Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Identitas dan manajemen akses untuk AWS CloudHSM
<a name="identity-access-management"></a>

AWS menggunakan kredensial keamanan untuk mengidentifikasi Anda dan memberikan Anda akses ke sumber daya AWS Anda. Anda dapat menggunakan fitur AWS Identity and Access Management (IAM) untuk memungkinkan pengguna, layanan, dan aplikasi lain menggunakan sumber daya AWS Anda sepenuhnya atau dengan cara yang terbatas. Anda dapat melakukan ini tanpa perlu berbagi kredensial keamanan Anda.

Secara default, pengguna IAM tidak memiliki izin untuk membuat, melihat, atau memodifikasi sumber daya AWS. Untuk mengizinkan pengguna IAM mengakses sumber daya seperti penyeimbang beban, dan untuk melakukan tugas, Anda:

1. Membuat kebijakan IAM yang memberikan izin pengguna IAM untuk menggunakan sumber daya tertentu dan tindakan API yang mereka butuhkan.

1. Melampirkan kebijakan ke pengguna IAM atau grup yang dimiliki oleh pengguna IAM.

Saat Anda melampirkan kebijakan ke pengguna atau grup pengguna, kebijakan itu mengizinkan atau menolak izin pengguna untuk melakukan tugas yang ditentukan pada sumber daya yang ditentukan.

Misalnya, Anda dapat menggunakan IAM untuk membuat pengguna dan grup di bawah akun AWS Anda. Pengguna IAM dapat berupa orang, sistem, atau aplikasi. Kemudian, Anda memberikan izin kepada pengguna dan grup untuk melakukan tindakan tertentu pada sumber daya tertentu menggunakan kebijakan IAM.

## Memberikan izin menggunakan kebijakan IAM
<a name="iam-policies"></a>

Saat Anda melampirkan kebijakan ke pengguna atau grup pengguna, kebijakan itu mengizinkan atau menolak izin pengguna untuk melakukan tugas yang ditentukan pada sumber daya yang ditentukan.

Kebijakan IAM adalah sebuah dokumen JSON yang terdiri dari satu pernyataan atau lebih.

Contoh kebijakan IAM berikut memungkinkan pengguna untuk menggambarkan AWS CloudHSM cadangan di AS Timur (Virginia N.). Hanya menjelaskan permintaan yang berasal dari US East (Virginia N.) yang diizinkan.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "cloudhsm:DescribeBackups",
      "Resource": "arn:aws:cloudhsm:us-east-1:123456789012:backup/*",
      "Condition": {
        "StringEquals": {
          "aws:RequestedRegion": "us-east-1"
         }
      }
    }
  ]
}
```

------
+ **Efek**— *Efek* dapat berupa `Allow` atau `Deny`. Secara default, pengguna IAM tidak memiliki izin untuk menggunakan sumber daya dan tindakan API, sehingga semua permintaan akan ditolak. izin eksplisit akan menggantikan izin default. Penolakan eksplisit akan mengabaikan izin apa pun.
+ **Tindakan**— *Tindakan* adalah tindakan API tertentu yang Anda berikan atau tolak izinnya. Untuk informasi lebih lanjut tentang menentukan*tindakan*, lihat [Tindakan API untuk AWS CloudHSM](#api-actions).
+ **Sumber daya** — Sumber daya yang dipengaruhi oleh tindakan. AWS CloudHSM tidak mendukung izin tingkat sumber daya. Anda harus menggunakan wildcard \$1 untuk menentukan semua AWS CloudHSM sumber daya.
+ **Syarat**— Anda dapat secara opsional menggunakan syarat untuk mengontrol kapan kebijakan Anda berlaku. Untuk informasi lebih lanjut, lihat [Kunci kondisi untuk AWS CloudHSM](#condition-keys).

Untuk informasi lebih lanjut, lihat [Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/).

## Tindakan API untuk AWS CloudHSM
<a name="api-actions"></a>

Dalam elemen **Tindakan** pernyataan kebijakan IAM Anda, Anda dapat menentukan tindakan API apa pun yang AWS CloudHSM ditawarkan. Anda harus memberi prefiks pada nama tindakan dengan string huruf kecil `cloudhsm:`, seperti yang ditunjukkan dalam contoh berikut.

```
"Action": "cloudhsm:DescribeClusters"
```

Untuk menetapkan beberapa tindakan dalam satu pernyataan, batasi dengan kurung persegi dan pisahkan dengan koma, seperti ditunjukkan dalam contoh berikut.

```
"Action": [
    "cloudhsm:DescribeClusters",
    "cloudhsm:DescribeHsm"
]
```

Anda juga dapat menentukan beberapa tindakan menggunakan wildcard \$1. Contoh berikut menentukan semua nama tindakan API untuk memulai dengan AWS CloudHSM `List` itu.

```
"Action": "cloudhsm:List*"
```

Untuk menentukan semua tindakan API AWS CloudHSM, gunakan wildcard \$1, seperti yang ditunjukkan pada contoh berikut.

```
"Action": "cloudhsm:*"
```

Untuk daftar tindakan API AWS CloudHSM, lihat [AWS CloudHSM Tindakan](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_Operations.html).

## Kunci kondisi untuk AWS CloudHSM
<a name="condition-keys"></a>

Saat membuat kebijakan, Anda dapat menentukan syarat yang mengontrol kapan kebijakan berlaku. Setiap syarat mengandung satu atau lebih pasangan nilai-kunci . Terdapat kunci syarat global dan kunci syarat khusus layanan.

AWS CloudHSM tidak memiliki kunci konteks khusus layanan.

Untuk informasi lebih lanjut tentang kunci syarat global, lihat [ Kunci Konteks Syarat Global AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dalam *Panduan Pengguna IAM*.

## Kebijakan terkelola AWS yang telah ditentukan sebelumnya untuk AWS CloudHSM
<a name="predefined-policies"></a>

Kebijakan terkelola yang dibuat oleh AWS memberikan izin yang diperlukan untuk kasus penggunaan umum. Anda dapat melampirkan kebijakan ini ke pengguna IAM Anda, berdasarkan akses ke AWS CloudHSM yang mereka butuhkan:
+ **AWSCloudHSMFullAkses** — Memberikan akses penuh yang diperlukan untuk menggunakan AWS CloudHSM fitur.
+ **AWSCloudHSMReadOnlyAccess**— Memberikan akses hanya-baca ke fitur. AWS CloudHSM 

## Kebijakan yang dikelola pelanggan untuk AWS CloudHSM
<a name="permissions-for-cloudhsm"></a>

Kami menyarankan Anda membuat grup administrator IAM yang hanya berisi izin AWS CloudHSM yang diperlukan untuk menjalankan. AWS CloudHSM Lampirkan kebijakan dengan izin yang sesuai untuk grup ini. Tambahkan pengguna IAM ke grup sesuai kebutuhan. Setiap pengguna yang Anda tambahkan mewarisi kebijakan dari grup administrator.

Selain itu, sebaiknya Anda membuat grup pengguna tambahan berdasarkan izin yang dibutuhkan pengguna. Hal ini memastikan bahwa hanya pengguna tepercaya yang memiliki akses ke tindakan API kritis. Misalnya, Anda dapat membuat grup pengguna yang Anda gunakan untuk memberikan akses hanya-baca ke kluster dan. HSMs Karena grup ini tidak mengizinkan pengguna untuk menghapus cluster atau HSMs, pengguna yang tidak dipercaya tidak dapat memengaruhi ketersediaan beban kerja produksi.

Karena fitur AWS CloudHSM manajemen baru ditambahkan dari waktu ke waktu, Anda dapat memastikan bahwa hanya pengguna tepercaya yang diberikan akses langsung. Dengan menetapkan izin terbatas untuk kebijakan saat pembuatan, Anda dapat secara manual menetapkan izin fitur baru untuk mereka nanti.

Berikut ini adalah contoh kebijakan untuk AWS CloudHSM. Untuk informasi tentang cara membuat kebijakan dan melampirkan ke grup pengguna IAM, lihat [Membuat Kebijakan di Tab JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) dalam *Panduan Pengguna IAM*.

**Contoh**
+ [Hanya Baca Izin](#read-only-permissions)
+ [Izin Pengguna Daya](#power-user-permissions)
+ [Izin Admin](#admin-permissions)

**Example Contoh: Izin baca-saja**  
Kebijakan ini mengizinkan akses ke tindakan API `DescribeClusters` dan `DescribeBackups`. Ini juga mencakup izin tambahan untuk tindakan Amazon EC2 API tertentu. Itu tidak memungkinkan pengguna untuk menghapus cluster atau HSMs.    
****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": {
      "Effect": "Allow",
      "Action": [
         "cloudhsm:DescribeClusters",
         "cloudhsm:DescribeBackups",
         "cloudhsm:ListTags"
      ],
      "Resource": "*"
   }
}
```

**Example Contoh: Izin pengguna daya**  
Kebijakan ini memungkinkan akses ke subset tindakan AWS CloudHSM API. Ini juga mencakup izin tambahan untuk tindakan Amazon EC2 tertentu. Itu tidak memungkinkan pengguna untuk menghapus cluster atau HSMs. Anda harus menyertakan `iam:CreateServiceLinkedRole` tindakan AWS CloudHSM untuk memungkinkan secara otomatis membuat peran terkait layanan **AWSServiceRoleForCloudHSM** di akun Anda. Peran ini memungkinkan AWS CloudHSM untuk mencatat peristiwa. Untuk informasi selengkapnya, lihat [Peran terkait layanan untuk AWS CloudHSM](service-linked-roles.md).  
Untuk melihat izin khusus untuk setiap API, lihat [kunci Tindakan, sumber daya, dan kondisi AWS CloudHSM di Referensi](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudhsm.html) *Otorisasi Layanan*.  
****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": {
      "Effect": "Allow",
      "Action": [
         "cloudhsm:DescribeClusters",
         "cloudhsm:DescribeBackups",
         "cloudhsm:CreateCluster",
         "cloudhsm:CreateHsm",
         "cloudhsm:RestoreBackup",
         "cloudhsm:CopyBackupToRegion",
         "cloudhsm:InitializeCluster",
         "cloudhsm:ListTags",
         "cloudhsm:TagResource",
         "cloudhsm:UntagResource",
         "ec2:CreateNetworkInterface",
         "ec2:DescribeNetworkInterfaces",
         "ec2:DescribeNetworkInterfaceAttribute",
         "ec2:DetachNetworkInterface",
         "ec2:DeleteNetworkInterface",
         "ec2:CreateSecurityGroup",
         "ec2:AuthorizeSecurityGroupIngress",
         "ec2:AuthorizeSecurityGroupEgress",
         "ec2:RevokeSecurityGroupEgress",
         "ec2:DescribeSecurityGroups",
         "ec2:DeleteSecurityGroup",
         "ec2:CreateTags",
         "ec2:DescribeVpcs",
         "ec2:DescribeSubnets",
         "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*"
   }
}
```

**Example Contoh: Izin admin**  
Kebijakan ini memungkinkan akses ke semua tindakan AWS CloudHSM API, termasuk tindakan untuk menghapus HSM dan cluster. Ini juga mencakup izin tambahan untuk tindakan Amazon EC2 tertentu. Anda harus menyertakan `iam:CreateServiceLinkedRole` tindakan AWS CloudHSM untuk memungkinkan secara otomatis membuat peran terkait layanan **AWSServiceRoleForCloudHSM** di akun Anda. Peran ini memungkinkan AWS CloudHSM untuk mencatat peristiwa. Untuk informasi selengkapnya, lihat [Peran terkait layanan untuk AWS CloudHSM](service-linked-roles.md).    
****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":{
      "Effect":"Allow",
      "Action":[
         "cloudhsm:*",
         "ec2:CreateNetworkInterface",
         "ec2:DescribeNetworkInterfaces",
         "ec2:DescribeNetworkInterfaceAttribute",
         "ec2:DetachNetworkInterface",
         "ec2:DeleteNetworkInterface",
         "ec2:CreateSecurityGroup",
         "ec2:AuthorizeSecurityGroupIngress",
         "ec2:AuthorizeSecurityGroupEgress",
         "ec2:RevokeSecurityGroupEgress",
         "ec2:DescribeSecurityGroups",
         "ec2:DeleteSecurityGroup",
         "ec2:CreateTags",
         "ec2:DescribeVpcs",
         "ec2:DescribeSubnets",
         "iam:CreateServiceLinkedRole"
      ],
      "Resource":"*"
   }
}
```