Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Kelola access key untuk pengguna IAM
<a name="id_credentials_access-keys"></a>

**penting**  
Sebagai [praktik terbaik](best-practices.md), gunakan kredensi keamanan sementara (seperti peran IAM) alih-alih membuat kredensi jangka panjang seperti kunci akses. Sebelum membuat kunci akses, tinjau [alternatif untuk kunci akses jangka panjang](security-creds-programmatic-access.md#security-creds-alternatives-to-long-term-access-keys).

Kunci akses adalah kredensi jangka panjang untuk pengguna IAM atau. Pengguna root akun AWS Anda dapat menggunakan kunci akses untuk menandatangani permintaan terprogram ke AWS CLI atau AWS API (secara langsung atau menggunakan AWS SDK). Untuk informasi selengkapnya, lihat [Akses terprogram dengan kredensi AWS keamanan](security-creds-programmatic-access.md).

Access key terdiri dari dua bagian: access key ID (misalnya, `AKIAIOSFODNN7EXAMPLE`) dan secret access key (misalnya, `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`). Anda harus menggunakan ID kunci akses dan kunci akses rahasia bersama-sama untuk mengautentikasi permintaan Anda.



Saat Anda membuat pasangan access key, simpan access key ID dan secret access key di lokasi yang aman. Kunci akses rahasia hanya dapat diambil pada saat Anda membuatnya. Jika Anda kehilangan secret access key, Anda harus menghapus access key dan membuat access key baru. Untuk instruksi lebih lanjut, lihat[Perbarui kunci akses](id-credentials-access-keys-update.md).

Anda dapat memiliki maksimal dua kunci akses per pengguna.

**penting**  
Pengguna IAM dengan kunci akses adalah risiko keamanan akun. Kelola kunci akses Anda dengan aman. Jangan berikan kunci akses Anda kepada pihak yang tidak berwenang, bahkan untuk membantu [menemukan pengenal akun Anda](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html). Dengan melakukan tindakan ini, Anda mungkin memberi seseorang akses permanen ke akun Anda.  
Saat bekerja dengan kunci akses, perhatikan hal-hal berikut:  
**JANGAN** gunakan kredensi root akun Anda untuk membuat kunci akses.
**JANGAN** menaruh kunci akses atau informasi kredensi dalam file aplikasi Anda. 
**JANGAN** sertakan file yang berisi kunci akses atau informasi kredensi di area proyek Anda.
Kunci akses atau informasi kredensi yang disimpan dalam file AWS kredensial bersama disimpan dalam teks biasa.

## Rekomendasi pemantauan
<a name="monitor-access-keys"></a>

Setelah membuat kunci akses:
+ Gunakan AWS CloudTrail untuk memantau penggunaan kunci akses dan mendeteksi upaya akses yang tidak sah. Untuk informasi selengkapnya, lihat [Mencatat panggilan IAM dan AWS STS API dengan AWS CloudTrail](cloudtrail-integration.md).
+ Siapkan CloudWatch alarm untuk memberi tahu administrator untuk upaya akses yang ditolak untuk membantu mendeteksi aktivitas berbahaya. Untuk informasi selengkapnya, lihat [Panduan CloudWatch Pengguna Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
+ Tinjau, perbarui, dan hapus kunci akses secara teratur sesuai kebutuhan.

Topik berikut merinci tugas manajemen yang terkait dengan kunci akses.

**Topics**
+ [Rekomendasi pemantauan](#monitor-access-keys)
+ [Kontrol penggunaan kunci akses dengan melampirkan kebijakan inline ke pengguna IAM](access-keys_inline-policy.md)
+ [Izin diperlukan untuk mengelola kunci akses](access-keys_required-permissions.md)
+ [Bagaimana pengguna IAM dapat mengelola kunci akses mereka sendiri](access-key-self-managed.md)
+ [Bagaimana administrator IAM dapat mengelola kunci akses pengguna IAM](access-keys-admin-managed.md)
+ [Perbarui kunci akses](id-credentials-access-keys-update.md)
+ [Kunci akses aman](securing_access-keys.md)

# Kontrol penggunaan kunci akses dengan melampirkan kebijakan inline ke pengguna IAM
<a name="access-keys_inline-policy"></a>

Sebagai praktik terbaik, kami menyarankan agar [beban kerja menggunakan kredensional sementara dengan peran IAM](best-practices.md#bp-workloads-use-roles) untuk mengakses. AWS Pengguna IAM dengan kunci akses harus diberi akses hak istimewa paling sedikit dan mengaktifkan [otentikasi multi-faktor (MFA](id_credentials_mfa.md)). Untuk informasi selengkapnya tentang mengasumsikan peran IAM, lihat. [Metode untuk mengambil peran](id_roles_manage-assume.md)

Namun, jika Anda membuat uji bukti konsep otomatisasi layanan atau kasus penggunaan jangka pendek lainnya, dan Anda memilih untuk menjalankan beban kerja menggunakan pengguna IAM dengan kunci akses, kami sarankan Anda [menggunakan ketentuan kebijakan untuk lebih membatasi akses](best-practices.md#use-policy-conditions) kredensi pengguna IAM mereka.

Dalam situasi ini, Anda dapat membuat kebijakan terikat waktu yang kedaluwarsa kredensialnya setelah waktu yang ditentukan atau, jika Anda menjalankan beban kerja dari jaringan aman, Anda dapat menggunakan kebijakan pembatasan IP.

Untuk kedua kasus penggunaan ini, Anda dapat menggunakan kebijakan inline yang dilampirkan ke pengguna IAM yang memiliki kunci akses.

**Untuk mengonfigurasi kebijakan terikat waktu bagi pengguna IAM**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Pengguna** dan kemudian pilih pengguna untuk kasus penggunaan jangka pendek. Jika Anda belum membuat pengguna, Anda dapat [membuat pengguna](getting-started-workloads.md) sekarang.

1. Pada halaman **Detail** pengguna, pilih tab **Izin**.

1. Pilih **Tambahkan izin**, lalu pilih **Buat kebijakan sebaris**.

1. Di bagian **Editor kebijakan**, pilih **JSON** untuk menampilkan editor JSON.

1. Di editor JSON, masukkan kebijakan berikut, ganti nilai `aws:CurrentTime` stempel waktu dengan tanggal dan waktu kedaluwarsa yang Anda inginkan:

------
#### [ JSON ]

****  

   ```
   {
   "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Deny",
         "Action": "*",
         "Resource": "*",
         "Condition": {
         "DateGreaterThan": {
         "aws:CurrentTime": "2025-03-01T00:12:00Z"
           }
         }
       }
     ]
   }
   ```

------

   Kebijakan ini menggunakan `Deny` efek untuk membatasi semua tindakan pada semua sumber daya setelah tanggal yang ditentukan. `DateGreaterThan`Kondisi membandingkan waktu saat ini dengan stempel waktu yang Anda tetapkan.

1. Pilih **Berikutnya** untuk melanjutkan ke halaman **Tinjauan dan buat**. Di Rincian **kebijakan**, di bawah **Nama kebijakan**, masukkan nama untuk kebijakan tersebut, lalu pilih **Buat kebijakan**.

Setelah kebijakan dibuat, kebijakan akan ditampilkan di tab **Izin** untuk pengguna. Ketika waktu saat ini lebih besar dari atau sama dengan waktu yang ditentukan dalam kebijakan, pengguna tidak akan lagi memiliki akses ke AWS sumber daya. Pastikan untuk memberi tahu pengembang beban kerja tentang tanggal kedaluwarsa yang Anda tentukan untuk kunci akses ini. 

**Untuk mengonfigurasi kebijakan pembatasan IP untuk pengguna IAM**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Pengguna** dan kemudian pilih pengguna yang akan menjalankan beban kerja dari jaringan aman. Jika Anda belum membuat pengguna, Anda dapat [membuat pengguna](getting-started-workloads.md) sekarang.

1. Pada halaman **Detail** pengguna, pilih tab **Izin**.

1. Pilih **Tambahkan izin**, lalu pilih **Buat kebijakan sebaris**.

1. Di bagian **Editor kebijakan**, pilih **JSON** untuk menampilkan editor JSON.

1. Salin kebijakan IAM berikut ke editor JSON, dan ubah publik IPv4 atau IPv6 alamat, atau rentang sesuai kebutuhan Anda. Anda dapat menggunakan [https://checkip.amazonaws.com/](https://checkip.amazonaws.com/)untuk menentukan alamat IP publik Anda saat ini. Anda dapat menentukan alamat IP individual, atau rentang alamat IP menggunakan notasi garis miring. Untuk informasi selengkapnya, lihat [aws:SourceIp](reference_policies_condition-keys.md#condition-keys-sourceip). 
**catatan**  
Alamat IP tidak boleh dikaburkan oleh VPN atau server proxy.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Sid":"IpRestrictionIAMPolicyForIAMUser",
         "Effect": "Deny",
         "Action": "*",
         "Resource": "*",
         "Condition": {
           "NotIpAddress": {
             "aws:SourceIp": [
               "203.0.113.0/24",
               "2001:DB8:1234:5678::/64",
               "203.0.114.1"
             ]
           },
           "BoolIfExists": {
             "aws:ViaAWSService": "false"
           }
         }
       }
     ]
   }
   ```

------

   Contoh kebijakan ini menolak penggunaan kunci akses pengguna IAM dengan kebijakan ini diterapkan, kecuali permintaan tersebut berasal dari jaringan (ditentukan dalam notasi CIDR) “203.0.113.0/24”, “2001:: 1234:5678DB8: :/64”, atau alamat IP spesifik “203.0.114.1” 

1. Pilih **Berikutnya** untuk melanjutkan ke halaman **Tinjauan dan buat**. Di Rincian **kebijakan**, di bawah **Nama kebijakan**, masukkan nama untuk kebijakan tersebut, lalu pilih **Buat kebijakan**.

Setelah kebijakan dibuat, kebijakan akan ditampilkan di tab **Izin** untuk pengguna. 

Anda juga dapat menerapkan kebijakan ini sebagai kebijakan kontrol layanan (SCP) di beberapa AWS akun AWS Organizations, kami sarankan menggunakan kondisi tambahan, `aws:PrincipalArn` untuk membuat pernyataan kebijakan ini hanya berlaku untuk pengguna IAM dalam AWS akun yang tunduk pada SCP ini. Kebijakan berikut mencakup pemutakhiran tersebut:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "IpRestrictionServiceControlPolicyForIAMUsers",
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "NotIpAddress": {
          "aws:SourceIp": [
            "203.0.113.0/24",
            "2001:DB8:1234:5678::/64",
            "203.0.114.1"
          ]
        },
        "BoolIfExists": {
          "aws:ViaAWSService": "false"
        },
        "ArnLike": {
          "aws:PrincipalArn": "arn:aws:iam::*:user/*"
        }
      }
    }
  ]
}
```

------

# Izin diperlukan untuk mengelola kunci akses
<a name="access-keys_required-permissions"></a>

**catatan**  
`iam:TagUser`adalah izin opsional untuk menambahkan dan mengedit deskripsi untuk kunci akses. Untuk informasi selengkapnya, lihat [Tag pengguna IAM](id_tags_users.md)

Untuk membuat kunci akses untuk pengguna IAM Anda sendiri, Anda harus memiliki izin dari kebijakan berikut:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:GetUser",
                "iam:ListAccessKeys",
                "iam:TagUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}
```

------

Untuk memperbarui kunci akses untuk pengguna IAM Anda sendiri, Anda harus memiliki izin dari kebijakan berikut:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ManageOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:DeleteAccessKey",
                "iam:GetAccessKeyLastUsed",
                "iam:GetUser",
                "iam:ListAccessKeys",
                "iam:UpdateAccessKey",
                "iam:TagUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}
```

------

# Bagaimana pengguna IAM dapat mengelola kunci akses mereka sendiri
<a name="access-key-self-managed"></a>

Administrator IAM dapat memberikan izin kepada pengguna IAM untuk mengelola sendiri kunci akses mereka dengan melampirkan kebijakan yang dijelaskan di dalamnya. [Izin diperlukan untuk mengelola kunci akses](access-keys_required-permissions.md)

Dengan izin ini, pengguna IAM dapat menggunakan prosedur berikut untuk membuat, mengaktifkan, menonaktifkan, dan menghapus kunci akses yang terkait dengan nama pengguna mereka.

**Topics**
+ [Buat kunci akses untuk Anda sendiri (konsol)](#Using_CreateAccessKey)
+ [Nonaktifkan kunci akses Anda (konsol)](#deactivate-access-key-seccreds)
+ [Aktifkan kunci akses Anda (konsol)](#activate-access-key-seccreds)
+ [Hapus kunci akses Anda (konsol)](#delete-access-key-seccreds)

## Buat kunci akses untuk Anda sendiri (konsol)
<a name="Using_CreateAccessKey"></a>

Jika Anda telah diberikan izin yang sesuai, Anda dapat menggunakan tombol Konsol Manajemen AWS untuk membuat kunci akses untuk diri Anda sendiri.

**Untuk membuat kunci akses Anda sendiri (konsol)**

1. Gunakan ID AWS akun atau alias akun, nama pengguna IAM, dan kata sandi Anda untuk masuk ke konsol [IAM](https://console.aws.amazon.com/iam).
**catatan**  
Untuk kenyamanan Anda, halaman AWS masuk menggunakan cookie browser untuk mengingat nama pengguna IAM dan informasi akun Anda. Jika Anda sebelumnya masuk sebagai pengguna yang berbeda, pilih **Masuk ke akun lain** dekat bagian bawah halaman untuk kembali ke halaman masuk utama. Dari sana, Anda dapat mengetikkan ID AWS akun atau alias akun Anda untuk diarahkan ke halaman login pengguna IAM untuk akun Anda.

   Untuk mendapatkan Akun AWS ID Anda, hubungi administrator Anda.

1. Di bilah navigasi di kanan atas, pilih nama pengguna Anda, lalu pilih **Kredensi keamanan**.   
![\[AWS Tautan kredensi Keamanan Konsol Manajemen\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. Pada bagian **Access key**, pilih **Buat access key**. Jika Anda sudah memiliki dua kunci akses, tombol ini dinonaktifkan dan Anda harus menghapus kunci akses sebelum Anda dapat membuat yang baru.

1. Pada halaman **praktik terbaik & alternatif kunci Access**, pilih kasus penggunaan Anda untuk mempelajari opsi tambahan yang dapat membantu Anda menghindari pembuatan kunci akses jangka panjang. Jika Anda menentukan bahwa kasus penggunaan Anda masih memerlukan kunci akses, pilih **Lainnya** dan kemudian pilih **Berikutnya**.

1. (Opsional) Tetapkan nilai tag deskripsi untuk kunci akses. Ini menambahkan pasangan nilai kunci tag ke pengguna IAM Anda. Ini dapat membantu Anda mengidentifikasi dan memperbarui kunci akses nanti. Kunci tag diatur ke id kunci akses. Nilai tag diatur ke deskripsi kunci akses yang Anda tentukan. Setelah selesai, pilih **Buat kunci akses**.

1. Pada halaman **Ambil kunci akses**, pilih **Tampilkan** untuk mengungkapkan nilai kunci akses rahasia pengguna Anda, atau **Unduh file.csv.** Ini adalah satu-satunya kesempatan untuk menyimpan secret access key Anda. Setelah menyimpan kunci akses rahasia di lokasi yang aman, pilih **Selesai**.

## Nonaktifkan kunci akses Anda (konsol)
<a name="deactivate-access-key-seccreds"></a>

Jika Anda telah diberikan izin yang sesuai, Anda dapat menggunakan tombol Konsol Manajemen AWS untuk menonaktifkan kunci akses Anda.

**Untuk menonaktifkan kunci akses**

1. Gunakan ID AWS akun atau alias akun, nama pengguna IAM, dan kata sandi Anda untuk masuk ke konsol [IAM](https://console.aws.amazon.com/iam).
**catatan**  
Untuk kenyamanan Anda, halaman AWS masuk menggunakan cookie browser untuk mengingat nama pengguna IAM dan informasi akun Anda. Jika Anda sebelumnya masuk sebagai pengguna yang berbeda, pilih **Masuk ke akun lain** dekat bagian bawah halaman untuk kembali ke halaman masuk utama. Dari sana, Anda dapat mengetikkan ID AWS akun atau alias akun Anda untuk diarahkan ke halaman login pengguna IAM untuk akun Anda.

   Untuk mendapatkan Akun AWS ID Anda, hubungi administrator Anda.

1. Di bilah navigasi di kanan atas, pilih nama pengguna Anda, lalu pilih **Kredensi keamanan**.   
![\[AWS Tautan kredensi Keamanan Konsol Manajemen\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. Di bagian **Kunci akses** temukan kunci yang ingin Anda nonaktifkan, lalu pilih **Tindakan**, lalu pilih **Nonaktifkan**. Saat diminta konfirmasi, pilih **Deactivate** (Nonaktifkan). Access key yang dinonaktifkan masih diperhitungkan dalam batas dua access key Anda.

## Aktifkan kunci akses Anda (konsol)
<a name="activate-access-key-seccreds"></a>

Jika Anda telah diberikan izin yang sesuai, Anda dapat menggunakan tombol Konsol Manajemen AWS untuk mengaktifkan kunci akses Anda.

**Untuk mengaktifkan kunci akses**

1. Gunakan ID AWS akun atau alias akun, nama pengguna IAM, dan kata sandi Anda untuk masuk ke konsol [IAM](https://console.aws.amazon.com/iam).
**catatan**  
Untuk kenyamanan Anda, halaman AWS masuk menggunakan cookie browser untuk mengingat nama pengguna IAM dan informasi akun Anda. Jika Anda sebelumnya masuk sebagai pengguna yang berbeda, pilih **Masuk ke akun lain** dekat bagian bawah halaman untuk kembali ke halaman masuk utama. Dari sana, Anda dapat mengetikkan ID AWS akun atau alias akun Anda untuk diarahkan ke halaman login pengguna IAM untuk akun Anda.

   Untuk mendapatkan Akun AWS ID Anda, hubungi administrator Anda.

1. Di bilah navigasi di kanan atas, pilih nama pengguna Anda, lalu pilih **Kredensi keamanan**.   
![\[AWS Tautan kredensi Keamanan Konsol Manajemen\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. Di bagian **Kunci akses**, temukan kunci untuk mengaktifkan, lalu pilih **Tindakan**, lalu pilih **Aktifkan**.

## Hapus kunci akses Anda (konsol)
<a name="delete-access-key-seccreds"></a>

Jika Anda telah diberikan izin yang sesuai, Anda dapat menggunakan tombol Konsol Manajemen AWS untuk menghapus kunci akses Anda.

**Untuk menghapus kunci akses saat Anda tidak lagi membutuhkannya**

1. Gunakan ID AWS akun atau alias akun, nama pengguna IAM, dan kata sandi Anda untuk masuk ke konsol [IAM](https://console.aws.amazon.com/iam).
**catatan**  
Untuk kenyamanan Anda, halaman AWS masuk menggunakan cookie browser untuk mengingat nama pengguna IAM dan informasi akun Anda. Jika Anda sebelumnya masuk sebagai pengguna yang berbeda, pilih **Masuk ke akun lain** dekat bagian bawah halaman untuk kembali ke halaman masuk utama. Dari sana, Anda dapat mengetikkan ID AWS akun atau alias akun Anda untuk diarahkan ke halaman login pengguna IAM untuk akun Anda.

   Untuk mendapatkan Akun AWS ID Anda, hubungi administrator Anda.

1. Di bilah navigasi di kanan atas, pilih nama pengguna Anda, lalu pilih **Kredensi keamanan**.   
![\[AWS Tautan kredensi Keamanan Konsol Manajemen\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. Di bagian **Kunci akses**, cari kunci yang ingin Anda hapus, lalu pilih **Tindakan**, lalu pilih **Hapus**. Ikuti instruksi dalam dialog untuk pertama **Nonaktifkan** dan kemudian konfirmasikan penghapusan. Sebaiknya verifikasi bahwa access key tidak lagi digunakan sebelum Anda menghapusnya secara permanen.

# Bagaimana administrator IAM dapat mengelola kunci akses pengguna IAM
<a name="access-keys-admin-managed"></a>

Administrator IAM dapat membuat, mengaktifkan, menonaktifkan, dan menghapus kunci akses yang terkait dengan pengguna IAM individu. Mereka juga dapat mencantumkan pengguna IAM di akun yang memiliki kunci akses dan menemukan pengguna IAM mana yang memiliki kunci akses tertentu.

**Topics**
+ [Untuk membuat kunci akses untuk pengguna IAM](#admin-create-access-key)
+ [Untuk menonaktifkan kunci akses untuk pengguna IAM](#admin-deactivate-access-key)
+ [Untuk mengaktifkan kunci akses untuk pengguna IAM](#admin-activate-access-key)
+ [Untuk menghapus kunci akses untuk pengguna IAM](#admin-delete-access-key)
+ [Untuk membuat daftar kunci akses untuk pengguna IAM](#admin-list-access-key)
+ [Untuk menampilkan semua kunci akses IDs bagi pengguna di akun Anda](#admin-list-all-access-keys)
+ [Untuk menggunakan ID kunci akses untuk menemukan pengguna](#admin-find-user-access-keys)
+ [Untuk menemukan penggunaan terbaru dari ID kunci akses](#admin-find-most-recent-use-access-keys)

## Untuk membuat kunci akses untuk pengguna IAM
<a name="admin-create-access-key"></a>

------
#### [ Console ]

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Users** (Pengguna).

1. Pilih nama pengguna untuk membuka halaman detail pengguna.

1. Pada tab **Security credentials**, di bagian **Access keys**, pilih **Create Access** Key.

   Jika tombol dinonaktifkan, maka Anda harus menghapus salah satu kunci yang ada sebelum Anda dapat membuat yang baru.

1. Pada halaman **Praktik & Alternatif Terbaik Kunci Akses**, tinjau praktik dan alternatif terbaik. Pilih kasus penggunaan Anda untuk mempelajari tentang opsi tambahan yang dapat membantu Anda menghindari membuat kunci akses jangka panjang.

1. Jika Anda menentukan bahwa kasus penggunaan Anda masih memerlukan kunci akses, pilih **Lainnya** dan kemudian pilih **Berikutnya**.

1. **(Opsional)** Pada halaman **Setel tag deskripsi**, Anda dapat menambahkan tag deskripsi ke kunci akses untuk membantu melacak kunci akses Anda. Pilih **Buat tombol akses**.

1. Pada **halaman Retrieve access key**, pilih **Tampilkan** untuk mengungkapkan nilai kunci akses rahasia pengguna Anda.

1. Untuk menyimpan ID kunci akses dan kunci akses rahasia ke `.csv` file ke lokasi aman di komputer Anda, pilih tombol **Unduh file.csv**.
**penting**  
Ini adalah satu-satunya waktu Anda untuk melihat atau mengunduh kunci akses yang baru dibuat dan Anda tidak dapat memulihkannya. Pastikan Anda menjaga kunci akses Anda dengan aman.

Saat Anda membuat kunci akses untuk pengguna Anda, key pair tersebut aktif secara default, dan pengguna Anda dapat langsung menggunakan pasangan tersebut.

------
#### [ AWS CLI ]

Jalankan perintah berikut:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html)

------
#### [ API ]

Panggil operasi berikut:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html) 

------

## Untuk menonaktifkan kunci akses untuk pengguna IAM
<a name="admin-deactivate-access-key"></a>

------
#### [ Console ]

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Users** (Pengguna).

1. Pilih nama pengguna untuk membuka halaman detail pengguna.

1. **Pada tab **Security credentials**, di bagian **Access keys**, pilih menu drop-down **Actions**, lalu pilih Nonaktifkan.**

1. **Di kotak dialog **Nonaktifkan**, konfirmasikan bahwa Anda ingin menonaktifkan kunci akses dengan memilih Nonaktifkan**

Setelah kunci akses dinonaktifkan, itu tidak dapat lagi digunakan oleh panggilan API. Anda dapat mengaktifkannya lagi jika diperlukan.

------
#### [ AWS CLI ]

Jalankan perintah berikut:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html)

------
#### [ API ]

Panggil operasi berikut:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html) 

------

## Untuk mengaktifkan kunci akses untuk pengguna IAM
<a name="admin-activate-access-key"></a>

------
#### [ Console ]

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Users** (Pengguna).

1. Pilih nama pengguna untuk membuka halaman detail pengguna.

1. **Pada tab **Security credentials**, di bagian **Access keys**, pilih menu drop-down **Actions**, lalu pilih Activate.**

Setelah kunci akses diaktifkan, itu dapat digunakan oleh panggilan API. Anda dapat menonaktifkannya lagi jika diperlukan.

------
#### [ AWS CLI ]

Jalankan perintah berikut:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html)

------
#### [ API ]

Panggil operasi berikut:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html) 

------

## Untuk menghapus kunci akses untuk pengguna IAM
<a name="admin-delete-access-key"></a>

Setelah kunci akses dinonaktifkan, jika tidak lagi diperlukan, hapus.

------
#### [ Console ]

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Users** (Pengguna).

1. Pilih nama pengguna untuk membuka halaman detail pengguna.

1. **Pada tab **Security credentials**, di bagian **Access keys**, pilih menu drop-down **Actions** untuk tombol akses tidak aktif, lalu pilih Delete.**

1. Di kotak dialog **Hapus**, konfirmasikan bahwa Anda ingin menghapus kunci akses dengan memasukkan ID kunci akses di bidang input teks dan kemudian memilih **Hapus**.

Setelah kunci akses dihapus, itu tidak dapat dipulihkan.

------
#### [ AWS CLI ]

Jalankan perintah berikut:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html)

------
#### [ API ]

Panggil operasi berikut:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html) 

------

## Untuk membuat daftar kunci akses untuk pengguna IAM
<a name="admin-list-access-key"></a>

Anda dapat melihat daftar kunci akses yang IDs terkait dengan pengguna IAM. 

------
#### [ Console ]

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Users** (Pengguna).

1. Pilih nama pengguna untuk membuka halaman detail pengguna.

1. Pada tab **Security credentials**, bagian **Access keys** mencantumkan kunci akses IDs untuk pengguna termasuk status setiap tombol yang ditampilkan.
**catatan**  
Hanya access key ID pengguna yang terlihat. Secret access key hanya dapat diambil kembali saat kunci dibuat.

Setiap pengguna IAM dapat memiliki dua kunci akses.

------
#### [ AWS CLI ]

Jalankan perintah berikut:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html](https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html)

------
#### [ API ]

Panggil operasi berikut:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html) 

------

## Untuk menampilkan semua kunci akses IDs bagi pengguna di akun Anda
<a name="admin-list-all-access-keys"></a>

Anda dapat melihat daftar kunci akses IDs untuk pengguna di situs Anda Akun AWS. 

------
#### [ Console ]

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Users** (Pengguna).

1. Pilih nama pengguna untuk membuka halaman detail pengguna.

1. Jika perlu, tambahkan kolom **access key ID** pada tabel pengguna dengan menyelesaikan langkah-langkah berikut:

   1. Di atas tabel di paling kanan, pilih ikon **Preferensi** (![\[Preferences icon\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/console-settings-icon.console.png)).

   1. Di kotak dialog **Preferensi**, di bawah **Pilih kolom yang terlihat**, aktifkan **ID kunci akses**.

   1. Pilih **Konfirmasi** untuk kembali ke daftar pengguna. Daftar diperbarui untuk menyertakan ID kunci akses.

1. Kolom **ID kunci Access** menunjukkan status setiap kunci akses, diikuti dengan ID-nya; misalnya, **`Active - AKIAIOSFODNN7EXAMPLE`**atau **`Inactive - AKIAI44QH8DHBEXAMPLE`**. 

   Anda dapat menggunakan informasi ini untuk melihat dan menyalin kunci akses IDs untuk pengguna dengan satu atau dua kunci akses. Kolom ditampilkan **`-`**untuk pengguna tanpa kunci akses.
**catatan**  
Secret access key hanya dapat diambil kembali saat kunci dibuat.

Setiap pengguna IAM dapat memiliki dua kunci akses.

------

## Untuk menggunakan ID kunci akses untuk menemukan pengguna
<a name="admin-find-user-access-keys"></a>

Anda dapat menggunakan ID kunci akses untuk menemukan pengguna di akun Anda Akun AWS. 

------
#### [ Console ]

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, di kotak pencarian, masukkan **ID kunci akses**, misalnyaAKIAI44QH8DHBEXAMPLE. 

1. Pengguna IAM yang dikaitkan dengan ID kunci akses muncul di panel navigasi. Pilih nama pengguna untuk membuka halaman detail pengguna.

------

## Untuk menemukan penggunaan terbaru dari ID kunci akses
<a name="admin-find-most-recent-use-access-keys"></a>

Penggunaan kunci akses terbaru ditampilkan dalam daftar pengguna di halaman pengguna IAM, di halaman detail pengguna, dan merupakan bagian dari laporan kredensi. 

------
#### [ Console ]

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Dalam daftar pengguna, lihat kolom **Access key last used**.

   Jika kolom tidak ditampilkan, pilih ikon **Preferensi** (![\[Preferences icon\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/console-settings-icon.console.png)) dan di bawah **Pilih kolom yang terlihat**, aktifkan **Kunci akses terakhir digunakan** untuk menampilkan kolom.

1. (opsional) Di panel navigasi, di bawah **Laporan akses**, pilih **Laporan kredenal** untuk mengunduh laporan yang menyertakan kunci akses informasi yang terakhir digunakan untuk semua pengguna IAM di akun Anda.

1. (opsional) Pilih pengguna IAM untuk melihat detail pengguna. Bagian **Ringkasan** mencakup kunci akses IDs, statusnya, dan kapan terakhir kali digunakan.

------
#### [ AWS CLI ]

Jalankan perintah berikut:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html)

------
#### [ API ]

Panggil operasi berikut:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html) 

------

# Perbarui kunci akses
<a name="id-credentials-access-keys-update"></a>

Sebagai [praktik keamanan terbaik](best-practices.md#update-access-keys), kami menyarankan Anda memperbarui kunci akses pengguna IAM saat diperlukan, seperti ketika seorang karyawan meninggalkan perusahaan Anda. Pengguna IAM dapat memperbarui kunci akses mereka sendiri jika mereka telah diberikan izin yang diperlukan.

Untuk detail tentang pemberian izin kepada pengguna IAM untuk memperbarui kunci akses mereka sendiri, lihat. [AWS: Memungkinkan pengguna IAM untuk mengelola kata sandi, kunci akses, dan kunci publik SSH mereka sendiri di halaman kredensi Keamanan](reference_policies_examples_aws_my-sec-creds-self-manage-pass-accesskeys-ssh.md) Anda juga dapat menerapkan kebijakan kata sandi ke akun Anda untuk mengharuskan semua pengguna IAM Anda memperbarui kata sandi mereka secara berkala dan seberapa sering mereka harus melakukannya. Untuk informasi selengkapnya, lihat [Menetapkan kebijakan kata sandi akun untuk pengguna IAM](id_credentials_passwords_account-policy.md). 

**catatan**  
Jika Anda kehilangan secret access key, Anda harus menghapus access key dan membuat access key baru. Kunci akses rahasia hanya dapat diambil pada saat Anda membuatnya. Gunakan prosedur ini untuk menonaktifkan dan kemudian mengganti kunci akses yang hilang dengan kredensi baru.

**Topics**
+ [Memperbarui kunci akses pengguna IAM (konsol)](#rotating_access_keys_console)
+ [Memperbarui kunci akses (AWS CLI)](#rotating_access_keys_cli)
+ [Memperbarui kunci akses (AWS API)](#rotating_access_keys_api)

## Memperbarui kunci akses pengguna IAM (konsol)
<a name="rotating_access_keys_console"></a>

Anda dapat memperbarui kunci akses dari file Konsol Manajemen AWS.

**Untuk memperbarui kunci akses untuk pengguna IAM tanpa mengganggu aplikasi Anda (konsol)**

1. Meskipun access key pertama masih aktif, buat access key kedua.

   1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

   1. Di panel navigasi, pilih **Pengguna**.

   1. Pilih nama pengguna yang dimaksud, lalu pilih tab **Kredensial keamanan**.

   1. Pada bagian **Access key**, pilih **Buat access key**. Pada halaman **Praktik & alternatif terbaik kunci Akses**, pilih **Lainnya**, lalu pilih **Berikutnya**.

   1. (Opsional) Tetapkan nilai tag deskripsi untuk kunci akses untuk menambahkan pasangan nilai kunci tag ke pengguna IAM ini. Ini dapat membantu Anda mengidentifikasi dan memperbarui kunci akses nanti. Kunci tag diatur ke id kunci akses. Nilai tag diatur ke deskripsi kunci akses yang Anda tentukan. Setelah selesai, pilih **Buat kunci akses**.

   1. Pada halaman **Ambil kunci akses**, pilih **Tampilkan** untuk mengungkapkan nilai kunci akses rahasia pengguna Anda, atau **Unduh file.csv.** Ini adalah satu-satunya kesempatan untuk menyimpan secret access key Anda. Setelah menyimpan kunci akses rahasia di lokasi yang aman, pilih **Selesai**.

      Saat Anda membuat kunci akses untuk pengguna Anda, key pair tersebut aktif secara default, dan pengguna Anda dapat langsung menggunakan pasangan tersebut. Pada titik ini, pengguna memiliki dua access key aktif.

1. Perbarui semua aplikasi dan alat untuk menggunakan access key baru.

1. <a name="id_credentials_access-keys-key-still-in-use"></a>Tentukan apakah kunci akses pertama masih digunakan dengan meninjau informasi yang **terakhir digunakan** untuk kunci akses tertua. Salah satu pendekatannya adalah dengan menunggu beberapa hari kemudian memeriksa access key lama untuk penggunaan apa pun sebelum melanjutkan.

1. Bahkan jika Informasi **terakhir yang digunakan** menunjukkan bahwa kunci lama tidak pernah digunakan, kami sarankan Anda tidak segera menghapus kunci akses pertama. Sebagai gantinya, pilih **Tindakan** dan kemudian pilih **Nonaktifkan** untuk menonaktifkan kunci akses pertama.

1. Gunakan hanya access key baru untuk mengonfirmasi bahwa aplikasi Anda berfungsi. Aplikasi dan alat apa pun yang masih menggunakan kunci akses asli akan berhenti berfungsi pada saat ini karena mereka tidak lagi memiliki akses ke AWS sumber daya. Jika Anda menemukan aplikasi atau alat seperti itu, Anda dapat mengaktifkan kembali kunci akses pertama. Lalu kembali ke [Step 3](#id_credentials_access-keys-key-still-in-use) dan perbarui aplikasi ini untuk menggunakan kunci baru.

1. Setelah Anda menunggu beberapa waktu untuk memastikan bahwa semua aplikasi dan alat telah diperbarui, Anda dapat menghapus access key pertama:

   1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

   1. Di panel navigasi, pilih **Pengguna**.

   1. Pilih nama pengguna yang dimaksud, lalu pilih tab **Kredensial keamanan**.

   1. Di bagian **Kunci akses** untuk kunci akses yang ingin Anda hapus, pilih **Tindakan**, lalu pilih **Hapus**. Ikuti instruksi dalam dialog untuk pertama **Nonaktifkan** dan kemudian konfirmasikan penghapusan.

**Untuk menentukan kunci akses mana yang perlu diperbarui atau dihapus (konsol)**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Pengguna**.

1. Jika perlu, tambahkan kolom **Usia access key** pada tabel pengguna dengan menyelesaikan langkah-langkah berikut:

   1. Di atas tabel di ujung kanan, pilih ikon pengaturan (![\[Settings icon\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/console-settings-icon.console.png)).

   1. Di **Kelola kolom**, pilih **Usia access key**.

   1. Pilih **Tutup** untuk kembali ke daftar pengguna.

1. Kolom **Usia access key** menunjukkan jumlah hari sejak access key aktif tertua dibuat. Anda dapat menggunakan informasi ini untuk menemukan pengguna dengan kunci akses yang mungkin perlu diperbarui atau dihapus. Kolom menampilkan **Tidak ada** untuk pengguna yang tidak memiliki access key.

## Memperbarui kunci akses (AWS CLI)
<a name="rotating_access_keys_cli"></a>

Anda dapat memperbarui kunci akses dari file AWS Command Line Interface.

**Untuk memperbarui kunci akses tanpa mengganggu aplikasi Anda ()AWS CLI**

1. Meskipun access key pertama masih aktif, buat access key kedua, yang secara default aktif. Jalankan perintah berikut:
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html)

     Pada titik ini, pengguna memiliki dua access key aktif.

1. <a name="step-update-apps"></a>Perbarui semua aplikasi dan alat untuk menggunakan access key baru.

1. <a name="step-determine-use"></a>Tentukan apakah access key pertama masih digunakan dengan perintah ini:
   +  [https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html)

   Salah satu pendekatannya adalah dengan menunggu beberapa hari kemudian memeriksa access key lama untuk penggunaan apa pun sebelum melanjutkan.

1. Bahkan jika langkah [Step 3](#step-determine-use) tidak menunjukkan penggunaan kunci lama, kami sarankan agar Anda tidak segera menghapus access key pertama. Alih-alih, ubah status access key pertama ke `Inactive` menggunakan perintah ini:
   +  [https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html)

1. Gunakan hanya access key baru untuk mengonfirmasi bahwa aplikasi Anda berfungsi. Aplikasi dan alat apa pun yang masih menggunakan kunci akses asli akan berhenti berfungsi pada saat ini karena mereka tidak lagi memiliki akses ke AWS sumber daya. Jika Anda menemukan aplikasi atau alat seperti itu, Anda dapat mengubah statusnya kembali `Active` untuk mengaktifkan kembali kunci akses pertama. Lalu kembali ke langkah [Step 2](#step-update-apps) dan perbarui aplikasi ini untuk menggunakan kunci baru.

1. Setelah Anda menunggu beberapa waktu untuk memastikan bahwa semua aplikasi dan alat telah diperbarui, Anda dapat menghapus access key pertama dengan perintah ini:
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html)

## Memperbarui kunci akses (AWS API)
<a name="rotating_access_keys_api"></a>

Anda dapat memperbarui kunci akses menggunakan AWS API.

**Untuk memperbarui kunci akses tanpa mengganggu aplikasi Anda (API)AWS**

1. Meskipun access key pertama masih aktif, buat access key kedua, yang secara default aktif. Hubungi operasi berikut ini:
   + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html)

     Pada titik ini, pengguna memiliki dua access key aktif.

1. <a name="step-update-apps-2"></a>Perbarui semua aplikasi dan alat untuk menggunakan access key baru.

1. <a name="step-determine-use-2"></a>Tentukan apakah access key pertama masih digunakan dengan menghubungi operasi ini:
   + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html)

   Salah satu pendekatannya adalah dengan menunggu beberapa hari kemudian memeriksa access key lama untuk penggunaan apa pun sebelum melanjutkan.

1. Bahkan jika langkah [Step 3](#step-determine-use-2) tidak menunjukkan penggunaan kunci lama, kami sarankan agar Anda tidak segera menghapus access key pertama. Alih-alih, ubah status access key pertama ke `Inactive` dengan operasi ini:
   + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html)

1. Gunakan hanya access key baru untuk mengonfirmasi bahwa aplikasi Anda berfungsi. Aplikasi dan alat apa pun yang masih menggunakan kunci akses asli akan berhenti berfungsi pada saat ini karena mereka tidak lagi memiliki akses ke AWS sumber daya. Jika Anda menemukan aplikasi atau alat seperti itu, Anda dapat mengubah statusnya kembali `Active` untuk mengaktifkan kembali kunci akses pertama. Lalu kembali ke langkah [Step 2](#step-update-apps-2) dan perbarui aplikasi ini untuk menggunakan kunci baru.

1. Setelah Anda menunggu beberapa waktu untuk memastikan bahwa semua aplikasi dan alat telah diperbarui, Anda dapat menghapus access key pertama dengan memanggil operasi ini:
   + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html)

# Kunci akses aman
<a name="securing_access-keys"></a>

Siapa pun yang memiliki kunci akses Anda memiliki tingkat akses yang sama ke AWS sumber daya Anda seperti yang Anda lakukan. Akibatnya, AWS berupaya keras untuk melindungi kunci akses Anda, dan, sesuai dengan [model tanggung jawab bersama kami,](https://aws.amazon.com/compliance/shared-responsibility-model/) Anda juga harus melakukannya. 

Perluas bagian berikut untuk panduan untuk membantu Anda melindungi kunci akses Anda. 

**catatan**  
Organisasi Anda mungkin memiliki persyaratan dan kebijakan keamanan yang berbeda dari yang dijelaskan dalam topik ini. Saran yang diberikan di sini dimaksudkan sebagai pedoman umum. 

## Hapus (atau jangan buat) kunci Pengguna root akun AWS akses
<a name="root-password"></a>

**Salah satu cara terbaik untuk melindungi akun Anda adalah dengan tidak memiliki kunci akses untuk Anda Pengguna root akun AWS.** Kecuali Anda harus memiliki kunci akses pengguna root (yang jarang terjadi), yang terbaik adalah tidak membuatnya. Sebagai gantinya, buat pengguna administratif AWS IAM Identity Center untuk tugas administratif harian.Untuk informasi tentang cara membuat pengguna administratif di Pusat Identitas IAM, lihat [Memulai](https://docs.aws.amazon.com//singlesignon/latest/userguide/getting-started.html) di Panduan Pengguna Pusat Identitas *IAM*.

Jika Anda sudah memiliki kunci akses pengguna root untuk akun Anda, kami sarankan yang berikut: Temukan tempat di aplikasi Anda di mana Anda saat ini menggunakan kunci akses (jika ada), dan ganti kunci akses pengguna root dengan kunci akses pengguna IAM. Kemudian nonaktifkan dan hapus kunci akses pengguna root. Untuk informasi selengkapnya tentang cara memperbarui kunci akses, lihat [Perbarui kunci akses](id-credentials-access-keys-update.md)



## Gunakan kredensil keamanan sementara (peran IAM) alih-alih kunci akses jangka panjang
<a name="use-roles"></a>

Dalam banyak skenario, Anda tidak memerlukan access key jangka panjang yang tidak pernah kedaluwarsa (seperti yang Anda lakukan dengan pengguna IAM). Sebagai gantinya, Anda dapat membuat IAM role dan membuat kredensial keamanan sementara. Kredensial keamanan sementara terdiri dari access key ID dan secret access key, tetapi mereka juga menyertakan token keamanan yang menunjukkan kapan kredensial kedaluwarsa. 

Kunci akses jangka panjang, seperti yang terkait dengan pengguna IAM dan pengguna root, tetap valid sampai Anda mencabutnya secara manual. Namun, kredensi keamanan sementara yang diperoleh melalui peran IAM dan fitur lain dari AWS Security Token Service kedaluwarsa setelah periode waktu yang singkat. Gunakan kredensial keamanan sementara untuk membantu mengurangi risiko Anda jika kredensial terekspos secara tidak sengaja.

Gunakan IAM role dan kredensial keamanan sementara dalam skenario berikut:
+ **Anda memiliki aplikasi atau AWS CLI skrip yang berjalan pada instans Amazon EC2.** Jangan gunakan kunci akses langsung di aplikasi Anda. Jangan memberikan access key ke aplikasi, menyematkannya di aplikasi, atau membiarkan aplikasi membaca access key dari sumber mana pun. [Sebagai gantinya, tentukan peran IAM yang memiliki izin yang sesuai untuk aplikasi Anda dan luncurkan instans Amazon Elastic Compute Cloud (Amazon EC2) dengan peran untuk EC2.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) Melakukan hal ini akan mengaitkan IAM role dengan instans Amazon EC2. Praktik ini juga memungkinkan aplikasi untuk mendapatkan kredensi keamanan sementara yang pada gilirannya dapat digunakan untuk melakukan panggilan terprogram. AWS The AWS SDKs and the AWS Command Line Interface (AWS CLI) bisa mendapatkan kredensi sementara dari peran secara otomatis. 
+ **Anda perlu memberikan akses lintas akun.** Gunakan IAM role untuk membangun kepercayaan antar akun, lalu berikan izin terbatas kepada pengguna dalam satu akun untuk mengakses akun tepercaya. Untuk informasi selengkapnya, lihat [Tutorial IAM: Delegasikan akses di seluruh AWS akun menggunakan peran IAM](tutorial_cross-account-with-roles.md).
+ **Anda memiliki aplikasi seluler.** Jangan menyematkan kunci akses dengan aplikasi, bahkan di penyimpanan terenkripsi. Sebagai gantinya, gunakan [Amazon Cognito](https://aws.amazon.com/cognito/) untuk mengelola identitas pengguna di aplikasi Anda. Layanan ini memungkinkan Anda mengautentikasi pengguna menggunakan Login with Amazon, Facebook, Google, atau penyedia identitas yang kompatibel dengan OpenID Connect (OIDC). Anda kemudian dapat menggunakan penyedia kredensial Amazon Cognito untuk mengelola kredensial yang digunakan aplikasi Anda untuk membuat permintaan ke AWS.
+ **Anda ingin bergabung AWS dan organisasi Anda mendukung SAFL 2.0.** Jika Anda bekerja untuk organisasi yang memiliki penyedia identitas yang mendukung SAML 2.0, konfigurasi penyedia untuk menggunakan SAML. Anda dapat menggunakan SALL untuk bertukar informasi otentikasi dengan AWS dan mendapatkan kembali satu set kredensi keamanan sementara. Untuk informasi selengkapnya, lihat [Federasi SAMP 2.0](id_roles_providers_saml.md).
+ **Anda ingin bergabung ke dalam AWS dan organisasi Anda memiliki toko identitas lokal.** Jika pengguna dapat mengautentikasi di dalam organisasi Anda, Anda dapat menulis aplikasi yang dapat mengeluarkan kredensi keamanan sementara untuk akses ke sumber daya. AWS Untuk informasi selengkapnya, lihat [Aktifkan akses broker identitas khusus ke AWS konsol](id_roles_providers_enable-console-custom-url.md).
+ **Gunakan kondisi dalam kebijakan IAM untuk hanya mengizinkan akses dari jaringan yang diharapkan.** Anda dapat membatasi di mana dan bagaimana kunci akses Anda digunakan dengan menerapkan [kebijakan IAM dengan kondisi](reference_policies_elements_condition_operators.md) yang menentukan dan hanya mengizinkan jaringan yang diharapkan, seperti alamat IP publik atau Virtual Private Clouds (VPCs). Dengan cara ini Anda tahu kunci akses hanya dapat digunakan dari jaringan yang diharapkan dan dapat diterima. 

**catatan**  
Apakah Anda menggunakan instans Amazon EC2 dengan aplikasi yang memerlukan akses terprogram ke sumber daya? AWS Jika demikian, gunakan [peran IAM untuk EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html).

## Kelola kunci akses pengguna IAM dengan benar
<a name="iam-user-access-keys"></a>

Jika Anda harus membuat kunci akses untuk akses terprogram AWS, buat mereka untuk pengguna IAM, memberikan pengguna hanya izin yang mereka butuhkan.

Perhatikan tindakan pencegahan ini untuk membantu melindungi kunci akses pengguna IAM:
+ **Jangan menanamkan kunci akses langsung ke kode.** [Alat [AWS SDKs](https://aws.amazon.com/tools/#sdk)dan Baris AWS Perintah](https://aws.amazon.com/tools/#cli) memungkinkan Anda untuk menempatkan kunci akses di lokasi yang diketahui sehingga Anda tidak perlu menyimpannya dalam kode. 

  Letakkan access key di salah satu lokasi berikut:
  + **File AWS kredensialnya.** Itu AWS SDKs dan secara AWS CLI otomatis menggunakan kredensil yang Anda simpan di file AWS kredensial. 

    Untuk informasi tentang menggunakan file AWS kredensial, lihat dokumentasi untuk SDK Anda. *Contohnya termasuk [Set AWS Credentials dan Region](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/setup-credentials.html) dalam *Panduan AWS SDK untuk Java Pengembang* dan [Konfigurasi dan file kredensi](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) di Panduan Pengguna.AWS Command Line Interface *

    Untuk menyimpan kredensil untuk AWS SDK untuk .NET dan AWS Tools for Windows PowerShell, kami sarankan Anda menggunakan SDK Store. Untuk informasi selengkapnya, lihat [Menggunakan Penyimpanan SDK](https://docs.aws.amazon.com/sdk-for-net/v3/developer-guide/sdk-store.html) di *Panduan Developer AWS SDK untuk .NET *.
  + **Variabel lingkungan.** Pada sistem multi-tenant, pilih variabel lingkungan pengguna, bukan variabel lingkungan sistem. 

    Untuk informasi selengkapnya tentang menggunakan variabel lingkungan untuk menyimpan kredensial, lihat [Variabel Lingkungan](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-envvars.html) di *Panduan Pengguna AWS Command Line Interface *. 
+ **Gunakan tombol akses yang berbeda untuk aplikasi yang berbeda.** Lakukan ini sehingga Anda dapat mengisolasi izin dan mencabut kunci akses untuk aplikasi individual jika diekspos. Memiliki kunci akses terpisah untuk aplikasi yang berbeda juga menghasilkan entri yang berbeda dalam file [AWS CloudTrail](https://aws.amazon.com/cloudtrail/)log. Konfigurasi ini memudahkan Anda untuk menentukan aplikasi mana yang melakukan tindakan tertentu. 
+ **Perbarui tombol akses bila diperlukan.** Jika ada risiko bahwa kunci akses dapat dikompromikan, perbarui kunci akses dan hapus kunci akses sebelumnya. Untuk detailnya, lihat [Perbarui kunci akses](id-credentials-access-keys-update.md) 
+ **Hapus kunci akses yang tidak digunakan.** Jika pengguna keluar dari organisasi Anda, hapus pengguna IAM yang sesuai sehingga pengguna tidak dapat lagi mengakses sumber daya Anda. Untuk mengetahui kapan kunci akses terakhir digunakan, gunakan [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html)API (AWS CLI command: [https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html)).
+ **Gunakan kredensi sementara dan konfigurasikan autentikasi multi-faktor untuk operasi API Anda yang paling sensitif.** Dengan kebijakan IAM, Anda dapat menentukan operasi API mana yang diizinkan untuk dipanggil oleh pengguna. Dalam beberapa kasus, Anda mungkin menginginkan keamanan tambahan yang mengharuskan pengguna diautentikasi dengan AWS MFA sebelum Anda mengizinkan mereka melakukan tindakan yang sangat sensitif. Misalnya, Anda mungkin memiliki kebijakan yang memungkinkan pengguna untuk melakukan Amazon EC2 `RunInstances`, `DescribeInstances`, dan `StopInstances`. Tetapi Anda mungkin ingin membatasi tindakan destruktif seperti `TerminateInstances` dan memastikan bahwa pengguna dapat melakukan tindakan itu hanya jika mereka mengautentikasi dengan perangkat AWS MFA. Untuk informasi selengkapnya, lihat [Akses API aman dengan MFA](id_credentials_mfa_configure-api-require.md).

## Akses aplikasi seluler menggunakan tombol AWS akses
<a name="access-keys-mobile-app"></a>

Anda dapat mengakses serangkaian AWS layanan dan fitur terbatas menggunakan aplikasi AWS seluler. Aplikasi seluler membantu Anda mendukung respons insiden saat bepergian. Untuk informasi selengkapnya dan untuk mengunduh aplikasi, lihat [AWS Console Mobile Application](https://aws.amazon.com/console/mobile/).

Anda dapat masuk ke aplikasi seluler menggunakan kata sandi konsol atau access key Anda. Sebagai praktik terbaik, jangan gunakan access key pengguna root. Sebagai gantinya, kami sangat menyarankan bahwa selain menggunakan kata sandi atau kunci biometrik pada perangkat seluler Anda, Anda membuat pengguna IAM khusus untuk mengelola AWS sumber daya menggunakan aplikasi seluler. Jika perangkat seluler hilang, Anda dapat menghapus akses pengguna IAM.

**Untuk masuk menggunakan access key (aplikasi seluler)**

1. Buka aplikasi di perangkat seluler Anda.

1. Jika ini pertama kalinya Anda menambahkan identitas ke perangkat, pilih **Add an identity** (Tambahkan identitas), lalu pilih **Access key**.

   Jika Anda telah masuk menggunakan identitas lain, pilih ikon menu dan pilih **Switch identity** (Ganti identitas). Kemudian pilih **Sign in as a different identity** (Masuk sebagai identitas yang berbeda), lalu **Access key**.

1. Di halaman **Access key**, masukkan informasi Anda:
   + **Access key ID** – Masukkan access key ID Anda.
   + **Secret access key** – Masukkan secret access key Anda.
   + **Nama identitas** – Masukkan nama identitas yang akan muncul di aplikasi seluler. Ini tidak harus cocok dengan nama pengguna IAM Anda.
   + **PIN Identitas** – Buat nomor identifikasi pribadi (PIN) yang akan Anda gunakan untuk masuk di masa mendatang.
**catatan**  
Jika Anda mengaktifkan biometrik untuk aplikasi AWS seluler, Anda akan diminta untuk menggunakan sidik jari atau pengenalan wajah untuk verifikasi, bukan PIN. Jika biometrik gagal, Anda mungkin diminta memasukkan PIN.

1. Pilih **Verify and add keys** (Verifikasi dan tambahkan kunci).

   Sekarang Anda dapat mengakses set sumber daya tertentu menggunakan aplikasi seluler.

## Informasi Terkait
<a name="more-resources"></a>

Topik berikut memberikan panduan untuk menyiapkan AWS SDKs dan AWS CLI menggunakan kunci akses:
+ [Menetapkan AWS kredensi dan Wilayah](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/setup-credentials.html) *dalam Panduan Pengembang AWS SDK untuk Java *
+ [Menggunakan SDK Store](https://docs.aws.amazon.com/sdk-for-net/v3/developer-guide/sdk-store.html) di Panduan *AWS SDK untuk .NET Pengembang*
+ [https://docs.aws.amazon.com/aws-sdk-php/v2/guide/credentials.html](https://docs.aws.amazon.com/aws-sdk-php/v2/guide/credentials.html)
+ [Konfigurasi](https://boto3.amazonaws.com/v1/documentation/api/latest/guide/quickstart.html#configuration) dalam dokumentasi Boto 3 (AWS SDK untuk Python)
+ [Menggunakan AWS Kredensial](https://docs.aws.amazon.com/powershell/latest/userguide/specifying-your-aws-credentials.html) *di Panduan Pengguna AWS Tools for Windows PowerShell * 
+ [File konfigurasi dan kredensi](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) di *AWS Command Line Interface Panduan Pengguna* 
+ [Memberikan akses menggunakan peran IAM dalam Panduan](https://docs.aws.amazon.com/sdk-for-net/latest/developer-guide/net-dg-hosm.html) *Pengembang AWS SDK untuk .NET *
+ [Konfigurasikan peran IAM untuk Amazon EC2](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/java-dg-roles.html) di *AWS SDK for Java 2.x*

## Menggunakan kunci akses dan kredensil kunci rahasia untuk akses konsol
<a name="console-access-security-keys"></a>

Dimungkinkan untuk menggunakan kunci akses dan kredenal kunci rahasia untuk Konsol Manajemen AWS akses langsung, bukan hanya. AWS CLI Ini dapat dicapai dengan menggunakan panggilan AWS STS [https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)API. Dengan membuat URL konsol menggunakan kredensi sementara dan token yang disediakan oleh`GetFederationToken`, prinsipal IAM dapat mengakses konsol. Untuk informasi selengkapnya, lihat [Aktifkan akses broker identitas khusus ke AWS konsol](id_roles_providers_enable-console-custom-url.md).

Perlu diklarifikasi bahwa ketika masuk ke konsol secara langsung menggunakan IAM atau kredenal pengguna root dengan MFA diaktifkan, MFA akan diperlukan. Namun, jika metode yang dijelaskan di atas (menggunakan kredensil sementara dengan`GetFederationToken`) digunakan, MFA TIDAK akan diperlukan.



## Mengaudit access key
<a name="Using_access-keys-audit"></a>

Anda dapat meninjau kunci AWS akses dalam kode Anda untuk menentukan apakah kunci tersebut berasal dari akun yang Anda miliki. Anda dapat meneruskan ID kunci akses menggunakan [https://docs.aws.amazon.com/cli/latest/reference/sts/get-access-key-info.html](https://docs.aws.amazon.com/cli/latest/reference/sts/get-access-key-info.html) AWS CLI perintah atau operasi [https://docs.aws.amazon.com/STS/latest/APIReference/API_GetAccessKeyInfo.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetAccessKeyInfo.html) AWS API.

Operasi AWS CLI dan AWS API mengembalikan ID dari Akun AWS kunci akses milik. Kunci akses yang IDs dimulai dengan `AKIA` adalah kredensil jangka panjang untuk pengguna IAM atau. Pengguna root akun AWS Kunci akses yang IDs dimulai dengan `ASIA` adalah kredensil sementara yang dibuat menggunakan AWS STS operasi. Jika akun dalam tanggapan ini adalah milik Anda, Anda dapat masuk sebagai pengguna utama dan meninjau kunci akses pengguna utama Anda. Lalu, Anda dapat menarik [laporan kredensial](id_credentials_getting-report.md) untuk mempelajari pengguna IAM mana yang memilikinya. Untuk mengetahui siapa yang meminta kredensi sementara untuk kunci `ASIA` akses, lihat AWS STS peristiwa di log Anda CloudTrail .

Untuk tujuan keamanan, Anda dapat [meninjau AWS CloudTrail log](cloudtrail-integration.md#cloudtrail-integration_signin-tempcreds) untuk mengetahui siapa yang melakukan tindakan AWS. Anda dapat menggunakan kunci syarat `sts:SourceIdentity` dalam peran kebijakan kepercayaan untuk mengharuskan pengguna menentukan identias saat mereka mengasumsikan sebuah peran. Misalnya, Anda dapat meminta agar pengguna IAM menentukan nama pengguna mereka sendiri sebagai identitas sumber mereka. Ini dapat membantu Anda menentukan pengguna mana yang melakukan tindakan tertentu di AWS. Untuk informasi selengkapnya, lihat [`sts:SourceIdentity`](reference_policies_iam-condition-keys.md#ck_sourceidentity).

Operasi ini tidak menunjukkan status access key. Kuncinya mungkin aktif, tidak aktif, atau dihapus. Kunci aktif mungkin tidak memiliki izin untuk melakukan operasi. Memberikan access key yang dihapus mungkin akan kembali sebagai kesalahan bahwa kunci tidak ada.