menggunakan peran layanan IAM ini untuk membuat dan memperbarui wawasan operasional OpsItems di Systems ManagerOpsCenter.

## `AWSServiceRoleForAmazonSSM_OpsInsights`izin peran terkait layanan untuk wawasan operasional Systems Manager OpsItems
<a name="service-linked-role-permissions-service-action-4"></a>

Peran tertaut layanan `AWSServiceRoleForAmazonSSM_OpsInsights` memercayai layanan berikut untuk mengambil peran tersebut:
+ `opsinsights.ssm.amazonaws.com`

Kebijakan izin peran mengizinkan Systems Manager untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "AllowCreateOpsItem",
			"Effect": "Allow",
			"Action": [
				"ssm:CreateOpsItem",
				"ssm:AddTagsToResource"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowAccessOpsItem",
			"Effect": "Allow",
			"Action": [
				"ssm:UpdateOpsItem",
				"ssm:GetOpsItem"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceTag/SsmOperationalInsight": "true"
				}
			}
		}
	]
}
```

------

Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat [Izin peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.

## Membuat peran `AWSServiceRoleForAmazonSSM_OpsInsights` terkait layanan untuk Systems Manager
<a name="create-service-linked-role-service-action-4"></a>

Anda harus membuat peran terkait layanan. **Jika Anda mengaktifkan wawasan operasional dengan menggunakan Systems Manager di Konsol Manajemen AWS, Anda dapat membuat peran terkait layanan dengan memilih tombol Aktifkan.**

## Mengedit peran `AWSServiceRoleForAmazonSSM_OpsInsights` terkait layanan untuk Systems Manager
<a name="edit-service-linked-role-service-action-4"></a>

Systems Manager tidak mengizinkan Anda untuk mengedit peran tertaut layanan `AWSServiceRoleForAmazonSSM_OpsInsights`. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin merujuk peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.

## Menghapus peran terkait `AWSServiceRoleForAmazonSSM_OpsInsights` layanan untuk Systems Manager
<a name="delete-service-linked-role-service-action-4"></a>

Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, sebaiknya hapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan dan tidak dipantau atau dipelihara secara aktif. Namun, Anda harus membersihkan peran tertaut layanan terlebih dahulu sebelum dapat menghapusnya secara manual.

### Membersihkan peran `AWSServiceRoleForAmazonSSM_OpsInsights` terkait layanan
<a name="service-linked-role-review-before-delete-service-action-4"></a>

Sebelum Anda dapat menggunakan IAM untuk menghapus peran `AWSServiceRoleForAmazonSSM_OpsInsights` terkait layanan, Anda harus terlebih dahulu menonaktifkan wawasan operasional di Systems Manager. OpsCenter Untuk informasi selengkapnya, lihat [Menganalisis wawasan operasional untuk mengurangi OpsItems](OpsCenter-working-operational-insights.md).

### Hapus peran terkait `AWSServiceRoleForAmazonSSM_OpsInsights` layanan secara manual
<a name="slr-manual-delete-service-action-4"></a>

Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran `AWSServiceRoleForAmazonSSM_OpsInsights` terkait layanan. Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dalam *Panduan Pengguna IAM*.

## Wilayah yang Didukung untuk peran Systems Manager `AWSServiceRoleForAmazonSSM_OpsInsights` terkait layanan
<a name="slr-regions-service-action-4"></a>

Systems Managertidak mendukung penggunaan peran terkait layanan di setiap Wilayah tempat layanan tersedia. Anda dapat menggunakan AWSServiceRoleForAmazonSSM\$1OpsInsights peran di Wilayah berikut.


****  

| Nama wilayah | Identitas wilayah | Support di Systems Manager | 
| --- | --- | --- | 
| US East (Northern Virginia) | us-east-1 | Ya | 
| US East (Ohio) | us-east-2 | Ya | 
| US West (N. California) | us-west-1 | Ya | 
| US West (Oregon) | us-west-2 | Ya | 
| Asia Pacific (Mumbai) | ap-south-1 | Ya | 
| Asia Pacific (Tokyo) | ap-northeast-1 | Ya | 
| Asia Pacific (Seoul) | ap-northeast-2 | Ya | 
| Asia Pacific (Singapore) | ap-southeast-1 | Ya | 
| Asia Pacific (Sydney) | ap-southeast-2 | Ya | 
| Asia Pasifik (Hong Kong) | ap-east-1 | Ya | 
| Canada (Central) | ca-sentral-1 | Ya | 
| Eropa (Frankfurt) | eu-central-1 | Ya | 
| Eropa (Irlandia) | eu-west-1 | Ya | 
| Eropa (London) | eu-west-2 | Ya | 
| Europe (Paris) | eu-west-3 | Ya | 
| Eropa (Stockholm) | eu-north-1 | Ya | 
| Europe (Milan) | eu-south-1 | Ya | 
| South America (São Paulo) | sa-east-1 | Ya | 
| Timur Tengah (Bahrain) | me-south-1 | Ya | 
| Africa (Cape Town) | af-south-1 | Ya | 
| AWS GovCloud (US) | us-gov-west-1 | Ya | 
| AWS GovCloud (US) | us-gov-east-1 | Ya | 

# Menggunakan peran untuk menjaga kesehatan dan konsistensi sumber daya Quick Setup yang disediakan
<a name="using-service-linked-roles-service-action-5"></a>

Systems Manager menggunakan peran yang terhubung dengan layanan bernama **`AWSServiceRoleForSSMQuickSetup`**. 

## `AWSServiceRoleForSSMQuickSetup`izin peran terkait layanan untuk Systems Manager
<a name="service-linked-role-permissions-service-action-5"></a>

Peran tertaut layanan `AWSServiceRoleForSSMQuickSetup` memercayai layanan berikut untuk mengambil peran tersebut:
+ `ssm-quicksetup.amazonaws.com`

AWS Systems Manager menggunakan peran layanan IAM ini untuk memeriksa kesehatan konfigurasi, memastikan penggunaan parameter dan sumber daya yang disediakan secara konsisten, dan memulihkan sumber daya saat drift terdeteksi.

Kebijakan izin peran mengizinkan Systems Manager untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
+ `ssm`(Systems Manager) — Membaca informasi tentang status sumber daya yang dikonfigurasi dimaksudkan untuk berada, termasuk di akun administrator yang didelegasikan. 
+ `iam`(AWS Identity and Access Management) — Ini diperlukan agar sinkronisasi data sumber daya dapat diakses di seluruh organisasi di AWS Organizations.
+ `organizations`(AWS Organizations) — Membaca informasi tentang akun anggota yang dimiliki organisasi sebagaimana dikonfigurasi dalam Organizations. 
+ `cloudformation`(CloudFormation) — Membaca informasi tentang CloudFormation tumpukan yang digunakan untuk mengelola status sumber daya dan CloudFormation operasi stackset.

Kebijakan terkelola yang digunakan untuk memberikan izin untuk Peran `AWSServiceRoleForSSMQuickSetup` adalah `SSMQuickSetupRolePolicy`. Untuk detail tentang izin yang diberikannya, lihat [AWS kebijakan terkelola: SSMQuick SetupRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SSMQuickSetupRolePolicy).

Anda harus mengonfigurasikan izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, menyunting, atau menghapus peran terhubung dengan layanan. Untuk informasi selengkapnya, lihat [Izin peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.

## Membuat peran `AWSServiceRoleForSSMQuickSetup` terkait layanan untuk Systems Manager
<a name="create-service-linked-role-service-action-5"></a>

Anda tidak perlu membuat peran terkait layanan AWSService RoleFor SSMQuick Setup secara manual. Saat Anda membuat Quick Setup konfigurasi di Konsol Manajemen AWS, Systems Manager buat peran terkait layanan untuk Anda. 

## Mengedit peran `AWSServiceRoleForSSMQuickSetup` terkait layanan untuk Systems Manager
<a name="edit-service-linked-role-service-action-5"></a>

Systems Manager tidak mengizinkan Anda untuk mengedit peran tertaut layanan `AWSServiceRoleForSSMQuickSetup`. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin merujuk peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.

## Menghapus peran terkait `AWSServiceRoleForSSMQuickSetup` layanan untuk Systems Manager
<a name="delete-service-linked-role-service-action-5"></a>

Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, sebaiknya hapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan dan tidak dipantau atau dipelihara secara aktif. Namun, Anda harus membersihkan peran tertaut layanan terlebih dahulu sebelum dapat menghapusnya secara manual.

### Membersihkan peran `AWSServiceRoleForSSMQuickSetup` terkait layanan
<a name="service-linked-role-review-before-delete-service-action-5"></a>

Sebelum Anda dapat menggunakan IAM untuk menghapus peran `AWSServiceRoleForSSMQuickSetup` terkait layanan, Anda harus terlebih dahulu menghapus Quick Setup konfigurasi yang menggunakan peran tersebut. Untuk informasi selengkapnya, lihat [Mengedit dan menghapus konfigurasi Anda](quick-setup-using.md#quick-setup-edit-delete).

### Hapus peran terkait `AWSServiceRoleForSSMQuickSetup` layanan secara manual
<a name="slr-manual-delete-service-action-5"></a>

Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran `AWSServiceRoleForSSMQuickSetup` terkait layanan. Untuk informasi selengkapnya, lihat topik berikut:
+ [Menghapus peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) *di Panduan Pengguna IAM*
+ [https://docs.aws.amazon.com/cli/latest/reference/ssm-quicksetup/delete-configuration-manager.html](https://docs.aws.amazon.com/cli/latest/reference/ssm-quicksetup/delete-configuration-manager.html)di Quick Setup bagian *AWS CLI Referensi*
+ [https://docs.aws.amazon.com/quick-setup/latest/APIReference/API_DeleteConfigurationManager.html](https://docs.aws.amazon.com/quick-setup/latest/APIReference/API_DeleteConfigurationManager.html) di *Referensi API Quick Setup*

## Wilayah yang Didukung untuk peran Systems Manager `AWSServiceRoleForSSMQuickSetup` terkait layanan
<a name="slr-regions-service-action-5"></a>

Systems Managertidak mendukung penggunaan peran terkait layanan di setiap Wilayah tempat layanan tersedia. Anda dapat menggunakan peran AWSService RoleFor SSMQuick Pengaturan di Wilayah berikut.
+ AS Timur (Ohio)
+ AS Timur (Virginia Utara)
+ AS Barat (California Utara)
+ AS Barat (Oregon)
+ Asia Pasifik (Mumbai)
+ Asia Pasifik (Seoul)
+ Asia Pasifik (Singapura)
+ Asia Pasifik (Sydney)
+ Asia Pasifik (Tokyo)
+ Kanada (Pusat)
+ Eropa (Frankfurt)
+ Eropa (Stockholm)
+ Eropa (Irlandia)
+ Eropa (London)
+ Eropa (Paris)
+ Amerika Selatan (São Paulo)

# Menggunakan peran untuk mengekspor Explorer OpsData
<a name="using-service-linked-roles-service-action-6"></a>

AWS Systems Manager Explorermenggunakan peran SSMExplorer ExportRole layanan **Amazon** untuk mengekspor data operasi (OpsData) menggunakan runbook `AWS-ExportOpsDataToS3` otomatisasi.

## Izin peran terkait layanan untuk Explorer
<a name="service-linked-role-permissions-service-action-6"></a>

Peran terkait layanan `AmazonSSMExplorerExportRole` hanya mempercayai layanan `ssm.amazonaws.com` untuk menjalankan peran. 

Anda dapat menggunakan peran `AmazonSSMExplorerExportRole` terkait layanan untuk mengekspor data operasi (OpsData) menggunakan runbook `AWS-ExportOpsDataToS3` otomatisasi. Anda dapat mengekspor 5.000 OpsData item dari Explorer file nilai dipisahkan koma (.csv) ke bucket Amazon Simple Storage Service (Amazon S3).

Kebijakan izin peran mengizinkan Systems Manager untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
+ `s3:PutObject`
+ `s3:GetBucketAcl`
+ `s3:GetBucketLocation`
+ `sns:Publish`
+ `logs:DescribeLogGroups`
+ `logs:DescribeLogStreams`
+ `logs:CreateLogGroup`
+ `logs:PutLogEvents` 
+ `logs:CreateLogStream`
+ `ssm:GetOpsSummary`

Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat [Izin peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.

## Membuat peran `AmazonSSMExplorerExportRole` terkait layanan untuk Systems Manager
<a name="create-service-linked-role-service-action-6"></a>

Systems Manager membuat peran `AmazonSSMExplorerExportRole` terkait layanan saat Anda mengekspor OpsData menggunakan Explorer di konsol Systems Manager. Untuk informasi selengkapnya, lihat [Mengekspor OpsData dari Systems Manager Explorer](Explorer-exporting-OpsData.md).

Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. 

## Mengedit peran `AmazonSSMExplorerExportRole` terkait layanan untuk Systems Manager
<a name="edit-service-linked-role-service-action-6"></a>

Systems Managertidak memungkinkan Anda untuk mengedit peran `AmazonSSMExplorerExportRole` terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat menyunting penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.

## Menghapus peran terkait `AmazonSSMExplorerExportRole` layanan untuk Systems Manager
<a name="delete-service-linked-role-service-action-6"></a>

Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, kami menyarankan Anda menghapus peran tersebut. Dengan begitu Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Anda dapat menggunakan konsol IAM, API IAM AWS CLI, atau IAM untuk menghapus peran terkait layanan secara manual. Untuk melakukan ini, Anda harus membersihkan sumber daya peran terkait layanan sebelum menghapusnya secara manual.

**catatan**  
Jika Systems Manager layanan menggunakan peran saat Anda mencoba menghapus tag atau grup sumber daya, penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba lagi.

**Untuk menghapus sumber daya Systems Manager yang digunakan oleh `AmazonSSMExplorerExportRole`**

1. Untuk menghapus tag, lihat [Menambahkan dan menghapus tag pada sumber daya individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. Untuk menghapus grup sumber daya, lihat [Menghapus grup dari AWS Resource Groups](https://docs.aws.amazon.com/ARG/latest/userguide/deleting-resource-groups.html).

**Untuk menghapus peran `AmazonSSMExplorerExportRole` terkait layanan secara manual menggunakan IAM**

Gunakan konsol IAM, API IAM AWS CLI, atau IAM untuk menghapus peran terkait `AmazonSSMExplorerExportRole` layanan. Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dalam *Panduan Pengguna IAM*.

## Wilayah yang Didukung untuk peran Systems Manager `AmazonSSMExplorerExportRole` terkait layanan
<a name="slr-regions-service-action-6"></a>

Systems Managermendukung penggunaan peran `AmazonSSMExplorerExportRole` terkait layanan di semua Wilayah AWS tempat layanan tersedia. Untuk informasi lebih lanjut, lihat [AWS Systems Manager kuota dan titik akhir](https://docs.aws.amazon.com/general/latest/gr/ssm.html).

# Menggunakan peran untuk mengaktifkan akses just-in-time node
<a name="using-service-linked-roles-service-action-8"></a>

Systems Managermenggunakan peran terkait layanan bernama. **`AWSServiceRoleForSystemsManagerJustInTimeAccess`** AWS Systems Manager menggunakan peran layanan IAM ini untuk mengaktifkan akses just-in-time node.

## Izin peran terkait layanan untuk akses node Systems Manager just-in-time
<a name="slr-permissions-service-action-8"></a>

Peran tertaut layanan `AWSServiceRoleForSystemsManagerJustInTimeAccess` memercayai layanan berikut untuk mengambil peran tersebut:
+ `ssm.amazonaws.com`

Kebijakan izin peran mengizinkan Systems Manager untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
+ `ssm:CreateOpsItem`
+ `ssm:GetOpsItem`
+ `ssm:UpdateOpsItem`
+ `ssm:DescribeOpsItems`
+ `ssm:DescribeSessions`
+ `ssm:ListTagsForResource`
+ `ssm-guiconnect:ListConnections`
+ `identitystore:ListGroupMembershipsForMember` 
+ `identitystore:DescribeUser`
+ `identitystore:GetGroupId`
+ `identitystore:GetUserId`
+ `sso-directory:DescribeUsers`
+ `sso-directory:IsMemberInGroup`
+ `sso:ListInstances`
+ `sso:DescribeRegisteredRegions`
+ `sso:ListDirectoryAssociations`
+ `ec2:DescribeTags`

Kebijakan terkelola yang digunakan untuk memberikan izin untuk Peran `AWSServiceRoleForSystemsManagerJustInTimeAccess` adalah `AWSSystemsManagerEnableJustInTimeAccessPolicy`. Untuk detail tentang izin yang diberikannya, lihat [AWS kebijakan terkelola: AWSSystems ManagerJustInTimeAccessServicePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy). 

Anda harus mengonfigurasikan izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, menyunting, atau menghapus peran terhubung dengan layanan. Untuk informasi selengkapnya, lihat [Izin peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.

## Membuat peran `AWSServiceRoleForSystemsManagerJustInTimeAccess` terkait layanan untuk Systems Manager
<a name="create-slr-service-action-8"></a>

Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda mengaktifkan akses just-in-time node di Konsol Manajemen AWS, Systems Manager buat peran terkait layanan untuk Anda. 

**penting**  
Peran terkait layanan ini dapat ditampilkan di akun Anda jika Anda menyelesaikan tindakan di layanan lain yang menggunakan fitur yang didukung oleh peran ini. Juga, jika Anda menggunakan Systems Manager layanan sebelum 19 November 2024, ketika mulai mendukung peran terkait layanan, maka Systems Manager buat `AWSServiceRoleForSystemsManagerJustInTimeAccess` peran tersebut di akun Anda. Untuk mempelajari lebih lanjut, lihat [Peran baru muncul di akun IAM saya](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).

Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda mengaktifkan akses just-in-time node di Konsol Manajemen AWS, Systems Manager buat peran terkait layanan untuk Anda lagi. 

Anda juga dapat menggunakan konsol IAM untuk membuat peran terkait layanan dengan **peran AWS layanan yang memungkinkan Systems Manager mengaktifkan just-in-time akses node**. kasus penggunaan. Di AWS CLI atau AWS API, buat peran terkait layanan dengan nama `ssm.amazonaws.com` layanan. Untuk informasi selengkapnya, lihat [Membuat peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dalam *Panduan Pengguna IAM*. Jika Anda menghapus peran tertaut layanan ini, Anda dapat mengulang proses yang sama untuk membuat peran tersebut lagi.

## Mengedit peran `AWSServiceRoleForSystemsManagerJustInTimeAccess` terkait layanan untuk Systems Manager
<a name="edit-slr-service-action-8"></a>

Systems Managertidak memungkinkan Anda untuk mengedit peran `AWSServiceRoleForSystemsManagerJustInTimeAccess` terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat menyunting penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.

## Menghapus peran terkait `AWSServiceRoleForSystemsManagerJustInTimeAccess` layanan untuk Systems Manager
<a name="delete-slr-service-action-8"></a>

Jika Anda tidak lagi memerlukan penggunaan fitur atau layanan yang memerlukan peran terkait layanan, kami menyarankan Anda untuk menghapus peran tersebut. Dengan begitu Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Tetapi, Anda harus membersihkan sumber daya peran terkait layanan sebelum menghapusnya secara manual.

**catatan**  
Jika layanan Systems Manager menggunakan peran tersebut ketika Anda mencoba menghapus sumber daya, penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.

**Untuk menghapus peran `AWSServiceRoleForSystemsManagerJustInTimeAccess` terkait layanan secara manual menggunakan IAM**

Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran `AWSServiceRoleForSystemsManagerJustInTimeAccess` terkait layanan. Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dalam *Panduan Pengguna IAM*.

## Wilayah yang Didukung untuk peran Systems Manager `AWSServiceRoleForSystemsManagerJustInTimeAccess` terkait layanan
<a name="slr-regions-service-action-8"></a>


****  

| Wilayah AWS nama | Identitas wilayah | Support di Systems Manager | 
| --- | --- | --- | 
| US East (Northern Virginia) | us-east-1 | Ya | 
| US East (Ohio) | us-east-2 | Ya | 
| US West (N. California) | us-west-1 | Ya | 
| US West (Oregon) | us-west-2 | Ya | 
| Asia Pacific (Mumbai) | ap-south-1 | Ya | 
| Asia Pacific (Osaka) | ap-northeast-3 | Ya | 
| Asia Pacific (Seoul) | ap-northeast-2 | Ya | 
| Asia Pacific (Singapore) | ap-southeast-1 | Ya | 
| Asia Pacific (Sydney) | ap-southeast-2 | Ya | 
| Asia Pacific (Tokyo) | ap-northeast-1 | Ya | 
| Canada (Central) | ca-sentral-1 | Ya | 
| Eropa (Frankfurt) | eu-central-1 | Ya | 
| Eropa (Irlandia) | eu-west-1 | Ya | 
| Eropa (London) | eu-west-2 | Ya | 
| Europe (Paris) | eu-west-3 | Ya | 
| Eropa (Stockholm) | eu-north-1 | Ya | 
| South America (São Paulo) | sa-east-1 | Ya | 
| AWS GovCloud (US)  | us-gov-west-1 | Tidak | 

# Menggunakan peran untuk mengirim pemberitahuan permintaan akses just-in-time node
<a name="using-service-linked-roles-service-action-9"></a>

Systems Managermenggunakan peran terkait layanan bernama. **`AWSServiceRoleForSystemsManagerNotifications`** AWS Systems Manager menggunakan peran layanan IAM ini untuk mengirim pemberitahuan untuk mengakses pemberi persetujuan permintaan.

## Izin peran terkait layanan untuk notifikasi akses node Systems Manager just-in-time
<a name="slr-permissions-service-action-9"></a>

Peran tertaut layanan `AWSServiceRoleForSystemsManagerNotifications` memercayai layanan berikut untuk mengambil peran tersebut:
+ `ssm.amazonaws.com`

Kebijakan izin peran mengizinkan Systems Manager untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
+ `identitystore:ListGroupMembershipsForMember`
+ `identitystore:ListGroupMemberships`
+ `identitystore:DescribeUser`
+ `sso:ListInstances`
+ `sso:DescribeRegisteredRegions`
+ `sso:ListDirectoryAssociations`
+ `sso-directory:DescribeUser`
+ `sso-directory:ListMembersInGroup`
+ `iam:GetRole`

Kebijakan terkelola yang digunakan untuk memberikan izin untuk Peran `AWSServiceRoleForSystemsManagerNotifications` adalah `AWSSystemsManagerNotificationsServicePolicy`. Untuk detail tentang izin yang diberikannya, lihat [AWS kebijakan terkelola: AWSSystems ManagerNotificationsServicePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy). 

Anda harus mengonfigurasikan izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, menyunting, atau menghapus peran terhubung dengan layanan. Untuk informasi selengkapnya, lihat [Izin peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.

## Membuat peran `AWSServiceRoleForSystemsManagerNotifications` terkait layanan untuk Systems Manager
<a name="create-slr-service-action-9"></a>

Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda mengaktifkan akses just-in-time node di Konsol Manajemen AWS, Systems Manager buat peran terkait layanan untuk Anda. 

**penting**  
Peran terkait layanan ini dapat ditampilkan di akun Anda jika Anda menyelesaikan tindakan di layanan lain yang menggunakan fitur yang didukung oleh peran ini. Juga, jika Anda menggunakan Systems Manager layanan sebelum 19 November 2024, ketika mulai mendukung peran terkait layanan, maka Systems Manager buat `AWSServiceRoleForSystemsManagerNotifications` peran tersebut di akun Anda. Untuk mempelajari lebih lanjut, lihat [Peran baru muncul di akun IAM saya](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).

Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda mengaktifkan akses just-in-time node di Konsol Manajemen AWS, Systems Manager buat peran terkait layanan untuk Anda lagi. 

Anda juga dapat menggunakan konsol IAM untuk membuat peran terkait layanan dengan **peran AWS layanan yang memungkinkan Systems Manager mengirim notifikasi untuk mengakses** pemberi persetujuan permintaan. kasus penggunaan. Di AWS CLI atau AWS API, buat peran terkait layanan dengan nama `ssm.amazonaws.com` layanan. Untuk informasi selengkapnya, lihat [Membuat peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dalam *Panduan Pengguna IAM*. Jika Anda menghapus peran tertaut layanan ini, Anda dapat mengulang proses yang sama untuk membuat peran tersebut lagi.

## Mengedit peran `AWSServiceRoleForSystemsManagerNotifications` terkait layanan untuk Systems Manager
<a name="edit-slr-service-action-9"></a>

Systems Managertidak memungkinkan Anda untuk mengedit peran `AWSServiceRoleForSystemsManagerNotifications` terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat menyunting penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.

## Menghapus peran terkait `AWSServiceRoleForSystemsManagerNotifications` layanan untuk Systems Manager
<a name="delete-slr-service-action-9"></a>

Jika Anda tidak lagi memerlukan penggunaan fitur atau layanan yang memerlukan peran terkait layanan, kami menyarankan Anda untuk menghapus peran tersebut. Dengan begitu Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Tetapi, Anda harus membersihkan sumber daya peran terkait layanan sebelum menghapusnya secara manual.

**catatan**  
Jika layanan Systems Manager menggunakan peran tersebut ketika Anda mencoba menghapus sumber daya, penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.

**Untuk menghapus peran `AWSServiceRoleForSystemsManagerNotifications` terkait layanan secara manual menggunakan IAM**

Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran `AWSServiceRoleForSystemsManagerNotifications` terkait layanan. Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dalam *Panduan Pengguna IAM*.

## Wilayah yang Didukung untuk peran Systems Manager `AWSServiceRoleForSystemsManagerNotifications` terkait layanan
<a name="slr-regions-service-action-9"></a>


****  

| Wilayah AWS nama | Identitas wilayah | Support di Systems Manager | 
| --- | --- | --- | 
| US East (Northern Virginia) | us-east-1 | Ya | 
| US East (Ohio) | us-east-2 | Ya | 
| US West (N. California) | us-west-1 | Ya | 
| US West (Oregon) | us-west-2 | Ya | 
| Asia Pacific (Mumbai) | ap-south-1 | Ya | 
| Asia Pacific (Osaka) | ap-northeast-3 | Ya | 
| Asia Pacific (Seoul) | ap-northeast-2 | Ya | 
| Asia Pacific (Singapore) | ap-southeast-1 | Ya | 
| Asia Pacific (Sydney) | ap-southeast-2 | Ya | 
| Asia Pacific (Tokyo) | ap-northeast-1 | Ya | 
| Canada (Central) | ca-sentral-1 | Ya | 
| Eropa (Frankfurt) | eu-central-1 | Ya | 
| Eropa (Irlandia) | eu-west-1 | Ya | 
| Eropa (London) | eu-west-2 | Ya | 
| Europe (Paris) | eu-west-3 | Ya | 
| Eropa (Stockholm) | eu-north-1 | Ya | 
| South America (São Paulo) | sa-east-1 | Ya | 
| AWS GovCloud (US)  | us-gov-west-1 | Tidak | 

# Pencatatan dan pemantauan di AWS Systems Manager
<a name="logging-and-monitoring"></a>

Pemantauan adalah bagian penting dari menjaga keandalan, ketersediaan, dan kinerja AWS Systems Manager dan AWS solusi Anda. Anda harus mengumpulkan data pemantauan dari semua bagian AWS solusi Anda sehingga Anda dapat lebih men-debug kegagalan multi-titik jika terjadi. AWS menyediakan beberapa alat untuk memantau sumber daya Anda Systems Manager dan sumber daya lainnya dan menanggapi potensi insiden.

**AWS CloudTrail log**  
CloudTrail menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau Layanan AWS dalamSystems Manager. Dengan menggunakan informasi yang dikumpulkan oleh CloudTrail, Anda dapat menentukan permintaan yang dibuatSystems Manager, alamat IP dari mana permintaan dibuat, siapa yang membuat permintaan, kapan dibuat, dan detail tambahan. Untuk informasi selengkapnya, lihat [Pencatatan panggilan AWS Systems Manager API dengan AWS CloudTrail](monitoring-cloudtrail-logs.md).

** CloudWatch Alarm Amazon**  
Dengan menggunakan CloudWatch alarm Amazon, Anda menonton satu metrik selama periode waktu yang ditentukan untuk instans Amazon Elastic Compute Cloud (Amazon EC2) dan sumber daya lainnya. Jika metrik melebihi ambang batas tertentu, notifikasi akan dikirim ke topik atau kebijakan Amazon Simple Notification Service (Amazon SNS). AWS Auto Scaling CloudWatch alarm tidak memanggil tindakan karena mereka berada dalam keadaan tertentu. Sebaliknya, status harus diubah dan dipelihara selama jangka waktu tertentu. Untuk informasi selengkapnya, lihat [Menggunakan CloudWatch alarm Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) di *Panduan CloudWatch Pengguna Amazon*.

** CloudWatch Dasbor Amazon**  
CloudWatch dasbor adalah halaman beranda yang dapat disesuaikan di CloudWatch konsol yang dapat Anda gunakan untuk memantau sumber daya Anda dalam satu tampilan, bahkan sumber daya yang tersebar di berbagai tempat. Wilayah AWS Anda dapat menggunakan CloudWatch dasbor untuk membuat tampilan metrik dan alarm yang disesuaikan untuk sumber daya Anda. AWS Untuk informasi selengkapnya, lihat [Menggunakan CloudWatch dasbor Amazon yang dihosting oleh Systems Manager](systems-manager-cloudwatch-dashboards.md).

**Amazon EventBridge**  
Menggunakan Amazon EventBridge, Anda dapat mengonfigurasi aturan untuk mengingatkan Anda tentang perubahan Systems Manager sumber daya, dan mengarahkan EventBridge untuk mengambil tindakan berdasarkan konten peristiwa tersebut. EventBridge memberikan dukungan untuk sejumlah peristiwa yang dipancarkan oleh berbagai Systems Manager alat. Untuk informasi selengkapnya, lihat [Memantau peristiwa Systems Manager dengan Amazon EventBridge](monitoring-eventbridge-events.md).

** CloudWatch Log dan SSM Agent log Amazon**  
SSM Agentmenulis informasi tentang eksekusi, tindakan terjadwal, kesalahan, dan status kesehatan untuk mencatat file di setiap node. Anda dapat melihat file log dengan menghubungkan secara manual ke node. Sebaiknya kirim data log agen secara otomatis ke grup log di CloudWatch Log untuk dianalisis. Untuk informasi selengkapnya, lihat [Mengirim log simpul ke CloudWatch Log terpadu (CloudWatch agen)](monitoring-cloudwatch-agent.md) dan [Melihat SSM Agent log](ssm-agent-logs.md).

**AWS Systems Manager Kepatuhan**  
Anda dapat menggunakan Compliance, alat di AWS Systems Manager, untuk memindai armada node terkelola Anda untuk kepatuhan patch dan inkonsistensi konfigurasi. Anda dapat mengumpulkan dan mengumpulkan data dari beberapa Akun AWS dan Wilayah AWS, lalu menelusuri sumber daya tertentu yang tidak sesuai. Secara default, Kepatuhan menampilkan data kepatuhan saat ini tentang penambalanPatch Manager, alat di AWS Systems Manager, dan asosiasi diState Manager, alat di AWS Systems Manager. Untuk informasi selengkapnya, lihat [AWS Systems Manager Kepatuhan](systems-manager-compliance.md).

**AWS Systems Manager Explorer**  
Explorer, alat di AWS Systems Manager, adalah dasbor operasi yang dapat disesuaikan yang melaporkan informasi tentang sumber daya Anda AWS . Explorermenampilkan tampilan agregat data operasi (OpsData) untuk Anda Akun AWS dan seluruh Wilayah AWS. DiExplorer, OpsData sertakan metadata tentang instans EC2 Anda, detail kepatuhan tambalan, dan item pekerjaan operasional (). OpsItems Explorermemberikan konteks tentang bagaimana OpsItems didistribusikan di seluruh unit bisnis atau aplikasi Anda, bagaimana tren mereka dari waktu ke waktu, dan bagaimana mereka bervariasi menurut kategori. Anda dapat mengelompokkan dan memfilter informasi Explorer untuk fokus pada item yang relevan bagi Anda dan yang memerlukan tindakan. Untuk informasi selengkapnya, lihat [AWS Systems Manager Explorer](Explorer.md).

**AWS Systems Manager OpsCenter**  
OpsCenter, alat di AWS Systems Manager, menyediakan lokasi pusat di mana insinyur operasi dan profesional TI dapat melihat, menyelidiki, dan menyelesaikan item kerja operasional (OpsItems) yang terkait dengan AWS sumber daya. OpsCentermengumpulkan dan menstandarisasi OpsItems di seluruh layanan sambil memberikan data investigasi kontekstual tentang masing-masingOpsItem, terkait, dan sumber daya terkaitOpsItems. OpsCenterjuga menyediakan runbook di Automation, alat di AWS Systems Manager, yang dapat Anda gunakan untuk menyelesaikan masalah dengan cepat. OpsCenterterintegrasi dengan Amazon EventBridge. Ini berarti Anda dapat membuat EventBridge aturan yang secara otomatis dibuat OpsItems untuk setiap Layanan AWS yang menerbitkan acara. EventBridge Untuk informasi selengkapnya, lihat [AWS Systems Manager OpsCenter](OpsCenter.md).

**Layanan Notifikasi Sederhana Amazon**  
Anda dapat mengonfigurasi Amazon Simple Notification Service (Amazon SNS) untuk mengirim notifikasi tentang status perintah yang Anda kirim Run Command menggunakan Maintenance Windows atau, alat masuk. AWS Systems Manager Amazon SNS mengoordinasikan dan mengelola pemberitahuan pengiriman ke pelanggan atau titik akhir yang berlangganan. Anda dapat menerima pemberitahuan setiap kali perintah berubah ke status baru atau ke status tertentu, seperti `Failed` atau`Timed Out`. Dalam kasus di mana Anda mengirim perintah ke beberapa node, Anda dapat menerima pemberitahuan untuk setiap salinan perintah yang dikirim ke node tertentu. Untuk informasi selengkapnya, lihat [Pemantauan perubahan status Systems Manager menggunakan notifikasi Amazon SNS](monitoring-sns-notifications.md).

**AWS Trusted Advisor dan Dasbor AWS Health**  
Trusted Advisor mengacu pada praktik terbaik yang dipelajari dari melayani ratusan ribu AWS pelanggan. Trusted Advisor memeriksa AWS lingkungan Anda dan kemudian membuat rekomendasi ketika ada peluang untuk menghemat uang, meningkatkan ketersediaan dan kinerja sistem, atau membantu menutup kesenjangan keamanan. Semua AWS pelanggan memiliki akses ke lima Trusted Advisor cek. Pelanggan dengan paket AWS Dukungan Bisnis atau Perusahaan dapat melihat semua Trusted Advisor cek. Untuk informasi selengkapnya, lihat [AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html)di *Panduan AWS Dukungan Pengguna* dan *[Panduan AWS Health Pengguna](https://docs.aws.amazon.com/health/latest/ug/)*.    
**Info lebih lanjut**  
+ [Penebangan dan pemantauan di AWS Systems Manager](monitoring.md)

# Validasi kepatuhan untuk AWS Systems Manager
<a name="compliance-validation"></a>

Topik ini membahas pematuhan AWS Systems Manager dengan program jaminan pihak ketiga. Untuk informasi tentang melihat data kepatuhan untuk node terkelola, lihat[AWS Systems Manager Kepatuhan](systems-manager-compliance.md).

Auditor pihak ketiga menilai keamanan dan kepatuhan pada Systems Manager sebagai bagian dari beberapa program kepatuhan AWS . Program ini mencakup SOC, PCI, FedRAMP, HIPAA, dan lainnya.

Untuk daftar cakupan program kepatuhan tertentu, lihat [AWS Layanan dalam Lingkup menurut Program Kepatuhan Layanan AWS](https://aws.amazon.com/compliance/services-in-scope/) . Layanan AWS Untuk informasi umum, lihat [Program AWS Kepatuhan Program AWS](https://aws.amazon.com/compliance/programs/) .

Anda dapat mengunduh laporan audit pihak ketiga menggunakan AWS Artifact. Untuk informasi selengkapnya, lihat [Mengunduh laporan di AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .

Tanggung jawab kepatuhan Anda saat menggunakan Systems Manager ditentukan oleh sensitivitas data Anda, tujuan kepatuhan perusahaan Anda, dan hukum dan peraturan yang berlaku. AWS menyediakan sumber daya berikut untuk membantu kepatuhan:
+ [Panduan Quick Start Keamanan dan Kepatuhan](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) – Panduan deployment ini membahas pertimbangan arsitektur dan menyediakan langkah–langkah untuk melakukan deployment terhadap lingkungan dasar di AWS yang menjadi fokus keamanan dan kepatuhan.
+ [Arsitektur untuk Whitepaper Keamanan dan Kepatuhan HIPAA — Whitepaper](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/introduction.html) ini menjelaskan bagaimana perusahaan dapat menggunakan untuk membuat aplikasi yang sesuai dengan HIPAA. AWS 
+ [AWS Sumber Daya AWS](https://aws.amazon.com/compliance/resources/) — Kumpulan buku kerja dan panduan ini mungkin berlaku untuk industri dan lokasi Anda.
+ [Mengevaluasi Sumber Daya dengan Aturan](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) dalam *Panduan AWS Config Pengembang* — AWS Config Layanan menilai seberapa baik konfigurasi sumber daya Anda mematuhi praktik internal, pedoman industri, dan peraturan.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Ini Layanan AWS memberikan pandangan komprehensif tentang keadaan keamanan Anda di dalamnya AWS yang membantu Anda memeriksa kepatuhan Anda terhadap standar industri keamanan dan praktik terbaik.

# Ketahanan di AWS Systems Manager
<a name="disaster-recovery-resiliency"></a>

Infrastruktur AWS global dibangun di sekitar Wilayah AWS dan Availability Zones. Wilayah AWS menyediakan beberapa Availability Zone yang terpisah secara fisik dan terisolasi, yang terhubung dengan latensi rendah, throughput tinggi, dan jaringan yang sangat redundan. Dengan Zona Ketersediaan, Anda dapat merancang serta mengoperasikan aplikasi dan basis data yang secara otomatis melakukan fail over di antara zona tanpa gangguan. Zona Ketersediaan memiliki ketersediaan dan toleransi kesalahan yang lebih baik, dan dapat diskalakan dibandingkan infrastruktur pusat data tunggal atau multi tradisional. 

Untuk informasi selengkapnya tentang Wilayah AWS dan Availability Zone, lihat [Infrastruktur AWS Global](https://aws.amazon.com/about-aws/global-infrastructure/).

# Keamanan infrastruktur dalam AWS Systems Manager
<a name="infrastructure-security"></a>

Sebagai layanan terkelola, AWS Systems Manager dilindungi oleh keamanan jaringan AWS global. Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat [Keamanan AWS Cloud](https://aws.amazon.com/security/). Untuk mendesain AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat [Perlindungan Infrastruktur dalam Kerangka Kerja](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) yang * AWS Diarsiteksikan dengan Baik Pilar Keamanan*.

Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses Systems Manager melalui jaringan. Klien harus mendukung hal-hal berikut:
+ Keamanan Lapisan Pengangkutan (TLS). Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Sandi cocok dengan sistem kerahasiaan maju sempurna (perfect forward secrecy, PFS) seperti DHE (Ephemeral Diffie-Hellman) atau ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.

# Analisis konfigurasi dan kerentanan dalam AWS Systems Manager
<a name="vulnerability-analysis-and-management"></a>

AWS menangani tugas-tugas keamanan dasar seperti konfigurasi firewall dan pemulihan bencana. Prosedur ini telah ditinjau dan disertifikasi oleh pihak ketiga yang sesuai. Untuk detail selengkapnya, lihat sumber daya berikut: 
+ [Validasi kepatuhan untuk AWS Systems Manager](compliance-validation.md)
+ [Model Tanggung Jawab Bersama](https://aws.amazon.com/compliance/shared-responsibility-model/)
+ [Praktik Terbaik untuk Keamanan, Identitas, & Kepatuhan](https://aws.amazon.com/architecture/security-identity-compliance/)

# Praktik terbaik keamanan untuk Systems Manager
<a name="security-best-practices"></a>

AWS Systems Manager menyediakan sejumlah fitur keamanan untuk dipertimbangkan saat Anda mengembangkan dan menerapkan kebijakan keamanan Anda sendiri. Praktik terbaik berikut adalah pedoman umum dan tidak mewakili solusi keamanan yang lengkap. Karena praktik terbaik ini mungkin tidak sesuai atau tidak memadai untuk lingkungan Anda, perlakukan itu sebagai pertimbangan yang bermanfaat, bukan sebagai resep. 

**Topics**
+ [Systems Managerpraktik terbaik keamanan preventif](#security-best-practices-prevent)
+ [SSM Agentpraktik terbaik instalasi](#security-best-practices-ssm-agent)
+ [Systems Managerpemantauan dan audit praktik terbaik](#security-best-practices-detect)

## Systems Managerpraktik terbaik keamanan preventif
<a name="security-best-practices-prevent"></a>

Praktik terbaik berikut ini Systems Manager dapat membantu mencegah insiden keamanan.

**Terapkan akses hak akses paling rendah**  
Saat memberikan izin, Anda memutuskan siapa yang mendapatkan izin apa untuk sumber daya mana. Systems Manager Anda mengizinkan tindakan tertentu yang ingin Anda lakukan di sumber daya tersebut. Oleh karena itu, Anda harus memberikan hanya izin yang diperlukan untuk melaksanakan tugas. Menerapkan akses hak istimewa yang terkecil adalah hal mendasar dalam mengurangi risiko keamanan dan dampak yang dapat diakibatkan oleh kesalahan atau niat jahat.   
Alat bantu berikut tersedia untuk menerapkan akses hak akses paling rendah:  
+ [Kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html) dan [batasan Izin untuk entitas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) IAM
+ [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)

**Gunakan pengaturan yang disarankan SSM Agent saat dikonfigurasi untuk menggunakan proxy**  
Jika Anda mengonfigurasi SSM Agent untuk menggunakan proxy, gunakan `no_proxy` variabel dengan alamat IP layanan metadata instans Systems Manager untuk memastikan bahwa panggilan ke Systems Manager tidak mengambil identitas layanan proxy.  
Untuk informasi selengkapnya, lihat [Mengkonfigurasi SSM Agent untuk menggunakan proxy pada node Linux](configure-proxy-ssm-agent.md) dan [SSM AgentKonfigurasikan untuk menggunakan proxy untuk Windows Server instance](configure-proxy-ssm-agent-windows.md).

**Gunakan SecureString parameter untuk mengenkripsi dan melindungi data rahasia**  
DalamParameter Store, alat di AWS Systems Manager, `SecureString` parameter adalah data sensitif apa pun yang perlu disimpan dan direferensikan dengan cara yang aman. Jika Anda memiliki data yang tidak ingin pengguna ubah atau referensi dalam teks biasa, seperti kata sandi atau kunci lisensi, buat parameter tersebut `SecureString` menggunakan tipe data. Parameter Storemenggunakan AWS KMS key in AWS Key Management Service (AWS KMS) untuk mengenkripsi nilai parameter. AWS KMS menggunakan kunci yang dikelola pelanggan atau Kunci yang dikelola AWS saat mengenkripsi nilai parameter. Untuk keamanan maksimal, kami menyarankan untuk menggunakan kunci KMS Anda sendiri. Jika Anda menggunakan Kunci yang dikelola AWS, setiap pengguna dengan izin untuk menjalankan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html)dan [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html)tindakan di akun Anda dapat melihat atau mengambil konten dari semua `SecureString` parameter. Jika Anda menggunakan kunci yang dikelola pelanggan untuk mengenkripsi keamanan nilai-nilai `SecureString`, Anda dapat menggunakan kebijakan IAM dan kebijakan kunci untuk mengelola izin untuk mengenkripsi dan mendekripsi parameter.  
Lebih sulit untuk menetapkan kebijakan kontrol akses untuk operasi ini saat menggunakan file Kunci yang dikelola AWS. Misalnya, jika Anda menggunakan an Kunci yang dikelola AWS untuk mengenkripsi `SecureString` parameter dan tidak ingin pengguna bekerja dengan `SecureString` parameter, kebijakan IAM pengguna harus secara eksplisit menolak akses ke kunci default.  
Untuk informasi selengkapnya, lihat [Membatasi akses ke Parameter Store parameter menggunakan kebijakan IAM](sysman-paramstore-access.md) dan [Cara AWS Systems ManagerParameter Store Penggunaan AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-parameter-store.html) di *Panduan AWS Key Management Service Pengembang*.

**Tentukan allowedValues dan allowedPattern untuk parameter dokumen**  
Anda dapat memvalidasi input pengguna untuk parameter dalam dokumen Systems Manager (dokumen SSM) dengan mendefinisikan `allowedValues` dan `allowedPattern`. Untuk `allowedValues`, Anda mendefinisikan sebuah array nilai yang diizinkan untuk parameter. Jika pengguna input nilai tidak diperbolehkan, eksekusi gagal untuk memulai. Untuk `allowedPattern`, Anda menentukan ekspresi reguler yang memvalidasi apakah input pengguna sesuai dengan pola yang ditetapkan untuk parameter. Jika input pengguna tidak cocok dengan pola yang diperbolehkan, eksekusi gagal untuk memulai.  
Untuk informasi selengkapnya tentang `allowedValues` dan `allowedPattern`, lihat [Elemen dan parameter data](documents-syntax-data-elements-parameters.md).

**Memblokir berbagi dokumen untuk publik**  
Kecuali kasus penggunaan Anda mengharuskan berbagi publik diizinkan, sebaiknya aktifkan pengaturan blokir berbagi publik untuk dokumen SSM Anda di bagian **Preferensi** konsol kumpulan dokumen Systems Manager.

**Gunakan Amazon Virtual Private Cloud (Amazon VPC) dan VPC endpoint**  
Anda dapat menggunakan Amazon VPC untuk meluncurkan AWS sumber daya ke jaringan virtual yang telah Anda tentukan. Jaringan virtual ini sangat mirip dengan jaringan konvensional yang akan Anda operasikan di pusat data Anda sendiri dengan manfaatnya, yaitu menggunakan infrastruktur AWS yang dapat diskalakan.  
Dengan menerapkan titik akhir VPC, Anda dapat menghubungkan VPC Anda secara pribadi ke layanan endpoint VPC yang didukung Layanan AWS dan AWS PrivateLink didukung tanpa memerlukan gateway internet, perangkat NAT, koneksi VPN, atau koneksi. AWS Direct Connect Instans di VPC Anda tidak memerlukan alamat IP publik untuk berkomunikasi dengan sumber daya dalam layanan. Lalu lintas antara VPC Anda dan layanan lainnya tidak meninggalkan jaringan Amazon.  
*Untuk informasi selengkapnya tentang keamanan Amazon VPC, lihat [Meningkatkan keamanan instans EC2 dengan menggunakan titik akhir VPC untuk privasi lalu lintas Systems Manager](setup-create-vpc.md) [dan Internetwork di Amazon VPC di Panduan Pengguna Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html).*

**Batasi Session Manager pengguna untuk sesi menggunakan perintah interaktif dan dokumen sesi SSM tertentu**  
Session Manager, alat diAWS Systems Manager, menyediakan [beberapa metode untuk memulai sesi](session-manager-working-with-sessions-start.md) ke node terkelola Anda. Untuk koneksi yang paling aman, Anda dapat meminta pengguna untuk terhubung menggunakan *perintah interaktif* metode untuk membatasi interaksi pengguna untuk perintah tertentu atau urutan perintah. Ini membantu Anda mengelola tindakan interaktif yang dapat dilakukan pengguna. Untuk informasi selengkapnya, lihat [Memulai sesi (perintah interaktif dan noninteraktif)](session-manager-working-with-sessions-start.md#sessions-start-interactive-commands).  
Untuk keamanan tambahan, Anda dapat membatasi Session Manager akses ke instans Amazon EC2 tertentu dan dokumen sesi tertentuSession Manager. Anda memberikan atau mencabut Session Manager akses dengan cara ini dengan menggunakan kebijakan AWS Identity and Access Management (IAM). Untuk informasi selengkapnya, lihat [Langkah 3: Kontrol akses sesi ke node yang dikelola](session-manager-getting-started-restrict-access.md). 

**Berikan izin node sementara untuk alur kerja Otomasi**  
Selama alur kerja di Otomasi, alat diAWS Systems Manager, node Anda mungkin memerlukan izin yang diperlukan untuk eksekusi itu saja tetapi tidak untuk operasi lainSystems Manager. Misalnya, alur kerja Otomasi mungkin memerlukan node untuk memanggil operasi API tertentu atau mengakses AWS sumber daya secara khusus selama alur kerja. Jika panggilan atau sumber daya ini adalah panggilan yang ingin Anda batasi aksesnya, Anda dapat memberikan izin tambahan sementara untuk node Anda dalam runbook Otomasi itu sendiri alih-alih menambahkan izin ke profil instans IAM Anda. Pada akhir alur kerja otomatisasi, izin sementara akan dihapus. Untuk informasi selengkapnya, lihat [Memberikan izin instans sementara dengan Otomatisasi AWS Systems Manager](https://aws.amazon.com/blogs/mt/providing-temporary-instance-permissions-with-aws-systems-manager-automations/) pada *Blog Pengelolaan dan Tata Kelola AWS *.

**Tetap AWS dan Systems Manager alat up to date**  
AWS secara teratur merilis versi terbaru dari alat dan plugin yang dapat Anda gunakan dalam Systems Manager operasi Anda AWS . Menjaga agar sumber daya ini tetap mutakhir memastikan bahwa pengguna dan node di akun Anda memiliki akses ke fungsionalitas dan fitur keamanan terbaru di alat ini.  
+ SSM Agent— AWS Systems Manager Agent (SSM Agent) adalah perangkat lunak Amazon yang dapat diinstal dan dikonfigurasi pada instans Amazon Elastic Compute Cloud (Amazon EC2), server lokal, atau mesin virtual (VM). SSM Agentmemungkinkan Systems Manager untuk memperbarui, mengelola, dan mengkonfigurasi sumber daya ini. Kami merekomendasikan memeriksa versi baru, atau mengotomatisasi pembaruan untuk agen, setidaknya setiap dua minggu. Untuk informasi, lihat [Mengotomatiskan pembaruan ke SSM Agent](ssm-agent-automatic-updates.md). Kami juga menyarankan untuk memverifikasi tanda tangan SSM Agent sebagai bagian dari proses pembaruan Anda. Untuk informasi, lihat [Memverifikasi tanda tangan SSM Agent](verify-agent-signature.md).
+ AWS CLI — The AWS Command Line Interface (AWS CLI) adalah alat open source yang memungkinkan Anda berinteraksi dengan Layanan AWS menggunakan perintah di shell baris perintah Anda. Untuk memperbarui AWS CLI, Anda menjalankan perintah yang sama yang digunakan untuk menginstal file AWS CLI. Kami merekomendasikan membuat tugas terjadwal pada mesin lokal Anda untuk menjalankan perintah yang sesuai untuk sistem operasi Anda setidaknya sekali setiap dua minggu. Untuk informasi tentang perintah instalasi, lihat [Menginstal AWS CLI versi 2](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) di *Panduan AWS Command Line Interface Pengguna*. 
+ AWS Tools for Windows PowerShell — Alat untuk Windows PowerShell adalah seperangkat PowerShell modul yang dibangun di atas fungsionalitas yang diekspos oleh AWS SDK for .NET. Ini AWS Tools for Windows PowerShell memungkinkan Anda untuk skrip operasi pada AWS sumber daya Anda dari baris PowerShell perintah. Secara berkala, saat versi terbaru dari Alat untuk Windows PowerShell dirilis, Anda harus memperbarui versi yang Anda jalankan secara lokal. Untuk selengkapnya, lihat [AWS Tools for Windows PowerShell Memperbarui Windows](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up-windows.html#pstools-updating) atau [Memperbarui Linux AWS Tools for Windows PowerShell di Linux atau macOS](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up-linux-mac.html#pstools-updating-linux) di *Panduan Pengguna Simulator Kebijakan IAM*.
+ Session ManagerPlugin — Jika pengguna di organisasi Anda dengan izin untuk menggunakan Session Manager ingin terhubung ke node menggunakan AWS CLI, mereka harus terlebih dahulu menginstal Session Manager plugin pada mesin lokal mereka. Untuk memperbarui plugin, Anda menjalankan perintah yang sama seperti yang digunakan untuk menginstal plugin. Kami merekomendasikan membuat tugas terjadwal pada mesin lokal Anda untuk menjalankan perintah yang sesuai untuk sistem operasi Anda setidaknya sekali setiap dua minggu. Untuk informasi, lihat [Instal Session Manager plugin untuk AWS CLI](session-manager-working-with-install-plugin.md).
+ CloudWatch agen — Anda dapat mengonfigurasi dan menggunakan CloudWatch agen untuk mengumpulkan metrik dan log dari instans EC2, instans lokal, dan mesin virtual (). VMs Log ini dapat dikirim ke Amazon CloudWatch Logs untuk pemantauan dan analisis. Kami merekomendasikan memeriksa versi baru, atau mengotomatisasi pembaruan untuk agen, setidaknya setiap dua minggu. Untuk pembaruan yang paling sederhana, gunakan Pengaturan Cepat AWS Systems Manager. Untuk informasi, lihat [AWS Systems Manager Quick Setup](systems-manager-quick-setup.md). 

## SSM Agentpraktik terbaik instalasi
<a name="security-best-practices-ssm-agent"></a>

Saat memasangSSM Agent, gunakan metode instalasi yang sesuai untuk jenis mesin Anda. Secara khusus, gunakan `ssm-setup-cli` alat ini untuk semua instalasi non-EC2 di lingkungan [hybrid dan](operating-systems-and-machine-types.md#supported-machine-types) multicloud. Alat ini memberikan perlindungan keamanan tambahan untuk mesin non-EC2.

Untuk menginstal agen di server lokal dan mesin virtual, gunakan `ssm-setup-cli` alat seperti yang dijelaskan dalam topik berikut:
+ [Instal SSM Agent pada node Linux hybrid](hybrid-multicloud-ssm-agent-install-linux.md)
+ [Instal SSM Agent pada Windows Server node hybrid](hybrid-multicloud-ssm-agent-install-windows.md)

Untuk menginstal agen pada instans EC2, gunakan prosedur instalasi yang sesuai untuk jenis sistem operasi Anda:
+ [Menginstal dan menghapus instalasi secara manual SSM Agent pada instans EC2 untuk Linux](manually-install-ssm-agent-linux.md)
+ [Menginstal dan menghapus instalasi secara manual SSM Agent pada instans EC2 untuk macOS](manually-install-ssm-agent-macos.md)
+ [Menginstal dan menghapus instalasi secara manual SSM Agent pada instans EC2 untuk Windows Server](manually-install-ssm-agent-windows.md)

## Systems Managerpemantauan dan audit praktik terbaik
<a name="security-best-practices-detect"></a>

Praktik terbaik berikut ini Systems Manager dapat membantu mendeteksi potensi kelemahan dan insiden keamanan.

**Identifikasi dan audit semua Systems Manager sumber daya Anda**  
Identifikasi aset IT Anda adalah aspek penting dari tata kelola dan keamanan. Anda perlu mengidentifikasi semua sumber Systems Manager daya Anda untuk menilai postur keamanan mereka dan mengambil tindakan pada area kelemahan potensial.  
Gunakan Editor Tag untuk mengidentifikasi sumber daya yang sensitif terhadap keamanan atau audit, kemudian gunakan tag tersebut saat Anda perlu mencari sumber daya ini. Untuk informasi selengkapnya, lihat [Menemukan sumber daya untuk](https://docs.aws.amazon.com/ARG/latest/userguide/find-resources-to-tag.html) ditandai di *Panduan AWS Resource Groups Pengguna*.   
Buat grup sumber daya untuk Systems Manager sumber daya Anda. Untuk informasi selengkapnya, lihat [Apa itu grup sumber daya?](https://docs.aws.amazon.com/ARG/latest/userguide/resource-groups.html) 

**Menerapkan pemantauan menggunakan alat CloudWatch pemantauan Amazon**  
Pemantauan adalah bagian penting dari menjaga keandalan, keamanan, ketersediaan, dan kinerja Systems Manager dan AWS solusi Anda. Amazon CloudWatch menyediakan beberapa alat dan layanan untuk membantu Anda memantau Systems Manager dan lainnya Layanan AWS. Untuk informasi selengkapnya, lihat [Mengirim log simpul ke CloudWatch Log terpadu (CloudWatch agen)](monitoring-cloudwatch-agent.md) dan [Memantau peristiwa Systems Manager dengan Amazon EventBridge](monitoring-eventbridge-events.md).

**Gunakan CloudTrail**  
AWS CloudTrail menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau Layanan AWS dalamSystems Manager. Dengan menggunakan informasi yang dikumpulkan oleh CloudTrail, Anda dapat menentukan permintaan yang dibuatSystems Manager, alamat IP dari mana permintaan dibuat, siapa yang membuat permintaan, kapan dibuat, dan detail tambahan. Untuk informasi selengkapnya, lihat [Pencatatan panggilan AWS Systems Manager API dengan AWS CloudTrail](monitoring-cloudtrail-logs.md).

**Nyalakan AWS Config**  
AWS Config memungkinkan Anda untuk menilai, mengaudit, dan mengevaluasi konfigurasi AWS sumber daya Anda. AWS Config memantau konfigurasi sumber daya, memungkinkan Anda mengevaluasi konfigurasi yang direkam terhadap konfigurasi aman yang diperlukan. Dengan menggunakan AWS Config, Anda dapat meninjau perubahan konfigurasi dan hubungan antar AWS sumber daya, menyelidiki riwayat konfigurasi sumber daya terperinci, dan menentukan kepatuhan Anda secara keseluruhan terhadap konfigurasi yang ditentukan dalam pedoman internal Anda. Ini dapat membantu Anda menyederhanakan audit kepatuhan, analisis keamanan, manajemen perubahan, dan pemecahan masalah operasional. Untuk informasi lebih lanjut, lihat [Menyiapkan AWS Config dengan Konsol tersebut](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html) pada *Panduan Developer AWS Config *. Saat menentukan jenis sumber daya yang akan direkam, pastikan Anda menyertakan Systems Manager sumber daya. 

**Pantau saran AWS keamanan**  
Anda harus secara teratur memeriksa nasihat keamanan yang diposting Trusted Advisor untuk Anda Akun AWS. Anda dapat melakukan ini secara terprogram menggunakan. [describe-trusted-advisor-checks](https://docs.aws.amazon.com/cli/latest/reference/support/describe-trusted-advisor-checks.html)  
Selanjutnya, secara aktif memantau alamat email utama yang terdaftar untuk masing-masing Anda Akun AWS. AWS akan menghubungi Anda, menggunakan alamat email ini, tentang masalah keamanan yang muncul yang mungkin memengaruhi Anda.  
AWS Masalah operasional dengan dampak luas diposting di [AWS Service Health Dashboard](https://status.aws.amazon.com/). Masalah operasional juga di-posting ke akun individu melalui Personal Health Dashboard. Untuk informasi selengkapnya, lihat [Dokumentasi AWS Health](https://docs.aws.amazon.com/health/).

**Info lebih lanjut**  
+ [Praktik Terbaik untuk Keamanan, Identitas, & Kepatuhan](https://aws.amazon.com/architecture/security-identity-compliance/)
+ [Memulai: Ikuti Praktik Terbaik Keamanan saat Anda Mengkonfigurasi AWS Sumber Daya Anda](https://aws.amazon.com/blogs/security/getting-started-follow-security-best-practices-as-you-configure-your-aws-resources/) (Blog AWS Keamanan)
+ [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Praktik terbaik keamanan di AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/best-practices-security.html)
+ [Praktik Terbaik Keamanan untuk Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html)
+ [Praktik terbaik keamanan untuk AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/best-practices.html)