Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Membuat kebijakan IAM untuk mengakses sumber daya Amazon S3
<a name="AuroraMySQL.Integrating.Authorizing.IAM.S3CreatePolicy"></a>

Aurora dapat mengakses sumber daya Amazon S3 untuk memuat data ke atau menyimpan data dari klaster DB Aurora. Namun, Anda harus terlebih dahulu membuat kebijakan IAM yang memberikan izin bucket dan objek yang memungkinkan Aurora mengakses Amazon S3.

Tabel berikut mencantumkan fitur Aurora yang dapat mengakses bucket Amazon S3 atas nama Anda, serta izin bucket dan objek minimum yang diperlukan setiap fitur.


| Fitur | Izin bucket | Izin objek | 
| --- | --- | --- | 
|  `LOAD DATA FROM S3`  |  `ListBucket`  |  `GetObject` `GetObjectVersion`  | 
| LOAD XML FROM S3 |  `ListBucket`  |  `GetObject` `GetObjectVersion`  | 
|  `SELECT INTO OUTFILE S3`  |  `ListBucket`  |  `AbortMultipartUpload` `DeleteObject` `GetObject` `ListMultipartUploadParts` `PutObject`  | 

Kebijakan berikut menambahkan izin yang mungkin diperlukan Aurora untuk mengakses bucket Amazon S3 atas nama Anda. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowAuroraToExampleBucket",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:AbortMultipartUpload",
                "s3:ListBucket",
                "s3:DeleteObject",
                "s3:GetObjectVersion",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/*",
                "arn:aws:s3:::amzn-s3-demo-bucket"
            ]
        }
    ]
}
```

------

**catatan**  
 Pastikan untuk menyertakan kedua entri tersebut untuk nilai `Resource`. Aurora memerlukan izin pada bucket itu sendiri dan semua objek di dalam bucket.   
Berdasarkan kasus penggunaan Anda, Anda mungkin tidak perlu menambahkan semua izin dalam contoh kebijakan. Selain itu, izin lain mungkin diperlukan. Misalnya, jika bucket Amazon S3 Anda dienkripsi, Anda perlu menambahkan izin `kms:Decrypt`.

Anda dapat menggunakan langkah-langkah berikut untuk membuat kebijakan IAM yang memberikan izin minimum yang diperlukan bagi Aurora untuk mengakses bucket Amazon S3 atas nama Anda. Untuk mengizinkan Aurora mengakses semua bucket Amazon S3 Anda, Anda dapat melewati langkah-langkah ini dan menggunakan kebijakan IAM standar `AmazonS3ReadOnlyAccess` atau `AmazonS3FullAccess` daripada membuatnya sendiri.

**Untuk membuat kebijakan IAM untuk memberikan akses ke sumber daya Amazon S3 Anda**

1. Buka [Konsol Manajemen IAM](https://console.aws.amazon.com/iam/home?#home).

1. Di panel navigasi, pilih **Kebijakan**.

1. Pilih **Buat kebijakan**.

1. Pada tab **Editor visual**, klik **Pilih layanan**, lalu pilih **S3**.

1. Untuk **Tindakan**, pilih **Perluas semua**, lalu pilih izin bucket dan izin objek yang diperlukan untuk kebijakan IAM.

   Izin objek adalah izin untuk operasi objek di Amazon S3, dan perlu diberikan untuk objek dalam bucket, bukan bucket itu sendiri. Untuk informasi selengkapnya tentang izin untuk operasi objek di Amazon S3, lihat [Izin untuk operasi objek](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-with-s3-actions.html#using-with-s3-actions-related-to-objects).

1. Pilih **Sumber Daya**, lalu pilih **Tambahkan ARN** untuk **bucket**.

1. Di kotak dialog **Tambahkan ARN**, berikan detail tentang sumber daya Anda, dan pilih **Tambahkan**.

   Tentukan ke bucket Amazon S3 mana akses akan diizinkan. Misalnya, jika Anda ingin mengizinkan Aurora mengakses bucket Amazon S3 bernama *amzn-s3-demo-bucket*, maka atur nilai Amazon Resource Name (ARN) ke `arn:aws:s3:::amzn-s3-demo-bucket`.

1. Jika sumber daya **objek** dicantumkan, pilih **Tambahkan ARN** untuk **objek**.

1. Di kotak dialog **Tambahkan ARN**, berikan detail tentang sumber daya Anda.

   Untuk bucket Amazon S3, tentukan ke bucket Amazon S3 mana akses akan diizinkan. Untuk objeknya, Anda dapat memilih **Apa pun** untuk memberikan izin ke objek apa pun di bucket.
**catatan**  
Anda dapat mengatur **Amazon Resource Name (ARN)** ke nilai ARN yang lebih spesifik untuk memungkinkan Aurora hanya mengakses file atau folder tertentu dalam bucket Amazon S3. Untuk informasi selengkapnya tentang cara menentukan kebijakan akses untuk Amazon S3, lihat [Mengelola izin akses ke sumber daya Amazon S3 Anda](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-access-control.html).

1. (Opsional) Pilih **Tambahkan ARN** untuk **bucket** guna menambahkan bucket Amazon S3 lainnya ke kebijakan, dan ulangi langkah sebelumnya untuk bucket.
**catatan**  
Anda dapat mengulanginya untuk menambahkan pernyataan izin bucket yang sesuai ke kebijakan Anda untuk setiap bucket Amazon S3 yang Anda ingin agar diakses Aurora. Secara opsional, Anda juga dapat memberikan akses ke semua bucket dan objek di Amazon S3.

1. Pilih **Tinjau kebijakan**.

1. Untuk **Nama**, masukkan nama untuk kebijakan IAM Anda, misalnya `AllowAuroraToExampleBucket`. Anda menggunakan nama ini saat membuat peran IAM untuk dikaitkan dengan klaster DB Aurora Anda. Anda juga dapat menambahkan nilai **Deskripsi** opsional.

1. Pilih **Buat kebijakan**.

1. Selesaikan langkah-langkah dalam [Membuat peran IAM untuk memungkinkan Amazon Aurora mengakses layanan AWS](AuroraMySQL.Integrating.Authorizing.IAM.CreateRole.md).