Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Konfigurasikan peran IAM untuk aplikasi web Transfer Family Anda akan memerlukan dua peran: satu untuk digunakan sebagai peran pembawa identitas untuk aplikasi web Anda, dan yang kedua digunakan untuk mengonfigurasi hibah akses. Peran pembawa identitas adalah peran yang mencakup identitas pengguna yang diautentikasi dalam sesinya. Ini digunakan untuk membuat permintaan ke S3 Access Grants untuk akses data atas nama pengguna. **catatan** Anda dapat melewati prosedur untuk membuat peran pembawa identitas. Untuk informasi tentang meminta layanan Transfer Family membuat peran pembawa identitas, lihat[Membuat aplikasi web Transfer Family](webapp-configure.md#web-app-create). Anda dapat melewati prosedur untuk membuat peran hibah akses. Dalam prosedur untuk membuat hibah akses, pada langkah di mana Anda mendaftarkan lokasi S3, pilih **Buat peran baru**. **Buat peran pembawa identitas** 1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Pilih **Peran**, lalu **Buat peran**. 1. Pilih **Kebijakan kepercayaan khusus**, lalu tempelkan kode berikut. ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service":"transfer.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:SetContext" ] } ] } ``` 1. Pilih **Berikutnya** dan kemudian lewati **Tambahkan izin** dan pilih **Berikutnya** lagi. 1. Masukkan nama, misalnya`web-app-identity-bearer`. 1. Pilih **Buat peran** untuk membuat peran pembawa identitas. 1. Pilih peran yang baru saja Anda buat dari daftar, lalu di panel **Kebijakan izin**, pilih **Tambahkan izin** > **Buat kebijakan sebaris**. 1. Di **editor Kebijakan**, pilih **JSON** dan kemudian tempel di blok kode berikut. ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetDataAccess", "s3:ListCallerAccessGrants", "s3:ListAccessGrantsInstances" ], "Resource": "*" } ] } ``` 1. Untuk nama kebijakan, masukkan`AllowS3AccessGrants`, lalu pilih **Buat kebijakan**. Selanjutnya, Anda membuat peran yang diasumsikan oleh S3 Access Grants untuk menjual kredensi sementara kepada penerima hibah. **catatan** Jika Anda mengizinkan layanan untuk membuat peran pembawa identitas untuk Anda, peran itu menetapkan perlindungan wakil yang membingungkan. Oleh karena itu, kodenya berbeda dari apa yang ditampilkan di sini. **Buat peran hibah akses** 1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Pilih **Peran**, lalu **Buat peran**. Peran ini harus memiliki izin untuk mengakses data S3 Anda di file. Wilayah AWS 1. Pilih **Kebijakan kepercayaan khusus**, lalu tempelkan kode berikut. ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "access-grants.s3.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:SetContext" ] } ] } ``` 1. Pilih **Berikutnya** tambahkan kebijakan minimal seperti yang dijelaskan dalam [Daftarkan lokasi](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-location-register.html). Meskipun tidak disarankan, Anda dapat menambahkan kebijakan FullAccess terkelola **AmazonS3**, yang mungkin terlalu permisif untuk kebutuhan Anda. 1. Pilih **Berikutnya**, dan masukkan nama (misalnya`access-grants-location`). 1. Pilih **Buat peran** untuk membuat peran. **catatan** Jika Anda mengizinkan layanan untuk membuat peran hibah akses untuk Anda, peran tersebut menetapkan perlindungan wakil yang membingungkan. Oleh karena itu, kodenya berbeda dari apa yang ditampilkan di sini.