Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Struktur kebijakan IAM
<a name="iam-policy-structure"></a>

Topik-topik berikut ini menjelaskan struktur dari kebijakan IAM.

**Topics**
+ [Sintaksis kebijakan](#policy-syntax)
+ [Tindakan API untuk AWS Batch](#UsingWithbatch_Actions)
+ [Nama Sumber Daya Amazon untuk AWS Batch](#batch_ARN_Format)
+ [Konfirmasikan bahwa pengguna memiliki izin yang diperlukan](#check-required-permissions)

## Sintaksis kebijakan
<a name="policy-syntax"></a>

 kebijakan IAM adalah dokumen JSON yang terdiri dari satu atau beberapa pernyataan. Masing-masing pernyataan memiliki struktur sebagai berikut.

```
{
  "Statement":[{
    "Effect":"effect",
    "Action":"action",
    "Resource":"arn",
    "Condition":{
      "condition":{
    "key":"value"
    }
      }
    }
  ]
}
```

Ada empat elemen utama yang membentuk pernyataan:
+ **Efek:** *Efek* bisa berupa `Allow` atau `Deny`. Secara default, pengguna tidak memiliki izin untuk menggunakan sumber daya dan tindakan API. Jadi, semua permintaan ditolak. izin eksplisit akan menggantikan izin default. penolakan eksplisit akan menggantikan izin apa pun.
+ **Action**: *Tindakan* adalah tindakan API tertentu yang Anda berikan atau tolak izinnya. Untuk petunjuk tentang cara menentukan *tindakan*, lihat[Tindakan API untuk AWS Batch](#UsingWithbatch_Actions). 
+ **Resource**: Sumber daya yang dipengaruhi oleh tindakan. Beberapa tindakan API AWS Batch memungkinkan Anda untuk menyertakan sumber daya tertentu dalam kebijakan Anda yang dapat dibuat atau dimodifikasi oleh tindakan tersebut. Untuk menentukan sumber daya dalam pernyataan, gunakan Amazon Resource Name (ARN). Untuk informasi selengkapnya, lihat [Izin tingkat sumber daya yang didukung untuk tindakan API AWS Batch](batch-supported-iam-actions-resources.md) dan [Nama Sumber Daya Amazon untuk AWS Batch](#batch_ARN_Format). Jika operasi AWS Batch API saat ini tidak mendukung izin tingkat sumber daya, sertakan wildcard (\$1) untuk menentukan bahwa semua sumber daya dapat terpengaruh oleh tindakan tersebut. 
+ **Syarat**: Syarat-syarat bersifat opsional. Syarat-syarat ini dapat digunakan untuk mengendalikan kapan kebijakan Anda berlaku.

Untuk informasi selengkapnya tentang contoh pernyataan kebijakan IAM AWS Batch, lihat[Sumber daya: Contoh kebijakan untuk AWS Batch](ExamplePolicies_BATCH.md). 

## Tindakan API untuk AWS Batch
<a name="UsingWithbatch_Actions"></a>

Dalam pernyataan kebijakan IAM, Anda dapat menentukan tindakan API apa pun dari layanan apa pun yang mendukung IAM. Untuk AWS Batch, gunakan awalan berikut dengan nama tindakan API: `batch:` (misalnya, `batch:SubmitJob` dan`batch:CreateComputeEnvironment`).

Untuk menentukan beberapa tindakan dalam satu pernyataan, pisahkan setiap tindakan dengan koma.

```
"Action": ["batch:action1", "batch:action2"]
```

Anda juga dapat menentukan beberapa tindakan dengan menyertakan wildcard (\$1). Misalnya, Anda dapat menentukan semua tindakan dengan nama yang dimulai dengan kata “Jelaskan.”

```
"Action": "batch:Describe*"
```

Untuk menentukan semua tindakan AWS Batch API, sertakan wildcard (\$1).

```
"Action": "batch:*"
```

Untuk daftar AWS Batch tindakan, lihat [Tindakan](https://docs.aws.amazon.com/batch/latest/APIReference/API_Operations.html) di *Referensi AWS Batch API*.

## Nama Sumber Daya Amazon untuk AWS Batch
<a name="batch_ARN_Format"></a>

Setiap pernyataan kebijakan IAM berlaku untuk sumber daya yang Anda tentukan menggunakan Nama Sumber Daya Amazon (ARNs). 

Nama Sumber Daya Amazon (ARN) memiliki sintaks umum berikut:

```
arn:aws:[service]:[region]:[account]:resourceType/resourcePath
```

*layanan*  
Layanan (contohnya, `batch`).

*wilayah*  
 Wilayah AWS Untuk sumber daya (misalnya,`us-east-2`).

*akun*  
 Akun AWS ID, tanpa tanda hubung (misalnya,`123456789012`).

*resourceType*  
Jenis dari sumber daya (contohnya, `compute-environment`).

*resourcePath*  
 jalur yang mengidentifikasi sumber daya. Anda dapat menggunakan wildcard (\$1) di jalur Anda.

AWS Batch Operasi API saat ini mendukung izin tingkat sumber daya pada beberapa operasi API. Untuk informasi selengkapnya, lihat [Izin tingkat sumber daya yang didukung untuk tindakan API AWS Batch](batch-supported-iam-actions-resources.md). Untuk menentukan semua sumber daya, atau jika tindakan API tertentu tidak mendukung ARNs, sertakan wildcard (\$1) dalam `Resource` elemen.

```
"Resource": "*"
```

## Konfirmasikan bahwa pengguna memiliki izin yang diperlukan
<a name="check-required-permissions"></a>

Sebelum Anda memasukkan kebijakan IAM ke dalam produksi, pastikan kebijakan tersebut memberi pengguna izin untuk menggunakan tindakan dan sumber daya API tertentu yang mereka butuhkan.

Untuk melakukan ini, pertama-tama buat pengguna untuk tujuan pengujian dan lampirkan kebijakan IAM ke pengguna uji. Kemudian, buatlah permintaan sebagai pengguna uji. Anda dapat membuat permintaan tes di konsol atau dengan AWS CLI. 

**catatan**  
Anda juga dapat menguji kebijakan Anda dengan menggunakan [IAM Policy Simulator](https://policysim.aws.amazon.com/home/index.jsp?#). Untuk informasi selengkapnya tentang simulator kebijakan, lihat [Bekerja dengan Simulator Kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies_testing-policies.html) dalam *Panduan Pengguna IAM*.

Jika kebijakan tidak memberikan izin kepada pengguna seperti yang Anda harapkan, atau terlalu longgar, Anda dapat menyesuaikan kebijakan sesuai kebutuhan. Lakukan pengujian ulang sampai Anda mendapatkan hasil yang diinginkan. 

**penting**  
Pengujian ini dapat memakan waktu beberapa menit sebelum perubahan terjadi pada kebijakan untuk ditransmisikan sebelum diberlakukan. Oleh karena itu, kami menyarankan agar Anda mengizinkan setidaknya lima menit berlalu sebelum Anda menguji pembaruan kebijakan Anda.

Jika pemeriksaan otorisasi gagal, maka permintaan akan menampilkan informasi berenkode yang memuat informasi diagnostik. Anda dapat melakukan dekode pada pesan tersebut menggunakan tindakan `DecodeAuthorizationMessage`. Untuk informasi selengkapnya, lihat [DecodeAuthorizationMessage](https://docs.aws.amazon.com/STS/latest/APIReference/API_DecodeAuthorizationMessage.html)di *Referensi AWS Security Token Service API*, dan [decode-authorization-message](https://docs.aws.amazon.com/cli/latest/reference/sts/decode-authorization-message.html)di *Referensi AWS CLI Perintah*.