Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# AWS kebijakan terkelola untuk AWS Amplify
<a name="security-iam-awsmanpol"></a>

Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.

Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan [kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) yang khusus untuk kasus penggunaan Anda.

Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pemutakhiran akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.

Untuk informasi selengkapnya, lihat [Kebijakan terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.

## Kebijakan terkelola AWS: AdministratorAccess -Amplify
<a name="security-iam-awsmanpol-AdministratorAccess-Amplify"></a>

Anda dapat melampirkan kebijakan `AdministratorAccess-Amplify` ke identitas IAM Anda. Amplify juga melampirkan kebijakan ini ke peran layanan yang memungkinkan Amplify melakukan tindakan atas nama Anda.

Saat menerapkan backend di konsol Amplify, Anda harus membuat `Amplify-Backend Deployment` peran layanan yang Amplify gunakan untuk membuat dan mengelola sumber daya. AWS IAM melampirkan kebijakan `AdministratorAccess-Amplify` terkelola ke peran `Amplify-Backend Deployment` layanan.

Kebijakan ini memberikan izin administratif akun sementara secara eksplisit mengizinkan akses langsung ke sumber daya yang diperlukan aplikasi Amplify untuk membuat dan mengelola backend.

**Detail izin**

Kebijakan ini menyediakan akses ke beberapa AWS layanan, termasuk tindakan IAM. Tindakan ini memungkinkan identitas dengan kebijakan ini digunakan AWS Identity and Access Management untuk membuat identitas lain dengan izin apa pun. Hal ini memungkinkan eskalasi izin dan kebijakan ini harus dianggap sekuat kebijakan. `AdministratorAccess`

Kebijakan ini memberikan izin `iam:PassRole` tindakan untuk semua sumber daya. Ini diperlukan untuk mendukung konfigurasi kumpulan pengguna Amazon Cognito.

Untuk melihat izin kebijakan ini, lihat [AdministratorAccess-Memperkuat](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AdministratorAccess-Amplify.html) di Referensi Kebijakan *AWS Terkelola*.

## AWS kebijakan terkelola: AmplifyBackendDeployFullAccess
<a name="security-iam-awsmanpol-AmplifyBackendDeployFullAccess"></a>

Anda dapat melampirkan kebijakan `AmplifyBackendDeployFullAccess` ke identitas IAM Anda.

Kebijakan ini memberikan Amplify izin akses penuh untuk menerapkan sumber daya backend Amplify menggunakan. AWS Cloud Development Kit (AWS CDK) Izin ditangguhkan ke AWS CDK peran yang memiliki izin kebijakan yang diperlukan`AdministratorAccess`.

**Detail izin**

Kebijakan ini mencakup izin untuk melakukan hal berikut.
+ `Amplify`— Ambil metadata tentang aplikasi yang digunakan.
+ `CloudFormation`— Buat, perbarui, dan hapus Amplify tumpukan terkelola.
+ `SSM`— Buat, perbarui, dan hapus Amplify yang dikelola SSM Parameter Store `String` dan parameter. `SecureString`
+ `AWS AppSync`— Perbarui dan ambil AWS AppSync skema, resolver, dan sumber daya fungsi. Tujuannya adalah untuk mendukung fungsionalitas hotswapping kotak pasir Gen 2.
+ `Lambda`— Perbarui dan ambil konfigurasi untuk Amplify fungsi yang dikelola. Tujuannya adalah untuk mendukung fungsionalitas hotswapping kotak pasir Gen 2.

  Ambil tag fungsi Lambda. Tujuannya adalah untuk mendukung fungsi Lambda yang ditentukan oleh pelanggan.
+ `Amazon S3`— Ambil aset penerapan Amplify.
+ `AWS Security Token Service`— Memungkinkan AWS Cloud Development Kit (AWS CDK) CLI untuk mengambil peran penerapan.
+ `Amazon RDS`— Baca metadata instans, cluster, dan proxy DB.
+ `Amazon EC2`— Baca informasi zona ketersediaan untuk subnet.
+ `CloudWatch Logs`— Ambil log untuk fungsi Lambda pelanggan. Tujuannya adalah untuk memungkinkan lingkungan sandbox pengembangan cloud Amplify untuk mengalirkan log fungsi Lambda ke terminal pelanggan.

Untuk melihat izin kebijakan ini, lihat [AmplifyBackendDeployFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmplifyBackendDeployFullAccess.html)di *Referensi Kebijakan AWS Terkelola*.

## Amplify update ke AWS kebijakan terkelola
<a name="security-iam-awsmanpol-updates"></a>



Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Amplify sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan ke umpan RSS pada halaman [Riwayat dokumen untuk AWS Amplify](document-history.md).




| Perubahan | Deskripsi | Tanggal | 
| --- | --- | --- | 
|  [AmplifyBackendDeployFullAccess](#security-iam-awsmanpol-AmplifyBackendDeployFullAccess) — Permbaruan ke kebijakan yang sudah ada  |  Tambahkan akses baca ke `logs:FilterLogEvents` sumber daya untuk memungkinkan Amplify mengalirkan log dari fungsi tempat grup log kustom dibuat. Ini adalah perpanjangan dari kemampuan yang ada untuk melakukan streaming log fungsi Lambda.  | November 14, 2024 | 
|  [AmplifyBackendDeployFullAccess](#security-iam-awsmanpol-AmplifyBackendDeployFullAccess) – Pembaruan ke kebijakan yang ada  |  Tambahkan akses baca ke `lambda:ListTags` dan `logs:FilterLogEvents` sumber daya untuk mendukung fungsi Lambda yang ditentukan oleh pelanggan. Izin ini memungkinkan lingkungan sandbox pengembangan cloud Amplify untuk mengalirkan log fungsi Lambda ke terminal pelanggan.   | Juli 18, 2024 | 
|  [AmplifyBackendDeployFullAccess](#security-iam-awsmanpol-AmplifyBackendDeployFullAccess) – Pembaruan ke kebijakan yang ada  |  Tambahkan akses baca ke `arn:aws:ssm:*:*:parameter/cdk-bootstrap/*` sumber daya untuk memungkinkan Amplify mendeteksi versi bootstrap CDK di akun pelanggan.  | 31 Mei 2024 | 
|  [AmplifyBackendDeployFullAccess](#security-iam-awsmanpol-AmplifyBackendDeployFullAccess) – Pembaruan ke kebijakan yang ada  |  Tambahkan pernyataan `AmplifyDiscoverRDSVpcConfig` kebijakan baru dengan izin hanya-baca Amazon RDS dan Amazon EC2 yang dicakup oleh sumber daya dan kondisi akun. Izin ini mendukung perintah Amplify Gen `npx amplify generate schema-from-database` 2 yang memungkinkan pelanggan menghasilkan skema data TypeScript dari database SQL yang ada. Tambahkan`rds:DescribeDBProxies`,, `rds:DescribeDBInstances``rds:DescribeDBClusters`,`rds:DescribeDBSubnetGroups`, dan `ec2:DescribeSubnets` izin. `npx amplify generate schema-from-database`Perintah ini memerlukan izin ini untuk memeriksa apakah host DB tertentu di-host di Amazon RDS dan secara otomatis menghasilkan konfigurasi VPC Amazon yang diperlukan untuk menyediakan sumber daya lain yang diperlukan untuk menyiapkan AWS AppSync API yang didukung oleh database SQL.  | April 17, 2024 | 
|  [AmplifyBackendDeployFullAccess](#security-iam-awsmanpol-AmplifyBackendDeployFullAccess) – Pembaruan ke kebijakan yang ada  |  Tambahkan tindakan `cloudformation:DeleteStack` kebijakan untuk mendukung penghapusan tumpukan saat `DeleteBranch` API dipanggil. Tambahkan tindakan `lambda:GetFunction` kebijakan untuk mendukung fungsi hotswapping. Tambahkan tindakan `lambda:UpdateFunctionConfiguration` kebijakan untuk mendukung pembaruan fungsi Lambda.  | April 5, 2024 | 
|  [AdministratorAccess-Amplify](#security-iam-awsmanpol-AdministratorAccess-Amplify) - Perbarui ke kebijakan yang ada  |  Tambahkan `cloudformation:TagResource` dan `cloudformation:UnTagResource` izin untuk mendukung panggilan ke CloudFormation APIs. | April 4, 2024 | 
|  [AmplifyBackendDeployFullAccess](#security-iam-awsmanpol-AmplifyBackendDeployFullAccess) – Pembaruan ke kebijakan yang ada  |  Tambahkan tindakan `lambda:InvokeFunction` kebijakan untuk mendukung AWS Cloud Development Kit (AWS CDK) hotswapping. Mereka AWS CDK melakukan panggilan langsung ke fungsi Lambda untuk melakukan hotswapping aset Amazon S3. Tambahkan tindakan `lambda:UpdateFunctionCode` kebijakan untuk mendukung fungsi hotswapping.  | Januari 02, 2024 | 
|  [AmplifyBackendDeployFullAccess](#security-iam-awsmanpol-AmplifyBackendDeployFullAccess) – Pembaruan ke kebijakan yang ada  |  Tambahkan tindakan kebijakan untuk mendukung `UpdateApiKey` operasi. Ini diperlukan untuk mengaktifkan penerapan aplikasi yang berhasil setelah keluar dan memulai ulang kotak pasir tanpa menghapus sumber daya.  | 17 November 2023 | 
|  [AmplifyBackendDeployFullAccess](#security-iam-awsmanpol-AmplifyBackendDeployFullAccess) – Pembaruan ke kebijakan yang ada  |  Tambahkan `amplify:GetBackendEnvironment` izin untuk mendukung penerapan aplikasi Amplify.  | 6 November 2023 | 
|  [AmplifyBackendDeployFullAccess](#security-iam-awsmanpol-AmplifyBackendDeployFullAccess) – Kebijakan baru  |  Amplify menambahkan kebijakan baru dengan izin minimum yang diperlukan untuk menerapkan sumber daya backend Amplify.  | Oktober 8, 2023 | 
| [AdministratorAccess-Amplify](#security-iam-awsmanpol-AdministratorAccess-Amplify) - Perbarui ke kebijakan yang ada | Tambahkan ecr:DescribeRepositories izin yang diperlukan oleh Amplify Command Line Interface (CLI). | 1 Juni 2023 | 
|  [AdministratorAccess-Amplify](#security-iam-awsmanpol-AdministratorAccess-Amplify) - Perbarui ke kebijakan yang ada  |  Tambahkan tindakan kebijakan untuk mendukung penghapusan tag dari AWS AppSync sumber daya. Tambahkan tindakan kebijakan untuk mendukung sumber daya Amazon Polly. Tambahkan tindakan kebijakan untuk mendukung pembaruan konfigurasi OpenSearch domain. Tambahkan tindakan kebijakan untuk mendukung penghapusan tag dari AWS Identity and Access Management peran. Tambahkan tindakan kebijakan untuk mendukung penghapusan tag dari sumber daya Amazon DynamoDB. Tambahkan `cloudfront:GetCloudFrontOriginAccessIdentityConfig` izin `cloudfront:GetCloudFrontOriginAccessIdentity` dan ke blok `CLISDKCalls` pernyataan untuk mendukung alur kerja publikasi dan hosting Amplify. Tambahkan `s3:PutBucketPublicAccessBlock` izin ke blok `CLIManageviaCFNPolicy` pernyataan untuk memungkinkan mendukung praktik terbaik keamanan Amazon S3 AWS CLI untuk mengaktifkan fitur Akses Publik Blok Amazon S3 di bucket internal. Tambahkan `cloudformation:DescribeStacks` izin ke blok `CLISDKCalls` pernyataan untuk mendukung pengambilan CloudFormation tumpukan pelanggan saat mencoba ulang di prosesor backend Amplify untuk menghindari duplikasi eksekusi jika tumpukan diperbarui. Tambahkan `cloudformation:ListStacks` izin ke blok `CLICloudformationPolicy` pernyataan. Izin ini diperlukan untuk sepenuhnya mendukung CloudFormation DescribeStacks tindakan tersebut.  | Februari 24, 2023 | 
|  [AdministratorAccess-Amplify](#security-iam-awsmanpol-AdministratorAccess-Amplify) - Perbarui ke kebijakan yang ada  |  Tambahkan tindakan kebijakan untuk memungkinkan fitur rendering sisi server Amplify mendorong metrik aplikasi ke dalam metrik pelanggan. CloudWatch Akun AWS  | 30 Agustus 2022 | 
|  [AdministratorAccess-Amplify](#security-iam-awsmanpol-AdministratorAccess-Amplify) - Perbarui ke kebijakan yang ada  |  Tambahkan tindakan kebijakan untuk memblokir akses publik ke bucket Amplify deployment Amazon S3.  | 27 April 2022 | 
|  [AdministratorAccess-Amplify](#security-iam-awsmanpol-AdministratorAccess-Amplify) - Perbarui ke kebijakan yang ada  |  Tambahkan tindakan untuk memungkinkan pelanggan menghapus aplikasi yang dirender sisi server (SSR) mereka. Ini juga memungkinkan CloudFront distribusi yang sesuai untuk dihapus dengan sukses. Tambahkan tindakan untuk memungkinkan pelanggan menentukan fungsi Lambda yang berbeda untuk menangani peristiwa dari sumber peristiwa yang ada menggunakan Amplify CLI. Dengan perubahan ini, AWS Lambda akan dapat melakukan [UpdateEventSourceMapping](https://docs.aws.amazon.com/lambda/latest/dg/API_UpdateEventSourceMapping.html)tindakan.  | April 17, 2022 | 
|  [AdministratorAccess-Amplify](#security-iam-awsmanpol-AdministratorAccess-Amplify) - Perbarui ke kebijakan yang ada  |  Tambahkan tindakan kebijakan untuk mengaktifkan tindakan Amplify UI Builder di semua sumber daya.  | 2 Desember 2021 | 
|  [AdministratorAccess-Amplify](#security-iam-awsmanpol-AdministratorAccess-Amplify) - Perbarui ke kebijakan yang ada  |  Tambahkan tindakan kebijakan untuk mendukung fitur autentikasi Amazon Cognito yang menggunakan penyedia identitas sosial. Tambahkan tindakan kebijakan untuk mendukung lapisan Lambda. Tambahkan tindakan kebijakan untuk mendukung kategori Amplify Storage.  | November 8, 2021 | 
|  [AdministratorAccess-Amplify](#security-iam-awsmanpol-AdministratorAccess-Amplify) - Perbarui ke kebijakan yang ada  |  Tambahkan tindakan Amazon Lex untuk mendukung kategori Amplify Interactions. Tambahkan tindakan Amazon Rekognition untuk mendukung kategori Amplify Predictions. Tambahkan tindakan Amazon Cognito untuk mendukung konfigurasi MFA di kumpulan pengguna Amazon Cognito. Tambahkan CloudFormation tindakan untuk mendukung CloudFormation StackSets. Tambahkan tindakan Amazon Location Service untuk mendukung kategori Amplify Geo. Tambahkan tindakan Lambda untuk mendukung lapisan Lambda di Amplify. Tambahkan tindakan CloudWatch Log untuk mendukung CloudWatch Acara. Tambahkan tindakan Amazon S3 untuk mendukung kategori Amplify Storage. Tambahkan tindakan kebijakan untuk mendukung aplikasi yang dirender sisi server (SSR).  | 27 September 2021 | 
|  [AdministratorAccess-Amplify](#security-iam-awsmanpol-AdministratorAccess-Amplify) - Perbarui ke kebijakan yang ada  |  Konsolidasikan semua tindakan Amplify menjadi satu `amplify:*` tindakan. Tambahkan tindakan Amazon S3 untuk mendukung mengenkripsi bucket Amazon S3 pelanggan. Tambahkan tindakan batas izin IAM untuk mendukung Amplify aplikasi yang memiliki batas izin diaktifkan. Tambahkan tindakan Amazon SNS untuk mendukung melihat nomor telepon originasi, serta melihat, membuat, memverifikasi, dan menghapus nomor telepon tujuan. Amplify Studio: Tambahkan Amazon Cognito AWS Lambda, IAM, CloudFormation dan tindakan kebijakan untuk mengaktifkan pengelolaan backend di konsol Amplify dan Amplify Studio. Tambahkan pernyataan kebijakan AWS Systems Manager (SSM) untuk mengelola rahasia lingkungan Amplify. Tambahkan CloudFormation `ListResources` tindakan untuk mendukung lapisan Lambda untuk aplikasi Amplify.  | 28 Juli 2021 | 
|  Amplify mulai melacak perubahan  |  Amplify mulai melacak perubahan untuk kebijakan AWS terkelolanya.  | 28 Juli 2021 |