Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Menggunakan peran terkait layanan untuk CloudTrail
AWS CloudTrail menggunakan AWS Identity and Access Management peran [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke. CloudTrail Peran terkait layanan telah ditentukan sebelumnya oleh CloudTrail dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.
**Topics**
+ [Menggunakan peran untuk membuat dan mengelola jalur CloudTrail organisasi dan penyimpanan data acara organisasi CloudTrail Danau di CloudTrail](using-service-linked-roles-create-slr-for-org-trails.md)
+ [Wilayah yang Didukung untuk CloudTrail peran terkait layanan](#slr-regions-create-slr-for-org-trails)
+ [Menggunakan peran untuk membuat dan mengelola konteks CloudTrail acara di CloudTrail](using-service-linked-roles-create-slr-for-context-management.md)
+ [Wilayah yang Didukung untuk CloudTrail peran terkait layanan](#slr-regions-create-slr-for-context-management)
# Menggunakan peran untuk membuat dan mengelola jalur CloudTrail organisasi dan penyimpanan data acara organisasi CloudTrail Danau di CloudTrail
AWS CloudTrail menggunakan AWS Identity and Access Management peran [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke. CloudTrail Peran terkait layanan telah ditentukan sebelumnya oleh CloudTrail dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.
Peran terkait layanan membuat pengaturan CloudTrail lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. CloudTrail mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya CloudTrail dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas IAM lainnya.
Anda dapat menghapus peran tertaut layanan hanya setelah menghapus sumber daya terkait terlebih dahulu. Ini melindungi CloudTrail sumber daya Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, silakan lihat [layanan AWS yang bisa digunakan dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan carilah layanan yang memiliki opsi **Ya** di kolom **Peran terkait layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
## Izin peran terkait layanan untuk CloudTrail
CloudTrail menggunakan peran terkait layanan bernama **AWSServiceRoleForCloudTrail**— Peran terkait layanan ini digunakan untuk mendukung jejak organisasi dan penyimpanan data acara organisasi.
Peran AWSService RoleForCloudTrail terkait layanan mempercayai layanan berikut untuk mengambil peran:
+ `cloudtrail.amazonaws.com`
Kebijakan izin peran bernama CloudTrailServiceRolePolicy memungkinkan CloudTrail untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
+ Tindakan pada semua CloudTrail sumber daya:
+ `All`
+ Tindakan pada semua AWS Organizations sumber daya:
+ `organizations:DescribeAccount`
+ `organizations:DescribeOrganization`
+ `organizations:ListAccounts`
+ `organizations:ListAWSServiceAccessForOrganization`
+ Tindakan pada semua sumber daya Organizations untuk prinsipal CloudTrail layanan untuk mencantumkan administrator yang didelegasikan untuk organisasi:
+ `organizations:ListDelegatedAdministrators`
+ Tindakan untuk [menonaktifkan federasi Danau](query-disable-federation.md) pada penyimpanan data acara organisasi:
+ `glue:DeleteTable`
+ `lakeformation:DeRegisterResource`
Anda harus mengonfigurasi izin agar pengguna, grup, atau peran Anda membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat [Izin peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.
Untuk informasi selengkapnya tentang kebijakan terkelola yang terkait dengan AWSServiceRoleForCloudTrail, lihat[AWS kebijakan terkelola untuk AWS CloudTrail](security-iam-awsmanpol.md).
## Membuat peran terkait layanan untuk CloudTrail
Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda membuat jejak organisasi atau penyimpanan data peristiwa organisasi, atau menambahkan administrator yang didelegasikan di CloudTrail konsol, di Konsol Manajemen AWS, atau AWS API AWS CLI, akan CloudTrail membuat peran terkait layanan untuk Anda.
Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda membuat jejak organisasi atau penyimpanan data peristiwa organisasi, atau menambahkan administrator yang didelegasikan di CloudTrail konsol, akan CloudTrail membuat peran terkait layanan untuk Anda lagi.
## Mengedit peran terkait layanan untuk CloudTrail
CloudTrail tidak memungkinkan Anda untuk mengedit peran AWSService RoleForCloudTrail terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin merujuk peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.
## Menghapus peran terkait layanan untuk CloudTrail
Anda tidak perlu menghapus AWSService RoleForCloudTrail peran secara manual. Jika Akun AWS dihapus dari organisasi Organizations, AWSServiceRoleForCloudTrail peran tersebut secara otomatis dihapus dari itu Akun AWS. Anda tidak dapat melepaskan atau menghapus kebijakan dari peran AWSServiceRoleForCloudTrail terkait layanan di akun manajemen organisasi tanpa menghapus akun dari organisasi.
Anda juga dapat menggunakan konsol IAM, AWS CLI atau AWS API untuk menghapus peran terkait layanan secara manual. Untuk melakukan ini, Anda harus membersihkan sumber daya peran terkait layanan sebelum menghapusnya secara manual.
**catatan**
Jika CloudTrail layanan menggunakan peran saat Anda mencoba menghapus sumber daya, penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.
Untuk menghapus sumber daya yang digunakan oleh AWSServiceRoleForCloudTrail peran, Anda dapat melakukan salah satu hal berikut:
+ Hapus Akun AWS dari organisasi di Organizations.
+ Perbarui jejak sehingga tidak lagi menjadi jejak organisasi. Untuk informasi selengkapnya, lihat [Memperbarui jejak dengan CloudTrail konsol](cloudtrail-update-a-trail-console.md).
+ Perbarui penyimpanan data acara sehingga tidak lagi menjadi penyimpanan data acara organisasi. Untuk informasi selengkapnya, lihat [Perbarui penyimpanan data acara dengan konsol](query-event-data-store-update.md).
+ Hapus jejak. Untuk informasi selengkapnya, lihat [Menghapus jejak dengan konsol CloudTrail](cloudtrail-delete-trails-console.md).
+ Hapus penyimpanan data acara. Untuk informasi selengkapnya, lihat [Hapus penyimpanan data acara dengan konsol](query-event-data-store-delete.md).
**Untuk menghapus peran tertaut layanan secara manual menggunakan IAM**
Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran AWSServiceRoleForCloudTrail terkait layanan. Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dalam *Panduan Pengguna IAM*.
## Wilayah yang Didukung untuk CloudTrail peran terkait layanan
CloudTrail mendukung penggunaan peran terkait layanan di semua Wilayah AWS tempat dan CloudTrail Organizations keduanya tersedia. Untuk informasi selengkapnya, lihat [AWS Wilayah dan titik akhir](https://docs.aws.amazon.com/general/latest/gr/rande.html) di *Referensi Umum AWS*.
# Menggunakan peran untuk membuat dan mengelola konteks CloudTrail acara di CloudTrail
AWS CloudTrail menggunakan AWS Identity and Access Management peran [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke. CloudTrail Peran terkait layanan telah ditentukan sebelumnya oleh CloudTrail dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.
Peran terkait layanan membuat pengaturan CloudTrail lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. CloudTrail mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya CloudTrail dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas IAM lainnya.
Anda dapat menghapus peran tertaut layanan hanya setelah menghapus sumber daya terkait terlebih dahulu. Ini melindungi CloudTrail sumber daya Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, silakan lihat [layanan AWS yang bisa digunakan dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan carilah layanan yang memiliki opsi **Ya** di kolom **Peran terkait layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
## Izin peran terkait layanan untuk CloudTrail
CloudTrail menggunakan peran terkait layanan bernama **AWSServiceRoleForCloudTrailEventContext**— Peran terkait layanan ini digunakan untuk mengelola Konteks CloudTrail Acara dan EventBridge aturan.
Peran AWSService RoleForCloudTrailEventContext terkait layanan mempercayai layanan berikut untuk mengambil peran:
+ `context.cloudtrail.amazonaws.com`
Kebijakan izin peran bernama CloudTrailEventContext memungkinkan CloudTrail untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
+ Tindakan pada tag sumber daya:
+ `tag:GetResources`
+ Tindakan pada semua EventBridge sumber daya Amazon untuk prinsipal CloudTrail layanan untuk membuat aturan:
+ `events:PutRule`
+ Tindakan pada semua EventBridge sumber daya Amazon untuk prinsipal CloudTrail layanan untuk mengelola aturan yang dibuatnya:
+ `events:PutTargets`
+ `events:DeleteRule`
+ `events:RemoveTargets`
+ `events:RemoveTargets`
+ Tindakan pada semua EventBridge sumber daya Amazon untuk prinsipal CloudTrail layanan untuk menjelaskan aturan yang dibuatnya:
+ `events:DescribeRule`
+ `events:DeRegisterResource`
+ Tindakan pada semua EventBridge sumber daya Amazon:
+ `events:ListRules`
Anda harus mengonfigurasi izin agar pengguna, grup, atau peran Anda membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat [Izin peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.
Untuk informasi selengkapnya tentang kebijakan terkelola yang terkait dengan AWSServiceRoleForCloudTrailEventContext, lihat[AWS kebijakan terkelola untuk AWS CloudTrail](security-iam-awsmanpol.md).
## Membuat peran terkait layanan untuk CloudTrail
Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda mulai menggunakan fitur event konteks di Konsol Manajemen AWS, the AWS CLI, atau AWS API, CloudTrail buat peran terkait layanan untuk Anda.
Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda mulai menggunakan fitur event konteks, CloudTrail buat peran terkait layanan untuk Anda lagi.
## Mengedit peran terkait layanan untuk CloudTrail
CloudTrail tidak memungkinkan Anda untuk mengedit peran AWSService RoleForCloudTrailEventContext terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin merujuk peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.
## Menghapus peran terkait AWSService RoleForCloudTrailEventContext layanan untuk CloudTrail
Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran AWSService RoleForCloudTrailEventContext terkait layanan, sebaiknya hapus peran tersebut. Dengan begitu, Anda tidak perlu lagi memantau atau memelihara entitas yang tidak digunakan. Namun, Anda harus membersihkan sumber daya untuk peran terkait layanan sebelum Anda dapat menghapusnya secara manual dengan menghapus TagContext kunci dari penyimpanan data peristiwa.
**catatan**
Jika CloudTrail layanan menggunakan peran saat Anda mencoba menghapus sumber daya, maka penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.
**Untuk menghapus CloudTrail sumber daya yang digunakan oleh peran terkait AWSService RoleForCloudTrailEventContext layanan**
1. Di terminal atau baris perintah, jalankan **put-event-configuration** perintah untuk toko acara tempat Anda ingin menghapus `TagContext` kuncinya. Misalnya, untuk menghapus `TagContext` kunci dari toko acara di *111122223333* akun di Wilayah AS Timur (Ohio) dengan ARN *arn:aws:cloudtrail:us-east-2:111122223333:eventdatastore/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111* `TagContext` di mana satu-satunya pemilih kunci konteks, Anda akan menggunakan perintah tanpa nilai **put-event-configuration** yang ditentukan untuk: `--context-key-selectors`
```
aws cloudtrail put-event-configuration --event-data-store arn:aws:cloudtrail:us-east-2:111122223333:eventdatastore/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 --max-event-size Large --context-key-selectors
```
1. Ulangi perintah ini untuk setiap penyimpanan data di setiap Wilayah di partisi. Untuk informasi selengkapnya, lihat [Mengidentifikasi AWS sumber daya dengan Nama Sumber Daya Amazon (ARNs)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html).
**Untuk menghapus peran tertaut layanan secara manual menggunakan IAM**
Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran AWSService RoleForCloudTrailEventContext terkait layanan. Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dalam *Panduan Pengguna IAM*.
## Wilayah yang Didukung untuk CloudTrail peran terkait layanan
CloudTrail mendukung penggunaan peran terkait layanan di semua Wilayah di mana CloudTrail dan EventBridge tersedia. Untuk informasi selengkapnya, lihat [AWS Wilayah dan titik akhir](https://docs.aws.amazon.com/general/latest/gr/rande.html).