Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Menggunakan kebijakan IAM untuk Amazon Kinesis Data Streams dan Amazon DynamoDB
Saat pertama kali Anda mengaktifkan Amazon Kinesis Data Streams untuk Amazon DynamoDB, DynamoDB secara otomatis membuat peran terkait layanan (IAM) untuk Anda. AWS Identity and Access Management Peran ini, `AWSServiceRoleForDynamoDBKinesisDataStreamsReplication`, memungkinkan DynamoDB untuk mengelola replikasi perubahan tingkat item ke Kinesis Data Streams atas nama Anda. Jangan hapus peran tertaut layanan ini.
Untuk informasi selengkapnya tentang peran tertaut layanan, lihat [Menggunakan peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) di *Panduan Pengguna IAM*.
**catatan**
DynamoDB tidak mendukung kondisi berbasis tag untuk kebijakan IAM.
Untuk mengaktifkan Amazon Kinesis Data Streams untuk Amazon DynamoDB, Anda harus memiliki izin berikut di tabel:
+ `dynamodb:EnableKinesisStreamingDestination`
+ `kinesis:ListStreams`
+ `kinesis:PutRecords`
+ `kinesis:DescribeStream`
Untuk menjelaskan Amazon Kinesis Data Streams untuk Amazon DynamoDB untuk tabel DynamoDB tertentu, Anda harus memiliki izin berikut pada tabel.
+ `dynamodb:DescribeKinesisStreamingDestination`
+ `kinesis:DescribeStreamSummary`
+ `kinesis:DescribeStream`
Untuk menonaktifkan Amazon Kinesis Data Streams untuk Amazon DynamoDB, Anda harus memiliki izin berikut pada tabel.
+ `dynamodb:DisableKinesisStreamingDestination`
Untuk memperbarui Amazon Kinesis Data Streams untuk Amazon DynamoDB, Anda harus memiliki izin berikut di atas tabel.
+ `dynamodb:UpdateKinesisStreamingDestination`
Contoh berikut menunjukkan cara menggunakan kebijakan IAM untuk memberikan izin untuk Amazon Kinesis Data Streams untuk Amazon DynamoDB.
## Contoh: Mengaktifkan Amazon Kinesis Data Streams untuk Amazon DynamoDB
Kebijakan IAM berikut memberikan izin untuk mengaktifkan Amazon Kinesis Data Streams untuk Amazon DynamoDB untuk tabel. `Music` Itu tidak memberikan izin untuk menonaktifkan, memperbarui atau menjelaskan Kinesis Data Streams untuk DynamoDB untuk tabel. `Music`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/kinesisreplication.dynamodb.amazonaws.com/AWSServiceRoleForDynamoDBKinesisDataStreamsReplication",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "kinesisreplication.dynamodb.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"dynamodb:EnableKinesisStreamingDestination"
],
"Resource": "arn:aws:dynamodb:us-west-2:{{111122223333}}:table/Music"
}
]
}
```
------
## Contoh: Perbarui Amazon Kinesis Data Streams untuk Amazon DynamoDB
Kebijakan IAM berikut memberikan izin untuk memperbarui Amazon Kinesis Data Streams untuk Amazon DynamoDB untuk tabel. `Music` Itu tidak memberikan izin untuk mengaktifkan, menonaktifkan, atau menjelaskan Amazon Kinesis Data Streams untuk Amazon DynamoDB untuk tabel. `Music`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"dynamodb:UpdateKinesisStreamingDestination"
],
"Resource": "arn:aws:dynamodb:us-west-2:{{111122223333}}:table/Music"
}
]
}
```
------
## Contoh: Menonaktifkan Amazon Kinesis Data Streams untuk Amazon DynamoDB
Kebijakan IAM berikut memberikan izin untuk menonaktifkan Amazon Kinesis Data Streams untuk Amazon DynamoDB untuk tabel. `Music` Itu tidak memberikan izin untuk mengaktifkan, memperbarui, atau menjelaskan Amazon Kinesis Data Streams untuk Amazon DynamoDB untuk tabel. `Music`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"dynamodb:DisableKinesisStreamingDestination"
],
"Resource": "arn:aws:dynamodb:us-west-2:{{111122223333}}:table/Music"
}
]
}
```
------
## Contoh: Selektif menerapkan izin untuk Amazon Kinesis Data Streams untuk Amazon DynamoDB berdasarkan sumber daya
Kebijakan IAM berikut memberikan izin untuk mengaktifkan dan menjelaskan Amazon Kinesis Data Streams untuk Amazon DynamoDB untuk tabel, dan menolak izin untuk menonaktifkan Amazon Kinesis Data Streams `Music` untuk Amazon DynamoDB untuk tabel. `Orders`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"dynamodb:EnableKinesisStreamingDestination",
"dynamodb:DescribeKinesisStreamingDestination"
],
"Resource": "arn:aws:dynamodb:us-west-2:{{111122223333}}:table/Music"
},
{
"Effect": "Deny",
"Action": [
"dynamodb:DisableKinesisStreamingDestination"
],
"Resource": "arn:aws:dynamodb:us-west-2:{{111122223333}}:table/Orders"
}
]
}
```
------
## Menggunakan peran tertaut layanan untuk Kinesis Data Streams untuk DynamoDB
[Amazon Kinesis Data Streams untuk Amazon DynamoDB menggunakan peran terkait layanan ( AWS Identity and Access Management IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Peran tertaut layanan adalah jenis IAM role unik yang ditautkan langsung ke Kinesis Data Streams untuk DynamoDB. Peran terkait layanan telah ditentukan sebelumnya oleh Kinesis Data Streams untuk DynamoDB dan menyertakan semua izin yang diperlukan layanan untuk memanggil layanan lain atas nama Anda. AWS
Peran tertaut layanan membuat pengaturan Kinesis Data Streams untuk DynamoDB lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. Kinesis Data Streams untuk DynamoDB menentukan izin peran terkait layanannya, dan kecuali ditentukan lain, hanya Kinesis Data Streams untuk DynamoDB yang dapat mengambil peran tersebut. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, serta bahwa kebijakan izin tidak dapat dilampirkan ke entitas IAM lainnya.
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, lihat [Layanan AWS yang Berfungsi dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan cari layanan yang memiliki **Ya** di kolom **Peran Terkait Layanan**. Pilih **Ya** dengan tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
### Izin peran tertaut layanan untuk Kinesis Data Streams untuk DynamoDB
Kinesis Data Streams untuk DynamoDB menggunakan peran terkait layanan bernama. **AWSServiceRoleForDynamoDBKinesisDataStreamsReplication** Tujuan dari peran tertaut layanan adalah untuk memungkinkan Amazon DynamoDB mengelola replikasi perubahan tingkat item pada Kinesis Data Streams, atas nama Anda.
Peran tertaut layanan `AWSServiceRoleForDynamoDBKinesisDataStreamsReplication` memercayai layanan berikut untuk mengambil peran tersebut:
+ `kinesisreplication.dynamodb.amazonaws.com`
Kebijakan izin peran memungkinkan Kinesis Data Streams for DynamoDB menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
+ Tindakan: `Put records and describe` pada `Kinesis stream`
+ Tindakan: `Generate data keys` aktif `AWS KMS` untuk menempatkan data pada aliran Kinesis yang dienkripsi menggunakan kunci Buatan Pengguna. AWS KMS
Untuk isi dokumen kebijakan yang tepat, lihat [Dynamo DBKinesis ReplicationServiceRolePolicy](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/aws-service-role/DynamoDBKinesisReplicationServiceRolePolicy).
Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, silakan lihat [Izin Peran Tertaut Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/contributorinsights-service-linked-roles.html#service-linked-role-permissions) di *Panduan Pengguna IAM*.
### Membuat peran tertaut layanan untuk Kinesis Data Streams untuk DynamoDB
Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda mengaktifkan Kinesis Data Streams untuk Konsol Manajemen AWS DynamoDB di AWS CLI, atau AWS API, Kinesis Data Streams untuk DynamoDB akan membuat peran terkait layanan untuk Anda.
Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda mengaktifkan Kinesis Data Streams untuk DynamoDB, Kinesis Data Streams untuk DynamoDB menciptakan peran terkait layanan untuk Anda lagi.
### Mengedit peran tertaut layanan untuk Kinesis Data Streams untuk DynamoDB
Kinesis Data Streams untuk DynamoDB tidak mengizinkan Anda mengedit peran tertaut layanan `AWSServiceRoleForDynamoDBKinesisDataStreamsReplication`. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit Peran terkait Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/contributorinsights-service-linked-roles.html#edit-service-linked-role) di *Panduan Pengguna IAM*.
### Menghapus peran tertaut layanan untuk Kinesis Data Streams untuk DynamoDB
Anda juga dapat menggunakan konsol IAM, AWS CLI atau AWS API untuk menghapus peran terkait layanan secara manual. Untuk melakukannya, Anda harus membersihkan sumber daya untuk peran tertaut layanan terlebih dahulu, lalu Anda dapat menghapusnya secara manual.
**catatan**
Jika layanan Kinesis Data Streams for DynamoDB menggunakan peran tersebut saat Anda mencoba menghapus sumber daya, maka penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba lagi.
**Untuk menghapus peran tertaut layanan secara manual menggunakan IAM**
Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran `AWSServiceRoleForDynamoDBKinesisDataStreamsReplication` terkait layanan. Untuk informasi selengkapnya, lihat [Menghapus Peran Terkait Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) di *Panduan Pengguna IAM*.