Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Tutorial IAM: Izinkan pengguna untuk mengelola kredensi dan pengaturan MFA mereka
<a name="tutorial_users-self-manage-mfa-and-creds"></a>

**Anda dapat mengizinkan pengguna untuk mengelola perangkat dan kredensialnya sendiri multi-faktor autentikasi (MFA) di halaman Kredensial Keamanan.** Anda dapat menggunakan Konsol Manajemen AWS untuk mengonfigurasi kredensi (kunci akses, kata sandi, sertifikat penandatanganan, dan kunci publik SSH), menghapus atau menonaktifkan kredenal yang tidak diperlukan, dan mengaktifkan perangkat MFA untuk pengguna Anda. Ini berguna untuk sejumlah kecil pengguna, tetapi tugas itu dapat dengan cepat memakan waktu seiring bertambahnya jumlah pengguna. Tutorial ini menunjukkan cara mengaktifkan praktik terbaik tersebut tanpa membebani administrator Anda.

Tutorial ini menunjukkan cara mengizinkan pengguna mengakses AWS layanan, tetapi **hanya** ketika mereka masuk dengan MFA. Jika mereka belum masuk dengan perangkat MFA, maka pengguna tidak dapat mengakses layanan lainnya.

Alur kerja ini memiliki tiga langkah dasar. 

**[Langkah 1: Buat kebijakan untuk menerapkan masuk MFA](#tutorial_mfa_step1)**  
Buat kebijakan terkelola pelanggan yang melarang semua tindakan ***kecuali*** beberapa tindakan IAM. **Pengecualian ini memungkinkan pengguna untuk mengubah kredensialnya sendiri dan mengelola perangkat MFA mereka di halaman kredensi Keamanan.** Untuk informasi selengkapnya tentang mengakses halaman tersebut, lihat [Cara pengguna IAM mengubah kata sandi mereka sendiri (konsol)](id_credentials_passwords_user-change-own.md#ManagingUserPwdSelf-Console).

**[Langkah 2: Lampirkan kebijakan ke grup pengguna uji Anda](#tutorial_mfa_step2)**  
Buat grup pengguna yang anggotanya memiliki akses penuh ke semua tindakan Amazon EC2 jika mereka masuk dengan MFA. Untuk membuat grup pengguna seperti itu, Anda melampirkan kebijakan AWS terkelola yang disebut `AmazonEC2FullAccess` dan kebijakan terkelola pelanggan yang Anda buat pada langkah pertama.

**[Langkah 3: Uji akses pengguna Anda](#tutorial_mfa_step3)**  
Masuk sebagai pengguna uji untuk memverifikasi bahwa akses ke Amazon EC2 diblokir *hingga* pengguna membuat perangkat MFA. Pengguna kemudian dapat masuk menggunakan perangkat tersebut. 

## Prasyarat
<a name="tutorial_mfa_prereqs"></a>

Untuk melakukan langkah-langkah di tutorial ini, Anda harus sudah memiliki hal-hal berikut:
+ Sebuah Akun AWS yang dapat Anda masuki sebagai pengguna IAM dengan izin administratif.
+ Nomor ID akun Anda, yang Anda ketikkan ke dalam kebijakan di Langkah 1. 

  Untuk menemukan nomor ID akun Anda, di bilah navigasi di bagian atas halaman, pilih **Dukungan** lalu pilih **Pusat Dukungan**. Anda dapat menemukan ID akun Anda di menu **Dukungan** di halaman ini. 
+ [Perangkat MFA [virtual (berbasis perangkat lunak), [kunci keamanan FIDO](id_credentials_mfa_enable_fido.md), atau perangkat MFA](id_credentials_mfa_enable_virtual.md) berbasis perangkat keras.](id_credentials_mfa_enable_physical.md)
+ Uji pengguna IAM yang merupakan anggota grup pengguna sebagai berikut:


| Nama pengguna | Instruksi nama pengguna | Nama grup pengguna | Tambahkan pengguna sebagai anggota | Instruksi grup pengguna | 
| --- | --- | --- | --- | --- | 
| MFAUser | Pilih hanya opsi untuk Aktifkan akses konsol — opsional, dan tetapkan kata sandi. | EC2MFA | MFAUser | JANGAN lampirkan kebijakan apa pun atau memberikan izin ke grup pengguna ini. | 

## Langkah 1: Buat kebijakan untuk menerapkan masuk MFA
<a name="tutorial_mfa_step1"></a>

Anda memulai dengan membuat kebijakan terkelola pelanggan IAM yang menolak semua izin kecuali izin yang diperlukan oleh pengguna IAM untuk mengelola kredensial dan perangkat MFA mereka sendiri.

1. Masuk ke Konsol AWS Manajemen sebagai pengguna dengan kredensi administrator. Untuk mematuhi praktik terbaik IAM, jangan masuk dengan Pengguna root akun AWS kredensi Anda.
**penting**  
 [Praktik terbaik](best-practices.md) IAM merekomendasikan agar Anda mengharuskan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara alih-alih menggunakan pengguna IAM dengan kredensi jangka panjang. Kami menyarankan Anda hanya menggunakan pengguna IAM untuk [kasus penggunaan tertentu](gs-identities-iam-users.md) yang tidak didukung oleh pengguna federasi.

1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

   

1. Pada panel navigasi, pilih **Kebijakan**, lalu pilih **Buat kebijakan**.

1. Pilih tab **JSON** dan salin teks dari dokumen kebijakan JSON berikut: [AWS: Memungkinkan pengguna IAM yang diautentikasi MFA untuk mengelola kredensialnya sendiri di halaman kredensi Keamanan](reference_policies_examples_aws_my-sec-creds-self-manage.md).

1. Tempelkan teks kebijakan ke dalam kotak teks **JSON**. **Selesaikan peringatan keamanan, kesalahan, atau peringatan umum yang dihasilkan selama validasi kebijakan, lalu pilih Berikutnya.**
**catatan**  
Anda dapat beralih antara **editor Visual** dan opsi **JSON** kapan saja. Namun, kebijakan di atas mencakup unsur `NotAction` yang tidak didukung di editor visual. Untuk kebijakan ini, Anda akan melihat pemberitahuan di tab **Editor visual**. Kembali ke **JSON** untuk terus bekerja dengan kebijakan ini.  
Kebijakan contoh ini tidak mengizinkan pengguna untuk mengatur ulang kata sandi saat masuk Konsol Manajemen AWS untuk pertama kalinya. Kami menyarankan Anda untuk tidak memberikan izin kepada pengguna baru sampai setelah mereka masuk dan mengatur ulang kata sandi mereka.

1. Pada halaman **Tinjau dan buat**, ketik **Force\_MFA** nama kebijakan. Untuk deskripsi kebijakan, ketik **This policy allows users to manage their own passwords and MFA devices but nothing else unless they authenticate with MFA.** Di area **Tag**, Anda dapat menambahkan pasangan nilai kunci tag secara opsional ke kebijakan yang dikelola pelanggan. Tinjau izin yang diberikan oleh kebijakan Anda, lalu pilih **Buat kebijakan** untuk menyimpan pekerjaan Anda.

   Kebijakan baru muncul di daftar kebijakan terkelola dan siap dilampirkan.

## Langkah 2: Lampirkan kebijakan ke grup pengguna uji Anda
<a name="tutorial_mfa_step2"></a>

Selanjutnya Anda melampirkan dua kebijakan ke grup pengguna IAM pengujian, yang akan digunakan untuk memberikan izin yang dilindungi MFA.

1. Pada panel navigasi, pilih **User groups** (Grup pengguna).

1. Di kotak pencarian, ketik **`EC2MFA`**, lalu pilih nama grup (bukan kotak centang) dalam daftar. 

1. Pilih tab **Izin**, pilih **Tambahkan izin**, lalu pilih **Lampirkan** kebijakan.

1. Pada halaman **Lampirkan kebijakan izin ke grup EC2 MFA**, di kotak pencarian, ketik. **EC2Full** Kemudian pilih kotak centang di sebelah **Amazon EC2 FullAccess** dalam daftar. Jangan menyimpan perubahan Anda.

1. Di kotak pencarian, ketik**Force**, lalu pilih kotak centang di sebelah **Force\_MFA** dalam daftar. 

1. Pilih **Lampirkan kebijakan**.

## Langkah 3: Uji akses pengguna Anda
<a name="tutorial_mfa_step3"></a>

Di bagian tutorial ini, Anda masuk sebagai pengguna uji dan memverifikasi bahwa kebijakan berjalan sebagaimana mestinya.

1. Masuk ke Anda Akun AWS sebagai **MFAUser** dengan kata sandi yang Anda tetapkan di bagian sebelumnya. Gunakan URL: `https://{{<alias or account ID number>}}.signin.aws.amazon.com/console`

1. Pilih **EC2** untuk membuka konsol Amazon EC2 dan memverifikasi bahwa pengguna tidak memiliki izin untuk melakukan apa pun.

1. Di bilah navigasi di kanan atas, pilih nama `MFAUser` pengguna, lalu pilih **Kredensi keamanan**.   
![AWS Tautan kredensi Keamanan Konsol Manajemen.](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. Sekarang, tambahkan perangkat MFA. Di bagian **Multi-Factor Authentication (MFA)**, pilih **Tetapkan perangkat MFA**.
**catatan**  
Anda mungkin menerima kesalahan bahwa Anda tidak berwenang untuk melakukan `iam:DeleteVirtualMFADevice`. Hal ini dapat terjadi jika sebelumnya seseorang mulai menetapkan perangkat MFA virtual ke pengguna ini dan membatalkan proses. Untuk melanjutkan, Anda atau administrator lain harus menghapus perangkat MFA virtual pengguna yang belum ditetapkan. Untuk informasi selengkapnya, lihat [Saya tidak berwenang untuk melakukan: iam: DeleteVirtual MFADevice](troubleshoot.md#troubleshoot_general_access-denied-delete-mfa).

1. Untuk tutorial ini, kami menggunakan perangkat MFA virtual (berbasis perangkat lunak), seperti aplikasi Google Authenticator di ponsel. Pilih **aplikasi Authenticator**, lalu klik **Berikutnya**.

   IAM menghasilkan dan menampilkan informasi konfigurasi untuk perangkat MFA virtual, termasuk grafik kode QR. Grafik adalah representasi kunci konfigurasi rahasia yang tersedia untuk entri manual pada perangkat yang tidak mendukung kode QR.

1. Buka aplikasi MFA virtual Anda. (Untuk daftar aplikasi yang dapat Anda gunakan untuk meng-host perangkat MFA virtual, lihat [Aplikasi MFA Virtual](https://aws.amazon.com/iam/details/mfa/#Virtual_MFA_Applications).) Jika aplikasi MFA virtual mendukung beberapa akun (beberapa perangkat MFA virtual), pilih opsi untuk membuat akun baru (perangkat MFA virtual baru).

1. Tentukan apakah aplikasi MFA mendukung kode QR, kemudian lakukan salah satu hal berikut:
   + Dari wizard, pilih **Tampilkan kode QR**. Lalu gunakan aplikasi untuk memindai kode QR. Misalnya, Anda dapat memilih ikon kamera atau memilih opsi yang mirip dengan **Pindai kode**, lalu gunakan kamera perangkat untuk memindai kode.
   + Di wizard **Siapkan perangkat**, pilih **Tampilkan kunci rahasia**, lalu ketik kunci rahasia ke dalam aplikasi MFA Anda.

   Saat Anda selesai, perangkat MFA virtual mulai membuat kata sandi sekali pakai. 

1. Di wizard **Menyiapkan perangkat**, di **Masukkan kode dari aplikasi autentikator Anda**. kotak, ketik kata sandi satu kali yang saat ini muncul di perangkat MFA virtual. Pilih **Daftar MFA**. 
**penting**  
Kirim permintaan Anda segera setelah membuat kode. Jika Anda membuat kode dan kemudian menunggu terlalu lama untuk mengirimkan permintaan, perangkat MFA berhasil dikaitkan dengan pengguna. Namun, perangkat MFA tidak sinkron. Hal ini terjadi karena kata sandi sekali pakai berbasis waktu (TOTP) kedaluwarsa setelah periode waktu yang singkat. Jika ini terjadi, Anda dapat [menyinkronisasi ulang perangkat](id_credentials_mfa_sync.md).

   Perangkat MFA virtual sekarang siap digunakan. AWS

1. Keluar dari konsol lalu masuk sebagai **MFAUser** lagi. Kali ini AWS meminta Anda untuk kode MFA dari ponsel Anda. Saat Anda mendapatkannya, ketik kode di kotak, lalu pilih **Kirim**.

1. Pilih **EC2** untuk membuka konsol Amazon EC2 lagi. Perhatikan bahwa saat ini Anda dapat melihat semua informasi dan melakukan tindakan apa pun yang Anda inginkan. Jika Anda mengunjungi konsol lain sebagai pengguna ini, Anda melihat akses pesan yang ditolak. Alasannya adalah kebijakan dalam tutorial ini hanya dapat diakses oleh Amazon EC2 

## Sumber daya terkait
<a name="tutorial_mfa_related"></a>

Untuk informasi tambahan, lihat topik berikut:
+ [AWS Otentikasi multi-faktor di IAM](id_credentials_mfa.md)
+ [MFA mengaktifkan login](console_sign-in-mfa.md)