Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Keamanan di AWS Resource Groups
Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.
Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) menggambarkan hal ini sebagai keamanan *dari* cloud dan keamanan *di* cloud:
+ **Keamanan cloud** — AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan AWS layanan di AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Auditor pihak ketiga menguji dan memverifikasi efektivitas keamanan kami sebagai bagian dari [program kepatuhan AWS](https://aws.amazon.com/compliance/programs/). Untuk mempelajari program kepatuhan yang berlaku di AWS Resource Groups, lihat [Cakupan Layanan Menurut Program Kepatuhan AWS](https://aws.amazon.com/compliance/services-in-scope/).
+ **Keamanan di cloud** — Tanggung jawab Anda ditentukan oleh AWS layanan yang Anda gunakan. Anda juga bertanggung jawab atas faktor lain, yang mencakup sensitivitas data Anda, persyaratan perusahaan Anda, serta undang-undang dan peraturan yang berlaku.
Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan Resource Groups. Topik berikut menunjukkan cara mengonfigurasi Resource Groups untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga mempelajari cara menggunakan AWS layanan lain yang membantu Anda memantau dan mengamankan sumber daya Resource Groups Anda.
**Topics**
+ [Perlindungan data di AWS Resource Groups](security_data-protection.md)
+ [Identitas dan manajemen akses untuk AWS Resource Groups](security-iam.md)
+ [Pencatatan dan pemantauan di Resource Groups](security_logging-monitoring.md)
+ [Validasi kepatuhan untuk Resource Groups](security_compliance.md)
+ [Ketahanan dalam Resource Groups](security_resilience.md)
+ [Keamanan infrastruktur di Resource Groups](security_infrastructure.md)
+ [Akses AWS Resource Groups menggunakan endpoint antarmuka ()AWS PrivateLink](vpc-interface-endpoints.md)
+ [Praktik terbaik keamanan untuk Resource Groups](security_best-practices.md)
# Perlindungan data di AWS Resource Groups
[Model tanggung jawab AWS bersama model](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data di AWS Resource Groups. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam [Pertanyaan Umum Privasi Data](https://aws.amazon.com/compliance/data-privacy-faq/). Lihat informasi tentang perlindungan data di Eropa di pos blog [Model Tanggung Jawab Bersama dan GDPR AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) di *Blog Keamanan AWS *.
Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensyal dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
+ Gunakan autentikasi multi-faktor (MFA) pada setiap akun.
+ Gunakan SSL/TLS untuk berkomunikasi dengan AWS sumber daya. Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat [Bekerja dengan CloudTrail jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) di *AWS CloudTrail Panduan Pengguna*.
+ Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.
+ Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.
+ Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-3 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi selengkapnya tentang titik akhir FIPS yang tersedia di [Standar Pemrosesan Informasi Federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang **Nama**. Ini termasuk saat Anda bekerja dengan Resource Groups atau lainnya Layanan AWS menggunakan konsol, API AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.
## Enkripsi data
Dibandingkan dengan AWS layanan lain, AWS Resource Groups memiliki permukaan serangan minimal, karena tidak menyediakan cara untuk mengubah, menambah, atau menghapus AWS sumber daya kecuali untuk kelompok. Resource Groups mengumpulkan informasi spesifik layanan berikut dari Anda.
+ Nama grup (tidak dienkripsi, bukan pribadi)
+ Deskripsi grup (tidak dienkripsi, tetapi pribadi)
+ Sumber daya anggota dalam grup (ini disimpan dalam log, yang tidak dienkripsi)
### Enkripsi saat diam
Tidak ada cara tambahan untuk mengisolasi lalu lintas layanan atau jaringan khusus untuk Resource Groups. Jika berlaku, gunakan isolasi AWS-spesifik. Anda dapat menggunakan Resource Groups API dan konsol di VPC untuk membantu memaksimalkan privasi dan keamanan infrastruktur.
### Enkripsi saat bergerak
AWS Resource Groups data dienkripsi dalam perjalanan ke database internal layanan untuk cadangan. Ini tidak dapat dikonfigurasi pengguna.
### Manajemen kunci
AWS Resource Groups saat ini tidak terintegrasi dengan AWS Key Management Service dan tidak mendukung AWS KMS keys.
## Privasi lalu lintas antarjaringan
AWS Resource Groups menggunakan HTTPS untuk semua transmisi antara pengguna Resource Groups dan AWS. Resource Groups menggunakan transport layer security (TLS) 1.2, tetapi juga mendukung TLS 1.0 dan 1.1.
# Identitas dan manajemen akses untuk AWS Resource Groups
AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengontrol siapa yang dapat *diautentikasi* (masuk) dan *diberi wewenang* (memiliki izin) untuk menggunakan sumber daya Resource Groups. IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.
**Topics**
+ [Audiens](#security_iam_audience_arg-te)
+ [Mengautentikasi dengan identitas](#security_iam_authentication_arg-te)
+ [Mengelola akses menggunakan kebijakan](#security_iam_access-manage-arg-te)
+ [Bagaimana Resource Groups bekerja dengan IAM](security_iam_service-with-iam.md)
+ [AWS kebijakan terkelola untuk AWS Resource Groups](security_iam_awsmanpol.md)
+ [Menggunakan peran terkait layanan untuk Resource Groups](security_iam_service-linked-roles.md)
+ [AWS Resource Groups contoh kebijakan berbasis identitas](security_iam_id-based-policy-examples.md)
+ [Memecahkan masalah AWS Resource Groups identitas dan akses](security_iam_troubleshoot.md)
## Audiens
Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda berdasarkan peran Anda:
+ **Pengguna layanan** - minta izin dari administrator Anda jika Anda tidak dapat mengakses fitur (lihat [Memecahkan masalah AWS Resource Groups identitas dan akses](security_iam_troubleshoot.md))
+ **Administrator layanan** - tentukan akses pengguna dan mengirimkan permintaan izin (lihat [Bagaimana Resource Groups bekerja dengan IAM](security_iam_service-with-iam.md))
+ **Administrator IAM** - tulis kebijakan untuk mengelola akses (lihat [AWS Resource Groups contoh kebijakan berbasis identitas](security_iam_id-based-policy-examples.md))
## Mengautentikasi dengan identitas
Otentikasi adalah cara Anda masuk AWS menggunakan kredensi identitas Anda. Anda harus diautentikasi sebagai Pengguna root akun AWS, pengguna IAM, atau dengan mengasumsikan peran IAM.
Anda dapat masuk sebagai identitas federasi menggunakan kredensil dari sumber identitas seperti AWS IAM Identity Center (Pusat Identitas IAM), autentikasi masuk tunggal, atau kredensional. Google/Facebook Untuk informasi selengkapnya tentang cara masuk, lihat [Cara masuk ke Akun AWS Anda](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dalam *Panduan Pengguna AWS Sign-In *.
Untuk akses terprogram, AWS sediakan SDK dan CLI untuk menandatangani permintaan secara kriptografis. Untuk informasi selengkapnya, lihat [AWS Signature Version 4 untuk permintaan API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dalam *Panduan Pengguna IAM*.
### Akun AWS pengguna root
Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang disebut *pengguna Akun AWS root* yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Untuk tugas yang memerlukan kredensial pengguna root, lihat [Tugas yang memerlukan kredensial pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dalam *Panduan Pengguna IAM*.
### Pengguna dan grup IAM
*[Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* adalah identitas dengan izin khusus untuk satu orang atau aplikasi. Sebaiknya gunakan kredensial sementara alih-alih pengguna IAM dengan kredensial jangka panjang. Untuk informasi selengkapnya, lihat [Mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) di Panduan Pengguna *IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) menentukan kumpulan pengguna IAM dan mempermudah pengelolaan izin untuk pengguna dalam jumlah besar. Untuk mempelajari selengkapnya, lihat [Kasus penggunaan untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dalam *Panduan Pengguna IAM*.
### Peran IAM
*[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* adalah identitas dengan izin khusus yang menyediakan kredensial sementara. Anda dapat mengambil peran dengan [beralih dari pengguna ke peran IAM (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) atau dengan memanggil operasi AWS CLI atau AWS API. Untuk informasi selengkapnya, lihat [Metode untuk mengambil peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dalam *Panduan Pengguna IAM*.
Peran IAM berguna untuk akses pengguna terfederasi, izin pengguna IAM sementara, akses lintas akun, akses lintas layanan, dan aplikasi yang berjalan di Amazon EC2. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.
## Mengelola akses menggunakan kebijakan
Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan menentukan izin saat dikaitkan dengan identitas atau sumber daya. AWS mengevaluasi kebijakan ini ketika kepala sekolah membuat permintaan. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang dokumen kebijakan JSON, lihat [Gambaran umum kebijakan JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dalam *Panduan Pengguna IAM*.
Menggunakan kebijakan, administrator menentukan siapa yang memiliki akses ke apa dengan mendefinisikan **principal** mana yang dapat melakukan **tindakan** pada **sumber daya** apa, dan dalam **kondisi** apa.
Secara default, pengguna dan peran tidak memiliki izin. Administrator IAM membuat kebijakan IAM dan menambahkannya ke peran, yang kemudian dapat diambil oleh pengguna. Kebijakan IAM mendefinisikan izin terlepas dari metode yang Anda gunakan untuk melakukan operasinya.
### Kebijakan berbasis identitas
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang Anda lampirkan ke identitas (pengguna, grup, atau peran). Kebijakan ini mengontrol tindakan apa yang bisa dilakukan oleh identitas tersebut, terhadap sumber daya yang mana, dan dalam kondisi apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Kebijakan berbasis identitas dapat berupa *kebijakan inline* (disematkan langsung ke dalam satu identitas) atau *kebijakan terkelola* (kebijakan mandiri yang dilampirkan pada banyak identitas). Untuk mempelajari cara memilih antara kebijakan terkelola dan kebijakan inline, lihat [Pilih antara kebijakan terkelola dan kebijakan inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dalam *Panduan Pengguna IAM*.
### Kebijakan berbasis sumber daya
Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contohnya termasuk *kebijakan kepercayaan peran IAM* dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya.
Kebijakan berbasis sumber daya merupakan kebijakan inline yang terletak di layanan tersebut. Anda tidak dapat menggunakan kebijakan AWS terkelola dari IAM dalam kebijakan berbasis sumber daya.
### Daftar kontrol akses (ACLs)
Access control lists (ACLs) mengontrol prinsipal mana (anggota akun, pengguna, atau peran) yang memiliki izin untuk mengakses sumber daya. ACLs mirip dengan kebijakan berbasis sumber daya, meskipun mereka tidak menggunakan format dokumen kebijakan JSON.
Amazon S3, AWS WAF, dan Amazon VPC adalah contoh layanan yang mendukung. ACLs Untuk mempelajari selengkapnya ACLs, lihat [Ringkasan daftar kontrol akses (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) di *Panduan Pengembang Layanan Penyimpanan Sederhana Amazon*.
### Jenis-jenis kebijakan lain
AWS mendukung jenis kebijakan tambahan yang dapat menetapkan izin maksimum yang diberikan oleh jenis kebijakan yang lebih umum:
+ **Batasan izin** – Menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Untuk informasi selengkapnya, lihat [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dalam *Panduan Pengguna IAM*.
+ **Kebijakan kontrol layanan (SCPs)** — Tentukan izin maksimum untuk organisasi atau unit organisasi di AWS Organizations. Untuk informasi selengkapnya, lihat [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dalam *Panduan Pengguna AWS Organizations *.
+ **Kebijakan kontrol sumber daya (RCPs)** — Tetapkan izin maksimum yang tersedia untuk sumber daya di akun Anda. Untuk informasi selengkapnya, lihat [Kebijakan kontrol sumber daya (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) di *Panduan AWS Organizations Pengguna*.
+ **Kebijakan sesi** – Kebijakan lanjutan yang diteruskan sebagai parameter saat membuat sesi sementara untuk peran atau pengguna terfederasi. Untuk informasi selengkapnya, lihat [Kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dalam *Panduan Pengguna IAM*.
### Berbagai jenis kebijakan
Ketika beberapa jenis kebijakan berlaku pada suatu permintaan, izin yang dihasilkan lebih rumit untuk dipahami. Untuk mempelajari cara AWS menentukan apakah akan mengizinkan permintaan saat beberapa jenis kebijakan terlibat, lihat [Logika evaluasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) di *Panduan Pengguna IAM*.
# Bagaimana Resource Groups bekerja dengan IAM
Sebelum Anda menggunakan IAM untuk mengelola akses ke Resource Groups, Anda harus memahami fitur IAM apa yang tersedia untuk digunakan dengan Resource Groups. Untuk mendapatkan tampilan tingkat tinggi tentang cara Resource Groups dan AWS layanan lain bekerja dengan IAM, lihat [AWS Layanan yang Bekerja dengan IAM di Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *IAM*.
**Topics**
+ [Kebijakan berbasis identitas Resource Groups](#security_iam_service-with-iam-id-based-policies-arg-te)
+ [Kebijakan berbasis sumber daya](#security_iam_resource-based-policies)
+ [Otorisasi berdasarkan tag Resource Groups](#security_iam_tags)
+ [Peran IAM Resource Groups](#security_iam_roles)
## Kebijakan berbasis identitas Resource Groups
Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan secara spesifik apakah tindakan dan sumber daya diizinkan atau ditolak, serta kondisi yang menjadi dasar dikabulkan atau ditolaknya tindakan tersebut. Resource Groups mendukung tindakan, sumber daya, dan kunci kondisi tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam kebijakan JSON, lihat [Referensi Elemen Kebijakan JSON IAM ](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements.html) dalam *Panduan Pengguna IAM*.
### Tindakan
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen `Action` dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.
Tindakan kebijakan di Resource Groups menggunakan awalan berikut sebelum tindakan:`resource-groups:`. Tindakan Editor Tag dilakukan sepenuhnya di konsol, tetapi memiliki awalan `resource-explorer` di entri log.
Misalnya, untuk memberikan izin kepada seseorang untuk membuat grup Resource Groups dengan operasi `CreateGroup` API Resource Groups, Anda menyertakan `resource-groups:CreateGroup` tindakan tersebut dalam kebijakan mereka. Pernyataan kebijakan harus memuat elemen `Action` atau `NotAction`. Resource Groups mendefinisikan serangkaian tindakannya sendiri yang menjelaskan tugas yang dapat Anda lakukan dengan layanan ini.
Untuk menentukan beberapa tindakan Resource Groups dan Tag Editor dalam satu pernyataan, pisahkan dengan koma sebagai berikut:
```
"Action": [
"resource-groups:action1",
"resource-groups:action2",
"resource-explorer:action3"
```
Anda dapat menentukan beberapa tindakan menggunakan wildcard (\$1). Sebagai contoh, untuk menentukan semua tindakan yang dimulai dengan kata `List`, sertakan tindakan berikut:
```
"Action": "resource-groups:List*"
```
Untuk melihat daftar tindakan Resource Groups, lihat [Tindakan, Sumber Daya, dan Kunci Kondisi AWS Resource Groups](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html) di *Panduan Pengguna IAM*.
### Sumber daya
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen kebijakan JSON `Resource` menentukan objek yang menjadi target penerapan tindakan. Praktik terbaiknya, tentukan sumber daya menggunakan [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, gunakan wildcard (\$1) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.
```
"Resource": "*"
```
Satu-satunya sumber daya Resource Groups adalah *grup*. Sumber daya grup memiliki ARN dalam format berikut:
```
arn:${Partition}:resource-groups:${Region}:${Account}:group/${GroupName}
```
Untuk informasi selengkapnya tentang format ARNs, lihat [Amazon Resource Names (ARNs) dan Ruang Nama AWS Layanan](https://docs.aws.amazon.com//general/latest/gr/aws-arns-and-namespaces.html).
Misalnya, untuk menentukan grup `my-test-group` sumber daya dalam pernyataan Anda, gunakan ARN berikut:
```
"Resource": "arn:aws:resource-groups:us-east-1:123456789012:group/my-test-group"
```
Untuk menentukan semua grup yang termasuk dalam akun tertentu, gunakan wildcard (\$1):
```
"Resource": "arn:aws:resource-groups:us-east-1:123456789012:group/*"
```
Beberapa tindakan Resource Groups, seperti untuk membuat sumber daya, tidak dapat dilakukan pada sumber daya tertentu. Dalam kasus tersebut, Anda harus menggunakan wildcard (\$1).
```
"Resource": "*"
```
Beberapa tindakan API Resource Groups dapat melibatkan beberapa sumber daya. Misalnya, `DeleteGroup` menghapus grup, jadi prinsipal panggilan harus memiliki izin untuk menghapus grup tertentu atau semua grup. Untuk menentukan beberapa sumber daya dalam satu pernyataan, pisahkan ARNs dengan koma.
```
"Resource": [
"resource1",
"resource2"
]
```
Untuk melihat daftar jenis sumber daya Resource Groups dan mereka ARNs, dan mempelajari tindakan yang dapat Anda tentukan ARN dari setiap sumber daya, lihat [Tindakan, Sumber Daya, dan Kunci Kondisi untuk AWS Resource Groups dalam Panduan](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html) Pengguna *IAM*.
### Kunci syarat
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **principal** dapat melakukan **tindakan** pada suatu **sumber daya**, dan dalam suatu **syarat**.
Elemen `Condition` menentukan ketika pernyataan dieksekusi berdasarkan kriteria yang ditetapkan. Anda dapat membuat ekspresi bersyarat yang menggunakan [operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.
Resource Groups mendefinisikan set sendiri dari kunci kondisi dan juga mendukung penggunaan beberapa kunci kondisi global. Untuk melihat semua kunci kondisi AWS global, lihat [Kunci Konteks Kondisi AWS Global](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.
Untuk melihat daftar kunci kondisi Resource Groups, dan mempelajari tindakan dan sumber daya yang dapat Anda gunakan kunci kondisi, lihat [Tindakan, Sumber Daya, dan Kunci Kondisi untuk AWS Resource Groups](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html) dalam *Panduan Pengguna IAM*.
### Contoh
Untuk melihat contoh kebijakan berbasis identitas Resource Groups, lihat. [AWS Resource Groups contoh kebijakan berbasis identitas](security_iam_id-based-policy-examples.md)
## Kebijakan berbasis sumber daya
Resource Groups tidak mendukung kebijakan berbasis sumber daya.
## Otorisasi berdasarkan tag Resource Groups
Anda dapat melampirkan tag ke grup di Resource Groups, atau meneruskan tag dalam permintaan ke Resource Groups. Untuk mengendalikan akses berdasarkan tanda, berikan informasi tentang tanda di [elemen kondisi](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition.html) dari kebijakan menggunakan kunci kondisi `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, atau `aws:TagKeys`. Anda dapat menerapkan tag ke grup saat Anda membuat atau memperbarui grup. Untuk informasi selengkapnya tentang menandai grup di Resource Groups, lihat [Membuat grup berbasis kueri di AWS Resource Groups](gettingstarted-query.md) dan [Memperbarui grup di AWS Resource Groups](updating-resource-groups.md) dalam panduan ini.
Untuk melihat contoh kebijakan berbasis identitas untuk membatasi akses ke sumber daya berdasarkan tag pada sumber daya tersebut, lihat [Melihat grup berdasarkan tag](security_iam_id-based-policy-examples.md#security_iam_policy-examples-view-tags).
## Peran IAM Resource Groups
[Peran IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles.html) adalah entitas dalam AWS akun Anda yang memiliki izin tertentu. Resource Groups tidak memiliki atau menggunakan peran layanan.
### Menggunakan kredensi sementara dengan Resource Groups
Di Resource Groups, Anda dapat menggunakan kredensi sementara untuk masuk dengan federasi, mengambil peran IAM, atau untuk mengambil peran lintas akun. Anda memperoleh kredensi keamanan sementara dengan memanggil operasi AWS STS API seperti [AssumeRole](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html)atau. [GetFederationToken](https://docs.aws.amazon.com//STS/latest/APIReference/API_GetFederationToken.html)
### Peran terkait layanan
[Peran terkait AWS layanan](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) memungkinkan layanan mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda.
Resource Groups tidak memiliki atau menggunakan peran terkait layanan.
### Peran layanan
Fitur ini memungkinkan layanan untuk menerima [peran layanan](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) atas nama Anda.
Resource Groups tidak memiliki atau menggunakan peran layanan.
# AWS kebijakan terkelola untuk AWS Resource Groups
Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.
Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan [kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) yang khusus untuk kasus penggunaan Anda.
Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.
Untuk informasi selengkapnya, lihat [Kebijakan terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.
**AWS-kebijakan terkelola untuk Resource Groups**
+ [ResourceGroupsServiceRolePolicy](#security-iam-awsmanpol-ResourceGroupsServiceRolePolicy)
+ [ ResourceGroupsTaggingAPITagUntagSupportedResources](#security-iam-awsmanpol-ResourceGroupsTaggingAPITagUntagSupportedResources)
+ [ResourceGroupsTaggingAPITagUntagSupportedResources](#security-iam-awsmanpol-ResourceGroupsTaggingAPITagUntagSupportedResources.title)
## AWS kebijakan terkelola: ResourceGroupsServiceRolePolicy
Anda tidak dapat melampirkan `ResourceGroupsServiceRolePolicy` ke entitas IAM apa pun sendiri. Kebijakan ini hanya dapat dilampirkan ke peran terkait layanan yang memungkinkan Resource Groups melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat [Menggunakan peran terkait layanan untuk Resource Groups](security_iam_service-linked-roles.md).
Kebijakan ini memberikan izin yang diperlukan untuk Resource Groups untuk mengambil informasi tentang sumber daya dalam grup sumber daya Anda dan CloudFormation tumpukan sumber daya tersebut. Hal ini memungkinkan Resource Groups menghasilkan CloudWatch Peristiwa untuk fitur peristiwa siklus hidup grup.
Untuk melihat versi terbaru dari kebijakan AWS terkelola ini, lihat `[ResourceGroupsServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsServiceRolePolicy)` di konsol IAM.
## AWS kebijakan terkelola: ResourceGroupsandTagEditorFullAccess
Saat Anda melampirkan kebijakan ke entitas utama, Anda memberikan izin entitas yang ditentukan dalam kebijakan. AWS Kebijakan terkelola memudahkan Anda untuk menetapkan izin yang sesuai untuk pengguna, grup, dan peran daripada jika Anda harus menulis kebijakan sendiri.
Kebijakan ini memberikan izin yang diperlukan untuk akses penuh ke fungsionalitas Resource Groups dan Editor Tag.
Untuk melihat versi terbaru dari kebijakan AWS terkelola ini, lihat `[ResourceGroupsandTagEditorFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess)` di konsol IAM.
Untuk informasi selengkapnya tentang kebijakan ini, lihat [ ResourceGroupsandTagEditorFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ResourceGroupsandTagEditorFullAccess.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
## AWS kebijakan terkelola: ResourceGroupsandTagEditorReadOnlyAccess
Saat Anda melampirkan kebijakan ke entitas utama, Anda memberikan izin entitas yang ditentukan dalam kebijakan. AWS Kebijakan terkelola memudahkan Anda untuk menetapkan izin yang sesuai untuk pengguna, grup, dan peran daripada jika Anda harus menulis kebijakan sendiri.
Kebijakan ini memberikan izin yang diperlukan untuk akses baca saja ke fungsionalitas Resource Groups dan Editor Tag.
Untuk melihat versi terbaru dari kebijakan AWS terkelola ini, lihat `[ResourceGroupsandTagEditorReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorReadOnlyAccess)` di konsol IAM.
Untuk informasi selengkapnya tentang kebijakan ini, lihat [ ResourceGroupsandTagEditorReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ResourceGroupsandTagEditorReadOnlyAccess.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
## AWS kebijakan terkelola: ResourceGroupsTagging APITag UntagSupportedResources
Saat Anda melampirkan kebijakan ke entitas utama, Anda memberikan izin entitas yang ditentukan dalam kebijakan. AWS Kebijakan terkelola memudahkan Anda untuk menetapkan izin yang sesuai untuk pengguna, grup, dan peran daripada jika Anda harus menulis kebijakan sendiri.
Kebijakan ini memberikan izin yang diperlukan untuk menandai dan menghapus tag semua jenis sumber daya yang didukung oleh API AWS Resource Groups Penandaan **kecuali**`AWS::ApiGateway`,,, `AWS::CloudFormation` dan. `AWS::CodeBuild` `AWS::ServiceCatalog` Menandai dan melepas tag jenis sumber daya yang dikecualikan ini memerlukan izin khusus layanan tambahan yang memungkinkan tindakan selain memberi tag dan untagging. Daftar berikut menjelaskan izin mana yang diperlukan untuk menandai dan menghapus tag jenis sumber daya yang dikecualikan dari kebijakan:
+ Jenis `AWS::ApiGateway` sumber daya memerlukan `apigateway:Patch` izin pada resource API Gateway, dan sumber daya turunan tag memerlukan `apigateway:Delete` izin `apigateway:Put``apigateway:Get`,,.
+ Jenis `AWS::CloudFormation` sumber daya memerlukan `cloudformation:UpdateStackSet` izin `cloudformation:UpdateStack` dan.
+ Jenis `AWS::CodeBuild` sumber daya memerlukan `codebuild:UpdateProject` izin.
+ Jenis `AWS::ServiceCatalog` sumber daya memerlukan`servicecatalog:TagResource`,`servicecatalog:UntagResource`,`servicecatalog:UpdatePortfolio`, dan `servicecatalog:UpdateProduct` izin.
Kebijakan ini juga memberikan izin yang diperlukan untuk mengambil semua sumber daya yang diberi tag, atau diberi tag sebelumnya, melalui Resource Groups Tagging API.
Untuk melihat versi terbaru dari kebijakan AWS terkelola ini, lihat `[ ResourceGroupsTaggingAPITagUntagSupportedResources](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsTaggingAPITagUntagSupportedResources)` di konsol IAM.
Untuk informasi selengkapnya tentang kebijakan ini, lihat [ ResourceGroupsTaggingAPITagUntagSupportedResources](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ResourceGroupsTaggingAPITagUntagSupportedResources.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
## Pembaruan Resource Groups terhadap kebijakan AWS terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Resource Groups sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman [riwayat Dokumen Resource Groups](doc-history.md).
| Ubah | Deskripsi | Date |
| --- | --- | --- |
| Kebijakan yang diperbarui - [ResourceGroupsTaggingAPITagUntagSupportedResources](#security-iam-awsmanpol-ResourceGroupsTaggingAPITagUntagSupportedResources.title) | Resource Groups memperbarui kebijakan ini untuk menyertakan izin untuk delapan layanan baru, termasuk Amazon Application Recovery Controller (ARC) dan Amazon VPC Lattice. Izin berikut ditambahkan ke kebijakan: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/ARG/latest/userguide/security_iam_awsmanpol.html) | Desember 20, 2024 |
| Kebijakan baru — [ResourceGroupsTaggingAPITagUntagSupportedResources](#security-iam-awsmanpol-ResourceGroupsTaggingAPITagUntagSupportedResources.title) | Resource Groups menambahkan kebijakan baru untuk memberikan izin yang diperlukan untuk menandai dan menghapus tag semua jenis sumber daya yang didukung oleh AWS Resource Groups Tagging API. | Oktober 11, 2024 |
| Pembaruan kebijakan - [ResourceGroupsandTagEditorFullAccess](#security-iam-awsmanpol-ResourceGroupsandTagEditorFullAccess.title) | Resource Groups memperbarui kebijakan untuk menyertakan AWS CloudFormation izin tambahan. | 10 Agustus 2023 |
| Pembaruan kebijakan - [ResourceGroupsandTagEditorReadOnlyAccess](#security-iam-awsmanpol-ResourceGroupsandTagEditorReadOnlyAccess.title) | Resource Groups memperbarui kebijakan untuk menyertakan AWS CloudFormation izin tambahan. | 10 Agustus 2023 |
| Kebijakan baru — [ResourceGroupsServiceRolePolicy](#security-iam-awsmanpol-ResourceGroupsServiceRolePolicy.title) | Resource Groups menambahkan kebijakan baru untuk mendukung peran terkait layanan. | 17 November 2022 |
| Resource Groups mulai melacak perubahan | Resource Groups mulai melacak perubahan untuk kebijakan yang AWS dikelola. | 17 November 2022 |
# Menggunakan peran terkait layanan untuk Resource Groups
AWS Resource Groups menggunakan AWS Identity and Access Management peran [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran terkait layanan adalah jenis peran IAM unik yang ditautkan langsung ke Resource Groups. Peran terkait layanan telah ditentukan sebelumnya oleh Resource Groups dan mencakup semua izin yang diperlukan layanan untuk memanggil orang lain Layanan AWS atas nama Anda.
Peran terkait layanan membuat pengaturan Resource Groups menjadi lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. Resource Groups mendefinisikan izin peran terkait layanan dan menetapkan kebijakan kepercayaan pada masing-masing yang memastikan bahwa hanya layanan Resource Groups yang dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, serta bahwa kebijakan izin tidak dapat dilampirkan ke entitas IAM lainnya.
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, lihat [Layanan AWS yang Bekerja bersama IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan mencari layanan yang memiliki **Ya** dalam **Peran Terkait Layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
## Izin peran terkait layanan untuk Resource Groups
Resource Groups menggunakan peran terkait layanan berikut untuk mendukung peristiwa siklus hidup grup. Pilih tautan pada nama peran untuk melihat peran di konsol IAM setelah Anda membuatnya.
+ `[AWSServiceRoleForResourceGroups](https://console.aws.amazon.com/iamv2/home#/roles/details/AWSServiceRoleForResourceGroups)`
Resource Groups menggunakan izin dalam peran ini untuk menanyakan sumber daya milik Anda guna membantu menyelesaikan keanggotaan grup dan mempertahankan grup up-to-date. Layanan AWS Ini memungkinkan Resource Groups untuk memancarkan peristiwa terkait layanan ke layanan Amazon. EventBridge
Peran `AWSServiceRoleForResourceGroups` terkait layanan ***hanya*** mempercayai layanan berikut untuk mengambil peran:
+ `resourcegroups.amazonaws.com`
Izin yang dilampirkan pada peran berasal dari kebijakan AWS terkelola berikut. Pilih tautan pada nama kebijakan untuk melihat kebijakan di konsol IAM.
+ `AWS kebijakan terkelola untuk AWS Resource Groups`
## Membuat peran terkait layanan untuk Resource Groups
**penting**
Peran terkait layanan ini dapat muncul di akun Anda jika Anda menyelesaikan tindakan di layanan lain yang memerlukan fitur yang didukung oleh peran ini. Untuk informasi lebih lanjut, lihat [Peran baru muncul di saya Akun AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Untuk membuat peran terkait layanan, [aktifkan fitur peristiwa siklus hidup grup](monitor-groups-turn-on.md).
## Mengedit peran terkait layanan untuk Resource Groups
Resource Groups tidak memungkinkan Anda mengedit peran AWSService RoleForResourceGroups terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat menyunting penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.
## Menghapus peran terkait layanan untuk Resource Groups
Anda dapat menghapus peran terkait layanan hanya setelah Anda menonaktifkan fitur peristiwa siklus hidup grup.
**penting**
AWS mencegah Anda menghapus peran terkait layanan hingga Anda pertama kali [menonaktifkan fitur peristiwa siklus hidup grup](monitor-groups-turn-off.md) yang membuatnya.
Kami menyarankan agar Anda tidak menghapus peran terkait layanan selama Anda memiliki grup sumber daya apa pun di situs Anda. Akun AWS Layanan Resource Groups tidak dapat berinteraksi dengan Layanan AWS orang lain untuk mengelola grup jika Anda menghapus peran ini.
### Menghapus peran tertaut layanan secara manual
Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran AWSService RoleForResourceGroups terkait layanan. Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dalam *Panduan Pengguna IAM*.
------
#### [ Console ]
**Untuk menghapus peran terkait layanan Resource Groups**
1. Buka [konsol IAM ke halaman Peran](https://console.aws.amazon.com/iam/home#/roles).
1. Temukan peran bernama AWSServiceRoleForResourceGroups, dan pilih kotak centang di sampingnya.
1. Pilih **Hapus**.
1. Konfirmasikan maksud Anda untuk menghapus peran dengan memasukkan nama peran di kotak, lalu pilih **Hapus**.
Peran menghilang dari daftar peran Anda di konsol IAM.
------
#### [ AWS CLI ]
**Untuk menghapus peran terkait layanan Resource Groups**
Untuk menghapus peran, masukkan perintah berikut dengan parameter persis seperti yang ditunjukkan. Jangan mengganti salah satu nilai.
```
$ aws iam delete-service-linked-role \
--role-name AWSServiceRoleForResourceGroups
{
"DeletionTaskId": "task/aws-service-role/resource-groups.amazonaws.com/AWSServiceRoleForResourceGroups/34e58943-e9a5-4220-9856-fc565EXAMPLE"
}
```
Perintah mengembalikan ID tugas. Penghapusan peran aktual terjadi secara asinkron. Anda dapat memeriksa status penghapusan peran dengan meneruskan pengenal tugas yang disediakan ke perintah berikut. AWS CLI
```
$ aws iam get-service-linked-role-deletion-status \
--deletion-task-id "task/aws-service-role/resource-groups.amazonaws.com/AWSServiceRoleForResourceGroups/34e58943-e9a5-4220-9856-fc565EXAMPLE"
{
"Status": "SUCCEEDED"
}
```
------
## Wilayah yang Didukung untuk peran terkait layanan Resource Groups
Resource Groups mendukung penggunaan peran terkait layanan di semua Wilayah AWS tempat layanan tersedia. Untuk informasi lebih lanjut, lihat [Wilayah dan Titik Akhir AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# AWS Resource Groups contoh kebijakan berbasis identitas
Secara default, prinsipal IAM, seperti peran dan pengguna, tidak memiliki izin untuk membuat atau memodifikasi sumber daya Resource Groups. Mereka juga tidak dapat melakukan tugas menggunakan Konsol Manajemen AWS, AWS CLI, atau AWS API. Administrator IAM harus membuat kebijakan IAM yang memberikan izin kepada prinsipal untuk melakukan operasi API tertentu pada sumber daya tertentu yang mereka butuhkan. Administrator kemudian harus melampirkan kebijakan tersebut ke kepala sekolah yang memerlukan izin tersebut.
Untuk mempelajari cara membuat kebijakan berbasis identitas IAM menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat Kebijakan pada Tab JSON](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) dalam *Panduan Pengguna IAM*.
**Topics**
+ [Praktik terbaik kebijakan](#security_iam_policy-best-practices)
+ [Menggunakan konsol dan API Resource Groups](#security_iam_policy-examples-console)
+ [Mengizinkan pengguna melihat izin mereka sendiri](#security_iam_policy-examples-own-permissions)
+ [Melihat grup berdasarkan tag](#security_iam_policy-examples-view-tags)
## Praktik terbaik kebijakan
Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus resource Resource Groups di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
+ **Mulailah dengan kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit — Untuk mulai memberikan izin** kepada pengguna dan beban kerja Anda, gunakan *kebijakan AWS terkelola* yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Anda Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola AWS pelanggan yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat [Kebijakan yang dikelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) atau [Kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dalam *Panduan Pengguna IAM*.
+ **Menerapkan izin dengan hak akses paling rendah** – Ketika Anda menetapkan izin dengan kebijakan IAM, hanya berikan izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai *izin dengan hak akses paling rendah*. Untuk informasi selengkapnya tentang cara menggunakan IAM untuk mengajukan izin, lihat [Kebijakan dan izin dalam IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan kondisi dalam kebijakan IAM untuk membatasi akses lebih lanjut** – Anda dapat menambahkan suatu kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Sebagai contoh, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakan SSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui yang spesifik Layanan AWS, seperti CloudFormation. Untuk informasi selengkapnya, lihat [Elemen kebijakan JSON IAM: Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk memastikan izin yang aman dan fungsional** – IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan tersebut mematuhi bahasa kebijakan IAM (JSON) dan praktik terbaik IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat [Validasi kebijakan dengan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dalam *Panduan Pengguna IAM*.
+ **Memerlukan otentikasi multi-faktor (MFA)** - Jika Anda memiliki skenario yang mengharuskan pengguna IAM atau pengguna root di Anda, Akun AWS aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA ketika operasi API dipanggil, tambahkan kondisi MFA pada kebijakan Anda. Untuk informasi selengkapnya, lihat [Amankan akses API dengan MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dalam *Panduan Pengguna IAM*.
Untuk informasi selengkapnya tentang praktik terbaik dalam IAM, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.
## Menggunakan konsol dan API Resource Groups
Untuk mengakses konsol AWS Resource Groups dan API dan Tag Editor, Anda harus memiliki set izin minimum. Izin ini harus memungkinkan Anda untuk membuat daftar dan melihat detail tentang sumber daya Resource Groups di AWS akun Anda. Jika Anda membuat kebijakan berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan, perintah konsol dan API tidak akan berfungsi sebagaimana dimaksudkan untuk prinsipal (peran IAM atau pengguna) dengan kebijakan tersebut.
Untuk memastikan bahwa entitas tersebut masih dapat menggunakan Resource Groups, lampirkan kebijakan berikut (atau kebijakan yang berisi izin yang tercantum dalam kebijakan berikut) ke entitas. Untuk informasi selengkapnya, lihat [Menambahkan izin ke Pengguna](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"resource-groups:*",
"cloudformation:DescribeStacks",
"cloudformation:ListStackResources",
"tag:GetResources",
"tag:TagResources",
"tag:UntagResources",
"tag:getTagKeys",
"tag:getTagValues",
"resource-explorer:List*"
],
"Resource": "*"
}
]
}
```
------
Untuk informasi selengkapnya tentang pemberian akses ke Resource Groups, lihat [Memberikan izin untuk menggunakan AWS Resource Groups dan Tag Editor](gettingstarted-prereqs-permissions-howto.md) di panduan ini.
## Mengizinkan pengguna melihat izin mereka sendiri
Contoh ini menunjukkan cara membuat kebijakan yang mengizinkan pengguna IAM melihat kebijakan inline dan terkelola yang dilampirkan ke identitas pengguna mereka. Kebijakan ini mencakup izin untuk menyelesaikan tindakan ini di konsol atau menggunakan API atau secara terprogram. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Melihat grup berdasarkan tag
Anda dapat menggunakan kondisi dalam kebijakan berbasis identitas untuk mengontrol akses ke resource Resource Groups berdasarkan tag. Contoh ini menunjukkan cara Anda membuat kebijakan yang memungkinkan melihat sumber daya, dalam contoh ini, grup sumber daya. Namun, izin diberikan hanya jika tag grup `project` memiliki nilai yang sama dengan `project` tag yang dilampirkan pada prinsipal panggilan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "resource-groups:GetGroup",
"Resource": "arn:aws:resource-groups:us-east-1:111122223333:group/group_name",
"Condition": {
"StringEquals": {"aws:ResourceTag/project": "${aws:PrincipalTag/project}"}
}
}
]
}
```
------
Anda dapat melampirkan kebijakan ini ke kepala sekolah di akun Anda. Jika prinsipal dengan kunci tag `project` dan nilai tag `alpha` mencoba untuk melihat grup sumber daya, grup juga harus diberi tag`project=alpha`. Jika tidak, pengguna ditolak aksesnya. Kunci tanda syarat `project` sama dengan kedua `Project` dan `project` karena nama kunci syarat tidak terpengaruh huruf besar/kecil. Untuk informasi lebih lanjut, lihat [Elemen Kebijakan IAM JSON: Persyaratan](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
# Memecahkan masalah AWS Resource Groups identitas dan akses
Gunakan informasi berikut untuk membantu Anda mendiagnosis dan memperbaiki masalah umum yang mungkin Anda temui saat bekerja dengan Resource Groups dan IAM.
**Topics**
+ [Saya tidak berwenang untuk melakukan tindakan di Resource Groups](#security_iam_troubleshoot-permissions-arg-te)
+ [Saya tidak berwenang untuk melakukan iam: PassRole](#security_troubleshoot-passrole)
+ [Saya ingin mengizinkan orang di luar AWS akun saya untuk mengakses Resource Groups](#security_troubleshoot-cross-account)
## Saya tidak berwenang untuk melakukan tindakan di Resource Groups
Jika Konsol Manajemen AWS memberitahu Anda bahwa Anda tidak berwenang untuk melakukan tindakan, maka Anda harus menghubungi administrator Anda untuk bantuan. Administrator Anda adalah orang yang memberi Anda kredensial masuk.
Contoh kesalahan berikut terjadi ketika pengguna `mateojackson` mencoba menggunakan konsol untuk melihat detail tentang grup tetapi tidak memiliki `resource-groups:ListGroups` izin.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: resource-groups:ListGroups on resource: arn:aws:resource-groups::us-west-2:123456789012:group/my-test-group
```
Dalam hal ini, Mateo meminta administratornya untuk memperbarui kebijakannya untuk mengizinkan dia mengakses sumber daya `my-test-group` menggunakan tindakan `resource-groups:ListGroups`.
## Saya tidak berwenang untuk melakukan iam: PassRole
Jika Anda menerima kesalahan yang tidak diizinkan untuk melakukan `iam:PassRole` tindakan, kebijakan Anda harus diperbarui agar Anda dapat meneruskan peran ke Resource Groups.
Beberapa Layanan AWS memungkinkan Anda untuk meneruskan peran yang ada ke layanan tersebut alih-alih membuat peran layanan baru atau peran terkait layanan. Untuk melakukannya, Anda harus memiliki izin untuk meneruskan peran ke layanan.
Contoh kesalahan berikut terjadi ketika pengguna IAM bernama `marymajor` mencoba menggunakan konsol untuk melakukan tindakan di Resource Groups. Namun, tindakan tersebut memerlukan layanan untuk mendapatkan izin yang diberikan oleh peran layanan. Mary tidak memiliki izin untuk meneruskan peran tersebut pada layanan.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dalam kasus ini, kebijakan Mary harus diperbarui agar dia mendapatkan izin untuk melakukan tindakan `iam:PassRole` tersebut.
Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.
## Saya ingin mengizinkan orang di luar AWS akun saya untuk mengakses Resource Groups
Anda dapat membuat peran yang dapat digunakan pengguna di akun lain atau orang-orang di luar organisasi Anda untuk mengakses sumber daya Anda. Anda dapat menentukan siapa saja yang dipercaya untuk mengambil peran tersebut. Untuk layanan yang mendukung kebijakan berbasis sumber daya atau daftar kontrol akses (ACLs), Anda dapat menggunakan kebijakan tersebut untuk memberi orang akses ke sumber daya Anda.
Untuk mempelajari selengkapnya, periksa referensi berikut:
+ Untuk mengetahui apakah Resource Groups mendukung fitur ini, lihat[Bagaimana Resource Groups bekerja dengan IAM](security_iam_service-with-iam.md).
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda di seluruh sumber daya Akun AWS yang Anda miliki, lihat [Menyediakan akses ke pengguna IAM di pengguna lain Akun AWS yang Anda miliki](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) di *Panduan Pengguna IAM*.
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda kepada pihak ketiga Akun AWS, lihat [Menyediakan akses yang Akun AWS dimiliki oleh pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dalam *Panduan Pengguna IAM*.
+ Untuk mempelajari cara memberikan akses melalui federasi identitas, lihat [Menyediakan akses ke pengguna terautentikasi eksternal (federasi identitas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dalam *Panduan Pengguna IAM*.
+ *Untuk mempelajari perbedaan antara menggunakan peran dan kebijakan berbasis sumber daya untuk akses lintas akun, lihat [Akses sumber daya lintas akun di IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html).*
# Pencatatan dan pemantauan di Resource Groups
Semua AWS Resource Groups tindakan masuk AWS CloudTrail.
## Pencatatan panggilan AWS Resource Groups API dengan AWS CloudTrail
AWS Resource Groups dan Tag Editor terintegrasi dengan AWS CloudTrail, layanan yang menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau AWS layanan di Resource Groups atau Tag Editor. CloudTrail menangkap semua panggilan API untuk Resource Groups sebagai peristiwa, termasuk panggilan dari Resource Groups atau konsol Editor Tag dan dari panggilan kode ke Resource Groups APIs. Jika membuat jejak, Anda dapat mengaktifkan pengiriman CloudTrail acara secara terus menerus ke bucket Amazon S3, termasuk peristiwa untuk Resource Groups. Jika Anda tidak mengonfigurasi jejak, Anda masih dapat melihat peristiwa terbaru di CloudTrail konsol dalam **Riwayat acara**. Dengan menggunakan informasi yang dikumpulkan oleh CloudTrail, Anda dapat menentukan permintaan yang dibuat untuk Resource Groups, alamat IP dari mana permintaan dibuat, siapa yang membuat permintaan, kapan dibuat, dan detail tambahan.
Untuk mempelajari selengkapnya CloudTrail, lihat [Panduan AWS CloudTrail Pengguna](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
### Informasi Resource Groups di CloudTrail
CloudTrail diaktifkan di AWS akun Anda saat Anda membuat akun. Saat aktivitas terjadi di Resource Groups, atau di konsol Editor Tag, aktivitas tersebut direkam dalam suatu CloudTrail peristiwa bersama dengan peristiwa AWS layanan lainnya dalam **riwayat Peristiwa**. Anda dapat melihat, mencari, dan mengunduh acara terbaru di AWS akun Anda. Untuk informasi selengkapnya, lihat [Melihat Acara dengan Riwayat CloudTrail Acara](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Untuk catatan peristiwa yang sedang berlangsung di AWS akun Anda, termasuk acara untuk Resource Groups, buat jejak. Jejak memungkinkan CloudTrail untuk mengirimkan file log ke bucket Amazon S3. Secara default, ketika Anda membuat jejak di konsol, jejak ini diterapkan ke semua Wilayah. Trail mencatat peristiwa dari semua wilayah di AWS partisi dan mengirimkan file log ke bucket Amazon S3 yang Anda tentukan. Selain itu, Anda dapat mengonfigurasi layanan AWS lainnya untuk menganalisis lebih lanjut dan bertindak berdasarkan data kejadian yang dikumpulkan di log CloudTrail. Untuk informasi selengkapnya, lihat :
+ [Gambaran Umum untuk Membuat Jejak](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrailLayanan dan Integrasi yang Didukung](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [Mengonfigurasi Notifikasi Amazon SNS untuk CloudTrail](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Menerima File CloudTrail Log dari Beberapa Wilayah](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) dan [Menerima File CloudTrail Log dari Beberapa Akun](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Semua tindakan Resource Groups dicatat oleh CloudTrail dan didokumentasikan dalam [Referensi AWS Resource Groups API](https://docs.aws.amazon.com//ARG/latest/APIReference/). Tindakan Resource Groups CloudTrail ditampilkan sebagai peristiwa dengan titik akhir API `resource-groups.amazonaws.com` sebagai sumbernya. Misalnya, panggilan ke`CreateGroup`,`GetGroup`, dan `UpdateGroupQuery` tindakan menghasilkan entri dalam file CloudTrail log. Tindakan Editor Tag di konsol dicatat oleh CloudTrail, dan ditampilkan sebagai peristiwa dengan titik akhir API internal `resource-explorer` sebagai sumbernya.
Setiap entri peristiwa atau log berisi informasi tentang entitas yang membuat permintaan tersebut. Informasi identitas membantu Anda menentukan hal berikut ini:
+ Apakah permintaan tersebut dibuat dengan kredensial root atau pengguna IAM.
+ Apakah permintaan tersebut dibuat dengan kredensial keamanan sementara untuk satu peran atau pengguna terfederasi.
+ Apakah permintaan itu dibuat oleh AWS layanan lain.
Untuk informasi selengkapnya, lihat [CloudTrail `userIdentity` Elemen](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
### Memahami entri berkas log Resource Groups
Trail adalah konfigurasi yang memungkinkan pengiriman peristiwa sebagai file log ke bucket Amazon S3 yang Anda tentukan. CloudTrail file log berisi satu atau lebih entri log. Peristiwa mewakili permintaan tunggal dari sumber apa pun dan mencakup informasi tentang tindakan yang diminta, tanggal dan waktu tindakan, parameter permintaan, dan seterusnya. File log CloudTrail bukan merupakan jejak tumpukan terurut dari panggilan API publik, sehingga file tersebut tidak muncul dalam urutan tertentu.
Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan tindakan`CreateGroup`.
```
{"eventVersion":"1.05",
"userIdentity":{
"type":"AssumedRole",
"principalId":"ID number:AWSResourceGroupsUser",
"arn":"arn:aws:sts::831000000000:assumed-role/Admin/AWSResourceGroupsUser",
"accountId":"831000000000","accessKeyId":"ID number",
"sessionContext":{
"attributes":{
"mfaAuthenticated":"false",
"creationDate":"2018-06-05T22:03:47Z"
},
"sessionIssuer":{
"type":"Role",
"principalId":"ID number",
"arn":"arn:aws:iam::831000000000:role/Admin",
"accountId":"831000000000",
"userName":"Admin"
}
}
},
"eventTime":"2018-06-05T22:18:23Z",
"eventSource":"resource-groups.amazonaws.com",
"eventName":"CreateGroup",
"awsRegion":"us-west-2",
"sourceIPAddress":"100.25.190.51",
"userAgent":"console.amazonaws.com",
"requestParameters":{
"Description": "EC2 instances that we are using for application staging.",
"Name": "Staging",
"ResourceQuery": {
"Query": "string",
"Type": "TAG_FILTERS_1_0"
},
"Tags": {
"Key":"Phase",
"Value":"Stage"
}
},
"responseElements":{
"Group": {
"Description":"EC2 instances that we are using for application staging.",
"groupArn":"arn:aws:resource-groups:us-west-2:831000000000:group/Staging",
"Name":"Staging"
},
"resourceQuery": {
"Query":"string",
"Type":"TAG_FILTERS_1_0"
}
},
"requestID":"de7z64z9-d394-12ug-8081-7zz0386fbcb6",
"eventID":"8z7z18dz-6z90-47bz-87cf-e8346428zzz3",
"eventType":"AwsApiCall",
"recipientAccountId":"831000000000"
}
```
# Validasi kepatuhan untuk Resource Groups
Untuk mempelajari apakah an Layanan AWS berada dalam lingkup program kepatuhan tertentu, lihat [Layanan AWS di Lingkup oleh Program Kepatuhan Layanan AWS](https://aws.amazon.com/compliance/services-in-scope/) dan pilih program kepatuhan yang Anda minati. Untuk informasi umum, lihat [Program AWS Kepatuhan Program AWS](https://aws.amazon.com/compliance/programs/) .
Anda dapat mengunduh laporan audit pihak ketiga menggunakan AWS Artifact. Untuk informasi selengkapnya, lihat [Mengunduh Laporan di AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS ditentukan oleh sensitivitas data Anda, tujuan kepatuhan perusahaan Anda, dan hukum dan peraturan yang berlaku. Untuk informasi selengkapnya tentang tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS, lihat [Dokumentasi AWS Keamanan](https://docs.aws.amazon.com/security/).
# Ketahanan dalam Resource Groups
AWS Resource Groups melakukan backup otomatis ke sumber daya layanan internal. Cadangan ini tidak dapat dikonfigurasi pengguna. Cadangan dienkripsi, baik saat istirahat maupun dalam perjalanan. Resource Groups menyimpan data pelanggan di Amazon DynamoDB.
Infrastruktur AWS global dibangun di sekitar Wilayah AWS dan Availability Zones. Wilayah AWS menyediakan beberapa Availability Zone yang terpisah secara fisik dan terisolasi, yang terhubung dengan latensi rendah, throughput tinggi, dan jaringan yang sangat redundan. Dengan Zona Ketersediaan, Anda dapat merancang dan mengoperasikan aplikasi dan basis data yang secara otomatis melakukan failover di antara Zona Ketersediaan tanpa gangguan. Zona Ketersediaan memiliki ketersediaan dan toleransi kesalahan yang lebih baik, dan dapat diskalakan dibandingkan infrastruktur biasa yang terdiri dari satu atau beberapa pusat data.
Bahkan hilangnya total grup sumber daya pengguna tidak akan mengakibatkan hilangnya data pelanggan, karena sebagian besar data pelanggan direplikasi di seluruh AWS Availability Zones (AZs). Jika Anda menghapus grup secara tidak sengaja, hubungi [AWS Dukungan Pusat](https://console.aws.amazon.com/support/home#/).
Untuk informasi selengkapnya tentang Wilayah AWS dan Availability Zone, lihat [Infrastruktur AWS Global](https://aws.amazon.com/about-aws/global-infrastructure/).
# Keamanan infrastruktur di Resource Groups
Tidak ada cara tambahan untuk mengisolasi lalu lintas layanan atau jaringan yang disediakan oleh Resource Groups. Jika berlaku, gunakan isolasi AWS khusus. Anda dapat menggunakan Resource Groups API dan konsol di VPC untuk membantu memaksimalkan privasi dan keamanan infrastruktur.
Sebagai layanan terkelola, AWS Resource Groups dilindungi oleh keamanan jaringan AWS global. Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat [Keamanan AWS Cloud](https://aws.amazon.com/security/). Untuk mendesain AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat [Perlindungan Infrastruktur dalam Kerangka Kerja](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) yang * AWS Diarsiteksikan dengan Baik Pilar Keamanan*.
Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses Resource Groups melalui jaringan. Klien harus mendukung hal-hal berikut:
+ Keamanan Lapisan Pengangkutan (TLS). Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Sandi cocok dengan sistem kerahasiaan maju sempurna (perfect forward secrecy, PFS) seperti DHE (Ephemeral Diffie-Hellman) atau ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.
Resource Groups tidak mendukung kebijakan berbasis sumber daya.
# Akses AWS Resource Groups menggunakan endpoint antarmuka ()AWS PrivateLink
Anda dapat menggunakan AWS PrivateLink untuk membuat koneksi pribadi antara VPC Anda dan. AWS Resource Groups Anda dapat mengakses Resource Groups seolah-olah berada di VPC Anda, tanpa menggunakan gateway internet, perangkat NAT, koneksi VPN, atau koneksi. Direct Connect Instans di VPC Anda tidak memerlukan alamat IP publik untuk mengakses Resource Groups.
Anda membuat koneksi pribadi ini dengan membuat *titik akhir antarmuka*, yang didukung oleh AWS PrivateLink. Kami membuat antarmuka jaringan endpoint di setiap subnet yang Anda aktifkan untuk titik akhir antarmuka. Ini adalah antarmuka jaringan yang dikelola pemohon yang berfungsi sebagai titik masuk untuk lalu lintas yang ditujukan untuk Resource Groups.
Untuk informasi selengkapnya, lihat [Akses Layanan AWS melalui AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) di *AWS PrivateLink Panduan*.
## Pertimbangan untuk Resource Groups
*Sebelum menyiapkan titik akhir antarmuka untuk Resource Groups, tinjau [Pertimbangan](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) dalam Panduan.AWS PrivateLink *
Resource Groups mendukung panggilan ke semua tindakan API-nya melalui titik akhir antarmuka.
## Membuat titik akhir antarmuka untuk Resource Groups
Anda dapat membuat titik akhir antarmuka untuk Resource Groups menggunakan konsol Amazon VPC atau AWS Command Line Interface ().AWS CLI Untuk informasi selengkapnya, lihat [Membuat titik akhir antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) di *AWS PrivateLink Panduan*.
Buat endpoint antarmuka untuk Resource Groups menggunakan nama layanan berikut:
```
com.amazonaws.region.resource-groups
```
Jika Anda mengaktifkan DNS pribadi untuk titik akhir antarmuka, Anda dapat membuat permintaan API ke Resource Groups menggunakan nama DNS Regional default. Misalnya, `resource-groups.us-east-1.amazonaws.com`.
## Buat kebijakan titik akhir untuk titik akhir antarmuka Anda
Kebijakan endpoint adalah sumber daya IAM yang dapat Anda lampirkan ke titik akhir antarmuka. Kebijakan endpoint default memungkinkan akses penuh ke Resource Groups melalui titik akhir antarmuka. Untuk mengontrol akses yang diizinkan ke Resource Groups dari VPC Anda, lampirkan kebijakan endpoint kustom ke titik akhir antarmuka.
kebijakan titik akhir mencantumkan informasi berikut:
+ Prinsipal yang dapat melakukan tindakan (Akun AWS, pengguna IAM, dan peran IAM).
+ Tindakan yang dapat dilakukan.
+ Sumber daya untuk melakukan tindakan.
Untuk informasi selengkapnya, lihat [Mengontrol akses ke layanan menggunakan kebijakan titik akhir](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) di *Panduan AWS PrivateLink *.
**Contoh: Kebijakan titik akhir VPC untuk tindakan Resource Groups**
Berikut ini adalah contoh kebijakan endpoint kustom. Saat Anda melampirkan kebijakan ini ke titik akhir antarmuka Anda, kebijakan ini akan memberikan akses ke tindakan Resource Groups yang terdaftar untuk semua prinsipal di semua sumber daya.
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"resource-groups:CreateGroup",
"resource-groups:GetAccountSettings",
"resource-groups:GetGroupQuery"
],
"Resource":"*"
}
]
}
```
# Praktik terbaik keamanan untuk Resource Groups
Praktik terbaik berikut adalah pedoman umum dan tidak mewakili solusi keamanan yang lengkap. Karena praktik terbaik ini mungkin tidak sesuai atau tidak memadai untuk lingkungan Anda, perlakukan itu sebagai pertimbangan yang bermanfaat, bukan sebagai resep.
+ **Gunakan prinsip hak istimewa paling sedikit** untuk memberikan akses ke grup. Resource Groups mendukung izin tingkat sumber daya. Berikan akses ke grup tertentu hanya seperti yang diperlukan untuk pengguna tertentu. Hindari menggunakan tanda bintang dalam pernyataan kebijakan yang menetapkan izin untuk semua pengguna atau semua grup. Untuk informasi selengkapnya tentang hak istimewa terkecil, lihat [Memberikan Hak Istimewa Paling Sedikit](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#grant-least-privilege) di Panduan Pengguna *IAM*.
+ **Jauhkan informasi pribadi dari bidang publik.** Nama grup diperlakukan sebagai metadata layanan. Nama grup tidak dienkripsi. Jangan menaruh informasi sensitif dalam nama grup. Deskripsi grup bersifat pribadi.
Jangan letakkan informasi pribadi atau sensitif di kunci tag atau nilai tag.
+ **Gunakan otorisasi berdasarkan penandaan kapan pun sesuai**. Resource Groups mendukung otorisasi berdasarkan tag. Anda dapat menandai grup, lalu memperbarui kebijakan yang dilampirkan ke prinsipal IAM Anda, seperti pengguna dan peran, untuk mengatur tingkat akses mereka berdasarkan tag yang diterapkan ke grup. Untuk informasi selengkapnya tentang cara menggunakan otorisasi berdasarkan tag, lihat [Mengontrol akses ke AWS sumber daya menggunakan tag sumber daya](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_tags.html) di *Panduan Pengguna IAM*.
Banyak AWS layanan mendukung otorisasi berdasarkan tag untuk sumber daya mereka. Ketahuilah bahwa otorisasi berbasis tag mungkin dikonfigurasi untuk sumber daya anggota dalam grup. Jika akses ke sumber daya grup dibatasi oleh tag, pengguna atau grup yang tidak sah mungkin tidak dapat melakukan tindakan atau otomatisasi pada sumber daya tersebut. Misalnya, jika EC2 instans Amazon di salah satu grup Anda ditandai dengan kunci tag dan nilai tag`High`, `Confidentiality` dan Anda tidak diizinkan untuk menjalankan perintah pada sumber daya yang ditandai`Confidentiality:High`, tindakan atau otomatisasi yang Anda lakukan pada EC2 instance akan gagal, bahkan jika tindakan berhasil untuk sumber daya lain dalam grup sumber daya. Untuk informasi selengkapnya tentang layanan mana yang mendukung otorisasi berbasis tag untuk sumber daya mereka, lihat [AWS Layanan yang Bekerja dengan IAM di Panduan](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) Pengguna *IAM*.
Untuk informasi selengkapnya tentang mengembangkan strategi penandaan untuk AWS sumber daya Anda, lihat Strategi [AWS Penandaan](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/).