Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# AWS Batch Kebijakan, peran, dan izin IAM
Secara default, pengguna tidak memiliki izin untuk membuat atau memodifikasi AWS Batch sumber daya atau untuk melakukan tugas menggunakan AWS Batch API, AWS Batch konsol, atau AWS CLI. Untuk memungkinkan pengguna melakukan tindakan ini, buat kebijakan IAM yang memberikan izin kepada pengguna untuk sumber daya dan operasi API tertentu. Kemudian, lampirkan kebijakan ke pengguna atau grup yang memerlukan izin tersebut.
Saat Anda melampirkan kebijakan ke pengguna atau grup pengguna, kebijakan tersebut mengizinkan atau menolak izin untuk melakukan tugas tertentu pada sumber daya tertentu. Untuk informasi selengkapnya, lihat [Izin dan Kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/PermissionsAndPolicies.html) dalam *Panduan Pengguna IAM*. Untuk informasi selengkapnya tentang cara mengelola dan membuat kebijakan IAM, lihat [Mengelola Kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingPolicies.html).
AWS Batch membuat panggilan ke orang lain Layanan AWS atas nama Anda. Akibatnya, AWS Batch harus mengautentikasi menggunakan kredensional Anda. Lebih khusus lagi, AWS Batch mengautentikasi dengan membuat peran dan kebijakan IAM yang menyediakan izin ini. Kemudian, ini mengaitkan peran dengan lingkungan komputasi Anda saat Anda membuatnya. *Untuk informasi selengkapnya, lihat[Peran instans Amazon ECS](instance_IAM_role.md), Peran [IAM, Menggunakan Peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-toplevel.html) [Tertaut Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html), dan [Membuat Peran untuk Mendelegasikan Izin ke AWS Layanan di Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) IAM.*
**Topics**
+ [
# Struktur kebijakan IAM
](iam-policy-structure.md)
+ [
# Sumber daya: Contoh kebijakan untuk AWS Batch
](ExamplePolicies_BATCH.md)
+ [
# Sumber daya: kebijakan AWS Batch terkelola
](batch_managed_policies.md)
# Struktur kebijakan IAM
Topik-topik berikut ini menjelaskan struktur dari kebijakan IAM.
**Topics**
+ [
## Sintaksis kebijakan
](#policy-syntax)
+ [
## Tindakan API untuk AWS Batch
](#UsingWithbatch_Actions)
+ [
## Nama Sumber Daya Amazon untuk AWS Batch
](#batch_ARN_Format)
+ [
## Konfirmasikan bahwa pengguna memiliki izin yang diperlukan
](#check-required-permissions)
## Sintaksis kebijakan
kebijakan IAM adalah dokumen JSON yang terdiri dari satu atau beberapa pernyataan. Masing-masing pernyataan memiliki struktur sebagai berikut.
```
{
"Statement":[{
"Effect":"effect",
"Action":"action",
"Resource":"arn",
"Condition":{
"condition":{
"key":"value"
}
}
}
]
}
```
Ada empat elemen utama yang membentuk pernyataan:
+ **Efek:** *Efek* bisa berupa `Allow` atau `Deny`. Secara default, pengguna tidak memiliki izin untuk menggunakan sumber daya dan tindakan API. Jadi, semua permintaan ditolak. izin eksplisit akan menggantikan izin default. penolakan eksplisit akan menggantikan izin apa pun.
+ **Action**: *Tindakan* adalah tindakan API tertentu yang Anda berikan atau tolak izinnya. Untuk petunjuk tentang cara menentukan *tindakan*, lihat[Tindakan API untuk AWS Batch](#UsingWithbatch_Actions).
+ **Resource**: Sumber daya yang dipengaruhi oleh tindakan. Beberapa tindakan API AWS Batch memungkinkan Anda untuk menyertakan sumber daya tertentu dalam kebijakan Anda yang dapat dibuat atau dimodifikasi oleh tindakan tersebut. Untuk menentukan sumber daya dalam pernyataan, gunakan Amazon Resource Name (ARN). Untuk informasi selengkapnya, lihat [Izin tingkat sumber daya yang didukung untuk tindakan API AWS Batch](batch-supported-iam-actions-resources.md) dan [Nama Sumber Daya Amazon untuk AWS Batch](#batch_ARN_Format). Jika operasi AWS Batch API saat ini tidak mendukung izin tingkat sumber daya, sertakan wildcard (\$1) untuk menentukan bahwa semua sumber daya dapat terpengaruh oleh tindakan tersebut.
+ **Syarat**: Syarat-syarat bersifat opsional. Syarat-syarat ini dapat digunakan untuk mengendalikan kapan kebijakan Anda berlaku.
Untuk informasi selengkapnya tentang contoh pernyataan kebijakan IAM AWS Batch, lihat[Sumber daya: Contoh kebijakan untuk AWS Batch](ExamplePolicies_BATCH.md).
## Tindakan API untuk AWS Batch
Dalam pernyataan kebijakan IAM, Anda dapat menentukan tindakan API apa pun dari layanan apa pun yang mendukung IAM. Untuk AWS Batch, gunakan awalan berikut dengan nama tindakan API: `batch:` (misalnya, `batch:SubmitJob` dan`batch:CreateComputeEnvironment`).
Untuk menentukan beberapa tindakan dalam satu pernyataan, pisahkan setiap tindakan dengan koma.
```
"Action": ["batch:action1", "batch:action2"]
```
Anda juga dapat menentukan beberapa tindakan dengan menyertakan wildcard (\$1). Misalnya, Anda dapat menentukan semua tindakan dengan nama yang dimulai dengan kata “Jelaskan.”
```
"Action": "batch:Describe*"
```
Untuk menentukan semua tindakan AWS Batch API, sertakan wildcard (\$1).
```
"Action": "batch:*"
```
Untuk daftar AWS Batch tindakan, lihat [Tindakan](https://docs.aws.amazon.com/batch/latest/APIReference/API_Operations.html) di *Referensi AWS Batch API*.
## Nama Sumber Daya Amazon untuk AWS Batch
Setiap pernyataan kebijakan IAM berlaku untuk sumber daya yang Anda tentukan menggunakan Nama Sumber Daya Amazon (ARNs).
Nama Sumber Daya Amazon (ARN) memiliki sintaks umum berikut:
```
arn:aws:[service]:[region]:[account]:resourceType/resourcePath
```
*layanan*
Layanan (contohnya, `batch`).
*wilayah*
Wilayah AWS Untuk sumber daya (misalnya,`us-east-2`).
*akun*
Akun AWS ID, tanpa tanda hubung (misalnya,`123456789012`).
*resourceType*
Jenis dari sumber daya (contohnya, `compute-environment`).
*resourcePath*
jalur yang mengidentifikasi sumber daya. Anda dapat menggunakan wildcard (\$1) di jalur Anda.
AWS Batch Operasi API saat ini mendukung izin tingkat sumber daya pada beberapa operasi API. Untuk informasi selengkapnya, lihat [Izin tingkat sumber daya yang didukung untuk tindakan API AWS Batch](batch-supported-iam-actions-resources.md). Untuk menentukan semua sumber daya, atau jika tindakan API tertentu tidak mendukung ARNs, sertakan wildcard (\$1) dalam `Resource` elemen.
```
"Resource": "*"
```
## Konfirmasikan bahwa pengguna memiliki izin yang diperlukan
Sebelum Anda memasukkan kebijakan IAM ke dalam produksi, pastikan kebijakan tersebut memberi pengguna izin untuk menggunakan tindakan dan sumber daya API tertentu yang mereka butuhkan.
Untuk melakukan ini, pertama-tama buat pengguna untuk tujuan pengujian dan lampirkan kebijakan IAM ke pengguna uji. Kemudian, buatlah permintaan sebagai pengguna uji. Anda dapat membuat permintaan tes di konsol atau dengan AWS CLI.
**catatan**
Anda juga dapat menguji kebijakan Anda dengan menggunakan [IAM Policy Simulator](https://policysim.aws.amazon.com/home/index.jsp?#). Untuk informasi selengkapnya tentang simulator kebijakan, lihat [Bekerja dengan Simulator Kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies_testing-policies.html) dalam *Panduan Pengguna IAM*.
Jika kebijakan tidak memberikan izin kepada pengguna seperti yang Anda harapkan, atau terlalu longgar, Anda dapat menyesuaikan kebijakan sesuai kebutuhan. Lakukan pengujian ulang sampai Anda mendapatkan hasil yang diinginkan.
**penting**
Pengujian ini dapat memakan waktu beberapa menit sebelum perubahan terjadi pada kebijakan untuk ditransmisikan sebelum diberlakukan. Oleh karena itu, kami menyarankan agar Anda mengizinkan setidaknya lima menit berlalu sebelum Anda menguji pembaruan kebijakan Anda.
Jika pemeriksaan otorisasi gagal, maka permintaan akan menampilkan informasi berenkode yang memuat informasi diagnostik. Anda dapat melakukan dekode pada pesan tersebut menggunakan tindakan `DecodeAuthorizationMessage`. Untuk informasi selengkapnya, lihat [DecodeAuthorizationMessage](https://docs.aws.amazon.com/STS/latest/APIReference/API_DecodeAuthorizationMessage.html)di *Referensi AWS Security Token Service API*, dan [decode-authorization-message](https://docs.aws.amazon.com/cli/latest/reference/sts/decode-authorization-message.html)di *Referensi AWS CLI Perintah*.
# Sumber daya: Contoh kebijakan untuk AWS Batch
Anda dapat membuat kebijakan IAM tertentu untuk membatasi panggilan dan sumber daya yang dapat diakses oleh pengguna di akun Anda. Kemudian, Anda dapat melampirkan kebijakan tersebut ke pengguna.
Saat Anda melampirkan kebijakan ke pengguna atau grup pengguna, kebijakan tersebut mengizinkan atau menolak izin pengguna untuk tugas tertentu pada sumber daya tertentu. Untuk informasi selengkapnya, lihat [Izin dan Kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/PermissionsAndPolicies.html) dalam *Panduan Pengguna IAM*. Untuk petunjuk tentang cara mengelola dan membuat kebijakan IAM kustom, lihat [Mengelola Kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingPolicies.html).
Contoh berikut menunjukkan pernyataan kebijakan yang dapat Anda gunakan untuk mengontrol izin yang dimiliki pengguna. AWS Batch
**Topics**
+ [Akses hanya-baca](iam-example-read-only.md)
+ [Sumber Daya: Batasi pengguna, gambar, hak istimewa, peran](iam-example-job-def.md)
+ [Membatasi pengiriman tugas](iam-example-restrict-job-submission.md)
+ [Batasi antrian pekerjaan](iam-example-restrict-job-queue.md)
+ [
# Tolak tindakan saat semua kondisi cocok dengan string
](iam-example-job-def-deny-all-image-logdriver.md)
+ [
# Sumber daya: Tolak tindakan ketika tombol kondisi apa pun cocok dengan string
](iam-example-job-def-deny-any-image-logdriver.md)
+ [Gunakan tombol `batch:ShareIdentifier` kondisi](iam-example-share-identifier.md)
+ [Kelola sumber daya SageMaker AI dengan AWS Batch](iam-example-full-access-service-environment.md)
+ [Batasi pengiriman pekerjaan dengan tag sumber daya](iam-example-restrict-job-submission-by-tags.md)
# Sumber daya: Akses hanya-baca untuk AWS Batch
Kebijakan berikut memberikan izin kepada pengguna untuk menggunakan semua tindakan AWS Batch API dengan nama yang dimulai dengan `Describe` dan. `List`
Kecuali pernyataan lain memberi mereka izin untuk melakukannya, pengguna tidak memiliki izin untuk melakukan tindakan apa pun pada sumber daya. Secara default, mereka ditolak izin untuk menggunakan tindakan API.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:Describe*",
"batch:List*",
"batch:Get*"
],
"Resource": "*"
}
]
}
```
------
# Sumber Daya: Batasi untuk pengguna POSIX, gambar Docker, tingkat hak istimewa, dan peran dalam pengiriman pekerjaan
Kebijakan berikut memungkinkan pengguna POSIX untuk mengelola kumpulan definisi pekerjaan terbatas mereka sendiri.
Gunakan pernyataan pertama dan kedua untuk mendaftarkan dan membatalkan pendaftaran nama definisi pekerjaan apa pun yang namanya diawali. *JobDefA\$1*
Pernyataan pertama juga menggunakan kunci konteks bersyarat untuk membatasi pengguna POSIX, status istimewa, dan nilai-nilai citra kontainer dalam ketentuan tugas `containerProperties`. Untuk informasi selengkapnya, lihat [RegisterJobDefinition](https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html) di dalam *Referensi API AWS Batch *. Dalam contoh ini, definisi pekerjaan hanya dapat didaftarkan ketika pengguna POSIX disetel ke`nobody`. Bendera istimewa diatur ke`false`. Terakhir, gambar diatur ke `myImage` dalam repositori Amazon ECR.
**penting**
Docker menyelesaikan `user` parameter ke pengguna itu `uid` dari dalam gambar kontainer. Dalam kebanyakan kasus, ini ditemukan di file `/etc/passwd` dalam citra kontainer. Resolusi nama ini dapat dihindari dengan menggunakan nilai `uid` langsung dalam ketentuan tugas dan kebijakan IAM apa pun yang terkait. Baik operasi API AWS Batch maupun kunci bersyarat IAM `batch:User` mendukung nilai numerik.
Gunakan pernyataan ketiga untuk membatasi hanya peran tertentu pada definisi pekerjaan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"arn:aws:batch:us-east-2:999999999999:job-definition/JobDefA_*"
],
"Condition": {
"StringEquals": {
"batch:User": [
"nobody"
],
"batch:Image": [
"999999999999.dkr.ecr.us-east-2.amazonaws.com/myImage"
]
},
"Bool": {
"batch:Privileged": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"batch:DeregisterJobDefinition"
],
"Resource": [
"arn:aws:batch:us-east-2:999999999999:job-definition/JobDefA_*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::999999999999:role/MyBatchJobRole"
]
}
]
}
```
------
# Sumber Daya: Batasi awalan definisi pekerjaan pada pengiriman pekerjaan
Gunakan kebijakan berikut untuk mengirimkan pekerjaan ke antrian pekerjaan apa pun dengan nama definisi pekerjaan apa pun yang dimulai dengan*JobDefA*.
**penting**
Ketika membuat cakupan akses tingkat sumber daya untuk pengiriman tugas, Anda harus menyediakan antrean tugas dan tipe sumber daya ketentuan tugas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:SubmitJob"
],
"Resource": [
"arn:aws:batch:us-east-2:111122223333:job-definition/JobDefA_*",
"arn:aws:batch:us-east-2:111122223333:job-queue/*"
]
}
]
}
```
------
# Sumber Daya: Batasi antrian pekerjaan
Gunakan kebijakan berikut untuk mengirimkan pekerjaan ke antrian pekerjaan tertentu yang diberi nama **queue1** dengan nama definisi pekerjaan apa pun.
**penting**
Ketika membuat cakupan akses tingkat sumber daya untuk pengiriman tugas, Anda harus menyediakan antrean tugas dan tipe sumber daya ketentuan tugas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:SubmitJob"
],
"Resource": [
"arn:aws:batch:us-east-2:888888888888:job-definition/*",
"arn:aws:batch:us-east-2:888888888888:job-queue/queue1"
]
}
]
}
```
------
# Tolak tindakan saat semua kondisi cocok dengan string
Kebijakan berikut menolak akses ke operasi [https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html](https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html)API ketika kunci kondisi `batch:Image` (ID gambar kontainer) adalah "*string1*" dan kunci kondisi `batch:LogDriver` (driver log kontainer) adalah "*string2*.” AWS Batch mengevaluasi kunci kondisi pada setiap kontainer. Ketika sebuah pekerjaan mencakup beberapa kontainer seperti pekerjaan paralel multi-node, kontainer mungkin memiliki konfigurasi yang berbeda. Jika beberapa kunci kondisi dievaluasi dalam satu pernyataan, mereka digabungkan menggunakan `AND` logika. Jadi, jika salah satu dari beberapa kunci kondisi tidak cocok untuk wadah, `Deny` efeknya tidak diterapkan untuk wadah itu. Sebaliknya, wadah yang berbeda dalam pekerjaan yang sama mungkin ditolak.
Untuk daftar kunci kondisi AWS Batch, lihat [Kunci kondisi untuk AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-policy-keys) dalam *Referensi Otorisasi Layanan*. Kecuali`batch:ShareIdentifier`, semua tombol `batch` kondisi dapat digunakan dengan cara ini. Kunci `batch:ShareIdentifier` kondisi didefinisikan untuk pekerjaan, bukan definisi pekerjaan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"*"
]
},
{
"Effect": "Deny",
"Action": "batch:RegisterJobDefinition",
"Resource": "*",
"Condition": {
"StringEquals": {
"batch:Image": "string1",
"batch:LogDriver": "string2"
}
}
}
]
}
```
------
# Sumber daya: Tolak tindakan ketika tombol kondisi apa pun cocok dengan string
Kebijakan berikut menolak akses ke operasi [https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html](https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html)API ketika kunci kondisi `batch:Image` (ID gambar kontainer) adalah *string1* "” atau kunci kondisi `batch:LogDriver` (driver log kontainer) adalah "*string2*.” Ketika sebuah pekerjaan mencakup beberapa kontainer seperti pekerjaan paralel multi-node, kontainer mungkin memiliki konfigurasi yang berbeda. Jika beberapa kunci kondisi dievaluasi dalam satu pernyataan, mereka digabungkan menggunakan `AND` logika. Jadi, jika salah satu dari beberapa kunci kondisi tidak cocok untuk wadah, `Deny` efeknya tidak diterapkan untuk wadah itu. Sebaliknya, wadah yang berbeda dalam pekerjaan yang sama mungkin ditolak.
Untuk daftar kunci kondisi AWS Batch, lihat [Kunci kondisi untuk AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-policy-keys) dalam *Referensi Otorisasi Layanan*. Kecuali`batch:ShareIdentifier`, semua tombol `batch` kondisi dapat digunakan dengan cara ini. (Kunci `batch:ShareIdentifier` kondisi didefinisikan untuk pekerjaan, bukan definisi pekerjaan.)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"*"
]
},
{
"Effect": "Deny",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"batch:Image": [
"string1"
]
}
}
},
{
"Effect": "Deny",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"batch:LogDriver": [
"string2"
]
}
}
}
]
}
```
------
# Sumber daya: Gunakan tombol `batch:ShareIdentifier` kondisi
Gunakan kebijakan berikut untuk mengirimkan lowongan yang menggunakan definisi `jobDefA` pekerjaan ke antrian `jobqueue1` pekerjaan dengan pengenal `lowCpu` berbagi.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:SubmitJob"
],
"Resource": [
"arn:aws:batch:us-east-2:555555555555:job-definition/JobDefA",
"arn:aws:batch:us-east-2:555555555555:job-queue/jobqueue1"
],
"Condition": {
"StringEquals": {
"batch:ShareIdentifier": [
"lowCpu"
]
}
}
}
]
}
```
------
# Kelola sumber daya SageMaker AI dengan AWS Batch
Kebijakan ini memungkinkan AWS Batch untuk mengelola sumber daya SageMaker AI.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAWSBatchWithSagemaker",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "sagemaker-queuing.batch.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker.amazonaws.com"
]
}
}
}
]
}
```
------
# Sumber Daya: Batasi pengiriman pekerjaan dengan tag sumber daya pada definisi pekerjaan dan antrian pekerjaan
Gunakan kebijakan berikut untuk mengirimkan pekerjaan hanya jika antrian pekerjaan memiliki tag `Environment=dev` dan definisi pekerjaan memiliki tag`Project=calc`. Kebijakan ini menunjukkan cara menggunakan tag sumber daya untuk mengontrol akses ke AWS Batch sumber daya selama pengiriman pekerjaan.
**penting**
Saat mengirimkan pekerjaan dengan kebijakan yang mengevaluasi tag sumber daya definisi pekerjaan, Anda harus mengirimkan pekerjaan menggunakan format revisi definisi pekerjaan (). `job-definition:revision` Jika Anda mengirimkan pekerjaan tanpa menentukan revisi, tag definisi pekerjaan tidak akan dievaluasi, berpotensi melewati kontrol akses yang Anda inginkan. `*:*`Pola dalam sumber daya ARN memberlakukan bahwa kiriman harus menyertakan revisi, memastikan kebijakan tag selalu diterapkan secara efektif.
Kebijakan ini menggunakan dua pernyataan terpisah karena menerapkan kondisi tag yang berbeda untuk jenis sumber daya yang berbeda. Ketika membuat cakupan akses tingkat sumber daya untuk pengiriman tugas, Anda harus menyediakan antrean tugas dan tipe sumber daya ketentuan tugas.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "batch:SubmitJob",
"Resource": "arn:aws:batch:*:*:job-queue/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Environment": "dev"
}
}
},
{
"Effect": "Allow",
"Action": "batch:SubmitJob",
"Resource": "arn:aws:batch:*:*:job-definition/*:*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Project": "calc"
}
}
}
]
}
```
# Sumber daya: kebijakan AWS Batch terkelola
AWS Batch menyediakan kebijakan terkelola yang dapat Anda lampirkan ke pengguna. Kebijakan ini memberikan izin untuk menggunakan AWS Batch sumber daya dan operasi API. Anda dapat menerapkan kebijakan ini secara langsung, atau Anda dapat menggunakannya sebagai titik awal untuk membuat kebijakan Anda sendiri. Untuk informasi lebih lanjut tentang setiap operasi API yang disebutkan dalam kebijakan ini, lihat [Tindakan](https://docs.aws.amazon.com/batch/latest/APIReference/API_Operations.html) di *Referensi API AWS Batch *.
## AWSBatchFullAccess
Kebijakan ini memungkinkan akses administrator penuh ke AWS Batch.
Untuk melihat JSON untuk kebijakan, lihat [AWSBatchFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBatchFullAccess.html)di [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).