Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Identitas dan manajemen akses untuk AWS X-Ray
AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengendalikan siapa yang dapat *terautentikasi* (masuk) dan *berwenang* (memiliki izin) untuk menggunakan sumber daya X-Ray. IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.
**Topics**
+ [Audiens](#security_iam_audience)
+ [Mengautentikasi dengan identitas](#security_iam_authentication)
+ [Mengelola akses menggunakan kebijakan](#security_iam_access-manage)
+ [Bagaimana AWS X-Ray bekerja dengan IAM](security_iam_service-with-iam.md)
+ [AWS X-Ray contoh kebijakan berbasis identitas](security_iam_id-based-policy-examples.md)
+ [Memecahkan masalah AWS X-Ray identitas dan akses](security_iam_troubleshoot.md)
## Audiens
Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda berdasarkan peran Anda:
+ **Pengguna layanan** - minta izin dari administrator Anda jika Anda tidak dapat mengakses fitur (lihat [Memecahkan masalah AWS X-Ray identitas dan akses](security_iam_troubleshoot.md))
+ **Administrator layanan** - tentukan akses pengguna dan mengirimkan permintaan izin (lihat [Bagaimana AWS X-Ray bekerja dengan IAM](security_iam_service-with-iam.md))
+ **Administrator IAM** - tulis kebijakan untuk mengelola akses (lihat [AWS X-Ray contoh kebijakan berbasis identitas](security_iam_id-based-policy-examples.md))
## Mengautentikasi dengan identitas
Otentikasi adalah cara Anda masuk AWS menggunakan kredensi identitas Anda. Anda harus diautentikasi sebagai Pengguna root akun AWS, pengguna IAM, atau dengan mengasumsikan peran IAM.
Anda dapat masuk sebagai identitas federasi menggunakan kredensil dari sumber identitas seperti AWS IAM Identity Center (Pusat Identitas IAM), autentikasi masuk tunggal, atau kredensional. Google/Facebook Untuk informasi selengkapnya tentang cara masuk, lihat [Cara masuk ke Akun AWS Anda](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dalam *Panduan Pengguna AWS Sign-In *.
Untuk akses terprogram, AWS sediakan SDK dan CLI untuk menandatangani permintaan secara kriptografis. Untuk informasi selengkapnya, lihat [AWS Signature Version 4 untuk permintaan API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dalam *Panduan Pengguna IAM*.
### Akun AWS pengguna root
Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang disebut *pengguna Akun AWS root* yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Untuk tugas yang memerlukan kredensial pengguna root, lihat [Tugas yang memerlukan kredensial pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dalam *Panduan Pengguna IAM*.
### Pengguna dan grup IAM
*[Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* adalah identitas dengan izin khusus untuk satu orang atau aplikasi. Sebaiknya gunakan kredensial sementara alih-alih pengguna IAM dengan kredensial jangka panjang. Untuk informasi selengkapnya, lihat [Mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) di Panduan Pengguna *IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) menentukan kumpulan pengguna IAM dan mempermudah pengelolaan izin untuk pengguna dalam jumlah besar. Untuk mempelajari selengkapnya, lihat [Kasus penggunaan untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dalam *Panduan Pengguna IAM*.
### Peran IAM
*[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* adalah identitas dengan izin khusus yang menyediakan kredensial sementara. Anda dapat mengambil peran dengan [beralih dari pengguna ke peran IAM (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) atau dengan memanggil operasi AWS CLI atau AWS API. Untuk informasi selengkapnya, lihat [Metode untuk mengambil peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dalam *Panduan Pengguna IAM*.
Peran IAM berguna untuk akses pengguna terfederasi, izin pengguna IAM sementara, akses lintas akun, akses lintas layanan, dan aplikasi yang berjalan di Amazon EC2. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.
## Mengelola akses menggunakan kebijakan
Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan menentukan izin saat dikaitkan dengan identitas atau sumber daya. AWS mengevaluasi kebijakan ini ketika kepala sekolah membuat permintaan. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang dokumen kebijakan JSON, lihat [Gambaran umum kebijakan JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dalam *Panduan Pengguna IAM*.
Menggunakan kebijakan, administrator menentukan siapa yang memiliki akses ke apa dengan mendefinisikan **principal** mana yang dapat melakukan **tindakan** pada **sumber daya** apa, dan dalam **kondisi** apa.
Secara default, pengguna dan peran tidak memiliki izin. Administrator IAM membuat kebijakan IAM dan menambahkannya ke peran, yang kemudian dapat diambil oleh pengguna. Kebijakan IAM mendefinisikan izin terlepas dari metode yang Anda gunakan untuk melakukan operasinya.
### Kebijakan berbasis identitas
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang Anda lampirkan ke identitas (pengguna, grup, atau peran). Kebijakan ini mengontrol tindakan apa yang bisa dilakukan oleh identitas tersebut, terhadap sumber daya yang mana, dan dalam kondisi apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Kebijakan berbasis identitas dapat berupa *kebijakan inline* (disematkan langsung ke dalam satu identitas) atau *kebijakan terkelola* (kebijakan mandiri yang dilampirkan pada banyak identitas). Untuk mempelajari cara memilih antara kebijakan terkelola dan kebijakan inline, lihat [Pilih antara kebijakan terkelola dan kebijakan inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dalam *Panduan Pengguna IAM*.
### Kebijakan berbasis sumber daya
Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contohnya termasuk *kebijakan kepercayaan peran IAM* dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya.
Kebijakan berbasis sumber daya merupakan kebijakan inline yang terletak di layanan tersebut. Anda tidak dapat menggunakan kebijakan AWS terkelola dari IAM dalam kebijakan berbasis sumber daya.
### Daftar kontrol akses (ACLs)
Access control lists (ACLs) mengontrol prinsipal mana (anggota akun, pengguna, atau peran) yang memiliki izin untuk mengakses sumber daya. ACLs mirip dengan kebijakan berbasis sumber daya, meskipun mereka tidak menggunakan format dokumen kebijakan JSON.
Amazon S3, AWS WAF, dan Amazon VPC adalah contoh layanan yang mendukung. ACLs Untuk mempelajari selengkapnya ACLs, lihat [Ringkasan daftar kontrol akses (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) di *Panduan Pengembang Layanan Penyimpanan Sederhana Amazon*.
### Jenis-jenis kebijakan lain
AWS mendukung jenis kebijakan tambahan yang dapat menetapkan izin maksimum yang diberikan oleh jenis kebijakan yang lebih umum:
+ **Batasan izin** – Menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Untuk informasi selengkapnya, lihat [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dalam *Panduan Pengguna IAM*.
+ **Kebijakan kontrol layanan (SCPs)** — Tentukan izin maksimum untuk organisasi atau unit organisasi di AWS Organizations. Untuk informasi selengkapnya, lihat [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dalam *Panduan Pengguna AWS Organizations *.
+ **Kebijakan kontrol sumber daya (RCPs)** — Tetapkan izin maksimum yang tersedia untuk sumber daya di akun Anda. Untuk informasi selengkapnya, lihat [Kebijakan kontrol sumber daya (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) di *Panduan AWS Organizations Pengguna*.
+ **Kebijakan sesi** – Kebijakan lanjutan yang diteruskan sebagai parameter saat membuat sesi sementara untuk peran atau pengguna terfederasi. Untuk informasi selengkapnya, lihat [Kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dalam *Panduan Pengguna IAM*.
### Berbagai jenis kebijakan
Ketika beberapa jenis kebijakan berlaku pada suatu permintaan, izin yang dihasilkan lebih rumit untuk dipahami. Untuk mempelajari cara AWS menentukan apakah akan mengizinkan permintaan saat beberapa jenis kebijakan terlibat, lihat [Logika evaluasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) di *Panduan Pengguna IAM*.
# Bagaimana AWS X-Ray bekerja dengan IAM
Sebelum Anda menggunakan IAM untuk mengelola akses ke X-Ray, Anda harus memahami fitur IAM apa yang tersedia untuk digunakan dengan X-Ray. Untuk mendapatkan tampilan tingkat tinggi tentang cara Layanan AWS kerja X-Ray dan lainnya dengan IAM, lihat Layanan AWS That [Work with IAM di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) Pengguna *IAM*.
Anda dapat menggunakan AWS Identity and Access Management (IAM) untuk memberikan izin X-Ray kepada pengguna dan menghitung sumber daya di akun Anda. IAM mengontrol akses ke layanan X-Ray di tingkat API untuk menerapkan izin secara seragam, terlepas dari klien mana (konsol, AWS SDK,) yang digunakan pengguna Anda. AWS CLI
Untuk [menggunakan konsol X-Ray](aws-xray-interface-console.md#xray-console) untuk melihat peta dan segmen jejak, Anda hanya perlu izin baca. Untuk mengaktifkan akses konsol, tambahkan `AWSXrayReadOnlyAccess` [kebijakan terkelola](security_iam_id-based-policy-examples.md#xray-permissions-managedpolicies) untuk pengguna IAM Anda.
Untuk [pengembangan dan pengujian lokal](#xray-permissions-local), buat peran IAM dengan izin baca dan tulis. [Asumsikan peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html) dan simpan kredensi sementara untuk peran tersebut. Anda dapat menggunakan kredensil ini dengan daemon X-Ray, the AWS CLI, dan SDK. AWS Lihat [menggunakan kredensil keamanan sementara dengan AWS CLI](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html#using-temp-creds-sdk-cli) untuk informasi selengkapnya.
Untuk [menerapkan aplikasi yang diinstrumentasi AWS](#xray-permissions-aws), buat peran IAM dengan izin tulis dan tetapkan ke sumber daya yang menjalankan aplikasi Anda. `AWSXRayDaemonWriteAccess`termasuk izin untuk mengunggah jejak, dan beberapa izin baca juga untuk mendukung penggunaan aturan [pengambilan sampel](xray-console-sampling.md).
Kebijakan baca dan tulis tidak termasuk izin untuk mengonfigurasi[pengaturan kunci enkripsi](xray-console-encryption.md) dan aturan pengambilan sampel. Gunakan `AWSXrayFullAccess` untuk mengakses setelan ini, atau menambahkan [konfigurasi APIs](xray-api-configuration.md) dalam kebijakan khusus. Untuk enkripsi dan dekripsi dengan kunci yang dikelola pelanggan yang Anda buat, Anda juga perlu [izin untuk menggunakan kunci](#xray-permissions-encryption).
**Topics**
+ [Kebijakan berbasis identitas X-Ray](#security_iam_service-with-iam-id-based-policies)
+ [Kebijakan berbasis sumber daya X-Ray](#security_iam_service-with-iam-resource-based-policies)
+ [Otorisasi berdasarkan tanda X-Ray](#security_iam_service-with-iam-tags)
+ [Menjalankan aplikasi Anda secara lokal](#xray-permissions-local)
+ [Menjalankan aplikasi Anda di AWS](#xray-permissions-aws)
+ [Izin pengguna untuk enkripsi](#xray-permissions-encryption)
## Kebijakan berbasis identitas X-Ray
Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan apakah tindakan dan sumber daya diizinkan atau ditolak, serta persyaratan terkait diizinkan atau ditolaknya tindakan tersebut. X-Ray mendukung tindakan, sumber daya, dan kunci syarat tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam kebijakan JSON, lihat [Referensi Elemen Kebijakan JSON IAM ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dalam *Panduan Pengguna IAM*.
### Tindakan
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen `Action` dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.
Tindakan kebijakan di X-Ray menggunakan prefiks berikut sebelum tindakan: `xray:`. Misalnya, untuk memberikan izin kepada seseorang untuk mengambil detail sumber daya grup dengan operasi API `GetGroup` X-Ray, Anda mencantumkan tindakan `xray:GetGroup` dalam kebijakan mereka. Pernyataan kebijakan harus memuat elemen `Action` atau `NotAction`. X-Ray menentukan serangkaian tindakannya sendiri yang menjelaskan tugas yang dapat Anda lakukan dengan layanan ini.
Untuk menetapkan beberapa tindakan dalam satu pernyataan, pisahkan dengan koma seperti berikut:
```
"Action": [
"xray:action1",
"xray:action2"
```
Anda dapat menentukan beberapa tindakan menggunakan wildcard (\$1). Sebagai contoh, untuk menentukan semua tindakan yang dimulai dengan kata `Get`, sertakan tindakan berikut:
```
"Action": "xray:Get*"
```
Untuk melihat daftar tindakan X-Ray, lihat [Tindakan yang Ditentukan oleh AWS X-Ray](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsx-ray.html) dalam *Panduan Pengguna IAM*.
### Sumber daya
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen kebijakan JSON `Resource` menentukan objek yang menjadi target penerapan tindakan. Praktik terbaiknya, tentukan sumber daya menggunakan [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, gunakan wildcard (\$1) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.
```
"Resource": "*"
```
Anda dapat mengontrol akses ke sumber daya dengan menggunakan kebijakan IAM. Untuk tindakan yang mendukung sumber daya tingkat izin, Anda menggunakan Amazon Resource Name (ARN) untuk mengidentifikasi sumber daya yang diberlakukan oleh kebijakan tersebut.
Semua tindakan X-Ray dapat digunakan dalam kebijakan IAM untuk memberikan atau menolak izin pengguna untuk menggunakan tindakan tersebut. Namun, tidak semua [tindakan X-Ray](https://docs.aws.amazon.com/xray/latest/api/API_Operations.html) mendukung izin tingkat sumber daya, yang memungkinkan Anda untuk menentukan sumber daya tempat tindakan dapat dilakukan.
Untuk tindakan yang tidak mendukung izin tingkat sumber daya, Anda harus menggunakan "`*`" sebagai sumber daya.
Tindakan X-Ray berikut mendukung izin tingkat sumber daya:
+ `CreateGroup`
+ `GetGroup`
+ `UpdateGroup`
+ `DeleteGroup`
+ `CreateSamplingRule`
+ `UpdateSamplingRule`
+ `DeleteSamplingRule`
Berikut ini adalah contoh kebijakan izin berbasis identitas untuk tindakan `CreateGroup`. Contoh ini menunjukkan penggunaan ARN yang berkaitan dengan nama Grup `local-users` dengan ID unik sebagai wildcard. ID unik terbuat ketika grup dibuat, sehingga tidak dapat diprediksi di kebijakan sebelumnya. Saat menggunakan `GetGroup`, `UpdateGroup`, atau `DeleteGroup`, Anda dapat menentukan ini sebagai wildcard atau ARN yang tepat, termasuk ID.
**catatan**
ARN dari aturan pengambilan sampel ditentukan berdasarkan namanya. Tidak seperti grup ARNs, aturan pengambilan sampel tidak memiliki ID yang dihasilkan secara unik.
Untuk melihat daftar jenis sumber daya X-Ray dan jenisnya ARNs, lihat [Sumber Daya yang Ditentukan oleh AWS X-Ray](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsx-ray.html#awsx-ray-resources-for-iam-policies) dalam *Panduan Pengguna IAM*. Untuk mempelajari tindakan mana yang dapat menentukan ARN setiap sumber daya, lihat [Tindakan yang Ditentukan oleh AWS X-Ray](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsx-ray.html).
### Kunci syarat
X-Ray tidak menyediakan kunci syarat khusus layanan, tetapi mendukung penggunaan beberapa kunci syarat global. Untuk melihat semua kunci kondisi AWS global, lihat [Kunci Konteks Kondisi AWS Global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.
### Contoh
Untuk melihat contoh kebijakan berbasis identitas X-Ray, lihat [AWS X-Ray contoh kebijakan berbasis identitas](security_iam_id-based-policy-examples.md).
## Kebijakan berbasis sumber daya X-Ray
[X-Ray mendukung kebijakan berbasis sumber daya untuk Layanan AWS integrasi saat ini dan masa depan, seperti penelusuran aktif Amazon SNS.](https://docs.aws.amazon.com/sns/latest/dg/sns-active-tracing.html) Kebijakan berbasis sumber daya X-Ray dapat diperbarui oleh Konsol Manajemen AWS s lain, atau melalui SDK AWS atau CLI. Misalnya, konsol Amazon SNS mencoba mengonfigurasi kebijakan berbasis sumber daya secara otomatis untuk mengirim jejak ke X-Ray. Dokumen kebijakan berikut memberikan contoh konfigurasi kebijakan berbasis sumber daya X-Ray secara manual.
**Example Contoh kebijakan berbasis sumber daya X-Ray untuk penelusuran aktif Amazon SNS**
Contoh dokumen kebijakan ini menentukan izin yang diperlukan Amazon SNS untuk mengirim data jejak ke X-Ray:
```
{
Version: "2012-10-17",
Statement: [
{
Sid: "SNSAccess",
Effect: Allow,
Principal: {
Service: "sns.amazonaws.com",
},
Action: [
"xray:PutTraceSegments",
"xray:GetSamplingRules",
"xray:GetSamplingTargets"
],
Resource: "*",
Condition: {
StringEquals: {
"aws:SourceAccount": "account-id"
},
StringLike: {
"aws:SourceArn": "arn:partition:sns:region:account-id:topic-name"
}
}
}
]
}
```
Gunakan CLI untuk membuat kebijakan berbasis sumber daya yang memberikan izin Amazon SNS untuk mengirim data jejak ke X-Ray:
```
aws xray put-resource-policy --policy-name MyResourcePolicy --policy-document '{ "Version": "2012-10-17", "Statement": [ { "Sid": "SNSAccess", "Effect": "Allow", "Principal": { "Service": "sns.amazonaws.com" }, "Action": [ "xray:PutTraceSegments", "xray:GetSamplingRules", "xray:GetSamplingTargets" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "account-id" }, "StringLike": { "aws:SourceArn": "arn:partition:sns:region:account-id:topic-name" } } } ] }'
```
Untuk menggunakan contoh ini, ganti*`partition`*,*`region`*,*`account-id`*, dan *`topic-name`* dengan AWS partisi tertentu, wilayah, ID akun, dan nama topik Amazon SNS. Untuk memberikan izin kepada semua topik Amazon SNS untuk mengirim data jejak ke X-Ray, ganti nama topik dengan. `*`
## Otorisasi berdasarkan tanda X-Ray
Anda dapat melampirkan tanda ke grup X-Ray atau aturan pengambilan sampel, atau meneruskan tanda dalam permintaan ke X-Ray. Untuk mengendalikan akses berdasarkan tanda, Anda dapat memberikan informasi tentang tanda di kebijakan [elemen syarat](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) menggunakan kunci syarat `xray:ResourceTag/key-name`, `aws:RequestTag/key-name`, atau `aws:TagKeys`. Untuk informasi selengkapnya tentang penandaan sumber daya X-Ray, lihat [Menandai aturan dan grup pengambilan sampel X-Ray](xray-tagging.md).
Untuk melihat contoh kebijakan berbasis identitas untuk membatasi akses ke sumber daya berdasarkan tag pada sumber daya tersebut, lihat [Mengelola akses ke grup X-Ray dan aturan pengambilan sampel berdasarkan tanda](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-manage-sampling-tags).
## Menjalankan aplikasi Anda secara lokal
Aplikasi Anda mengirimkan data pelacakan ke daemon X-Ray. Daemon mem-buffer dokumen segmen dan mengunggahnya ke layanan X-Ray dalam batch. Daemon memerlukan izin tulis untuk mengunggah data pelacakan dan telemetri ke layanan X-Ray.
Saat Anda [menjalankan daemon secara lokal](xray-daemon-local.md), buat peran IAM, ambil [peran dan simpan kredensi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html) sementara dalam variabel lingkungan, atau dalam file bernama `credentials` dalam folder bernama di folder pengguna Anda. `.aws` Lihat [menggunakan kredensil keamanan sementara dengan AWS CLI](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html#using-temp-creds-sdk-cli) untuk informasi selengkapnya.
**Example \$1/.aws/credentials**
```
[default]
aws_access_key_id={access key ID}
aws_secret_access_key={access key}
aws_session_token={AWS session token}
```
Jika Anda sudah mengonfigurasi kredensil untuk digunakan dengan AWS SDK atau AWS CLI, daemon dapat menggunakannya. Jika beberapa profil tersedia, daemon menggunakan profil default.
## Menjalankan aplikasi Anda di AWS
Saat menjalankan aplikasi AWS, gunakan peran untuk memberikan izin ke instans Amazon EC2 atau fungsi Lambda yang menjalankan daemon.
+ **Amazon Elastic Compute Cloud (Amazon EC2)** – Buat IAM role dan lampirkan ke instans EC2 sebagai [profil instans](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html).
+ **Amazon Elastic Container Service (Amazon ECS)** – Buat IAM role dan lampirkan ke instans kontainer sebagai [IAM role instans kontainer](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/instance_IAM_role.html).
+ **AWS Elastic Beanstalk (Elastic Beanstalk) — Elastic** [Beanstalk menyertakan izin X-Ray di profil instans defaultnya.](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/concepts-roles.html#concepts-roles-instance) Anda dapat menggunakan profil instans default, atau menambahkan izin tulis ke profil instans kustom.
+ **AWS Lambda (Lambda)** — Tambahkan izin tulis ke peran eksekusi fungsi Anda.
**Cara membuat peran untuk digunakan dengan X-Ray**
1. Buka [konsol IAM](https://console.aws.amazon.com/iam/home).
1. Pilih **Peran**.
1. Pilih **Buat Peran Baru**.
1. Untuk **Nama peran**, ketik **xray-application**. Pilih **Langkah Selanjutnya.**
1. Untuk **Tipe Peran**, pilih **Amazon EC2**.
1. Lampirkan kebijakan terkelola berikut untuk memberikan akses aplikasi Anda ke Layanan AWS:
+ **AWSXRayDaemonWriteAccess**— Memberikan izin daemon X-Ray untuk mengunggah data jejak.
Jika aplikasi Anda menggunakan AWS SDK untuk mengakses layanan lain, tambahkan kebijakan yang memberikan akses ke layanan tersebut.
1. Pilih **Langkah Selanjutnya**.
1. Pilih **Buat Peran**.
## Izin pengguna untuk enkripsi
X-Ray mengenkripsi semua data pelacakan dan secara default, dan Anda dapat [mengonfigurasinya untuk menggunakan kunci yang Anda kelola](xray-console-encryption.md). Jika Anda memilih kunci yang dikelola AWS Key Management Service pelanggan, Anda perlu memastikan bahwa kebijakan akses kunci memungkinkan Anda memberikan izin kepada X-Ray untuk menggunakannya untuk mengenkripsi. Pengguna lain di akun Anda juga memerlukan akses ke kunci untuk melihat data pelacakan terenkripsi di konsol X-Ray.
Untuk kunci yang dikelola pelanggan, konfigurasikan kunci Anda dengan kebijakan akses yang memungkinkan tindakan berikut:
+ Pengguna yang mengonfigurasi kunci dalam X-Ray memiliki izin untuk memanggil `kms:CreateGrant` dan `kms:DescribeKey`.
+ Pengguna yang dapat mengakses data pelacakan terenkripsi memiliki izin untuk memanggil `kms:Decrypt`.
Saat Anda menambahkan pengguna ke grup **Pengguna kunci** di bagian konfigurasi kunci dari konsol IAM, mereka memiliki izin untuk kedua operasi ini. Izin hanya perlu disetel pada kebijakan utama, sehingga Anda tidak memerlukan AWS KMS izin apa pun pada pengguna, grup, atau peran Anda. Untuk informasi selengkapnya, lihat [Menggunakan Kebijakan Utama di Panduan AWS KMS Pengembang](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html).
Untuk enkripsi default, atau jika Anda memilih CMK AWS terkelola (`aws/xray`), izin didasarkan pada siapa yang memiliki akses ke APIs X-Ray. Siapa saja yang memiliki akses ke [https://docs.aws.amazon.com/xray/latest/api/API_PutEncryptionConfig.html](https://docs.aws.amazon.com/xray/latest/api/API_PutEncryptionConfig.html), termasuk dalam `AWSXrayFullAccess`, dapat mengubah konfigurasi enkripsi. Untuk mencegah pengguna mengubah kunci enkripsi, jangan beri mereka izin untuk menggunakan [https://docs.aws.amazon.com/xray/latest/api/API_PutEncryptionConfig.html](https://docs.aws.amazon.com/xray/latest/api/API_PutEncryptionConfig.html).
# AWS X-Ray contoh kebijakan berbasis identitas
Secara default, pengguna dan peran tidak memiliki izin untuk membuat atau memodifikasi sumber daya X-Ray. Mereka juga tidak dapat melakukan tugas menggunakan Konsol Manajemen AWS, AWS CLI, atau AWS API. Administrator harus membuat kebijakan IAM yang memberikan izin kepada pengguna dan peran untuk melakukan operasi API tertentu pada sumber daya tertentu yang mereka butuhkan. Administrator kemudian harus melampirkan kebijakan tersebut ke pengguna atau grup yang memerlukan izin tersebut.
Untuk mempelajari cara membuat kebijakan berbasis identitas IAM menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat Kebijakan pada Tab JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) dalam *Panduan Pengguna IAM*.
**Topics**
+ [Praktik terbaik kebijakan](#security_iam_service-with-iam-policy-best-practices)
+ [Menggunakan konsol X-Ray](#security_iam_id-based-policy-examples-console)
+ [Izinkan para pengguna untuk melihat izin mereka sendiri](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Mengelola akses ke grup X-Ray dan aturan pengambilan sampel berdasarkan tanda](#security_iam_id-based-policy-examples-manage-sampling-tags)
+ [Kebijakan terkelola IAM untuk X-Ray](#xray-permissions-managedpolicies)
+ [Pembaruan X-Ray ke kebijakan AWS terkelola](#xray-permissions-managedpolicies-history)
+ [Menentukan sumber daya dalam kebijakan IAM](#xray-permissions-resources)
## Praktik terbaik kebijakan
Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus sumber daya X-Ray di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
+ **Mulailah dengan kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit — Untuk mulai memberikan izin** kepada pengguna dan beban kerja Anda, gunakan *kebijakan AWS terkelola* yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Anda Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola AWS pelanggan yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat [Kebijakan yang dikelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) atau [Kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dalam *Panduan Pengguna IAM*.
+ **Menerapkan izin dengan hak akses paling rendah** – Ketika Anda menetapkan izin dengan kebijakan IAM, hanya berikan izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai *izin dengan hak akses paling rendah*. Untuk informasi selengkapnya tentang cara menggunakan IAM untuk mengajukan izin, lihat [Kebijakan dan izin dalam IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan kondisi dalam kebijakan IAM untuk membatasi akses lebih lanjut** – Anda dapat menambahkan suatu kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Sebagai contoh, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakan SSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui yang spesifik Layanan AWS, seperti CloudFormation. Untuk informasi selengkapnya, lihat [Elemen kebijakan JSON IAM: Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk memastikan izin yang aman dan fungsional** – IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan tersebut mematuhi bahasa kebijakan IAM (JSON) dan praktik terbaik IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat [Validasi kebijakan dengan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dalam *Panduan Pengguna IAM*.
+ **Memerlukan otentikasi multi-faktor (MFA)** - Jika Anda memiliki skenario yang mengharuskan pengguna IAM atau pengguna root di Anda, Akun AWS aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA ketika operasi API dipanggil, tambahkan kondisi MFA pada kebijakan Anda. Untuk informasi selengkapnya, lihat [Amankan akses API dengan MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dalam *Panduan Pengguna IAM*.
Untuk informasi selengkapnya tentang praktik terbaik dalam IAM, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.
## Menggunakan konsol X-Ray
Untuk mengakses AWS X-Ray konsol, Anda harus memiliki set izin minimum. Izin ini harus memungkinkan Anda untuk membuat daftar dan melihat detail tentang sumber daya X-Ray di Anda Akun AWS. Jika Anda membuat kebijakan berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana mestinya untuk entitas (pengguna atau peran) dengan kebijakan tersebut.
Untuk memastikan bahwa entitas tersebut masih dapat menggunakan konsol X-Ray, lampirkan kebijakan `AWSXRayReadOnlyAccess` AWS terkelola ke entitas. Kebijakan ini dijelaskan secara lebih rinci dalam [kebijakan yang dikelola IAM untuk X-Ray](#xray-permissions-managedpolicies). Untuk informasi selengkapnya, lihat [Menambahkan Izin ke Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*.
Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau AWS API. Sebagai alternatif, hanya izinkan akses ke tindakan yang cocok dengan operasi API yang sedang Anda coba lakukan.
## Izinkan para pengguna untuk melihat izin mereka sendiri
Contoh ini menunjukkan cara membuat kebijakan yang mengizinkan pengguna IAM melihat kebijakan inline dan terkelola yang dilampirkan ke identitas pengguna mereka. Kebijakan ini mencakup izin untuk menyelesaikan tindakan ini di konsol atau menggunakan API atau secara terprogram. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Mengelola akses ke grup X-Ray dan aturan pengambilan sampel berdasarkan tanda
Anda dapat menggunakan syarat dalam kebijakan berbasis identitas Anda untuk mengontrol akses ke grup X-Ray dan aturan pengambilan sampel berdasarkan tanda. Contoh kebijakan berikut dapat digunakan untuk menolak peran pengguna izin untuk membuat, menghapus, atau memperbarui grup dengan tag `stage:prod` atau`stage:preprod`. Untuk informasi selengkapnya tentang penandaan aturan dan grup pengambilan sampel X-Ray, lihat [Menandai aturan dan grup pengambilan sampel X-Ray](xray-tagging.md).
Untuk menolak pembuatan aturan pengambilan sampel, gunakan `aws:RequestTag` untuk menunjukkan tanda yang tidak dapat dilewatkan sebagai bagian dari permintaan pembuatan. Untuk menolak pembaruan atau penghapusan aturan pengambilan sampel, gunakan `aws:ResourceTag` untuk menolak tindakan berdasarkan tanda pada sumber daya tersebut.
Anda dapat melampirkan kebijakan ini (atau menggabungkannya ke dalam satu kebijakan, lalu melampirkan kebijakan) ke pengguna di akun Anda. Bagi pengguna untuk membuat perubahan ke grup atau aturan pengambilan sampel, grup atau aturan pengambilan sampel tidak boleh ditandai `stage=prepod` atau `stage=prod`. Kunci tanda syarat `Stage` cocok dengan kedua `Stage` dan `stage` karena nama kunci syarat tidak terpengaruh huruf besar/kecil. Untuk informasi selengkapnya tentang blok syarat, lihat [Elemen Kebijakan JSON IAM: Syarat](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
Pengguna dengan peran yang memiliki kebijakan berikut terlampir tidak dapat menambahkan tanda `role:admin` ke sumber daya, dan tidak dapat menghapus tanda dari sumber daya yang `role:admin` terkait dengan hal tersebut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllXRay",
"Effect": "Allow",
"Action": "xray:*",
"Resource": "*"
},
{
"Sid": "DenyRequestTagAdmin",
"Effect": "Deny",
"Action": "xray:TagResource",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/role": "admin"
}
}
},
{
"Sid": "DenyResourceTagAdmin",
"Effect": "Deny",
"Action": "xray:UntagResource",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/role": "admin"
}
}
}
]
}
```
------
## Kebijakan terkelola IAM untuk X-Ray
Untuk membuat pemberian izin mudah, IAM mendukung **kebijakan terkelola** untuk setiap layanan. Layanan dapat memperbarui kebijakan terkelola ini dengan izin baru saat merilis yang baru APIs. AWS X-Ray menyediakan kebijakan terkelola untuk kasus penggunaan hanya baca, tulis, dan administrator.
+ `AWSXrayReadOnlyAccess`— Baca izin untuk menggunakan konsol X-Ray, AWS CLI, atau AWS SDK untuk mendapatkan data jejak, peta jejak, wawasan, dan konfigurasi X-Ray dari X-Ray API. [Termasuk Observability Access Manager (OAM) `oam:ListSinks` dan `oam:ListAttachedSinks` izin untuk memungkinkan konsol melihat jejak yang dibagikan dari akun sumber sebagai bagian dari CloudWatch pengamatan lintas akun.](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) Tindakan `BatchGetTraceSummaryById` dan `GetDistinctTraceGraphs` API tidak dimaksudkan untuk dipanggil oleh kode Anda, dan tidak termasuk dalam AWS CLI dan AWS SDKs.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:GetSamplingRules",
"xray:GetSamplingTargets",
"xray:GetSamplingStatisticSummaries",
"xray:BatchGetTraces",
"xray:BatchGetTraceSummaryById",
"xray:GetDistinctTraceGraphs",
"xray:GetServiceGraph",
"xray:GetTraceGraph",
"xray:GetTraceSummaries",
"xray:GetGroups",
"xray:GetGroup",
"xray:ListTagsForResource",
"xray:ListResourcePolicies",
"xray:GetTimeSeriesServiceStatistics",
"xray:GetInsightSummaries",
"xray:GetInsight",
"xray:GetInsightEvents",
"xray:GetInsightImpactGraph",
"oam:ListSinks"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"oam:ListAttachedLinks"
],
"Resource": "arn:aws:oam:*:*:sink/*"
}
}
```
+ `AWSXRayDaemonWriteAccess`— Tulis izin untuk menggunakan daemon X-Ray, AWS CLI, atau AWS SDK untuk mengunggah dokumen segmen dan telemetri ke X-Ray API. Memuat izin baca untuk mendapatkan [aturan pengambilan sampel](xray-console-sampling.md) dan melaporkan hasil pengambilan sampel.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:PutTraceSegments",
"xray:PutTelemetryRecords",
"xray:GetSamplingRules",
"xray:GetSamplingTargets",
"xray:GetSamplingStatisticSummaries"
],
"Resource": [
"*"
]
}
]
}
```
------
+ `AWSXrayCrossAccountSharingConfiguration`— Memberikan izin untuk membuat, mengelola, dan melihat tautan Pengelola Akses Pengamatan untuk berbagi sumber daya X-Ray antar akun. Digunakan untuk mengaktifkan [observabilitas CloudWatch lintas akun](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) antara akun sumber dan pemantauan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:Link",
"oam:ListLinks"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"oam:DeleteLink",
"oam:GetLink",
"oam:TagResource"
],
"Resource": "arn:aws:oam:*:*:link/*"
},
{
"Effect": "Allow",
"Action": [
"oam:CreateLink",
"oam:UpdateLink"
],
"Resource": [
"arn:aws:oam:*:*:link/*",
"arn:aws:oam:*:*:sink/*"
]
}
]
}
```
------
+ `AWSXrayFullAccess`— Izin untuk menggunakan semua X-Ray APIs, termasuk izin baca, izin tulis, dan izin untuk mengonfigurasi pengaturan kunci enkripsi dan aturan pengambilan sampel. [Termasuk Observability Access Manager (OAM) `oam:ListSinks` dan `oam:ListAttachedSinks` izin untuk memungkinkan konsol melihat jejak yang dibagikan dari akun sumber sebagai bagian dari CloudWatch pengamatan lintas akun.](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:*",
"oam:ListSinks"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"oam:ListAttachedLinks"
],
"Resource": "arn:aws:oam:*:*:sink/*"
}
]
}
```
------
**Untuk menambahkan kebijakan terkelola ke pengguna IAM, grup IAM, atau IAM role.**
1. Buka [konsol IAM](https://console.aws.amazon.com/iam/home).
1. Buka peran yang terkait dengan profil instans, pengguna IAM, atau grup IAM.
1. Di **Izin**, lampirkan kebijakan terkelola.
## Pembaruan X-Ray ke kebijakan AWS terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk X-Ray sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman [riwayat Dokumen](document-history.md) X-Ray.
| Ubah | Deskripsi | Date |
| --- | --- | --- |
| [IAM mengelola kebijakan untuk X-Ray](#xray-permissions-managedpolicies) - Ditambahkan baru`AWSXrayCrossAccountSharingConfiguration`, dan diperbarui `AWSXrayReadOnlyAccess` dan `AWSXrayFullAccess` kebijakan. | [X-Ray menambahkan izin Observability Access Manager (OAM) `oam:ListSinks` dan kebijakan ini `oam:ListAttachedSinks` untuk memungkinkan konsol melihat jejak yang dibagikan dari akun sumber sebagai bagian dari CloudWatch pengamatan lintas akun.](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) | 27 November 2022 |
| [Kebijakan terkelola IAM untuk X-Ray](#xray-permissions-managedpolicies) - Pembaruan ke `AWSXrayReadOnlyAccess` kebijakan. | X-Ray menambahkan aksi API,`ListResourcePolicies`. | 15 November 2022 |
| [Menggunakan konsol X-Ray](#security_iam_id-based-policy-examples-console) — Perbarui ke `AWSXrayReadOnlyAccess` kebijakan | X-Ray menambahkan dua tindakan API baru, `BatchGetTraceSummaryById` dan`GetDistinctTraceGraphs`. Tindakan ini tidak dimaksudkan untuk dipanggil oleh kode Anda. Oleh karena itu, tindakan API ini tidak termasuk dalam AWS CLI dan AWS SDKs. | 11 November 2022 |
## Menentukan sumber daya dalam kebijakan IAM
Anda dapat mengontrol akses ke sumber daya menggunakan kebijakan IAM. Untuk tindakan yang mendukung sumber daya tingkat izin, Anda menggunakan Amazon Resource Name (ARN) untuk mengidentifikasi sumber daya yang diberlakukan oleh kebijakan tersebut.
Semua tindakan X-Ray dapat digunakan dalam kebijakan IAM untuk memberikan atau menolak izin pengguna untuk menggunakan tindakan tersebut. Namun, tidak semua [tindakan X-Ray](https://docs.aws.amazon.com/xray/latest/api/API_Operations.html) mendukung izin tingkat sumber daya, yang memungkinkan Anda untuk menentukan sumber daya tempat tindakan dapat dilakukan.
Untuk tindakan yang tidak mendukung izin tingkat sumber daya, Anda harus menggunakan "`*`" sebagai sumber daya.
Tindakan X-Ray berikut mendukung izin tingkat sumber daya:
+ `CreateGroup`
+ `GetGroup`
+ `UpdateGroup`
+ `DeleteGroup`
+ `CreateSamplingRule`
+ `UpdateSamplingRule`
+ `DeleteSamplingRule`
Berikut ini adalah contoh kebijakan izin berbasis identitas untuk tindakan `CreateGroup`. Contoh ini menunjukkan penggunaan ARN yang berkaitan dengan nama Grup `local-users` dengan ID unik sebagai wildcard. ID unik terbuat ketika grup dibuat, sehingga tidak dapat diprediksi di kebijakan sebelumnya. Saat menggunakan `GetGroup`, `UpdateGroup`, atau `DeleteGroup`, Anda dapat menentukan ini sebagai wildcard atau ARN yang tepat, termasuk ID.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:CreateGroup"
],
"Resource": [
"arn:aws:xray:eu-west-1:123456789012:group/local-users/*"
]
}
]
}
```
------
Berikut ini adalah contoh kebijakan izin berbasis identitas untuk tindakan `CreateSamplingRule`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:CreateSamplingRule"
],
"Resource": [
"arn:aws:xray:eu-west-1:123456789012:sampling-rule/base-scorekeep"
]
}
]
}
```
------
**catatan**
ARN dari aturan pengambilan sampel ditentukan berdasarkan namanya. Tidak seperti grup ARNs, aturan pengambilan sampel tidak memiliki ID yang dihasilkan secara unik.
# Memecahkan masalah AWS X-Ray identitas dan akses
Gunakan informasi berikut untuk membantu Anda mendiagnosis dan memperbaiki masalah umum yang mungkin Anda temukan saat bekerja dengan X-Ray dan IAM.
**Topics**
+ [Saya tidak diotorisasi untuk melakukan tindakan di X-Ray](#security_iam_troubleshoot-no-permissions)
+ [Saya tidak berwenang untuk melakukan iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Saya seorang administrator dan ingin mengizinkan orang lain mengakses X-Ray](#security_iam_troubleshoot-admin-delegate)
+ [Saya ingin mengizinkan orang-orang di luar saya Akun AWS untuk mengakses sumber daya X-Ray saya](#security_iam_troubleshoot-cross-account-access)
## Saya tidak diotorisasi untuk melakukan tindakan di X-Ray
Jika Konsol Manajemen AWS memberitahu Anda bahwa Anda tidak berwenang untuk melakukan tindakan, maka Anda harus menghubungi administrator Anda untuk bantuan. Administrator Anda adalah orang yang memberi Anda kredensial masuk.
Contoh kesalahan berikut terjadi ketika `mateojackson` pengguna mencoba menggunakan konsol untuk melihat detail tentang aturan pengambilan sampel tetapi tidak memiliki `xray:GetSamplingRules` izin.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: xray:GetSamplingRules on resource: arn:${Partition}:xray:${Region}:${Account}:sampling-rule/${SamplingRuleName}
```
Dalam hal ini, Mateo meminta administratornya untuk memperbarui kebijakannya agar dia dapat mengakses sumber daya aturan pengambilan sampel menggunakan tindakan `xray:GetSamplingRules`.
## Saya tidak berwenang untuk melakukan iam: PassRole
Jika Anda menerima kesalahan bahwa Anda tidak berwenang untuk melakukan `iam:PassRole` tindakan, kebijakan Anda harus diperbarui untuk memungkinkan Anda meneruskan peran ke X-Ray.
Beberapa Layanan AWS memungkinkan Anda untuk meneruskan peran yang ada ke layanan tersebut alih-alih membuat peran layanan baru atau peran terkait layanan. Untuk melakukannya, Anda harus memiliki izin untuk meneruskan peran ke layanan.
Contoh kesalahan berikut terjadi saat pengguna IAM bernama `marymajor` mencoba menggunakan konsol tersebut untuk melakukan tindakan di X-Ray. Namun, tindakan tersebut memerlukan layanan untuk mendapatkan izin yang diberikan oleh peran layanan. Mary tidak memiliki izin untuk meneruskan peran tersebut pada layanan.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dalam kasus ini, kebijakan Mary harus diperbarui agar dia mendapatkan izin untuk melakukan tindakan `iam:PassRole` tersebut.
Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.
## Saya seorang administrator dan ingin mengizinkan orang lain mengakses X-Ray
Untuk memungkinkan orang lain mengakses X-Ray, Anda harus memberikan izin kepada orang atau aplikasi yang membutuhkan akses. Jika Anda menggunakan AWS IAM Identity Center untuk mengelola orang dan aplikasi, Anda menetapkan set izin kepada pengguna atau grup untuk menentukan tingkat akses mereka. Set izin secara otomatis membuat dan menetapkan kebijakan IAM ke peran IAM yang terkait dengan orang atau aplikasi. Untuk informasi selengkapnya, lihat [Set izin](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) di *Panduan AWS IAM Identity Center Pengguna*.
Jika Anda tidak menggunakan IAM Identity Center, Anda harus membuat entitas IAM (pengguna atau peran) untuk orang atau aplikasi yang membutuhkan akses. Anda kemudian harus melampirkan kebijakan ke entitas yang memberi izin yang tepat di X-Ray. Setelah izin diberikan, berikan kredensialnya kepada pengguna atau pengembang aplikasi. Mereka akan menggunakan kredensi tersebut untuk mengakses. AWS*Untuk mempelajari selengkapnya tentang membuat pengguna, grup, kebijakan, dan izin IAM, lihat [Identitas dan Kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) [dan izin di IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html).*
## Saya ingin mengizinkan orang-orang di luar saya Akun AWS untuk mengakses sumber daya X-Ray saya
Anda dapat membuat peran yang dapat digunakan pengguna di akun lain atau orang-orang di luar organisasi Anda untuk mengakses sumber daya Anda. Anda dapat menentukan siapa saja yang dipercaya untuk mengambil peran tersebut. Untuk layanan yang mendukung kebijakan berbasis sumber daya atau daftar kontrol akses (ACLs), Anda dapat menggunakan kebijakan tersebut untuk memberi orang akses ke sumber daya Anda.
Untuk mempelajari selengkapnya, periksa referensi berikut:
+ Untuk mempelajari apakah X-Ray mendukung fitur-fitur ini, lihat [Bagaimana AWS X-Ray bekerja dengan IAM](security_iam_service-with-iam.md).
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda di seluruh sumber daya Akun AWS yang Anda miliki, lihat [Menyediakan akses ke pengguna IAM di pengguna lain Akun AWS yang Anda miliki](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) di *Panduan Pengguna IAM*.
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda kepada pihak ketiga Akun AWS, lihat [Menyediakan akses yang Akun AWS dimiliki oleh pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dalam *Panduan Pengguna IAM*.
+ Untuk mempelajari cara memberikan akses melalui federasi identitas, lihat [Menyediakan akses ke pengguna terautentikasi eksternal (federasi identitas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dalam *Panduan Pengguna IAM*.
+ *Untuk mempelajari perbedaan antara menggunakan peran dan kebijakan berbasis sumber daya untuk akses lintas akun, lihat [Akses sumber daya lintas akun di IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html).*