Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Keamanan di AWS Batch
Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.
Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) menjelaskan hal ini sebagai keamanan *dari* cloud dan keamanan *dalam* cloud:
+ **Keamanan cloud** — AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan AWS layanan di AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Auditor pihak ketiga secara teratur menguji dan memverifikasi efektivitas keamanan kami sebagai bagian dari [Program AWS Kepatuhan Program AWS Kepatuhan](https://aws.amazon.com/compliance/programs/) . Untuk mempelajari tentang program kepatuhan yang berlaku AWS Batch, lihat [AWS Layanan dalam Lingkup oleh AWS Layanan Program Kepatuhan](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Keamanan di cloud** – Tanggung jawab Anda ditentukan menurut layanan AWS yang Anda gunakan. Anda juga bertanggung jawab atas faktor lain termasuk sensitivitas data Anda, persyaratan perusahaan Anda, serta undang-undang dan peraturan yang berlaku.
Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan AWS Batch. Topik berikut menunjukkan cara mengonfigurasi AWS Batch untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga belajar cara menggunakan AWS layanan lain yang membantu Anda memantau dan mengamankan AWS Batch sumber daya Anda.
**Topics**
+ [Identity and Access Management untuk AWS Batch](security-iam.md)
+ [AWS Batch Kebijakan, peran, dan izin IAM](IAM_policies.md)
+ [AWS Batch Peran eksekusi IAM](execution-IAM-role.md)
+ [Buat virtual private cloud](create-public-private-vpc.md)
+ [Gunakan titik akhir antarmuka untuk Access AWS Batch](vpc-interface-endpoints.md)
+ [Validasi kepatuhan untuk AWS Batch](compliance.md)
+ [Keamanan infrastruktur di AWS Batch](infrastructure-security.md)
+ [Pencegahan "confused deputy" lintas layanan](cross-service-confused-deputy-prevention.md)
+ [Logging panggilan AWS Batch API dengan AWS CloudTrail](logging-using-cloudtrail.md)
+ [Memecahkan masalah AWS Batch IAM](security_iam_troubleshoot.md)
# Identity and Access Management untuk AWS Batch
AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengontrol siapa yang dapat *diautentikasi* (masuk) dan *diberi wewenang* (memiliki izin) untuk menggunakan sumber daya. AWS Batch IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.
**Topics**
+ [Audiens](#security_iam_audience)
+ [Mengautentikasi dengan identitas](#security_iam_authentication)
+ [Mengelola akses menggunakan kebijakan](#security_iam_access-manage)
+ [Bagaimana AWS Batch bekerja dengan IAM](security_iam_service-with-iam.md)
+ [Contoh kebijakan berbasis identitas untuk AWS Batch](security_iam_id-based-policy-examples.md)
+ [AWS kebijakan terkelola untuk AWS Batch](security-iam-awsmanpol.md)
## Audiens
Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda berdasarkan peran Anda:
+ **Pengguna layanan** - minta izin dari administrator Anda jika Anda tidak dapat mengakses fitur (lihat [Memecahkan masalah AWS Batch IAM](security_iam_troubleshoot.md))
+ **Administrator layanan** - tentukan akses pengguna dan mengirimkan permintaan izin (lihat [Bagaimana AWS Batch bekerja dengan IAM](security_iam_service-with-iam.md))
+ **Administrator IAM** - tulis kebijakan untuk mengelola akses (lihat [Contoh kebijakan berbasis identitas untuk AWS Batch](security_iam_id-based-policy-examples.md))
## Mengautentikasi dengan identitas
Otentikasi adalah cara Anda masuk AWS menggunakan kredensi identitas Anda. Anda harus diautentikasi sebagai Pengguna root akun AWS, pengguna IAM, atau dengan mengasumsikan peran IAM.
Anda dapat masuk sebagai identitas federasi menggunakan kredensional dari sumber identitas seperti AWS IAM Identity Center (Pusat Identitas IAM), autentikasi masuk tunggal, atau kredensional. Google/Facebook Untuk informasi selengkapnya tentang cara masuk, lihat [Cara masuk ke Akun AWS Anda](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dalam *Panduan Pengguna AWS Sign-In *.
Untuk akses terprogram, AWS sediakan SDK dan CLI untuk menandatangani permintaan secara kriptografis. Untuk informasi selengkapnya, lihat [AWS Signature Version 4 untuk permintaan API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dalam *Panduan Pengguna IAM*.
### Akun AWS pengguna root
Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang disebut *pengguna Akun AWS root* yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Untuk tugas yang memerlukan kredensial pengguna root, lihat [Tugas yang memerlukan kredensial pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dalam *Panduan Pengguna IAM*.
### Identitas terfederasi
Sebagai praktik terbaik, mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses Layanan AWS menggunakan kredensi sementara.
*Identitas federasi* adalah pengguna dari direktori perusahaan Anda, penyedia identitas web, atau Directory Service yang mengakses Layanan AWS menggunakan kredensi dari sumber identitas. Identitas terfederasi mengambil peran yang memberikan kredensial sementara.
Untuk manajemen akses terpusat, kami menyarankan AWS IAM Identity Center. Untuk informasi selengkapnya, lihat [Apa itu Pusat Identitas IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dalam *Panduan Pengguna AWS IAM Identity Center *.
### Pengguna dan grup IAM
*[Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* adalah identitas dengan izin khusus untuk satu orang atau aplikasi. Sebaiknya gunakan kredensial sementara alih-alih pengguna IAM dengan kredensial jangka panjang. Untuk informasi selengkapnya, lihat [Mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) di Panduan Pengguna *IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) menentukan kumpulan pengguna IAM dan mempermudah pengelolaan izin untuk pengguna dalam jumlah besar. Untuk mempelajari selengkapnya, lihat [Kasus penggunaan untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dalam *Panduan Pengguna IAM*.
### Peran IAM
*[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* adalah identitas dengan izin khusus yang menyediakan kredensial sementara. Anda dapat mengambil peran dengan [beralih dari pengguna ke peran IAM (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) atau dengan memanggil operasi AWS CLI atau AWS API. Untuk informasi selengkapnya, lihat [Metode untuk mengambil peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dalam *Panduan Pengguna IAM*.
Peran IAM berguna untuk akses pengguna terfederasi, izin pengguna IAM sementara, akses lintas akun, akses lintas layanan, dan aplikasi yang berjalan di Amazon EC2. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.
## Mengelola akses menggunakan kebijakan
Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan menentukan izin saat dikaitkan dengan identitas atau sumber daya. AWS mengevaluasi kebijakan ini ketika kepala sekolah membuat permintaan. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang dokumen kebijakan JSON, lihat [Gambaran umum kebijakan JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dalam *Panduan Pengguna IAM*.
Menggunakan kebijakan, administrator menentukan siapa yang memiliki akses ke apa dengan mendefinisikan **principal** mana yang dapat melakukan **tindakan** pada **sumber daya** apa, dan dalam **kondisi** apa.
Secara default, pengguna dan peran tidak memiliki izin. Administrator IAM membuat kebijakan IAM dan menambahkannya ke peran, yang kemudian dapat diambil oleh pengguna. Kebijakan IAM mendefinisikan izin terlepas dari metode yang Anda gunakan untuk melakukan operasinya.
### Kebijakan berbasis identitas
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang Anda lampirkan ke identitas (pengguna, grup, atau peran). Kebijakan ini mengontrol tindakan apa yang bisa dilakukan oleh identitas tersebut, terhadap sumber daya yang mana, dan dalam kondisi apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Kebijakan berbasis identitas dapat berupa *kebijakan inline* (disematkan langsung ke dalam satu identitas) atau *kebijakan terkelola* (kebijakan mandiri yang dilampirkan pada banyak identitas). Untuk mempelajari cara memilih antara kebijakan terkelola dan kebijakan inline, lihat [Pilih antara kebijakan terkelola dan kebijakan inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dalam *Panduan Pengguna IAM*.
### Kebijakan berbasis sumber daya
Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contohnya termasuk *kebijakan kepercayaan peran IAM* dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya.
Kebijakan berbasis sumber daya merupakan kebijakan inline yang terletak di layanan tersebut. Anda tidak dapat menggunakan kebijakan AWS terkelola dari IAM dalam kebijakan berbasis sumber daya.
### Jenis-jenis kebijakan lain
AWS mendukung jenis kebijakan tambahan yang dapat menetapkan izin maksimum yang diberikan oleh jenis kebijakan yang lebih umum:
+ **Batasan izin** – Menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Untuk informasi selengkapnya, lihat [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dalam *Panduan Pengguna IAM*.
+ **Kebijakan kontrol layanan (SCPs)** — Tentukan izin maksimum untuk organisasi atau unit organisasi di AWS Organizations. Untuk informasi selengkapnya, lihat [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dalam *Panduan Pengguna AWS Organizations *.
+ **Kebijakan kontrol sumber daya (RCPs)** — Tetapkan izin maksimum yang tersedia untuk sumber daya di akun Anda. Untuk informasi selengkapnya, lihat [Kebijakan kontrol sumber daya (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) di *Panduan AWS Organizations Pengguna*.
+ **Kebijakan sesi** – Kebijakan lanjutan yang diteruskan sebagai parameter saat membuat sesi sementara untuk peran atau pengguna terfederasi. Untuk informasi selengkapnya, lihat [Kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dalam *Panduan Pengguna IAM*.
### Berbagai jenis kebijakan
Ketika beberapa jenis kebijakan berlaku pada suatu permintaan, izin yang dihasilkan lebih rumit untuk dipahami. Untuk mempelajari cara AWS menentukan apakah akan mengizinkan permintaan saat beberapa jenis kebijakan terlibat, lihat [Logika evaluasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) di *Panduan Pengguna IAM*.
# Bagaimana AWS Batch bekerja dengan IAM
Sebelum Anda menggunakan IAM untuk mengelola akses AWS Batch, pelajari fitur IAM yang tersedia untuk digunakan. AWS Batch
**Fitur IAM yang dapat Anda gunakan AWS Batch**
| Fitur IAM | AWS Batch dukungan |
| --- | --- |
| [Kebijakan berbasis identitas](#security_iam_service-with-iam-id-based-policies) | Ya |
| Kebijakan berbasis sumber daya | Tidak |
| [Tindakan kebijakan](#security_iam_service-with-iam-id-based-policies-actions) | Ya |
| [Sumber daya kebijakan](#security_iam_service-with-iam-id-based-policies-resources) | Ya |
| [Kunci kondisi kebijakan](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Ya |
| ACLs | Tidak |
| [ABAC (tanda dalam kebijakan)](#security_iam_service-with-iam-tags) | Ya |
| [Kredensial sementara](#security_iam_service-with-iam-roles-tempcreds) | Ya |
| [Izin principal](#security_iam_service-with-iam-principal-permissions) | Ya |
| [Peran layanan](#security_iam_service-with-iam-roles-service) | Ya |
| [Peran terkait layanan](#security_iam_service-with-iam-roles-service-linked) | Ya |
Untuk mendapatkan tampilan tingkat tinggi tentang cara AWS Batch dan AWS layanan lain bekerja dengan sebagian besar fitur IAM, lihat [AWS layanan yang bekerja dengan IAM di Panduan Pengguna *IAM*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
## Kebijakan berbasis identitas untuk AWS Batch
**Mendukung kebijakan berbasis identitas**: Ya
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang dapat Anda lampirkan ke sebuah identitas, seperti pengguna IAM, grup pengguna IAM, atau peran IAM. Kebijakan ini mengontrol jenis tindakan yang dapat dilakukan oleh pengguna dan peran, di sumber daya mana, dan berdasarkan kondisi seperti apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan terkelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan secara spesifik apakah tindakan dan sumber daya diizinkan atau ditolak, serta kondisi yang menjadi dasar dikabulkan atau ditolaknya tindakan tersebut. Untuk mempelajari semua elemen yang dapat Anda gunakan dalam kebijakan JSON, lihat [Referensi elemen kebijakan JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dalam *Panduan Pengguna IAM*.
### Contoh kebijakan berbasis identitas untuk AWS Batch
Untuk melihat contoh kebijakan AWS Batch berbasis identitas, lihat. [Contoh kebijakan berbasis identitas untuk AWS Batch](security_iam_id-based-policy-examples.md)
## Tindakan kebijakan untuk AWS Batch
**Mendukung tindakan kebijakan:** Ya
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen `Action` dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.
Untuk melihat daftar AWS Batch tindakan, lihat [Tindakan yang Ditentukan oleh AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-actions-as-permissions) dalam *Referensi Otorisasi Layanan*.
Tindakan kebijakan AWS Batch menggunakan awalan berikut sebelum tindakan:
```
batch
```
Untuk menetapkan secara spesifik beberapa tindakan dalam satu pernyataan, pisahkan tindakan tersebut dengan koma.
```
"Action": [
"batch:action1",
"batch:action2"
]
```
Anda juga dapat menentukan beberapa tindakan menggunakan wildcard (\$1). Sebagai contoh, untuk menentukan semua tindakan yang dimulai dengan kata `Describe`, sertakan tindakan berikut:
```
"Action": "batch:Describe*"
```
Untuk melihat contoh kebijakan AWS Batch berbasis identitas, lihat. [Contoh kebijakan berbasis identitas untuk AWS Batch](security_iam_id-based-policy-examples.md)
## Sumber daya kebijakan untuk AWS Batch
**Mendukung sumber daya kebijakan:** Ya
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen kebijakan JSON `Resource` menentukan objek yang menjadi target penerapan tindakan. Praktik terbaiknya, tentukan sumber daya menggunakan [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, gunakan wildcard (\$1) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.
```
"Resource": "*"
```
Untuk melihat daftar jenis sumber daya dan jenis AWS Batch sumber daya ARNs, lihat [Sumber Daya yang Ditentukan oleh AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-resources-for-iam-policies) dalam *Referensi Otorisasi Layanan*. Untuk mempelajari dengan tindakan mana Anda dapat menentukan ARN setiap sumber daya, lihat [Tindakan yang ditentukan oleh AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-actions-as-permissions).
## Kunci kondisi kebijakan untuk AWS Batch
**Mendukung kunci kondisi kebijakan khusus layanan:** Yes
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **principal** dapat melakukan **tindakan** pada suatu **sumber daya**, dan dalam suatu **syarat**.
Elemen `Condition` menentukan ketika pernyataan dieksekusi berdasarkan kriteria yang ditetapkan. Anda dapat membuat ekspresi bersyarat yang menggunakan [operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.
Untuk melihat daftar kunci AWS Batch kondisi, lihat [Condition Keys untuk AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-policy-keys) dalam *Referensi Otorisasi Layanan*. Untuk mempelajari tindakan dan sumber daya yang dapat Anda gunakan kunci kondisi, lihat [Tindakan yang Ditentukan oleh AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-actions-as-permissions).
## Kontrol akses berbasis atribut (ABAC) dengan AWS Batch
**Mendukung ABAC (tanda dalam kebijakan):** Ya
Kontrol akses berbasis atribut (ABAC) adalah strategi otorisasi yang menentukan izin berdasarkan atribut tanda. Anda dapat melampirkan tag ke entitas dan AWS sumber daya IAM, lalu merancang kebijakan ABAC untuk mengizinkan operasi saat tag prinsipal cocok dengan tag pada sumber daya.
Untuk mengendalikan akses berdasarkan tanda, berikan informasi tentang tanda di [elemen kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dari kebijakan menggunakan kunci kondisi `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, atau `aws:TagKeys`.
Jika sebuah layanan mendukung ketiga kunci kondisi untuk setiap jenis sumber daya, nilainya adalah **Ya** untuk layanan tersebut. Jika suatu layanan mendukung ketiga kunci kondisi untuk hanya beberapa jenis sumber daya, nilainya adalah **Parsial**.
Untuk informasi selengkapnya tentang ABAC, lihat [Tentukan izin dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dalam *Panduan Pengguna IAM.* Untuk melihat tutorial yang menguraikan langkah-langkah pengaturan ABAC, lihat [Menggunakan kontrol akses berbasis atribut (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) dalam *Panduan Pengguna IAM*.
## Gunakan kredensyal sementara dengan AWS Batch
**Mendukung kredensial sementara:** Ya
Kredensyal sementara menyediakan akses jangka pendek ke AWS sumber daya dan secara otomatis dibuat saat Anda menggunakan federasi atau beralih peran. AWS merekomendasikan agar Anda secara dinamis menghasilkan kredensi sementara alih-alih menggunakan kunci akses jangka panjang. Untuk informasi selengkapnya, lihat [Kredensial keamanan sementara di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) dan [Layanan AWS yang berfungsi dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dalam *Panduan Pengguna IAM*.
## Izin utama lintas layanan untuk AWS Batch
**Mendukung sesi akses terusan (FAS):** Ya
Sesi akses teruskan (FAS) menggunakan izin dari pemanggilan utama Layanan AWS, dikombinasikan dengan permintaan Layanan AWS untuk membuat permintaan ke layanan hilir. Untuk detail kebijakan ketika mengajukan permintaan FAS, lihat [Sesi akses terusan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Peran layanan untuk AWS Batch
**Mendukung peran layanan:** Ya
Peran layanan adalah [peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) yang diambil oleh sebuah layanan untuk melakukan tindakan atas nama Anda. Administrator IAM dapat membuat, mengubah, dan menghapus peran layanan dari dalam IAM. Untuk informasi selengkapnya, lihat [Buat sebuah peran untuk mendelegasikan izin ke Layanan AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dalam *Panduan pengguna IAM*.
**Awas**
Mengubah izin untuk peran layanan dapat merusak AWS Batch fungsionalitas. Edit peran layanan hanya jika AWS Batch memberikan bimbingan untuk melakukannya.
## Peran terkait layanan untuk AWS Batch
**Mendukung peran terkait layanan**: Ya
Peran terkait layanan adalah jenis peran layanan yang ditautkan ke. Layanan AWS Layanan tersebut dapat menjalankan peran untuk melakukan tindakan atas nama Anda. Peran terkait layanan muncul di Anda Akun AWS dan dimiliki oleh layanan. Administrator IAM dapat melihat, tetapi tidak dapat mengedit izin untuk peran terkait layanan.
Untuk detail tentang pembuatan atau manajemen peran terkait layanan, lihat [Layanan AWS yang berfungsi dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Cari layanan dalam tabel yang memiliki `Yes` di kolom **Peran terkait layanan**. Pilih tautan **Ya** untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
# Contoh kebijakan berbasis identitas untuk AWS Batch
Secara default, pengguna dan peran tidak memiliki izin untuk membuat atau mengubah sumber daya AWS Batch . Untuk memberikan izin kepada pengguna untuk melakukan tindakan di sumber daya yang mereka perlukan, administrator IAM dapat membuat kebijakan IAM.
*Untuk mempelajari cara membuat kebijakan berbasis identitas IAM dengan menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat kebijakan IAM (konsol) di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html).*
Untuk detail tentang tindakan dan jenis sumber daya yang ditentukan oleh AWS Batch, termasuk format ARNs untuk setiap jenis sumber daya, lihat [Tindakan, Sumber Daya, dan Kunci Kondisi untuk AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html) dalam *Referensi Otorisasi Layanan*.
**Topics**
+ [Praktik terbaik kebijakan](#security_iam_service-with-iam-policy-best-practices)
+ [Menggunakan AWS Batch konsol](#security_iam_id-based-policy-examples-console)
+ [Mengizinkan pengguna melihat izin mereka sendiri](#security_iam_id-based-policy-examples-view-own-permissions)
## Praktik terbaik kebijakan
Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus AWS Batch sumber daya di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
+ **Mulailah dengan kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit — Untuk mulai memberikan izin** kepada pengguna dan beban kerja Anda, gunakan *kebijakan AWS terkelola* yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Anda Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola AWS pelanggan yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat [Kebijakan yang dikelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) atau [Kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dalam *Panduan Pengguna IAM*.
+ **Menerapkan izin dengan hak akses paling rendah** – Ketika Anda menetapkan izin dengan kebijakan IAM, hanya berikan izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai *izin dengan hak akses paling rendah*. Untuk informasi selengkapnya tentang cara menggunakan IAM untuk mengajukan izin, lihat [Kebijakan dan izin dalam IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan kondisi dalam kebijakan IAM untuk membatasi akses lebih lanjut** – Anda dapat menambahkan suatu kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Sebagai contoh, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakan SSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui yang spesifik Layanan AWS, seperti CloudFormation. Untuk informasi selengkapnya, lihat [Elemen kebijakan JSON IAM: Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk memastikan izin yang aman dan fungsional** – IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan tersebut mematuhi bahasa kebijakan IAM (JSON) dan praktik terbaik IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat [Validasi kebijakan dengan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dalam *Panduan Pengguna IAM*.
+ **Memerlukan otentikasi multi-faktor (MFA)** - Jika Anda memiliki skenario yang mengharuskan pengguna IAM atau pengguna root di Anda, Akun AWS aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA ketika operasi API dipanggil, tambahkan kondisi MFA pada kebijakan Anda. Untuk informasi selengkapnya, lihat [Amankan akses API dengan MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dalam *Panduan Pengguna IAM*.
Untuk informasi selengkapnya tentang praktik terbaik dalam IAM, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.
## Menggunakan AWS Batch konsol
Untuk mengakses AWS Batch konsol, Anda harus memiliki set izin minimum. Izin ini harus memungkinkan Anda untuk membuat daftar dan melihat detail tentang AWS Batch sumber daya di Anda Akun AWS. Jika Anda membuat kebijakan berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana mestinya untuk entitas (pengguna atau peran) dengan kebijakan tersebut.
Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau AWS API. Sebagai gantinya, izinkan akses hanya ke tindakan yang sesuai dengan operasi API yang coba mereka lakukan.
Untuk memastikan bahwa pengguna dan peran masih dapat menggunakan AWS Batch konsol, lampirkan juga kebijakan AWS Batch `ConsoleAccess` atau `ReadOnly` AWS terkelola ke entitas. Untuk informasi selengkapnya, lihat [Menambah izin untuk pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*.
## Mengizinkan pengguna melihat izin mereka sendiri
Contoh ini menunjukkan cara membuat kebijakan yang mengizinkan pengguna IAM melihat kebijakan inline dan terkelola yang dilampirkan ke identitas pengguna mereka. Kebijakan ini mencakup izin untuk menyelesaikan tindakan ini di konsol atau menggunakan API atau secara terprogram. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# AWS kebijakan terkelola untuk AWS Batch
Anda dapat menggunakan kebijakan AWS terkelola untuk pengelolaan akses identitas yang lebih sederhana untuk tim dan sumber daya yang disediakan. AWS AWS Kebijakan terkelola mencakup berbagai kasus penggunaan umum, tersedia secara default di AWS akun Anda, dan dikelola serta diperbarui atas nama Anda. Anda tidak dapat mengubah izin dalam kebijakan AWS terkelola. Jika Anda membutuhkan fleksibilitas yang lebih besar, Anda dapat memilih untuk membuat kebijakan yang dikelola pelanggan IAM. Dengan cara ini, Anda dapat memberikan sumber daya yang disediakan tim Anda hanya dengan izin persis yang mereka butuhkan.
Untuk informasi selengkapnya tentang kebijakan AWS [AWS terkelola, lihat kebijakan terkelola](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) di *Panduan Pengguna IAM*.
AWS Layanan memelihara dan memperbarui kebijakan AWS terkelola atas nama Anda. Secara berkala, AWS layanan menambahkan izin tambahan ke kebijakan AWS terkelola. AWS Kebijakan terkelola kemungkinan besar diperbarui saat peluncuran atau operasi fitur baru tersedia. Pembaruan ini secara otomatis memengaruhi semua identitas (pengguna, grup, dan peran) tempat kebijakan dilampirkan. Namun, mereka tidak menghapus izin atau merusak izin yang ada.
Selain itu, AWS mendukung kebijakan terkelola untuk fungsi pekerjaan yang mencakup beberapa layanan. Misalnya, kebijakan `ReadOnlyAccess` AWS terkelola menyediakan akses hanya-baca ke semua AWS layanan dan sumber daya. Saat layanan meluncurkan fitur baru, AWS tambahkan izin hanya-baca untuk operasi dan sumber daya baru. Untuk melihat daftar dan deskripsi dari kebijakan fungsi tugas, lihat [kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) di *Panduan Pengguna IAM*.
## AWS kebijakan terkelola: **BatchServiceRolePolicy**
Kebijakan IAM **BatchServiceRolePolicy**terkelola digunakan oleh peran [`AWSServiceRoleForBatch`](using-service-linked-roles.md)terkait layanan. Ini memungkinkan AWS Batch untuk melakukan tindakan atas nama Anda. Anda tidak dapat melampirkan kebijakan ini ke entitas IAM Anda. Untuk informasi selengkapnya, lihat [Menggunakan peran terkait layanan untuk AWS Batch](using-service-linked-roles.md).
Kebijakan ini memungkinkan AWS Batch untuk menyelesaikan tindakan berikut pada sumber daya tertentu:
+ `autoscaling`— Memungkinkan AWS Batch untuk membuat dan mengelola sumber daya Amazon EC2 Auto Scaling. AWS Batch membuat dan mengelola grup Amazon EC2 Auto Scaling untuk sebagian besar lingkungan komputasi.
+ `ec2`— Memungkinkan AWS Batch untuk mengontrol siklus hidup instans Amazon EC2 serta membuat dan mengelola templat dan tag peluncuran. AWS Batch membuat dan mengelola permintaan Armada Spot EC2 untuk beberapa lingkungan komputasi EC2 Spot.
+ `ecs`- Memungkinkan AWS Batch untuk membuat dan mengelola cluster Amazon ECS, definisi tugas dan tugas untuk pelaksanaan pekerjaan.
+ `eks`- Memungkinkan AWS Batch untuk mendeskripsikan sumber daya kluster Amazon EKS untuk validasi.
+ `iam`- Memungkinkan AWS Batch untuk memvalidasi dan meneruskan peran yang disediakan oleh pemilik ke Amazon EC2, Amazon EC2 Auto Scaling dan Amazon ECS.
+ `logs`— Memungkinkan AWS Batch untuk membuat dan mengelola grup log dan aliran log untuk AWS Batch pekerjaan.
Untuk melihat JSON untuk kebijakan, lihat [BatchServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/BatchServiceRolePolicy.html)di [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
## AWS kebijakan terkelola: **AWSBatchServiceRolePolicyForSageMaker**
[`AWSServiceRoleForAWSBatchWithSagemaker`](using-service-linked-roles-batch-sagemaker.md)memungkinkan AWS Batch untuk melakukan tindakan atas nama Anda. Anda tidak dapat melampirkan kebijakan ini ke entitas IAM Anda. Untuk informasi selengkapnya, lihat [Menggunakan peran terkait layanan untuk AWS Batch](using-service-linked-roles.md).
Kebijakan ini memungkinkan AWS Batch untuk menyelesaikan tindakan berikut pada sumber daya tertentu:
+ `sagemaker`— Memungkinkan AWS Batch untuk mengelola pekerjaan pelatihan SageMaker AI dan sumber daya SageMaker AI lainnya.
+ `iam:PassRole`— Memungkinkan AWS Batch untuk meneruskan peran eksekusi yang ditentukan pelanggan ke SageMaker AI untuk eksekusi pekerjaan. Kendala sumber daya memungkinkan meneruskan peran ke layanan SageMaker AI.
Untuk melihat JSON untuk kebijakan, lihat [AWSBatchServiceRolePolicyForSageMaker](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBatchServiceRolePolicyForSageMaker.html)di [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
## AWS kebijakan terkelola: **AWSBatchServiceRole**kebijakan
Kebijakan izin peran bernama **AWSBatchServiceRole**memungkinkan AWS Batch untuk menyelesaikan tindakan berikut pada sumber daya tertentu:
Kebijakan IAM **AWSBatchServiceRole**terkelola sering digunakan oleh peran bernama **AWSBatchServiceRole**dan menyertakan izin berikut. Dengan mengikuti saran keamanan standar untuk memberikan hak istimewa paling rendah, kebijakan terkelola **AWSBatchServiceRole** dapat digunakan sebagai panduan. Jika salah satu izin yang diberikan dalam kebijakan terkelola tidak diperlukan untuk kasus penggunaan Anda, buat kebijakan kustom dan hanya tambahkan izin yang Anda perlukan. Kebijakan dan peran AWS Batch terkelola ini dapat digunakan dengan sebagian besar jenis lingkungan komputasi, tetapi penggunaan peran terkait layanan lebih disukai untuk mengurangi rawan kesalahan, cakupan yang lebih baik, dan pengalaman terkelola yang lebih baik.
+ `autoscaling`— Memungkinkan AWS Batch untuk membuat dan mengelola sumber daya Amazon EC2 Auto Scaling. AWS Batch membuat dan mengelola grup Amazon EC2 Auto Scaling untuk sebagian besar lingkungan komputasi.
+ `ec2`— Memungkinkan AWS Batch untuk mengelola siklus hidup instans Amazon EC2 serta membuat dan mengelola templat dan tag peluncuran. AWS Batch membuat dan mengelola permintaan Armada Spot EC2 untuk beberapa lingkungan komputasi EC2 Spot.
+ `ecs`- Memungkinkan AWS Batch untuk membuat dan mengelola cluster Amazon ECS, definisi tugas dan tugas untuk pelaksanaan pekerjaan.
+ `iam`- Memungkinkan AWS Batch untuk memvalidasi dan meneruskan peran yang disediakan oleh pemilik ke Amazon EC2, Amazon EC2 Auto Scaling dan Amazon ECS.
+ `logs`— Memungkinkan AWS Batch untuk membuat dan mengelola grup log dan aliran log untuk AWS Batch pekerjaan.
Untuk melihat JSON untuk kebijakan, lihat [AWSBatchServiceRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBatchServiceRole.html)di [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
## AWS kebijakan terkelola: **AWSBatchFullAccess**
**AWSBatchFullAccess**Kebijakan memberikan AWS Batch tindakan akses penuh ke AWS Batch sumber daya. Ini juga memberikan deskripsi dan daftar akses tindakan untuk Amazon EC2, Amazon ECS, Amazon EKS, dan layanan CloudWatch IAM. Ini agar identitas IAM, baik pengguna atau peran, dapat melihat sumber daya AWS Batch terkelola yang dibuat atas nama mereka. Terakhir, kebijakan ini juga memungkinkan IAM role yang dipilih untuk diteruskan ke layanan tersebut.
Anda dapat melampirkan **AWSBatchFullAccess**ke entitas IAM Anda. AWS Batch juga melampirkan kebijakan ini ke peran layanan yang memungkinkan AWS Batch untuk melakukan tindakan atas nama Anda.
Untuk melihat JSON untuk kebijakan, lihat [AWSBatchFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBatchFullAccess.html)di [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
## AWS Batch pembaruan kebijakan AWS terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola AWS Batch sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman Riwayat AWS Batch dokumen.
| Ubah | Deskripsi | Date |
| --- | --- | --- |
| ****[ AWSBatchServiceRolePolicyForSageMaker](using-service-linked-roles-batch-sagemaker.md)****kebijakan ditambahkan | Menambahkan kebijakan AWS terkelola baru untuk peran ** AWSBatchServiceRolePolicyForSageMaker**terkait layanan yang AWS Batch memungkinkan mengelola SageMaker AI atas nama Anda. | Juli 31, 2025 |
| ****[BatchServiceRolePolicy](#security-iam-awsmanpol-BatchServiceRolePolicy)****kebijakan diperbarui | Diperbarui untuk menambahkan dukungan untuk menjelaskan riwayat dan Amazon EC2 Auto Scaling aktivitas permintaan Armada Spot. | 5 Desember 2023 |
| ****[AWSBatchServiceRole](#security-iam-awsmanpol-AWSBatchServiceRolePolicy)****kebijakan ditambahkan | Diperbarui untuk menambahkan pernyataan IDs, memberikan AWS Batch izin ke `ec2:DescribeSpotFleetRequestHistory` dan`autoscaling:DescribeScalingActivities`. | 5 Desember 2023 |
| **[BatchServiceRolePolicy](#security-iam-awsmanpol-BatchServiceRolePolicy)**kebijakan diperbarui | Diperbarui untuk menambahkan dukungan untuk mendeskripsikan kluster Amazon EKS. | 20 Oktober 2022 |
| **[AWSBatchFullAccess](#security-iam-awsmanpol-BatchFullAccess)**kebijakan diperbarui | Diperbarui untuk menambahkan dukungan untuk daftar dan menjelaskan kluster Amazon EKS. | 20 Oktober 2022 |
| **[BatchServiceRolePolicy](#security-iam-awsmanpol-BatchServiceRolePolicy)**kebijakan diperbarui | Diperbarui untuk menambahkan dukungan untuk grup Reservasi Kapasitas Amazon EC2 yang dikelola oleh. AWS Resource Groups Untuk informasi selengkapnya, lihat [Bekerja dengan grup Reservasi Kapasitas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-cr-group.html) di *Panduan Pengguna Amazon EC2*. | Mei 18, 2022 |
| **[BatchServiceRolePolicy](#security-iam-awsmanpol-BatchServiceRolePolicy)**dan **[AWSBatchServiceRole](using-service-linked-roles.md)**kebijakan diperbarui | Diperbarui untuk menambahkan dukungan untuk menjelaskan status instans AWS Batch terkelola di Amazon EC2 sehingga instans yang tidak sehat diganti. | Desember 6, 2021 |
| **[BatchServiceRolePolicy](#security-iam-awsmanpol-BatchServiceRolePolicy)**kebijakan diperbarui | Diperbarui untuk menambahkan dukungan untuk grup penempatan, reservasi kapasitas, GPU elastis, dan sumber daya Elastic Inference di Amazon EC2. | 26 Maret 2021 |
| **[BatchServiceRolePolicy](#security-iam-awsmanpol-BatchServiceRolePolicy)**kebijakan ditambahkan | Dengan kebijakan **BatchServiceRolePolicy**terkelola untuk peran **AWSServiceRoleForBatch**terkait layanan, Anda dapat menggunakan peran terkait layanan yang dikelola oleh. AWS Batch Dengan kebijakan ini, Anda tidak perlu mempertahankan peran Anda sendiri untuk digunakan di lingkungan komputasi Anda. | 10 Maret 2021 |
| **[AWSBatchFullAccess](#security-iam-awsmanpol-BatchFullAccess)**- tambahkan izin untuk menambahkan peran terkait layanan | Tambahkan izin IAM untuk memungkinkan peran **AWSServiceRoleForBatch**terkait layanan ditambahkan ke akun. | 10 Maret 2021 |
| AWS Batch mulai melacak perubahan | AWS Batch mulai melacak perubahan untuk kebijakan yang AWS dikelola. | 10 Maret 2021 |
# AWS Batch Kebijakan, peran, dan izin IAM
Secara default, pengguna tidak memiliki izin untuk membuat atau memodifikasi AWS Batch sumber daya atau untuk melakukan tugas menggunakan AWS Batch API, AWS Batch konsol, atau AWS CLI. Untuk memungkinkan pengguna melakukan tindakan ini, buat kebijakan IAM yang memberikan izin kepada pengguna untuk sumber daya dan operasi API tertentu. Kemudian, lampirkan kebijakan ke pengguna atau grup yang memerlukan izin tersebut.
Saat Anda melampirkan kebijakan ke pengguna atau grup pengguna, kebijakan tersebut mengizinkan atau menolak izin untuk melakukan tugas tertentu pada sumber daya tertentu. Untuk informasi selengkapnya, lihat [Izin dan Kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/PermissionsAndPolicies.html) dalam *Panduan Pengguna IAM*. Untuk informasi selengkapnya tentang cara mengelola dan membuat kebijakan IAM, lihat [Mengelola Kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingPolicies.html).
AWS Batch membuat panggilan ke orang lain Layanan AWS atas nama Anda. Akibatnya, AWS Batch harus mengautentikasi menggunakan kredensional Anda. Lebih khusus lagi, AWS Batch mengautentikasi dengan membuat peran dan kebijakan IAM yang menyediakan izin ini. Kemudian, ini mengaitkan peran dengan lingkungan komputasi Anda saat Anda membuatnya. *Untuk informasi selengkapnya, lihat[Peran instans Amazon ECS](instance_IAM_role.md), Peran [IAM, Menggunakan Peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-toplevel.html) [Tertaut Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html), dan [Membuat Peran untuk Mendelegasikan Izin ke AWS Layanan di Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) IAM.*
**Topics**
+ [Struktur kebijakan IAM](iam-policy-structure.md)
+ [Sumber daya: Contoh kebijakan untuk AWS Batch](ExamplePolicies_BATCH.md)
+ [Sumber daya: kebijakan AWS Batch terkelola](batch_managed_policies.md)
# Struktur kebijakan IAM
Topik-topik berikut ini menjelaskan struktur dari kebijakan IAM.
**Topics**
+ [Sintaksis kebijakan](#policy-syntax)
+ [Tindakan API untuk AWS Batch](#UsingWithbatch_Actions)
+ [Nama Sumber Daya Amazon untuk AWS Batch](#batch_ARN_Format)
+ [Konfirmasikan bahwa pengguna memiliki izin yang diperlukan](#check-required-permissions)
## Sintaksis kebijakan
kebijakan IAM adalah dokumen JSON yang terdiri dari satu atau beberapa pernyataan. Masing-masing pernyataan memiliki struktur sebagai berikut.
```
{
"Statement":[{
"Effect":"effect",
"Action":"action",
"Resource":"arn",
"Condition":{
"condition":{
"key":"value"
}
}
}
]
}
```
Ada empat elemen utama yang membentuk pernyataan:
+ **Efek:** *Efek* bisa berupa `Allow` atau `Deny`. Secara default, pengguna tidak memiliki izin untuk menggunakan sumber daya dan tindakan API. Jadi, semua permintaan ditolak. izin eksplisit akan menggantikan izin default. penolakan eksplisit akan menggantikan izin apa pun.
+ **Action**: *Tindakan* adalah tindakan API tertentu yang Anda berikan atau tolak izinnya. Untuk petunjuk tentang cara menentukan *tindakan*, lihat[Tindakan API untuk AWS Batch](#UsingWithbatch_Actions).
+ **Resource**: Sumber daya yang dipengaruhi oleh tindakan. Beberapa tindakan API AWS Batch memungkinkan Anda untuk menyertakan sumber daya tertentu dalam kebijakan Anda yang dapat dibuat atau dimodifikasi oleh tindakan tersebut. Untuk menentukan sumber daya dalam pernyataan, gunakan Amazon Resource Name (ARN). Untuk informasi selengkapnya, lihat [Izin tingkat sumber daya yang didukung untuk tindakan API AWS Batch](batch-supported-iam-actions-resources.md) dan [Nama Sumber Daya Amazon untuk AWS Batch](#batch_ARN_Format). Jika operasi AWS Batch API saat ini tidak mendukung izin tingkat sumber daya, sertakan wildcard (\$1) untuk menentukan bahwa semua sumber daya dapat terpengaruh oleh tindakan tersebut.
+ **Syarat**: Syarat-syarat bersifat opsional. Syarat-syarat ini dapat digunakan untuk mengendalikan kapan kebijakan Anda berlaku.
Untuk informasi selengkapnya tentang contoh pernyataan kebijakan IAM AWS Batch, lihat[Sumber daya: Contoh kebijakan untuk AWS Batch](ExamplePolicies_BATCH.md).
## Tindakan API untuk AWS Batch
Dalam pernyataan kebijakan IAM, Anda dapat menentukan tindakan API apa pun dari layanan apa pun yang mendukung IAM. Untuk AWS Batch, gunakan awalan berikut dengan nama tindakan API: `batch:` (misalnya, `batch:SubmitJob` dan`batch:CreateComputeEnvironment`).
Untuk menentukan beberapa tindakan dalam satu pernyataan, pisahkan setiap tindakan dengan koma.
```
"Action": ["batch:action1", "batch:action2"]
```
Anda juga dapat menentukan beberapa tindakan dengan menyertakan wildcard (\$1). Misalnya, Anda dapat menentukan semua tindakan dengan nama yang dimulai dengan kata “Jelaskan.”
```
"Action": "batch:Describe*"
```
Untuk menentukan semua tindakan AWS Batch API, sertakan wildcard (\$1).
```
"Action": "batch:*"
```
Untuk daftar AWS Batch tindakan, lihat [Tindakan](https://docs.aws.amazon.com/batch/latest/APIReference/API_Operations.html) di *Referensi AWS Batch API*.
## Nama Sumber Daya Amazon untuk AWS Batch
Setiap pernyataan kebijakan IAM berlaku untuk sumber daya yang Anda tentukan menggunakan Nama Sumber Daya Amazon (ARNs).
Nama Sumber Daya Amazon (ARN) memiliki sintaks umum berikut:
```
arn:aws:[service]:[region]:[account]:resourceType/resourcePath
```
*layanan*
Layanan (contohnya, `batch`).
*wilayah*
Wilayah AWS Untuk sumber daya (misalnya,`us-east-2`).
*akun*
Akun AWS ID, tanpa tanda hubung (misalnya,`123456789012`).
*resourceType*
Jenis dari sumber daya (contohnya, `compute-environment`).
*resourcePath*
jalur yang mengidentifikasi sumber daya. Anda dapat menggunakan wildcard (\$1) di jalur Anda.
AWS Batch Operasi API saat ini mendukung izin tingkat sumber daya pada beberapa operasi API. Untuk informasi selengkapnya, lihat [Izin tingkat sumber daya yang didukung untuk tindakan API AWS Batch](batch-supported-iam-actions-resources.md). Untuk menentukan semua sumber daya, atau jika tindakan API tertentu tidak mendukung ARNs, sertakan wildcard (\$1) dalam `Resource` elemen.
```
"Resource": "*"
```
## Konfirmasikan bahwa pengguna memiliki izin yang diperlukan
Sebelum Anda memasukkan kebijakan IAM ke dalam produksi, pastikan kebijakan tersebut memberi pengguna izin untuk menggunakan tindakan dan sumber daya API tertentu yang mereka butuhkan.
Untuk melakukan ini, pertama-tama buat pengguna untuk tujuan pengujian dan lampirkan kebijakan IAM ke pengguna uji. Kemudian, buatlah permintaan sebagai pengguna uji. Anda dapat membuat permintaan tes di konsol atau dengan AWS CLI.
**catatan**
Anda juga dapat menguji kebijakan Anda dengan menggunakan [IAM Policy Simulator](https://policysim.aws.amazon.com/home/index.jsp?#). Untuk informasi selengkapnya tentang simulator kebijakan, lihat [Bekerja dengan Simulator Kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies_testing-policies.html) dalam *Panduan Pengguna IAM*.
Jika kebijakan tidak memberikan izin kepada pengguna seperti yang Anda harapkan, atau terlalu longgar, Anda dapat menyesuaikan kebijakan sesuai kebutuhan. Lakukan pengujian ulang sampai Anda mendapatkan hasil yang diinginkan.
**penting**
Pengujian ini dapat memakan waktu beberapa menit sebelum perubahan terjadi pada kebijakan untuk ditransmisikan sebelum diberlakukan. Oleh karena itu, kami menyarankan agar Anda mengizinkan setidaknya lima menit berlalu sebelum Anda menguji pembaruan kebijakan Anda.
Jika pemeriksaan otorisasi gagal, maka permintaan akan menampilkan informasi berenkode yang memuat informasi diagnostik. Anda dapat melakukan dekode pada pesan tersebut menggunakan tindakan `DecodeAuthorizationMessage`. Untuk informasi selengkapnya, lihat [DecodeAuthorizationMessage](https://docs.aws.amazon.com/STS/latest/APIReference/API_DecodeAuthorizationMessage.html)di *Referensi AWS Security Token Service API*, dan [decode-authorization-message](https://docs.aws.amazon.com/cli/latest/reference/sts/decode-authorization-message.html)di *Referensi AWS CLI Perintah*.
# Sumber daya: Contoh kebijakan untuk AWS Batch
Anda dapat membuat kebijakan IAM tertentu untuk membatasi panggilan dan sumber daya yang dapat diakses oleh pengguna di akun Anda. Kemudian, Anda dapat melampirkan kebijakan tersebut ke pengguna.
Saat Anda melampirkan kebijakan ke pengguna atau grup pengguna, kebijakan tersebut mengizinkan atau menolak izin pengguna untuk tugas tertentu pada sumber daya tertentu. Untuk informasi selengkapnya, lihat [Izin dan Kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/PermissionsAndPolicies.html) dalam *Panduan Pengguna IAM*. Untuk petunjuk tentang cara mengelola dan membuat kebijakan IAM kustom, lihat [Mengelola Kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingPolicies.html).
Contoh berikut menunjukkan pernyataan kebijakan yang dapat Anda gunakan untuk mengontrol izin yang dimiliki pengguna. AWS Batch
**Topics**
+ [Akses hanya-baca](iam-example-read-only.md)
+ [Sumber Daya: Batasi pengguna, gambar, hak istimewa, peran](iam-example-job-def.md)
+ [Membatasi pengiriman tugas](iam-example-restrict-job-submission.md)
+ [Batasi antrian pekerjaan](iam-example-restrict-job-queue.md)
+ [Tolak tindakan saat semua kondisi cocok dengan string](iam-example-job-def-deny-all-image-logdriver.md)
+ [Sumber daya: Tolak tindakan ketika tombol kondisi apa pun cocok dengan string](iam-example-job-def-deny-any-image-logdriver.md)
+ [Gunakan tombol `batch:ShareIdentifier` kondisi](iam-example-share-identifier.md)
+ [Kelola sumber daya SageMaker AI dengan AWS Batch](iam-example-full-access-service-environment.md)
+ [Batasi pengiriman pekerjaan dengan tag sumber daya](iam-example-restrict-job-submission-by-tags.md)
# Sumber daya: Akses hanya-baca untuk AWS Batch
Kebijakan berikut memberikan izin kepada pengguna untuk menggunakan semua tindakan AWS Batch API dengan nama yang dimulai dengan `Describe` dan. `List`
Kecuali pernyataan lain memberi mereka izin untuk melakukannya, pengguna tidak memiliki izin untuk melakukan tindakan apa pun pada sumber daya. Secara default, mereka ditolak izin untuk menggunakan tindakan API.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:Describe*",
"batch:List*",
"batch:Get*"
],
"Resource": "*"
}
]
}
```
------
# Sumber Daya: Batasi untuk pengguna POSIX, gambar Docker, tingkat hak istimewa, dan peran dalam pengiriman pekerjaan
Kebijakan berikut memungkinkan pengguna POSIX untuk mengelola kumpulan definisi pekerjaan terbatas mereka sendiri.
Gunakan pernyataan pertama dan kedua untuk mendaftarkan dan membatalkan pendaftaran nama definisi pekerjaan apa pun yang namanya diawali. *JobDefA\$1*
Pernyataan pertama juga menggunakan kunci konteks bersyarat untuk membatasi pengguna POSIX, status istimewa, dan nilai-nilai citra kontainer dalam ketentuan tugas `containerProperties`. Untuk informasi selengkapnya, lihat [RegisterJobDefinition](https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html) di dalam *Referensi API AWS Batch *. Dalam contoh ini, definisi pekerjaan hanya dapat didaftarkan ketika pengguna POSIX disetel ke`nobody`. Bendera istimewa diatur ke`false`. Terakhir, gambar diatur ke `myImage` dalam repositori Amazon ECR.
**penting**
Docker menyelesaikan `user` parameter ke pengguna itu `uid` dari dalam gambar kontainer. Dalam kebanyakan kasus, ini ditemukan di file `/etc/passwd` dalam citra kontainer. Resolusi nama ini dapat dihindari dengan menggunakan nilai `uid` langsung dalam ketentuan tugas dan kebijakan IAM apa pun yang terkait. Baik operasi API AWS Batch maupun kunci bersyarat IAM `batch:User` mendukung nilai numerik.
Gunakan pernyataan ketiga untuk membatasi hanya peran tertentu pada definisi pekerjaan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"arn:aws:batch:us-east-2:999999999999:job-definition/JobDefA_*"
],
"Condition": {
"StringEquals": {
"batch:User": [
"nobody"
],
"batch:Image": [
"999999999999.dkr.ecr.us-east-2.amazonaws.com/myImage"
]
},
"Bool": {
"batch:Privileged": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"batch:DeregisterJobDefinition"
],
"Resource": [
"arn:aws:batch:us-east-2:999999999999:job-definition/JobDefA_*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::999999999999:role/MyBatchJobRole"
]
}
]
}
```
------
# Sumber Daya: Batasi awalan definisi pekerjaan pada pengiriman pekerjaan
Gunakan kebijakan berikut untuk mengirimkan pekerjaan ke antrian pekerjaan apa pun dengan nama definisi pekerjaan apa pun yang dimulai dengan*JobDefA*.
**penting**
Ketika membuat cakupan akses tingkat sumber daya untuk pengiriman tugas, Anda harus menyediakan antrean tugas dan tipe sumber daya ketentuan tugas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:SubmitJob"
],
"Resource": [
"arn:aws:batch:us-east-2:111122223333:job-definition/JobDefA_*",
"arn:aws:batch:us-east-2:111122223333:job-queue/*"
]
}
]
}
```
------
# Sumber Daya: Batasi antrian pekerjaan
Gunakan kebijakan berikut untuk mengirimkan pekerjaan ke antrian pekerjaan tertentu yang diberi nama **queue1** dengan nama definisi pekerjaan apa pun.
**penting**
Ketika membuat cakupan akses tingkat sumber daya untuk pengiriman tugas, Anda harus menyediakan antrean tugas dan tipe sumber daya ketentuan tugas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:SubmitJob"
],
"Resource": [
"arn:aws:batch:us-east-2:888888888888:job-definition/*",
"arn:aws:batch:us-east-2:888888888888:job-queue/queue1"
]
}
]
}
```
------
# Tolak tindakan saat semua kondisi cocok dengan string
Kebijakan berikut menolak akses ke operasi [https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html](https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html)API ketika kunci kondisi `batch:Image` (ID gambar kontainer) adalah "*string1*" dan kunci kondisi `batch:LogDriver` (driver log kontainer) adalah "*string2*.” AWS Batch mengevaluasi kunci kondisi pada setiap kontainer. Ketika sebuah pekerjaan mencakup beberapa kontainer seperti pekerjaan paralel multi-node, kontainer mungkin memiliki konfigurasi yang berbeda. Jika beberapa kunci kondisi dievaluasi dalam satu pernyataan, mereka digabungkan menggunakan `AND` logika. Jadi, jika salah satu dari beberapa kunci kondisi tidak cocok untuk wadah, `Deny` efeknya tidak diterapkan untuk wadah itu. Sebaliknya, wadah yang berbeda dalam pekerjaan yang sama mungkin ditolak.
Untuk daftar kunci kondisi AWS Batch, lihat [Kunci kondisi untuk AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-policy-keys) dalam *Referensi Otorisasi Layanan*. Kecuali`batch:ShareIdentifier`, semua tombol `batch` kondisi dapat digunakan dengan cara ini. Kunci `batch:ShareIdentifier` kondisi didefinisikan untuk pekerjaan, bukan definisi pekerjaan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"*"
]
},
{
"Effect": "Deny",
"Action": "batch:RegisterJobDefinition",
"Resource": "*",
"Condition": {
"StringEquals": {
"batch:Image": "string1",
"batch:LogDriver": "string2"
}
}
}
]
}
```
------
# Sumber daya: Tolak tindakan ketika tombol kondisi apa pun cocok dengan string
Kebijakan berikut menolak akses ke operasi [https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html](https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html)API ketika kunci kondisi `batch:Image` (ID gambar kontainer) adalah *string1* "” atau kunci kondisi `batch:LogDriver` (driver log kontainer) adalah "*string2*.” Ketika sebuah pekerjaan mencakup beberapa kontainer seperti pekerjaan paralel multi-node, kontainer mungkin memiliki konfigurasi yang berbeda. Jika beberapa kunci kondisi dievaluasi dalam satu pernyataan, mereka digabungkan menggunakan `AND` logika. Jadi, jika salah satu dari beberapa kunci kondisi tidak cocok untuk wadah, `Deny` efeknya tidak diterapkan untuk wadah itu. Sebaliknya, wadah yang berbeda dalam pekerjaan yang sama mungkin ditolak.
Untuk daftar kunci kondisi AWS Batch, lihat [Kunci kondisi untuk AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-policy-keys) dalam *Referensi Otorisasi Layanan*. Kecuali`batch:ShareIdentifier`, semua tombol `batch` kondisi dapat digunakan dengan cara ini. (Kunci `batch:ShareIdentifier` kondisi didefinisikan untuk pekerjaan, bukan definisi pekerjaan.)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"*"
]
},
{
"Effect": "Deny",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"batch:Image": [
"string1"
]
}
}
},
{
"Effect": "Deny",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"batch:LogDriver": [
"string2"
]
}
}
}
]
}
```
------
# Sumber daya: Gunakan tombol `batch:ShareIdentifier` kondisi
Gunakan kebijakan berikut untuk mengirimkan lowongan yang menggunakan definisi `jobDefA` pekerjaan ke antrian `jobqueue1` pekerjaan dengan pengenal `lowCpu` berbagi.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:SubmitJob"
],
"Resource": [
"arn:aws:batch:us-east-2:555555555555:job-definition/JobDefA",
"arn:aws:batch:us-east-2:555555555555:job-queue/jobqueue1"
],
"Condition": {
"StringEquals": {
"batch:ShareIdentifier": [
"lowCpu"
]
}
}
}
]
}
```
------
# Kelola sumber daya SageMaker AI dengan AWS Batch
Kebijakan ini memungkinkan AWS Batch untuk mengelola sumber daya SageMaker AI.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAWSBatchWithSagemaker",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "sagemaker-queuing.batch.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker.amazonaws.com"
]
}
}
}
]
}
```
------
# Sumber Daya: Batasi pengiriman pekerjaan dengan tag sumber daya pada definisi pekerjaan dan antrian pekerjaan
Gunakan kebijakan berikut untuk mengirimkan pekerjaan hanya jika antrian pekerjaan memiliki tag `Environment=dev` dan definisi pekerjaan memiliki tag`Project=calc`. Kebijakan ini menunjukkan cara menggunakan tag sumber daya untuk mengontrol akses ke AWS Batch sumber daya selama pengiriman pekerjaan.
**penting**
Saat mengirimkan pekerjaan dengan kebijakan yang mengevaluasi tag sumber daya definisi pekerjaan, Anda harus mengirimkan pekerjaan menggunakan format revisi definisi pekerjaan (). `job-definition:revision` Jika Anda mengirimkan pekerjaan tanpa menentukan revisi, tag definisi pekerjaan tidak akan dievaluasi, berpotensi melewati kontrol akses yang Anda inginkan. `*:*`Pola dalam sumber daya ARN memberlakukan bahwa kiriman harus menyertakan revisi, memastikan kebijakan tag selalu diterapkan secara efektif.
Kebijakan ini menggunakan dua pernyataan terpisah karena menerapkan kondisi tag yang berbeda untuk jenis sumber daya yang berbeda. Ketika membuat cakupan akses tingkat sumber daya untuk pengiriman tugas, Anda harus menyediakan antrean tugas dan tipe sumber daya ketentuan tugas.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "batch:SubmitJob",
"Resource": "arn:aws:batch:*:*:job-queue/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Environment": "dev"
}
}
},
{
"Effect": "Allow",
"Action": "batch:SubmitJob",
"Resource": "arn:aws:batch:*:*:job-definition/*:*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Project": "calc"
}
}
}
]
}
```
# Sumber daya: kebijakan AWS Batch terkelola
AWS Batch menyediakan kebijakan terkelola yang dapat Anda lampirkan ke pengguna. Kebijakan ini memberikan izin untuk menggunakan AWS Batch sumber daya dan operasi API. Anda dapat menerapkan kebijakan ini secara langsung, atau Anda dapat menggunakannya sebagai titik awal untuk membuat kebijakan Anda sendiri. Untuk informasi lebih lanjut tentang setiap operasi API yang disebutkan dalam kebijakan ini, lihat [Tindakan](https://docs.aws.amazon.com/batch/latest/APIReference/API_Operations.html) di *Referensi API AWS Batch *.
## AWSBatchFullAccess
Kebijakan ini memungkinkan akses administrator penuh ke AWS Batch.
Untuk melihat JSON untuk kebijakan, lihat [AWSBatchFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBatchFullAccess.html)di [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
# AWS Batch Peran eksekusi IAM
Peran eksekusi memberikan izin kepada kontainer Amazon ECS dan AWS Fargate agen untuk melakukan panggilan AWS API atas nama Anda.
**catatan**
Peran eksekusi didukung oleh agen kontainer Amazon ECS versi 1.16.0 dan yang lebih baru.
Peran eksekusi IAM diperlukan tergantung pada persyaratan tugas Anda. Anda dapat memiliki beberapa peran eksekusi untuk berbagai tujuan dan layanan yang terkait dengan akun Anda.
**catatan**
Untuk informasi tentang peran instans Amazon ECS, lihat[Peran instans Amazon ECS](instance_IAM_role.md). Untuk informasi tentang peran layanan, lihat[Bagaimana AWS Batch bekerja dengan IAM](security_iam_service-with-iam.md).
Amazon ECS menyediakan kebijakan `AmazonECSTaskExecutionRolePolicy` terkelola. Kebijakan ini berisi izin yang diperlukan untuk kasus penggunaan umum yang dijelaskan di atas. Mungkin perlu menambahkan kebijakan sebaris ke peran eksekusi Anda untuk kasus penggunaan khusus yang diuraikan di bawah ini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "*"
}
]
}
```
------
# Izin tingkat sumber daya yang didukung untuk tindakan API AWS Batch
Istilah *izin tingkat sumber daya* mengacu pada kemampuan untuk menentukan sumber daya yang diizinkan pengguna untuk melakukan tindakan. AWS Batch memiliki sebagian dukungan untuk izin tingkat sumber daya. Untuk beberapa AWS Batch tindakan, Anda dapat mengontrol kapan pengguna diizinkan untuk menggunakan tindakan tersebut berdasarkan kondisi yang harus dipenuhi. Anda juga dapat mengontrol berdasarkan sumber daya spesifik yang diizinkan untuk digunakan pengguna. Misalnya, Anda dapat memberikan izin kepada pengguna untuk mengirimkan tugas, tetapi hanya ke antrean tugas tertentu dan hanya dengan ketentuan tugas tertentu.
Untuk detail tentang tindakan dan jenis sumber daya yang ditentukan oleh AWS Batch, termasuk format ARNs untuk setiap jenis sumber daya, lihat Tindakan, Sumber Daya, dan Kunci Kondisi untuk [AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html)dalam *Referensi Otorisasi Layanan*.
# Tutorial: Buat peran eksekusi IAM
Jika akun Anda belum memiliki peran eksekusi IAM, gunakan langkah-langkah berikut untuk membuat peran tersebut.
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Peran**.
1. Pilih **Buat peran**.
1. Untuk **jenis entitas Tepercaya**, pilih ** Layanan AWS**.
1. Untuk **Service atau use case**, pilih **Elastic Container Service**. Kemudian pilih **Elastic Container Service Task** lagi.
1. Pilih **Berikutnya**.
1. Untuk **kebijakan Izin**, cari **Amazon ECSTask ExecutionRolePolicy**.
1. Pilih kotak centang di sebelah kiri ECSTask ExecutionRolePolicy kebijakan **Amazon**, lalu pilih **Berikutnya**.
1. Untuk **Nama Peran**, `ecsTaskExecutionRole` masukkan lalu pilih **Buat peran**.
# Tutorial: Periksa peran eksekusi IAM
Gunakan prosedur berikut untuk memeriksa apakah akun Anda sudah memiliki peran eksekusi IAM dan lampirkan kebijakan IAM terkelola, jika diperlukan.
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Peran**.
1. Cari daftar peran untuk `ecsTaskExecutionRole`. Jika Anda tidak dapat menemukan peran, lihat[Tutorial: Buat peran eksekusi IAM](create-execution-role.md). Jika Anda menemukan peran, pilih peran untuk melihat kebijakan terlampir.
1. Pada tab **Izin**, verifikasi bahwa kebijakan ECSTask ExecutionRolePolicy terkelola **Amazon** dilampirkan ke peran. Jika kebijakan terlampir, peran eksekusi Anda sudah dikonfigurasi dengan benar. Jika tidak, ikuti langkah-langkah di bawah ini untuk melampirkan kebijakan.
1. Pilih **Tambahkan izin**, lalu pilih **Lampirkan kebijakan**.
1. Cari **Amazon ECSTask ExecutionRolePolicy**.
1. Centang kotak di sebelah kiri ECSTask ExecutionRolePolicy kebijakan **Amazon** dan pilih **Lampirkan kebijakan**.
1. Pilih **Hubungan kepercayaan**.
1. Verifikasi bahwa hubungan kepercayaan berisi kebijakan berikut. Jika hubungan kepercayaan cocok dengan kebijakan di bawah ini, peran dikonfigurasi dengan benar. Jika hubungan kepercayaan tidak cocok, pilih **Edit kebijakan kepercayaan**, masukkan yang berikut ini, dan pilih **Perbarui kebijakan**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "ecs-tasks.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Menggunakan peran terkait layanan untuk AWS Batch
AWS Batch menggunakan AWS Identity and Access Management peran [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke. AWS Batch Peran terkait layanan telah ditentukan sebelumnya oleh AWS Batch dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.
AWS Batch menggunakan dua peran terkait layanan yang berbeda:
+ [AWSServiceRoleForBatch](using-service-linked-roles-batch-general.md)- Untuk AWS Batch operasi termasuk lingkungan komputasi.
+ [AWSServiceRoleForAWSBatchWithSagemaker](using-service-linked-roles-batch-sagemaker.md)- Untuk manajemen beban kerja SageMaker AI dan antrian.
**Topics**
+ [Menggunakan peran untuk AWS Batch](using-service-linked-roles-batch-general.md)
+ [Menggunakan peran untuk AWS Batch dengan SageMaker AI](using-service-linked-roles-batch-sagemaker.md)
# Menggunakan peran untuk AWS Batch
AWS Batch menggunakan AWS Identity and Access Management peran [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke. AWS Batch Peran terkait layanan telah ditentukan sebelumnya oleh AWS Batch dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.
Peran terkait layanan membuat pengaturan AWS Batch lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. AWS Batch mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya AWS Batch dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, serta bahwa kebijakan izin tidak dapat dilampirkan ke entitas IAM lainnya.
**catatan**
Lakukan salah satu hal berikut untuk menentukan peran layanan untuk lingkungan AWS Batch komputasi.
Gunakan string kosong untuk peran layanan. Ini memungkinkan AWS Batch membuat peran layanan.
Tentukan peran layanan dalam format berikut:`arn:aws:iam::account_number:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch`.
Untuk informasi selengkapnya, lihat [Nama peran atau ARN salah](invalid_compute_environment.md#invalid_service_role_arn) di Panduan AWS Batch Pengguna.
Anda dapat menghapus peran tertaut layanan hanya setelah menghapus sumber daya terkait terlebih dahulu. Ini melindungi AWS Batch sumber daya Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, silakan lihat [layanan AWS yang bisa digunakan dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan carilah layanan yang memiliki opsi **Ya** di kolom **Peran terkait layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
## Izin peran terkait layanan untuk AWS Batch
AWS Batch menggunakan peran terkait layanan bernama **AWSServiceRoleForBatch**— Memungkinkan AWS Batch untuk membuat dan mengelola AWS sumber daya atas nama Anda.
Peran AWSService RoleForBatch terkait layanan mempercayai layanan berikut untuk mengambil peran:
+ `batch.amazonaws.com`
Kebijakan izin peran bernama [BatchServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-BatchServiceRolePolicy)memungkinkan AWS Batch untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
+ `autoscaling`— Memungkinkan AWS Batch untuk membuat dan mengelola sumber daya Amazon EC2 Auto Scaling. AWS Batch membuat dan mengelola grup Amazon EC2 Auto Scaling untuk sebagian besar lingkungan komputasi.
+ `ec2`— Memungkinkan AWS Batch untuk mengontrol siklus hidup instans Amazon EC2 serta membuat dan mengelola templat dan tag peluncuran. AWS Batch membuat dan mengelola permintaan Armada Spot EC2 untuk beberapa lingkungan komputasi EC2 Spot.
+ `ecs`- Memungkinkan AWS Batch untuk membuat dan mengelola cluster Amazon ECS, definisi tugas dan tugas untuk pelaksanaan pekerjaan.
+ `eks`- Memungkinkan AWS Batch untuk mendeskripsikan sumber daya kluster Amazon EKS untuk validasi.
+ `iam`- Memungkinkan AWS Batch untuk memvalidasi dan meneruskan peran yang disediakan oleh pemilik ke Amazon EC2, Amazon EC2 Auto Scaling dan Amazon ECS.
+ `logs`— Memungkinkan AWS Batch untuk membuat dan mengelola grup log dan aliran log untuk AWS Batch pekerjaan.
Anda harus mengonfigurasi izin agar pengguna, grup, atau peran Anda membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat [Izin peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.
## Membuat peran terkait layanan untuk AWS Batch
Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda membuat lingkungan komputasi di Konsol Manajemen AWS, the AWS CLI, atau AWS API, akan AWS Batch membuat peran terkait layanan untuk Anda.
**penting**
Peran tertaut layanan ini dapat muncul di akun Anda jika Anda menyelesaikan tindakan di layanan lain yang menggunakan fitur yang disupport oleh peran ini. Jika Anda menggunakan AWS Batch layanan sebelum 10 Maret 2021, ketika mulai mendukung peran terkait layanan, maka AWS Batch buat AWSService RoleForBatch peran tersebut di akun Anda. Untuk mempelajari lebih lanjut, lihat [Peran baru muncul di saya Akun AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda membuat lingkungan komputasi, AWS Batch buat peran terkait layanan untuk Anda lagi.
## Mengedit peran terkait layanan untuk AWS Batch
AWS Batch tidak memungkinkan Anda untuk mengedit peran AWSService RoleForBatch terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin merujuk peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.
**Untuk mengizinkan entitas IAM mengedit deskripsi peran terkait AWSService RoleForBatch layanan**
Tambahkan pernyataan berikut ke kebijakan izin. Anda dapat menggunakan entitas IAM untuk mengedit deskripsi peran yang terhubung dengan layanan.
```
{
"Effect": "Allow",
"Action": [
"iam:UpdateRoleDescription"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch",
"Condition": {"StringLike": {"iam:AWSServiceName": "batch.amazonaws.com"}}
}
```
## Menghapus peran terkait layanan untuk AWS Batch
Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, kami merekomendasikan Anda menghapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas tak terpakai yang tidak dipantau atau dipelihara secara aktif. Namun, Anda harus membersihkan peran tertaut-layanan sebelum dapat menghapusnya secara manual.
**Untuk mengizinkan entitas IAM menghapus peran terkait AWSService RoleForBatch layanan**
Tambahkan pernyataan berikut ke kebijakan izin. Hal ini mengizinkan entitas IAM menghapus peran yang terhubung dengan layanan.
```
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch",
"Condition": {"StringLike": {"iam:AWSServiceName": "batch.amazonaws.com"}}
}
```
### Membersihkan peran terkait layanan
Sebelum Anda dapat menggunakan IAM untuk menghapus peran terkait layanan, Anda harus terlebih dahulu mengonfirmasi bahwa peran tersebut tidak memiliki sesi aktif dan menghapus semua lingkungan AWS Batch komputasi yang menggunakan peran di semua AWS Wilayah dalam satu partisi.
**Untuk memeriksa apakah peran yang terhubung dengan layanan memiliki sesi aktif**
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Peran** dan kemudian AWSService RoleForBatch nama (bukan kotak centang).
1. Di halaman **Summary** (Ringkasan), pilih **Access Advisor** (Penasihat Akses) dan tinjau aktivitas terbaru untuk peran yang terhubung dengan layanan.
**catatan**
Jika Anda tidak tahu AWS Batch apakah menggunakan AWSService RoleForBatch peran tersebut, Anda dapat mencoba menghapus peran tersebut. Jika layanan yang menggunakan peran tersebut, peran akan gagal dihapus. Anda dapat melihat Wilayah tempat peran tersebut digunakan. Jika peran tersebut sedang digunakan, Anda harus menunggu hingga sesi ini berakhir sebelum dapat menghapus peran tersebut. Anda tidak dapat mencabut sesi untuk peran tertaut layanan.
**Untuk menghapus AWS Batch sumber daya yang digunakan oleh peran AWSService RoleForBatch terkait layanan**
Anda harus menghapus semua lingkungan AWS Batch komputasi yang menggunakan AWSService RoleForBatch peran di semua AWS Wilayah sebelum Anda dapat menghapus AWSService RoleForBatch peran.
1. Buka AWS Batch konsol di [https://console.aws.amazon.com/batch/](https://console.aws.amazon.com/batch/).
1. Dari bilah navigasi, pilih Wilayah untuk digunakan.
1. Di panel navigasi, pilih **Compute environments** (Lingkungan komputasi).
1. Pilih lingkungan komputasi.
1. Pilih **Disable** (Nonaktifkan). Tunggu **State** (Status) berubah menjadi **DISABLED** (DINONAKTIFKAN).
1. Pilih lingkungan komputasi.
1. Pilih **Hapus**. Konfirmasikan bahwa Anda ingin menghapus lingkungan komputasi dengan memilih **Delete compute environment** (Hapus lingkungan komputasi).
1. Ulangi langkah 1-7 untuk semua lingkungan komputasi yang menggunakan peran yang terhubung dengan layanan di semua Wilayah.
### Menghapus peran yang terhubung dengan layanan (Konsol IAM)
Anda dapat menggunakan konsol IAM untuk menghapus sebuah peran terkait layanan.
**Untuk menghapus peran terkait layanan (konsol)**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi konsol IAM, pilih **Peran**. Kemudian pilih kotak centang di sebelah AWSServiceRoleForBatch, bukan nama atau baris itu sendiri.
1. Pilih **Hapus peran**.
1. Di kotak dialog konfirmasi, tinjau data layanan yang terakhir diakses, yang menunjukkan kapan masing-masing peran yang dipilih terakhir mengakses file Layanan AWS. Hal ini membantu Anda mengonfirmasi aktif tidaknya peran tersebut saat ini. Jika Anda ingin melanjutkan, pilih **Ya, Hapus** guna mengirimkan peran terkait layanan untuk penghapusan.
1. Perhatikan notifikasi konsol IAM untuk memantau progres penghapusan peran terkait layanan. Karena penghapusan peran terkait layanan IAM bersifat asinkron, setelah Anda mengirimkan peran tersebut untuk dihapus, tugas penghapusan dapat berhasil atau gagal.
+ Jika tugas berhasil, maka peran tersebut dihapus dari daftar dan pemberitahuan keberhasilan muncul di bagian atas halaman.
+ Jika tugas tersebut gagal, Anda dapat memilih **Lihat rincian** atau **Lihat Sumber Daya** dari pemberitahuan untuk mempelajari alasan penghapusan gagal. Jika penghapusan gagal karena peran tersebut sedang menggunakan sumber daya layanan, maka pemberitahuan mencakup daftar sumber daya, jika layanan tersebut mengembalikan informasi tersebut. Anda kemudian dapat [membersihkan sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) dan mengirimkan penghapusan lagi.
**catatan**
Anda mungkin harus mengulangi proses ini beberapa kali, tergantung pada informasi yang dikembalikan oleh layanan. Misalnya, peran terkait layanan Anda mungkin menggunakan enam sumber daya dan layanan Anda mungkin akan mengembalikan informasi mengenai lima di antaranya. Jika Anda membersihkan lima sumber daya dan mengirim peran untuk penghapusan lagi, penghapusan tersebut gagal dan layanan melaporkan sumber daya yang tersisa. Layanan mungkin mengembalikan semua sumber daya, beberapa di antaranya, atau tidak melaporkan sumber daya apa pun.
+ Jika tugas gagal dan pemberitahuan tidak mencakup daftar sumber daya, maka layanan mungkin tidak mengembalikan informasi tersebut. Untuk mempelajari cara membersihkan sumber daya untuk layanan itu, lihat [Layanan AWS yang bekerja dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Cari layanan Anda dalam tabel, dan pilih tautan **Ya** untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut
### Menghapus peran yang terhubung dengan layanan di IAM (AWS CLI)
Anda dapat menggunakan perintah IAM dari AWS Command Line Interface untuk menghapus peran terkait layanan.
**Untuk menghapus peran yang terhubung dengan layanan (CLI)**
1. Karena peran yang terhubung dengan layanan tidak dapat dihapus jika sedang digunakan atau memiliki sumber daya terkait, Anda harus mengirimkan permintaan penghapusan. Permintaan tersebut dapat ditolak jika syarat-syarat ini tidak terpenuhi. Anda harus menangkap `deletion-task-id` dari tanggapan untuk memeriksa status tugas penghapusan. Ketik perintah berikut untuk mengirimkan permintaan penghapusan peran yang terhubung dengan layanan:
```
$ aws iam delete-service-linked-role --role-name AWSServiceRoleForBatch
```
1. Gunakan perintah berikut untuk memeriksa status tugas penghapusan:
```
$ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
```
Status tugas penghapusan dapat berupa `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED`, atau `FAILED`. Jika penghapusan gagal, panggilan akan mengembalikan alasan kegagalan panggilan sehingga Anda dapat memecahkan masalah. Jika penghapusan gagal karena peran tersebut sedang menggunakan sumber daya layanan, maka pemberitahuan mencakup daftar sumber daya, jika layanan tersebut mengembalikan informasi tersebut. Anda kemudian dapat [membersihkan sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) dan mengirimkan penghapusan lagi.
**catatan**
Anda mungkin harus mengulangi proses ini beberapa kali, tergantung pada informasi yang dikembalikan oleh layanan. Misalnya, peran terkait layanan Anda mungkin menggunakan enam sumber daya dan layanan Anda mungkin akan mengembalikan informasi mengenai lima di antaranya. Jika Anda membersihkan lima sumber daya dan mengirim peran untuk penghapusan lagi, penghapusan tersebut gagal dan layanan melaporkan sumber daya yang tersisa. Layanan mungkin mengembalikan semua sumber daya atau beberapa di antaranya. Layanan mungkin juga tidak melaporkan sumber daya apa pun. Untuk mempelajari cara membersihkan sumber daya untuk layanan yang tidak melaporkan sumber daya apa pun, lihat [Layanan AWS yang bekerja dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Cari layanan Anda dalam tabel, dan pilih tautan **Ya** untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut
### Menghapus peran yang terhubung dengan layanan di IAM (API AWS)
Anda dapat menggunakan API IAM untuk menghapus peran terkait layanan.
**Untuk menghapus peran terkait layanan (API)**
1. Untuk mengirimkan permintaan penghapusan untuk peran terkait layanan, panggil [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html). Dalam permintaan, tentukan nama AWSService RoleForBatch peran.
Karena peran terkait layanan tidak dapat dihapus jika sedang digunakan atau memiliki sumber daya terkait, Anda harus mengirimkan permintaan penghapusan. Permintaan tersebut dapat ditolak jika kondisi ini tidak terpenuhi. Anda harus menangkap `DeletionTaskId` dari tanggapan untuk memeriksa status tugas penghapusan.
1. Untuk memeriksa status penghapusan, panggil [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html). Di permintaan tersebut, tentukan `DeletionTaskId`.
Status tugas penghapusan dapat berupa `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED`, atau `FAILED`. Jika penghapusan gagal, panggilan akan mengembalikan alasan kegagalan panggilan sehingga Anda dapat memecahkan masalah. Jika penghapusan gagal karena peran tersebut sedang menggunakan sumber daya layanan, maka pemberitahuan mencakup daftar sumber daya, jika layanan tersebut mengembalikan informasi tersebut. Anda kemudian dapat [membersihkan sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) dan mengirimkan penghapusan lagi.
**catatan**
Anda mungkin harus mengulangi proses ini beberapa kali, tergantung pada informasi yang dikembalikan oleh layanan. Misalnya, peran terkait layanan Anda mungkin menggunakan enam sumber daya dan layanan Anda mungkin akan mengembalikan informasi mengenai lima di antaranya. Jika Anda membersihkan lima sumber daya dan mengirim peran untuk penghapusan lagi, penghapusan tersebut gagal dan layanan melaporkan sumber daya yang tersisa. Layanan mungkin mengembalikan semua sumber daya, beberapa di antaranya, atau tidak melaporkan sumber daya apa pun. Untuk mempelajari cara membersihkan sumber daya untuk layanan yang tidak melaporkan sumber daya apa pun, lihat [Layanan AWS yang berfungsi dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Cari layanan Anda dalam tabel, dan pilih tautan **Ya** untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut
## Wilayah yang Didukung untuk AWS Batch peran terkait layanan
AWS Batch mendukung penggunaan peran terkait layanan di semua Wilayah tempat layanan tersedia. Untuk informasi lebih lanjut, lihat [Titik akhir AWS Batch](https://docs.aws.amazon.com/general/latest/gr/batch.html#batch_region).
# Menggunakan peran untuk AWS Batch dengan SageMaker AI
AWS Batch menggunakan AWS Identity and Access Management peran [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke. AWS Batch Peran terkait layanan telah ditentukan sebelumnya oleh AWS Batch dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.
Peran terkait layanan membuat pengaturan AWS Batch lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. AWS Batch mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya AWS Batch dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas IAM lainnya.
Anda dapat menghapus peran tertaut layanan hanya setelah menghapus sumber daya terkait terlebih dahulu. Ini melindungi AWS Batch sumber daya Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, silakan lihat [layanan AWS yang bisa digunakan dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan carilah layanan yang memiliki opsi **Ya** di kolom **Peran terkait layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
## Izin peran terkait layanan untuk AWS Batch
AWS Batch menggunakan peran terkait layanan bernama **AWSServiceRoleForAWSBatchWithSagemaker**— Memungkinkan AWS Batch untuk mengantri dan mengelola pekerjaan SageMaker Pelatihan atas nama Anda.
Peran AWSService RoleFor AWSBatch WithSagemaker terkait layanan mempercayai layanan berikut untuk mengambil peran:
+ `sagemaker-queuing.batch.amazonaws.com`
Kebijakan izin peran memungkinkan AWS Batch untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
+ `sagemaker`— Memungkinkan AWS Batch untuk mengelola pekerjaan SageMaker pelatihan, mengubah pekerjaan, dan sumber daya SageMaker AI lainnya.
+ `iam:PassRole`— Memungkinkan AWS Batch untuk meneruskan peran eksekusi yang ditentukan pelanggan ke SageMaker AI untuk eksekusi pekerjaan. Kendala sumber daya memungkinkan meneruskan peran ke layanan SageMaker AI.
Anda harus mengonfigurasi izin agar pengguna, grup, atau peran Anda membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat [Izin peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.
## Membuat peran terkait layanan untuk AWS Batch
Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda membuat lingkungan layanan menggunakan `CreateServiceEnvironment` di Konsol Manajemen AWS, the AWS CLI, atau AWS API, AWS Batch buat peran terkait layanan untuk Anda.
Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda membuat lingkungan layanan menggunakan`CreateServiceEnvironment`, AWS Batch buat peran terkait layanan untuk Anda lagi.
Untuk melihat JSON untuk kebijakan, lihat [AWSBatchServiceRolePolicyForSageMaker](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBatchServiceRolePolicyForSageMaker.html)di [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
## Mengedit peran terkait layanan untuk AWS Batch
AWS Batch tidak memungkinkan Anda untuk mengedit peran AWSService RoleFor AWSBatch WithSagemaker terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin merujuk peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.
## Menghapus peran terkait layanan untuk AWS Batch
Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, kami merekomendasikan Anda menghapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas tak terpakai yang tidak dipantau atau dipelihara secara aktif. Namun, Anda harus membersihkan peran tertaut-layanan sebelum dapat menghapusnya secara manual.
### Membersihkan peran tertaut-layanan
Sebelum Anda dapat menggunakan IAM untuk menghapus peran terkait layanan, Anda harus terlebih dahulu mengonfirmasi bahwa peran tersebut tidak memiliki sesi aktif dan menghapus semua lingkungan layanan yang menggunakan peran di semua AWS Wilayah dalam satu partisi.
**Untuk memeriksa apakah peran yang terhubung dengan layanan memiliki sesi aktif**
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Peran** dan kemudian AWSService RoleFor AWSBatch WithSagemaker nama (bukan kotak centang).
1. Di halaman **Summary** (Ringkasan), pilih **Access Advisor** (Penasihat Akses) dan tinjau aktivitas terbaru untuk peran yang terhubung dengan layanan.
**catatan**
Jika Anda tidak tahu AWS Batch apakah menggunakan AWSService RoleFor AWSBatch WithSagemaker peran tersebut, Anda dapat mencoba menghapus peran tersebut. Jika layanan yang menggunakan peran tersebut, peran akan gagal dihapus. Anda dapat melihat Wilayah tempat peran tersebut digunakan. Jika peran tersebut sedang digunakan, Anda harus menunggu hingga sesi ini berakhir sebelum dapat menghapus peran tersebut. Anda tidak dapat mencabut sesi untuk peran tertaut layanan.
**Untuk menghapus AWS Batch sumber daya yang digunakan oleh peran AWSService RoleFor AWSBatch WithSagemaker terkait layanan**
Anda harus memisahkan semua antrian pekerjaan dari semua lingkungan layanan maka Anda harus menghapus semua lingkungan layanan yang menggunakan AWSService RoleFor AWSBatch WithSagemaker peran di semua AWS Wilayah sebelum Anda dapat menghapus peran tersebut. AWSService RoleFor AWSBatch WithSagemaker
1. Buka AWS Batch konsol di [https://console.aws.amazon.com/batch/](https://console.aws.amazon.com/batch/).
1. Dari bilah navigasi, pilih Wilayah untuk digunakan.
1. Di panel navigasi, pilih **Lingkungan**, lalu **Lingkungan layanan**.
1. Pilih semua **lingkungan Layanan**.
1. Pilih **Disable** (Nonaktifkan). Tunggu **State** (Status) berubah menjadi **DISABLED** (DINONAKTIFKAN).
1. Pilih lingkungan layanan.
1. Pilih **Hapus**. Konfirmasikan bahwa Anda ingin menghapus lingkungan layanan dengan memilih **Hapus lingkungan layanan**.
1. Ulangi langkah 1—7 untuk semua lingkungan layanan yang menggunakan peran terkait layanan di semua Wilayah.
### Menghapus peran yang terhubung dengan layanan (Konsol IAM)
Anda dapat menggunakan konsol IAM untuk menghapus sebuah peran terkait layanan.
**Untuk menghapus peran terkait layanan (konsol)**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi konsol IAM, pilih **Peran**. Kemudian pilih kotak centang di sebelah AWSService RoleFor AWSBatchWithSagemaker, bukan nama atau baris itu sendiri.
1. Pilih **Hapus peran**.
1. Di kotak dialog konfirmasi, tinjau data layanan yang terakhir diakses, yang menunjukkan kapan masing-masing peran yang dipilih terakhir mengakses file Layanan AWS. Hal ini membantu Anda mengonfirmasi aktif tidaknya peran tersebut saat ini. Jika Anda ingin melanjutkan, pilih **Ya, Hapus** guna mengirimkan peran terkait layanan untuk penghapusan.
1. Perhatikan notifikasi konsol IAM untuk memantau progres penghapusan peran terkait layanan. Karena penghapusan peran terkait layanan IAM bersifat asinkron, setelah Anda mengirimkan peran tersebut untuk dihapus, tugas penghapusan dapat berhasil atau gagal.
+ Jika tugas berhasil, maka peran tersebut dihapus dari daftar dan pemberitahuan keberhasilan muncul di bagian atas halaman.
+ Jika tugas tersebut gagal, Anda dapat memilih **Lihat rincian** atau **Lihat Sumber Daya** dari pemberitahuan untuk mempelajari alasan penghapusan gagal. Jika penghapusan gagal karena peran tersebut sedang menggunakan sumber daya layanan, maka pemberitahuan mencakup daftar sumber daya, jika layanan tersebut mengembalikan informasi tersebut. Anda kemudian dapat [membersihkan sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) dan mengirimkan penghapusan lagi.
**catatan**
Anda mungkin harus mengulangi proses ini beberapa kali, tergantung pada informasi yang dikembalikan oleh layanan. Misalnya, peran terkait layanan Anda mungkin menggunakan enam sumber daya dan layanan Anda mungkin akan mengembalikan informasi mengenai lima di antaranya. Jika Anda membersihkan lima sumber daya dan mengirim peran untuk penghapusan lagi, penghapusan tersebut gagal dan layanan melaporkan sumber daya yang tersisa. Layanan mungkin mengembalikan semua sumber daya, beberapa di antaranya, atau tidak melaporkan sumber daya apa pun.
+ Jika tugas gagal dan pemberitahuan tidak mencakup daftar sumber daya, maka layanan mungkin tidak mengembalikan informasi tersebut. Untuk mempelajari cara membersihkan sumber daya untuk layanan itu, lihat [Layanan AWS yang bekerja dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Cari layanan Anda dalam tabel, dan pilih tautan **Ya** untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut
### Menghapus peran yang terhubung dengan layanan di IAM (AWS CLI)
Anda dapat menggunakan perintah IAM dari AWS Command Line Interface untuk menghapus peran terkait layanan.
**Untuk menghapus peran yang terhubung dengan layanan (CLI)**
1. Karena peran yang terhubung dengan layanan tidak dapat dihapus jika sedang digunakan atau memiliki sumber daya terkait, Anda harus mengirimkan permintaan penghapusan. Permintaan tersebut dapat ditolak jika syarat-syarat ini tidak terpenuhi. Anda harus menangkap `deletion-task-id` dari tanggapan untuk memeriksa status tugas penghapusan. Ketik perintah berikut untuk mengirimkan permintaan penghapusan peran yang terhubung dengan layanan:
```
$ aws iam delete-service-linked-role --role-name AWSServiceRoleForAWSBatchWithSagemaker
```
1. Gunakan perintah berikut untuk memeriksa status tugas penghapusan:
```
$ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
```
Status tugas penghapusan dapat berupa `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED`, atau `FAILED`. Jika penghapusan gagal, panggilan akan mengembalikan alasan kegagalan panggilan sehingga Anda dapat memecahkan masalah. Jika penghapusan gagal karena peran tersebut sedang menggunakan sumber daya layanan, maka pemberitahuan mencakup daftar sumber daya, jika layanan tersebut mengembalikan informasi tersebut. Anda kemudian dapat [membersihkan sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) dan mengirimkan penghapusan lagi.
**catatan**
Anda mungkin harus mengulangi proses ini beberapa kali, tergantung pada informasi yang dikembalikan oleh layanan. Misalnya, peran terkait layanan Anda mungkin menggunakan enam sumber daya dan layanan Anda mungkin akan mengembalikan informasi mengenai lima di antaranya. Jika Anda membersihkan lima sumber daya dan mengirim peran untuk penghapusan lagi, penghapusan tersebut gagal dan layanan melaporkan sumber daya yang tersisa. Layanan mungkin mengembalikan semua sumber daya atau beberapa di antaranya. Layanan mungkin juga tidak melaporkan sumber daya apa pun. Untuk mempelajari cara membersihkan sumber daya untuk layanan yang tidak melaporkan sumber daya apa pun, lihat [Layanan AWS yang bekerja dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Cari layanan Anda dalam tabel, dan pilih tautan **Ya** untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut
### Menghapus peran yang terhubung dengan layanan di IAM (API AWS)
Anda dapat menggunakan API IAM untuk menghapus peran terkait layanan.
**Untuk menghapus peran terkait layanan (API)**
1. Untuk mengirimkan permintaan penghapusan untuk peran terkait layanan, panggil [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html). Dalam permintaan, tentukan nama AWSService RoleFor AWSBatch WithSagemaker peran.
Karena peran terkait layanan tidak dapat dihapus jika sedang digunakan atau memiliki sumber daya terkait, Anda harus mengirimkan permintaan penghapusan. Permintaan tersebut dapat ditolak jika kondisi ini tidak terpenuhi. Anda harus menangkap `DeletionTaskId` dari tanggapan untuk memeriksa status tugas penghapusan.
1. Untuk memeriksa status penghapusan, panggil [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html). Di permintaan tersebut, tentukan `DeletionTaskId`.
Status tugas penghapusan dapat berupa `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED`, atau `FAILED`. Jika penghapusan gagal, panggilan akan mengembalikan alasan kegagalan panggilan sehingga Anda dapat memecahkan masalah. Jika penghapusan gagal karena peran tersebut sedang menggunakan sumber daya layanan, maka pemberitahuan mencakup daftar sumber daya, jika layanan tersebut mengembalikan informasi tersebut. Anda kemudian dapat [membersihkan sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) dan mengirimkan penghapusan lagi.
**catatan**
Anda mungkin harus mengulangi proses ini beberapa kali, tergantung pada informasi yang dikembalikan oleh layanan. Misalnya, peran terkait layanan Anda mungkin menggunakan enam sumber daya dan layanan Anda mungkin akan mengembalikan informasi mengenai lima di antaranya. Jika Anda membersihkan lima sumber daya dan mengirim peran untuk penghapusan lagi, penghapusan tersebut gagal dan layanan melaporkan sumber daya yang tersisa. Layanan mungkin mengembalikan semua sumber daya, beberapa di antaranya, atau tidak melaporkan sumber daya apa pun. Untuk mempelajari cara membersihkan sumber daya untuk layanan yang tidak melaporkan sumber daya apa pun, lihat [Layanan AWS yang berfungsi dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Cari layanan Anda dalam tabel, dan pilih tautan **Ya** untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut
## Wilayah yang Didukung untuk AWS Batch peran terkait layanan
AWS Batch mendukung penggunaan peran terkait layanan di semua Wilayah tempat layanan tersedia. Untuk informasi lebih lanjut, lihat [Titik akhir AWS Batch](https://docs.aws.amazon.com/general/latest/gr/batch.html#batch_region).
# Peran instans Amazon ECS
AWS Batch lingkungan komputasi diisi dengan instans kontainer Amazon ECS. Mereka menjalankan agen kontainer Amazon ECS secara lokal. Agen penampung Amazon ECS melakukan panggilan ke berbagai operasi AWS API atas nama Anda. Oleh karena itu, instans kontainer yang menjalankan agen memerlukan kebijakan dan IAM role untuk layanan ini untuk mengenali bahwa agen tersebut merupakan milik Anda. Anda harus membuat peran IAM dan profil instance untuk instance container yang akan digunakan saat diluncurkan. Jika tidak, Anda tidak dapat membuat lingkungan komputasi dan meluncurkan instans kontainer ke dalamnya. Persyaratan ini berlaku untuk instans kontainer yang diluncurkan dengan atau tanpa AMI yang dioptimalkan untuk Amazon ECS yang disediakan oleh Amazon. Untuk informasi selengkapnya, lihat [Peran instans Amazon ECS](#instance_IAM_role) di *Panduan Pengembang Layanan Amazon Elastic Container*.
**Topics**
+ [Periksa peran instans Amazon ECS akun Anda](batch-check-ecsinstancerole.md)
# Periksa peran instans Amazon ECS akun Anda
Peran instans dan profil instans Amazon ECS secara otomatis dibuat untuk Anda di konsol pengalaman penjalanan pertama kali. Namun, Anda dapat mengikuti langkah-langkah ini untuk memeriksa apakah akun Anda sudah memiliki peran instans Amazon ECS dan profil instans. Langkah-langkah berikut juga mencakup cara melampirkan kebijakan IAM terkelola.
**Tutorial: Periksa `ecsInstanceRole` di konsol IAM**
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Peran**.
1. Cari daftar peran untuk `ecsInstanceRole`. Jika peran tidak ada, gunakan langkah-langkah berikut untuk membuat peran.
1. Pilih **Buat Peran**.
1. Untuk **jenis entitas Tepercaya**, pilih **Layanan AWS**.
1. Untuk **kasus penggunaan umum**, pilih **EC2**.
1. Pilih **Berikutnya**.
1. Untuk **kebijakan Izin**, cari **EC2ContainerServiceforEC2Peran Amazon**.
1. Pilih kotak centang di samping **EC2ContainerServiceforEC2Peran Amazon**, lalu pilih **Berikutnya**.
1. Untuk **Role Name** (Nama Peran), ketik `ecsInstanceRole` dan pilih **Create Role** (Buat Peran).
**catatan**
Jika Anda menggunakan Konsol Manajemen AWS untuk membuat peran Amazon EC2, konsol akan membuat profil instans dengan nama yang sama dengan peran.
Atau, Anda dapat menggunakan AWS CLI untuk membuat peran `ecsInstanceRole` IAM. Contoh berikut membuat peran IAM dengan kebijakan kepercayaan dan kebijakan AWS terkelola.
**Tutorial: Membuat peran IAM dan profil instance ()AWS CLI**
1. Buat kebijakan kepercayaan berikut dan simpan dalam file teks yang diberi nama`ecsInstanceRole-role-trust-policy.json`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": { "Service": "ec2.amazonaws.com"},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Gunakan perintah [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html) untuk membuat peran. `ecsInstanceRole` Tentukan lokasi file kebijakan kepercayaan dalam `assume-role-policy-document` parameter.
```
$ aws iam create-role \
--role-name ecsInstanceRole \
--assume-role-policy-document file://ecsInstanceRole-role-trust-policy.json
```
1. Gunakan [create-instance-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/create-instance-profile.html)perintah untuk membuat profil instance yang diberi nama`ecsInstanceRole`.
**catatan**
Anda perlu membuat peran dan profil instance sebagai tindakan terpisah di AWS API AWS CLI dan API.
```
$ aws iam create-instance-profile --instance-profile-name ecsInstanceRole
```
Berikut ini adalah contoh respons.
```
{
"InstanceProfile": {
"Path": "/",
"InstanceProfileName": "ecsInstanceRole",
"InstanceProfileId": "AIPAT46P5RDITREXAMPLE",
"Arn": "arn:aws:iam::123456789012:instance-profile/ecsInstanceRole",
"CreateDate": "2022-06-30T23:53:34.093Z",
"Roles": [], }
}
```
1. Gunakan perintah [ add-role-to-instance-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/add-role-to-instance-profile.html) untuk menambahkan `ecsInstanceRole` peran ke profil `ecsInstanceRole` instance.
```
aws iam add-role-to-instance-profile \
--role-name ecsInstanceRole --instance-profile-name ecsInstanceRole
```
1. Gunakan [attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)perintah untuk melampirkan kebijakan `AmazonEC2ContainerServiceforEC2Role` AWS terkelola ke `ecsInstanceRole` peran.
```
$ aws iam attach-role-policy \
--policy-arn arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceforEC2Role \
--role-name ecsInstanceRole
```
# Peran armada spot Amazon EC2
Jika Anda membuat lingkungan komputasi terkelola yang menggunakan Instans Armada Spot Amazon EC2, Anda harus membuat kebijakan. `AmazonEC2SpotFleetTaggingRole` Kebijakan ini memberikan izin kepada Armada Spot untuk meluncurkan, menandai, dan menghentikan instans atas nama Anda. Tentukan peran dalam permintaan Armada Spot Anda. Anda juga harus memiliki peran **AWSServiceRoleForEC2Spot** dan **AWSServiceRoleForEC2SpotFleet**terkait layanan untuk Armada Spot dan Spot Amazon EC2. Gunakan instruksi berikut untuk membuat semua peran. *Untuk informasi selengkapnya, lihat [Menggunakan Peran Tertaut Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) dan [Membuat Peran untuk Mendelegasikan Izin ke AWS Layanan di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) Pengguna IAM.*
**Topics**
+ [Buat peran armada spot Amazon EC2 di Konsol Manajemen AWS](spot-fleet-roles-console.md)
+ [Buat peran armada spot Amazon EC2 dengan AWS CLI](spot-fleet-roles-cli.md)
# Buat peran armada spot Amazon EC2 di Konsol Manajemen AWS
**Untuk membuat IAM role yang terhubung dengan layanan `AmazonEC2SpotFleetTaggingRole` untuk Armada Spot Amazon EC2**
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Untuk **Manajemen Akses**, pilih **Peran**,
1. Untuk **Peran**, pilih **Buat peran**.
1. Dari **Pilih entitas tepercaya** **untuk jenis entitas Tepercaya**, pilih **Layanan AWS**.
1. Untuk **kasus Penggunaan untuk kasus lainnya Layanan AWS**, pilih **EC2 dan kemudian pilih EC2** **- Spot Fleet Tagging**.
1. Pilih **Berikutnya**.
1. Dari **kebijakan Izin** untuk **nama Kebijakan**, verifikasi`AmazonEC2SpotFleetTaggingRole`.
1. Pilih **Berikutnya**.
1. Untuk **Nama, tinjau, dan buat**:
1. Untuk **nama Peran**, masukkan nama untuk mengidentifikasi peran.
1. Untuk **Deskripsi**, masukkan penjelasan singkat untuk kebijakan tersebut.
1. (Opsional) Untuk **Langkah 1: Pilih entitas tepercaya**, pilih **Edit** untuk mengubah kode.
1. (Opsional) Untuk **Langkah 2: Tambahkan izin**, pilih **Edit** untuk mengubah kode.
1. (Opsional) Untuk **Tambahkan tag**, pilih **Tambahkan tag** untuk menambahkan tag ke sumber daya.
1. Pilih **Buat peran**.
**catatan**
Di masa lalu, ada dua kebijakan terkelola untuk peran Armada Spot Amazon EC2.
**Amazon EC2 SpotFleetRole**: Ini adalah kebijakan terkelola asli untuk peran Armada Spot. Namun, kami tidak lagi menyarankan Anda menggunakannya AWS Batch. Kebijakan ini tidak mendukung penandaan Instance Spot di lingkungan komputasi, yang diperlukan untuk menggunakan peran terkait `AWSServiceRoleForBatch` layanan. Jika sebelumnya Anda membuat peran Armada Spot dengan kebijakan ini, terapkan kebijakan baru yang direkomendasikan untuk peran tersebut. Untuk informasi selengkapnya, lihat [Instans Spot tidak ditandai pada pembuatan](spot-instance-no-tag.md).
**Amazon EC2 SpotFleetTaggingRole**: Peran ini menyediakan semua izin yang diperlukan untuk menandai Instans Spot Amazon EC2. Gunakan peran ini untuk memungkinkan penandaan Instance Spot di lingkungan AWS Batch komputasi Anda.
# Buat peran armada spot Amazon EC2 dengan AWS CLI
**Untuk membuat peran **Amazon EC2 SpotFleetTaggingRole** IAM untuk lingkungan komputasi Armada Spot Anda**
1. Jalankan perintah berikut dengan file AWS CLI.
```
$ aws iam create-role --role-name AmazonEC2SpotFleetTaggingRole \
--assume-role-policy-document '{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "spotfleet.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}'
```
1. Untuk melampirkan kebijakan IAM EC2 SpotFleetTaggingRole terkelola **Amazon** ke EC2 SpotFleetTaggingRole peran **Amazon** Anda, jalankan perintah berikut AWS CLI dengan.
```
$ aws iam attach-role-policy \
--policy-arn \
arn:aws:iam::aws:policy/service-role/AmazonEC2SpotFleetTaggingRole \
--role-name \
AmazonEC2SpotFleetTaggingRole
```
**Untuk membuat IAM role yang terhubung dengan layanan `AWSServiceRoleForEC2Spot` untuk Spot Amazon EC2**
**catatan**
Jika peran terkait layanan `AWSServiceRoleForEC2Spot` IAM sudah ada, Anda akan melihat pesan galat yang menyerupai berikut ini.
```
An error occurred (InvalidInput) when calling the CreateServiceLinkedRole operation:
Service role name AWSServiceRoleForEC2Spot has been taken in this account, please try a different suffix.
```
+ Jalankan perintah berikut dengan file AWS CLI.
```
$ aws iam create-service-linked-role --aws-service-name spot.amazonaws.com
```
**Untuk membuat IAM role yang terhubung dengan layanan `AWSServiceRoleForEC2SpotFleet` untuk Armada Spot Amazon EC2**
**catatan**
Jika peran terkait layanan `AWSServiceRoleForEC2SpotFleet` IAM sudah ada, Anda akan melihat pesan galat yang menyerupai berikut ini.
```
An error occurred (InvalidInput) when calling the CreateServiceLinkedRole operation:
Service role name AWSServiceRoleForEC2SpotFleet has been taken in this account, please try a different suffix.
```
+ Jalankan perintah berikut dengan file AWS CLI.
```
$ aws iam create-service-linked-role --aws-service-name spotfleet.amazonaws.com
```
# EventBridge Peran IAM
Amazon EventBridge memberikan aliran peristiwa sistem yang mendekati waktu nyata yang menggambarkan perubahan sumber daya. AWS AWS Batch pekerjaan tersedia sebagai EventBridge target. Menggunakan aturan sederhana yang dapat Anda siapkan dengan cepat, Anda dapat mencocokkan peristiwa dan mengirimkan tugas AWS Batch untuk meresponsnya. Sebelum Anda dapat mengirimkan AWS Batch pekerjaan dengan EventBridge aturan dan target, EventBridge harus memiliki izin untuk menjalankan AWS Batch pekerjaan atas nama Anda.
**catatan**
Saat membuat aturan di EventBridge konsol yang menentukan AWS Batch antrian sebagai target, Anda dapat membuat peran ini. Untuk panduan contoh, lihat [AWS Batch pekerjaan sebagai EventBridge target](batch-cwe-target.md). Anda dapat membuat EventBridge peran secara manual menggunakan konsol IAM. Untuk petunjuknya, lihat [Membuat peran menggunakan kebijakan kepercayaan khusus (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) di Panduan Pengguna IAM.
Hubungan kepercayaan untuk peran EventBridge IAM Anda harus memberikan kepala `events.amazonaws.com` layanan kemampuan untuk mengambil peran tersebut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Pastikan bahwa kebijakan yang dilampirkan ke peran EventBridge IAM Anda memungkinkan `batch:SubmitJob` izin pada sumber daya Anda. Dalam contoh berikut, AWS Batch berikan kebijakan `AWSBatchServiceEventTargetRole` terkelola untuk memberikan izin ini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:SubmitJob"
],
"Resource": "*"
}
]
}
```
------
# Buat virtual private cloud
Sumber daya komputasi di lingkungan komputasi Anda memerlukan akses jaringan eksternal untuk berkomunikasi dengan dan titik akhir AWS Batch layanan Amazon ECS. Namun, Anda mungkin memiliki pekerjaan yang ingin Anda jalankan di subnet pribadi. Untuk memiliki fleksibilitas untuk menjalankan pekerjaan baik di subnet publik atau swasta, buat VPC yang memiliki subnet publik dan swasta.
Anda dapat menggunakan Amazon Virtual Private Cloud (Amazon VPC) untuk meluncurkan AWS sumber daya ke jaringan virtual yang Anda tentukan. Topik ini menyediakan tautan ke wizard VPC Amazon dan daftar opsi untuk dipilih.
## Buat VPC
Untuk informasi tentang cara membuat VPC Amazon, lihat [Membuat VPC hanya di *Panduan Pengguna* VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#create-vpc-vpc-only) Amazon dan gunakan tabel berikut untuk menentukan opsi apa yang harus dipilih.
| Opsi | Nilai |
| --- | --- |
| Sumber daya untuk dibuat | Hanya VPC |
| Nama | Secara opsional berikan nama untuk VPC Anda. |
| IPv4 Blok CIDR | IPv4 Masukan manual CIDR Ukuran blok CIDR harus memiliki ukuran antara /16 dan /28. |
| IPv6 Blok CIDR | Tidak ada IPv6 blok CIDR |
| Penghunian | Default |
Untuk informasi lebih lanjut tentang Amazon VPC, lihat [Apa itu Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/) dalam *Panduan Pengguna Amazon VPC*.
## Langkah selanjutnya
Setelah Anda membuat VPC Anda, pertimbangkan langkah-langkah berikut:
+ Buat grup keamanan untuk sumber daya publik dan privat Anda jika sumber daya memerlukan akses jaringan masuk. Untuk informasi selengkapnya, lihat [Bekerja dengan grup keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#working-with-security-groups) di *Panduan Pengguna Amazon VPC*.
+ Buat lingkungan komputasi AWS Batch terkelola yang meluncurkan sumber daya komputasi ke VPC baru Anda. Untuk informasi selengkapnya, lihat [Membuat lingkungan komputasi](create-compute-environment.md). Jika Anda menggunakan wizard pembuatan lingkungan komputasi di AWS Batch konsol, Anda dapat menentukan VPC yang baru saja Anda buat dan subnet publik atau pribadi yang ingin Anda luncurkan instance.
+ Buat antrean AWS Batch pekerjaan yang dipetakan ke lingkungan komputasi baru Anda. Untuk informasi selengkapnya, lihat [Membuat antrean tugas](create-job-queue.md).
+ Buat ketentuan tugas untuk menjalankan tugas Anda. Untuk informasi selengkapnya, lihat [Buat definisi pekerjaan simpul tunggal](create-job-definition.md).
+ Kirim tugas dengan ketentuan tugas ke antrean tugas baru Anda. Pekerjaan ini mendarat di lingkungan komputasi yang Anda buat dengan VPC dan subnet baru Anda. Untuk informasi selengkapnya, lihat [Tutorial: kirimkan pekerjaan](submit_job.md).
# Gunakan titik akhir antarmuka untuk Access AWS Batch
Anda dapat menggunakan AWS PrivateLink untuk membuat koneksi pribadi antara VPC Anda dan. AWS Batch Anda dapat mengakses AWS Batch seolah-olah itu ada di VPC Anda, tanpa menggunakan gateway internet, perangkat NAT, koneksi VPN, atau koneksi. Direct Connect Instans di VPC Anda tidak memerlukan alamat IP publik untuk mengakses. AWS Batch
Anda membuat koneksi pribadi ini dengan membuat *titik akhir antarmuka*, yang didukung oleh AWS PrivateLink. Kami membuat antarmuka jaringan endpoint di setiap subnet yang Anda aktifkan untuk titik akhir antarmuka. Ini adalah antarmuka jaringan yang dikelola pemohon yang berfungsi sebagai titik masuk untuk lalu lintas yang ditakdirkan. AWS Batch
*Untuk informasi selengkapnya, lihat [Titik akhir VPC Antarmuka di Panduan](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html).AWS PrivateLink *
# Pertimbangan untuk AWS Batch
*Sebelum Anda menyiapkan titik akhir antarmuka AWS Batch, tinjau [properti dan batasan titik akhir Antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations) dalam Panduan.AWS PrivateLink *
AWS Batch mendukung panggilan ke semua tindakan API-nya melalui titik akhir antarmuka.
Sebelum Anda mengatur titik akhir VPC antarmuka untuk AWS Batch, perhatikan pertimbangan berikut:
+ Pekerjaan yang menggunakan jenis peluncuran sumber daya Fargate tidak memerlukan titik akhir VPC antarmuka untuk Amazon ECS, tetapi Anda mungkin memerlukan titik akhir VPC antarmuka untuk, Amazon ECR, Secrets Manager, atau AWS Batch Amazon Logs yang dijelaskan dalam poin berikut. CloudWatch
+ Untuk menjalankan pekerjaan, Anda harus membuat titik akhir VPC antarmuka untuk Amazon ECS. Untuk informasi selengkapnya, lihat [Titik Akhir VPC Antarmuka (AWS PrivateLink)](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/vpc-endpoints.html) di Panduan Pengembang *Layanan Amazon Elastic Container*.
+ Untuk memungkinkan pekerjaan Anda menarik gambar pribadi dari Amazon ECR, Anda harus membuat titik akhir VPC antarmuka untuk Amazon ECR. Untuk informasi selengkapnya, lihat [Antarmuka VPC Endpoints (AWS PrivateLink)](https://docs.aws.amazon.com/AmazonECR/latest/userguide/vpc-endpoints.html) di Panduan Pengguna *Amazon Elastic Container Registry*.
+ Untuk memungkinkan pekerjaan Anda menarik data sensitif dari Secrets Manager, Anda harus membuat titik akhir VPC antarmuka untuk Secrets Manager. Untuk informasi selengkapnya, lihat [Menggunakan Secrets Manager dengan VPC Endpoint](https://docs.aws.amazon.com/secretsmanager/latest/userguide/vpc-endpoint-overview.html) dalam *Panduan Pengguna AWS Secrets Manager *.
+ Jika VPC Anda tidak memiliki gateway internet dan pekerjaan Anda menggunakan driver `awslogs` log untuk mengirim informasi log ke Log, Anda harus membuat antarmuka VPC endpoint untuk CloudWatch Log. CloudWatch Untuk informasi selengkapnya, lihat [Menggunakan CloudWatch Log dengan Titik Akhir VPC Antarmuka di Panduan](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-and-interface-VPC.html) Pengguna *Amazon CloudWatch Logs*.
+ Pekerjaan yang menggunakan sumber daya EC2 mengharuskan instans penampung yang diluncurkan untuk menjalankan versi `1.25.1` atau yang lebih baru dari agen penampung Amazon ECS. Untuk informasi selengkapnya, lihat [versi agen penampung Amazon ECS Linux](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-agent-versions.html) di *Panduan Pengembang Layanan Kontainer Elastis Amazon*.
+ VPC endpoint saat ini tidak mendukung permintaan lintas Wilayah. Pastikan bahwa Anda membuat titik akhir Anda di Wilayah yang sama tempat Anda berencana untuk mengeluarkan panggilan API ke AWS Batch.
+ Titik akhir VPC hanya mendukung DNS yang disediakan Amazon melalui Amazon Route 53. Jika Anda ingin menggunakan DNS Anda sendiri, Anda dapat menggunakan penerusan DNS bersyarat. Untuk informasi selengkapnya, lihat [Pengaturan DHCP](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html) dalam *Panduan Pengguna Amazon VPC*.
+ Grup keamanan yang dilampirkan ke VPC endpoint harus mengizinkan koneksi masuk pada port 443 dari subnet privat VPC.
+ AWS Batch tidak mendukung titik akhir antarmuka VPC sebagai berikut: Wilayah AWS
+ Asia Pacific (Osaka) (`ap-northeast-3`)
+ Asia Pasifik (Jakarta) (`ap-southeast-3`)
# Buat titik akhir antarmuka untuk AWS Batch
Anda dapat membuat titik akhir antarmuka untuk AWS Batch menggunakan konsol VPC Amazon atau () AWS Command Line Interface .AWS CLI Untuk informasi selengkapnya, lihat [Membuat titik akhir antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) di *AWS PrivateLink Panduan*.
Buat titik akhir antarmuka untuk AWS Batch menggunakan nama layanan berikut:
+ **com.amazonaws.** *region***.batch**
+ **com.amazonaws.** *region***.batch-fips (Untuk titik akhir yang sesuai dengan FIPS***, lihat titik akhir* [dan kuota)AWS Batch](https://docs.aws.amazon.com/general/latest/gr/batch.html)
Contoh:
```
com.amazonaws.us-east-2.batch
```
```
com.amazonaws.us-east-2.batch-fips
```
Di `aws-cn` partisi, formatnya berbeda:
```
cn.com.amazonaws.region.batch
```
Contoh:
```
cn.com.amazonaws.cn-northwest-1.batch
```
## Nama DNS pribadi untuk titik akhir AWS Batch antarmuka
Jika Anda mengaktifkan DNS pribadi untuk titik akhir antarmuka, Anda dapat menggunakan nama DNS tertentu untuk terhubung AWS Batch, Kami menyediakan opsi ini:
+ **batch.** *region***.amazonaws.com**
+ **batch.** *region***.api.aws**
Untuk titik akhir yang sesuai dengan FIPS:
+ **batch fips.** *region***.api.aws**
+ **fips.batch.** *region***.amazonaws.com** *tidak didukung*
Untuk informasi selengkapnya, lihat [Mengakses layanan melalui titik akhir antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#access-service-though-endpoint) di *AWS PrivateLink Panduan*.
# Buat kebijakan titik akhir untuk titik akhir antarmuka Anda
Kebijakan endpoint adalah sumber daya IAM yang dapat Anda lampirkan ke titik akhir antarmuka. Kebijakan endpoint default memungkinkan akses penuh AWS Batch melalui titik akhir antarmuka. Untuk mengontrol akses yang diizinkan AWS Batch dari VPC Anda, lampirkan kebijakan titik akhir kustom ke titik akhir antarmuka.
kebijakan titik akhir mencantumkan informasi berikut:
+ Prinsipal yang dapat melakukan tindakan (Akun AWS, pengguna, dan peran IAM).
+ Tindakan yang dapat dilakukan.
+ Sumber daya untuk melakukan tindakan.
Untuk informasi selengkapnya, lihat [Mengontrol akses ke layanan menggunakan kebijakan titik akhir](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) di *Panduan AWS PrivateLink *.
**Contoh: Kebijakan titik akhir VPC untuk tindakan AWS Batch**
Berikut ini adalah contoh kebijakan endpoint kustom. Saat Anda melampirkan kebijakan ini ke titik akhir antarmuka Anda, kebijakan ini akan memberikan akses ke AWS Batch tindakan yang tercantum untuk semua prinsip di semua sumber daya.
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"batch:SubmitJob",
"batch:ListJobs",
"batch:DescribeJobs"
],
"Resource":"*"
}
]
}
```
# Validasi kepatuhan untuk AWS Batch
Untuk mempelajari apakah an Layanan AWS berada dalam lingkup program kepatuhan tertentu, lihat [Layanan AWS di Lingkup oleh Program Kepatuhan Layanan AWS](https://aws.amazon.com/compliance/services-in-scope/) dan pilih program kepatuhan yang Anda minati. Untuk informasi umum, lihat [Program AWS Kepatuhan Program AWS](https://aws.amazon.com/compliance/programs/) .
Anda dapat mengunduh laporan audit pihak ketiga menggunakan AWS Artifact. Untuk informasi selengkapnya, lihat [Mengunduh Laporan di AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS ditentukan oleh sensitivitas data Anda, tujuan kepatuhan perusahaan Anda, dan hukum dan peraturan yang berlaku. Untuk informasi selengkapnya tentang tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS, lihat [Dokumentasi AWS Keamanan](https://docs.aws.amazon.com/security/).
# Keamanan infrastruktur di AWS Batch
Sebagai layanan terkelola, AWS Batch dilindungi oleh keamanan jaringan AWS global. Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat [Keamanan AWS Cloud](https://aws.amazon.com/security/). Untuk mendesain AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat [Perlindungan Infrastruktur dalam Kerangka Kerja](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) yang * AWS Diarsiteksikan dengan Baik Pilar Keamanan*.
Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses AWS Batch melalui jaringan. Klien harus mendukung hal-hal berikut:
+ Keamanan Lapisan Pengangkutan (TLS). Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Sandi cocok dengan sistem kerahasiaan maju sempurna (perfect forward secrecy, PFS) seperti DHE (Ephemeral Diffie-Hellman) atau ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.
Anda dapat memanggil operasi API ini dari lokasi jaringan mana pun, AWS Batch tetapi mendukung kebijakan akses berbasis sumber daya, yang dapat mencakup pembatasan berdasarkan alamat IP sumber. Anda juga dapat menggunakan AWS Batch kebijakan untuk mengontrol akses dari titik akhir Amazon Virtual Private Cloud (Amazon VPC) tertentu atau spesifik. VPCs Secara efektif, ini mengisolasi akses jaringan ke AWS Batch sumber daya tertentu hanya dari VPC tertentu dalam AWS jaringan.
# Pencegahan "confused deputy" lintas layanan
Masalah deputi yang membingungkan adalah masalah keamanan di mana entitas yang tidak memiliki izin untuk melakukan tindakan dapat memaksa entitas yang lebih istimewa untuk melakukan tindakan. Pada tahun AWS, peniruan lintas layanan dapat mengakibatkan masalah wakil yang membingungkan. Peniruan identitas lintas layanan dapat terjadi ketika satu layanan (*layanan yang dipanggil*) memanggil layanan lain (*layanan yang dipanggil*). Layanan pemanggilan dapat dimanipulasi menggunakan izinnya untuk bertindak pada sumber daya pelanggan lain dengan cara yang seharusnya tidak dilakukannya kecuali bila memiliki izin untuk mengakses. Untuk mencegah hal ini, AWS menyediakan alat yang membantu Anda melindungi data untuk semua layanan dengan principal layanan yang telah diberi akses ke sumber daya di akun Anda.
Sebaiknya gunakan kunci konteks kondisi [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)dan dalam kebijakan sumber daya untuk membatasi izin yang AWS Batch memberikan layanan lain ke sumber daya. Jika nilai `aws:SourceArn` tidak berisi ID akun, seperti ARN bucket Amazon S3, Anda harus menggunakan kedua kunci konteks kondisi global tersebut untuk membatasi izin. Jika Anda menggunakan kunci konteks kondisi global dan nilai `aws:SourceArn` berisi ID akun, nilai `aws:SourceAccount` dan akun dalam nilai `aws:SourceArn` harus menggunakan ID akun yang sama saat digunakan dalam pernyataan kebijakan yang sama. Gunakan `aws:SourceArn` jika Anda ingin hanya satu sumber daya yang akan dikaitkan dengan akses lintas layanan. Gunakan `aws:SourceAccount` jika Anda ingin mengizinkan sumber daya apa pun di akun tersebut dikaitkan dengan penggunaan lintas layanan.
Nilai `aws:SourceArn` harus menjadi sumber daya yang AWS Batch menyimpan.
Cara paling efektif untuk melindungi dari masalah "confused deputy" adalah dengan menggunakan kunci konteks kondisi global `aws:SourceArn` dengan ARN lengkap sumber daya. Jika Anda tidak mengetahui ARN lengkap sumber daya atau jika Anda menentukan beberapa sumber daya, gunakan kunci kondisi konteks global `aws:SourceArn` dengan karakter wildcard (`*`) untuk bagian ARN yang tidak diketahui. Misalnya, `arn:aws:servicename:*:123456789012:*`.
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci konteks kondisi `aws:SourceAccount` global `aws:SourceArn` dan AWS Batch untuk mencegah masalah wakil yang membingungkan.
## Contoh: Peran untuk mengakses hanya satu lingkungan komputasi
Peran berikut hanya dapat digunakan untuk mengakses satu lingkungan komputasi. Nama pekerjaan harus ditentukan `*` karena antrian pekerjaan dapat dikaitkan dengan beberapa lingkungan komputasi.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "batch.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:batch:us-east-1:123456789012:compute-environment/testCE",
"arn:aws:batch:us-east-1:123456789012:job/*"
]
}
}
}
]
}
```
------
## Contoh: Peran untuk mengakses beberapa lingkungan komputasi
Peran berikut dapat digunakan untuk mengakses beberapa lingkungan komputasi. Nama pekerjaan harus ditentukan `*` karena antrian pekerjaan dapat dikaitkan dengan beberapa lingkungan komputasi.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "batch.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:batch:us-east-1:123456789012:compute-environment/*",
"arn:aws:batch:us-east-1:123456789012:job/*"
]
}
}
}
]
}
```
------
# Logging panggilan AWS Batch API dengan AWS CloudTrail
AWS Batch terintegrasi dengan AWS CloudTrail, layanan yang menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau AWS layanan di AWS Batch. CloudTrail menangkap semua panggilan API untuk AWS Batch sebagai peristiwa. Panggilan yang diambil termasuk panggilan dari AWS Batch konsol dan panggilan kode ke operasi AWS Batch API. Jika Anda membuat jejak, Anda dapat mengaktifkan pengiriman CloudTrail acara secara berkelanjutan ke bucket Amazon S3, termasuk acara untuk. AWS Batch Jika Anda tidak mengonfigurasi jejak, Anda masih dapat melihat peristiwa terbaru di CloudTrail konsol dalam **Riwayat acara**. Dengan menggunakan informasi yang dikumpulkan oleh CloudTrail, Anda dapat menentukan permintaan yang dibuat AWS Batch, alamat IP dari mana permintaan dibuat, siapa yang membuat permintaan, kapan dibuat, dan detail tambahan.
Untuk mempelajari selengkapnya CloudTrail, lihat [Panduan AWS CloudTrail Pengguna](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
**Topics**
+ [AWS Batch informasi di CloudTrail](service-name-info-in-cloudtrail.md)
+ [Referensi: Memahami entri file AWS Batch log](understanding-service-name-entries.md)
# AWS Batch informasi di CloudTrail
CloudTrail diaktifkan di AWS akun Anda saat Anda membuat akun. Ketika aktivitas terjadi di AWS Batch, aktivitas tersebut dicatat dalam suatu CloudTrail peristiwa bersama dengan peristiwa AWS layanan lainnya dalam **riwayat Acara**. Anda dapat melihat, mencari, dan mengunduh acara terbaru di AWS akun Anda. Untuk informasi selengkapnya, lihat [Melihat Acara dengan Riwayat CloudTrail Acara](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Untuk catatan peristiwa yang sedang berlangsung di AWS akun Anda, termasuk acara untuk AWS Batch, buat jejak. *Jejak* memungkinkan CloudTrail untuk mengirimkan file log ke bucket Amazon S3. Secara default, saat Anda membuat jejak di konsol, jejak tersebut berlaku untuk semua AWS Wilayah. Jejak mencatat peristiwa dari semua Wilayah di AWS partisi dan mengirimkan file log ke bucket Amazon S3 yang Anda tentukan. Selain itu, Anda dapat mengonfigurasi AWS layanan lain untuk menganalisis lebih lanjut dan menindaklanjuti data peristiwa yang dikumpulkan dalam CloudTrail log. Untuk informasi selengkapnya, lihat berikut:
+ [Gambaran Umum untuk Membuat Jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail Layanan dan Integrasi yang Didukung](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Mengonfigurasi Notifikasi Amazon SNS untuk CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Menerima File CloudTrail Log dari Beberapa Wilayah](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) dan [Menerima File CloudTrail Log dari Beberapa Akun](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Semua AWS Batch tindakan dicatat oleh CloudTrail dan didokumentasikan dalam yang https://docs.aws.amazon.com/batch/ terbaru/ APIReference /. Misalnya, panggilan ke `[SubmitJob](https://docs.aws.amazon.com/batch/latest/APIReference/API_SubmitJob.html)`, `[ListJobs](https://docs.aws.amazon.com/batch/latest/APIReference/API_ListJobs.html)`, dan `[DescribeJobs](https://docs.aws.amazon.com/batch/latest/APIReference/API_DescribeJobs.html)` menghasilkan entri dalam berkas log CloudTrail .
Setiap entri peristiwa atau log berisi informasi tentang siapa yang membuat permintaan tersebut. Informasi identitas membantu Anda menentukan hal berikut ini:
+ Apakah permintaan tersebut dibuat dengan kredensial root atau pengguna IAM.
+ Apakah permintaan tersebut dibuat dengan kredensial keamanan sementara untuk satu peran atau pengguna terfederasi.
+ Apakah permintaan itu dibuat oleh AWS layanan lain.
Untuk informasi lain, lihat [Elemen userIdentity CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
# Referensi: Memahami entri file AWS Batch log
Trail adalah konfigurasi yang memungkinkan pengiriman peristiwa sebagai file log ke bucket Amazon S3 yang Anda tentukan. CloudTrail file log berisi satu atau lebih entri log. Sebuah kejadian mewakili permintaan tunggal dari sumber apa pun dan mencakup informasi tentang tindakan yang diminta, tanggal dan waktu tindakan, parameter permintaan, dan sebagainya. Berkas log CloudTrail bukan merupakan jejak tumpukan terurut dari panggilan API publik, sehingga tidak muncul dalam urutan tertentu.
Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan `[CreateComputeEnvironment](https://docs.aws.amazon.com/batch/latest/APIReference/API_CreateComputeEnvironment.html)` tindakan.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDACKCEVSQ6C2EXAMPLE:admin",
"arn": "arn:aws:sts::012345678910:assumed-role/Admin/admin",
"accountId": "012345678910",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2017-12-20T00:48:46Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::012345678910:role/Admin",
"accountId": "012345678910",
"userName": "Admin"
}
}
},
"eventTime": "2017-12-20T00:48:46Z",
"eventSource": "batch.amazonaws.com",
"eventName": "CreateComputeEnvironment",
"awsRegion": "us-east-1",
"sourceIPAddress": "203.0.113.1",
"userAgent": "aws-cli/1.11.167 Python/2.7.10 Darwin/16.7.0 botocore/1.7.25",
"requestParameters": {
"computeResources": {
"subnets": [
"subnet-5eda8e04"
],
"tags": {
"testBatchTags": "CLI testing CE"
},
"desiredvCpus": 0,
"minvCpus": 0,
"instanceTypes": [
"optimal"
],
"securityGroupIds": [
"sg-aba9e8db"
],
"instanceRole": "ecsInstanceRole",
"maxvCpus": 128,
"type": "EC2"
},
"state": "ENABLED",
"type": "MANAGED",
"computeEnvironmentName": "Test"
},
"responseElements": {
"computeEnvironmentName": "Test",
"computeEnvironmentArn": "arn:aws:batch:us-east-1:012345678910:compute-environment/Test"
},
"requestID": "890b8639-e51f-11e7-b038-EXAMPLE",
"eventID": "874f89fa-70fc-4798-bc00-EXAMPLE",
"readOnly": false,
"eventType": "AwsApiCall",
"recipientAccountId": "012345678910"
}
```
# Memecahkan masalah AWS Batch IAM
Gunakan informasi berikut untuk membantu Anda mendiagnosis dan memperbaiki masalah umum yang mungkin Anda temui saat bekerja dengan AWS Batch dan IAM.
**Topics**
+ [Saya tidak berwenang untuk melakukan tindakan di AWS Batch](#security_iam_troubleshoot-no-permissions)
+ [Saya tidak berwenang untuk melakukan iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Saya ingin mengizinkan orang di luar AWS akun saya untuk mengakses AWS Batch sumber daya saya](#security_iam_troubleshoot-cross-account-access)
## Saya tidak berwenang untuk melakukan tindakan di AWS Batch
Jika Konsol Manajemen AWS memberitahu Anda bahwa Anda tidak berwenang untuk melakukan tindakan, maka Anda harus menghubungi administrator Anda untuk bantuan. Administrator Anda adalah orang yang memberikan nama pengguna dan kata sandi Anda.
Contoh kesalahan berikut terjadi ketika pengguna `mateojackson` mencoba menggunakan konsol untuk melihat detail tentang suatu sumber daya `my-example-widget` fiktif, tetapi tidak memiliki izin `batch:GetWidget` fiktif.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: batch:GetWidget on resource: my-example-widget
```
Dalam hal ini, Mateo meminta administratornya untuk memperbarui kebijakannya untuk mengizinkan dia mengakses sumber daya `my-example-widget` menggunakan tindakan `batch:GetWidget`. Untuk informasi selengkapnya tentang pemberian izin untuk meneruskan peran, lihat [Memberikan izin pengguna untuk meneruskan peran ke layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html). AWS
## Saya tidak berwenang untuk melakukan iam: PassRole
Jika Anda menerima kesalahan yang tidak diizinkan untuk melakukan `iam:PassRole` tindakan, kebijakan Anda harus diperbarui agar Anda dapat meneruskan peran AWS Batch.
Beberapa Layanan AWS memungkinkan Anda untuk meneruskan peran yang ada ke layanan tersebut alih-alih membuat peran layanan baru atau peran terkait layanan. Untuk melakukannya, Anda harus memiliki izin untuk meneruskan peran ke layanan.
Contoh kesalahan berikut terjadi ketika pengguna IAM bernama `marymajor` mencoba menggunakan konsol tersebut untuk melakukan tindakan di AWS Batch. Namun, tindakan tersebut memerlukan layanan untuk mendapatkan izin yang diberikan oleh peran layanan. Mary tidak memiliki izin untuk meneruskan peran tersebut pada layanan.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dalam kasus ini, kebijakan Mary harus diperbarui agar dia mendapatkan izin untuk melakukan tindakan `iam:PassRole` tersebut.
Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.
## Saya ingin mengizinkan orang di luar AWS akun saya untuk mengakses AWS Batch sumber daya saya
Anda dapat membuat peran yang dapat digunakan pengguna di akun lain atau orang-orang di luar organisasi Anda untuk mengakses sumber daya Anda. Anda dapat menentukan siapa saja yang dipercaya untuk mengambil peran tersebut. Untuk layanan yang mendukung kebijakan berbasis sumber daya atau daftar kontrol akses (ACLs), Anda dapat menggunakan kebijakan tersebut untuk memberi orang akses ke sumber daya Anda.
Untuk mempelajari selengkapnya, periksa referensi berikut:
+ Untuk mempelajari apakah AWS Batch mendukung fitur-fitur ini, lihat[Bagaimana AWS Batch bekerja dengan IAM](security_iam_service-with-iam.md).
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda di seluruh sumber daya Akun AWS yang Anda miliki, lihat [Menyediakan akses ke pengguna IAM di pengguna lain Akun AWS yang Anda miliki](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) di *Panduan Pengguna IAM*.
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda kepada pihak ketiga Akun AWS, lihat [Menyediakan akses yang Akun AWS dimiliki oleh pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dalam *Panduan Pengguna IAM*.
+ Untuk mempelajari cara memberikan akses melalui federasi identitas, lihat [Menyediakan akses ke pengguna terautentikasi eksternal (federasi identitas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dalam *Panduan Pengguna IAM*.
+ *Untuk mempelajari perbedaan antara menggunakan peran dan kebijakan berbasis sumber daya untuk akses lintas akun, lihat [Akses sumber daya lintas akun di IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html).*