Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Memberikan pengguna dan grup Microsoft AD AWS Terkelola akses ke AWS sumber daya dengan peran IAM
AWS Directory Service menyediakan kemampuan untuk memberi pengguna dan grup Microsoft AD AWS Terkelola Anda akses ke AWS layanan dan sumber daya, seperti akses ke konsol Amazon EC2. Mirip dengan memberikan akses kepada pengguna IAM untuk mengelola direktori seperti yang dijelaskan dalam[Kebijakan berbasis identitas (kebijakan IAM)](IAM_Auth_Access_Overview.md#IAM_Auth_Access_ManagingAccess_IdentityBased), agar pengguna di direktori Anda memiliki akses ke AWS sumber daya lain, seperti Amazon EC2, Anda harus menetapkan peran dan kebijakan IAM kepada pengguna dan grup tersebut. Untuk informasi selengkapnya, lihat [peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) dalam *Panduan Pengguna IAM*.
Untuk informasi tentang cara memberi pengguna akses ke Konsol Manajemen AWS, lihat[Mengaktifkan Konsol Manajemen AWS akses dengan kredensi Microsoft AD yang AWS Dikelola](ms_ad_management_console_access.md).
**Topics**
+ [Membuat peran IAM baru](create_role.md)
+ [Mengedit hubungan kepercayaan untuk peran IAM yang ada](edit_trust.md)
+ [Menetapkan pengguna atau grup ke peran IAM yang ada](assign_role.md)
+ [Melihat pengguna dan grup yang ditetapkan ke peran](view_role_details.md)
+ [Menghapus pengguna atau grup dari peran IAM](remove_role_users.md)
+ [Menggunakan kebijakan AWS terkelola dengan Directory Service](ms_ad_managed_policies.md)
# Membuat peran IAM baru
Jika Anda perlu membuat peran IAM baru untuk digunakan Directory Service, Anda harus membuatnya menggunakan konsol IAM. Setelah peran dibuat, Anda kemudian harus mengatur hubungan kepercayaan dengan peran itu sebelum Anda dapat melihat peran itu di Directory Service konsol. Untuk informasi selengkapnya, lihat [Mengedit hubungan kepercayaan untuk peran IAM yang ada](edit_trust.md).
**catatan**
Pengguna yang melakukan tugas ini harus memiliki izin untuk melakukan tindakan IAM berikut. Untuk informasi selengkapnya, lihat [Kebijakan berbasis identitas (kebijakan IAM)](IAM_Auth_Access_Overview.md#IAM_Auth_Access_ManagingAccess_IdentityBased).
saya: PassRole
saya: GetRole
saya: CreateRole
saya: PutRolePolicy
**Untuk membuat peran baru di konsol IAM**
1. Di panel navigasi konsol IAM, pilih **Peran**. Untuk informasi selengkapnya, lihat [ Membuat Peran (Konsol Manajemen AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) dalam *Panduan Pengguna IAM*.
1. Pilih **Buat peran**.
1. Di bawah **Pilih layanan yang akan menggunakan peran ini**, pilih **Directory Service**, lalu pilih **Berikutnya**.
1. Pilih kotak centang di samping kebijakan (misalnya, **Amazon EC2 FullAccess**) yang ingin Anda terapkan ke pengguna direktori, lalu pilih **Berikutnya**.
1. Jika perlu, tambahkan tanda ke peran, lalu pilih **Selanjutnya**.
1. Berikan **Nama peran** dan opsional **Deskripsi**, lalu pilih **Buat peran**.
**Contoh: Buat peran untuk mengaktifkan Konsol Manajemen AWS akses**
Daftar periksa berikut memberikan contoh tugas yang harus Anda selesaikan untuk membuat peran IAM baru yang akan memberi pengguna AWS Microsoft AD Terkelola tertentu akses ke konsol Amazon EC2.
1. Buat peran dengan konsol IAM menggunakan prosedur di atas. Saat diminta untuk kebijakan, pilih **Amazon EC2 FullAccess**.
1. Gunakan langkah-langkah di [Mengedit hubungan kepercayaan untuk peran IAM yang ada](edit_trust.md) untuk mengedit peran yang baru saja Anda buat, dan kemudian tambahkan informasi hubungan kepercayaan yang diperlukan ke dokumen kebijakan. Langkah ini diperlukan agar peran terlihat segera setelah Anda mengaktifkan akses ke Konsol Manajemen AWS langkah berikutnya.
1. Ikuti langkah-langkah di [Mengaktifkan Konsol Manajemen AWS akses dengan kredensi Microsoft AD yang AWS Dikelola](ms_ad_management_console_access.md) untuk mengkonfigurasi akses umum ke Konsol Manajemen AWS.
1. Ikuti langkah-langkah di [Menetapkan pengguna atau grup ke peran IAM yang ada](assign_role.md) untuk menambahkan pengguna yang membutuhkan akses penuh ke sumber daya EC2 untuk peran baru.
# Mengedit hubungan kepercayaan untuk peran IAM yang ada
Anda dapat menetapkan peran IAM yang ada untuk Directory Service pengguna dan grup Anda. Untuk melakukan ini, bagaimanapun, peran tersebut harus memiliki hubungan kepercayaan dengan Directory Service. Saat Anda menggunakan Directory Service untuk membuat peran menggunakan prosedur di[Membuat peran IAM baru](create_role.md), hubungan kepercayaan ini diatur secara otomatis.
**catatan**
Anda hanya perlu membangun hubungan kepercayaan ini untuk IAM role yang tidak dibuat oleh Directory Service.
**Untuk membangun hubungan kepercayaan untuk peran IAM yang ada Directory Service**
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. **Di panel navigasi konsol IAM, di bawah **Manajemen akses**, pilih Peran.**
Konsol tersebut menampilkan peran di akun Anda.
1. Pilih nama peran yang ingin Anda ubah, dan sekali di halaman peran, pilih tab **Trust relationship**.
1. Pilih **Edit kebijakan kepercayaan**.
1. Di bawah **Edit kebijakan kepercayaan**, tempel yang berikut ini, lalu pilih **Perbarui kebijakan**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "ds.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Anda juga dapat memperbarui dokumen kebijakan ini menggunakan AWS CLI. *Untuk informasi selengkapnya, lihat [perbarui kepercayaan](https://docs.aws.amazon.com/cli/latest/reference/ds/update-trust.html) di Referensi Perintah.AWS CLI *
# Menetapkan pengguna atau grup ke peran IAM yang ada
Anda dapat menetapkan peran IAM yang ada ke pengguna atau grup AWS Microsoft AD yang Dikelola. Untuk melakukan ini, pastikan Anda telah menyelesaikan yang berikut ini.
**Prasyarat**
+ [Buat iklan Microsoft yang AWS Dikelola](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/ms_ad_getting_started.html#ms_ad_getting_started_create_directory).
+ [Buat pengguna IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_create.html) atau [buat grup IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_groups_create.html).
+ [Ciptakan peran](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/create_role.html) yang memiliki hubungan kepercayaan dengan Directory Service. Untuk peran IAM yang ada, Anda perlu [mengedit hubungan kepercayaan untuk peran yang ada](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/edit_trust.html).
**penting**
Akses untuk pengguna Microsoft AD AWS Terkelola dalam grup bersarang dalam direktori Anda tidak didukung. Anggota grup induk memiliki akses konsol, tetapi anggota grup anak tidak.
**Untuk menetapkan pengguna atau grup Microsoft AD yang AWS Dikelola ke peran IAM yang ada**
1. **Di panel navigasi [AWS Directory Service konsol](https://console.aws.amazon.com/directoryservicev2/), di bawah **Active Directory, pilih Direktori**.**
1. Pada halaman **Direktori**, pilih ID direktori Anda.
1. Pada halaman **Detail direktori**, lakukan salah satu hal berikut:
1. Jika Anda tidak memiliki Region apa pun yang ditampilkan di bawah **Replikasi Multi-Region**, pilih tab **Pengelolaan Aplikasi**.
1. Jika Anda memiliki beberapa Region yang ditampilkan di bawah **Replikasi Multi-Region**, pilih Region tempat Anda ingin membuat tugas Anda, lalu pilih tab **Pengelolaan Aplikasi**. Untuk informasi selengkapnya, lihat [Region utama vs tambahan](multi-region-global-primary-additional.md).
1. Gulir ke bawah ke **Konsol Manajemen AWS**bagian, pilih **Tindakan** dan **Aktifkan**.
1. Di bawah bagian **Akses konsol delegasi**, pilih nama peran IAM untuk peran IAM yang ada yang ingin Anda tetapkan kepada pengguna.
1. Pada halaman **Peran yang dipilih**, di bawah **Mengelola pengguna dan grup untuk peran ini**, pilih **Tambahkan**.
1. Pada halaman **Menambahkan pengguna dan grup ke peran**, di bawah **Pilih Forest Direktori Aktif**, pilih salah satu forest Microsoft AD yang Dikelola AWS (forest ini) atau forest on-premise (forest terpercaya), mana saja yang berisi di mana akun yang memerlukan akses ke Konsol Manajemen AWS. Untuk informasi selengkapnya tentang cara mengatur forest terpercaya, lihat [Tutorial: Buat hubungan kepercayaan antara Microsoft AD yang AWS Dikelola dan domain Direktori Aktif yang dikelola sendiri](ms_ad_tutorial_setup_trust.md).
1. Di bawah **Tentukan pengguna atau grup mana yang akan ditambahkan**, pilih salah satu **Temukan dengan pengguna** atau **Temukan dengan grup**, dan kemudian ketik nama pengguna atau grup. Dalam daftar kecocokan yang mungkin, pilih pengguna atau grup yang ingin Anda tambahkan.
1. Pilih **Tambahkan** untuk menyelesaikan penetapan pengguna dan grup ke peran.
# Melihat pengguna dan grup yang ditetapkan ke peran
Untuk melihat pengguna dan grup AD Microsoft AWS Terkelola yang ditetapkan ke peran IAM, lakukan langkah-langkah berikut.
**Prasyarat**
+ [Buat iklan Microsoft yang AWS Dikelola](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/ms_ad_getting_started.html#ms_ad_getting_started_create_directory).
+ [Buat pengguna IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_create.html) atau [buat grup IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_groups_create.html).
+ [Ciptakan peran](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/create_role.html) yang memiliki hubungan kepercayaan dengan Directory Service. Untuk peran IAM yang ada, Anda perlu [mengedit hubungan kepercayaan untuk peran yang ada](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/edit_trust.html).
+ [Tetapkan pengguna atau grup Anda ke peran IAM yang ada](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/assign_role.html).
**Untuk melihat pengguna Microsoft AD AWS terkelola dan grup yang ditetapkan ke peran IAM**
1. **Di panel navigasi [AWS Directory Service konsol](https://console.aws.amazon.com/directoryservicev2/), di bawah **Active Directory, pilih Direktori**.**
1. Pada halaman **Direktori**, pilih ID direktori Anda.
1. Pada halaman **Detail direktori**, lakukan salah satu hal berikut:
1. Jika Anda memiliki beberapa Region yang ditampilkan di bawah **Replikasi Multi-Region**, pilih Region tempat Anda ingin melihat tugas Anda, lalu pilih tab **Pengelolaan Aplikasi**. Untuk informasi selengkapnya, lihat [Region utama vs tambahan](multi-region-global-primary-additional.md).
1. Jika Anda tidak memiliki Region apa pun yang ditampilkan di bawah **Replikasi Multi-Region**, pilih tab **Pengelolaan Aplikasi**.
1. Gulir ke bawah ke **Konsol Manajemen AWS**bagian. **Status** harus **diaktifkan**. Jika tidak, pilih **Actions** dan **Enable**. Untuk informasi selengkapnya, lihat [Mengaktifkan Konsol Manajemen AWS akses dengan kredensi Microsoft AD yang AWS Dikelola](ms_ad_management_console_access.md).
**catatan**
Anda tidak akan melihat grup atau pengguna apa pun jika Konsol Manajemen AWS dinonaktifkan.
1. Di bawah bagian **Akses Konsol Delegasi**, pilih hyperlink peran IAM yang ingin Anda lihat. Atau, Anda dapat memilih **Lihat kebijakan di IAM** untuk melihat kebijakan IAM di konsol IAM.
1. Pada halaman **Peran yang dipilih**, di bagian **Kelola pengguna dan grup untuk peran ini**, Anda dapat melihat pengguna dan grup yang ditetapkan ke peran IAM.
# Menghapus pengguna atau grup dari peran IAM
Untuk menghapus pengguna atau grup Microsoft AD AWS Terkelola dari peran IAM, lakukan langkah-langkah berikut.
**Untuk menghapus pengguna atau grup dari peran IAM**
1. Pada panel navigasi [konsol AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), pilih **Direktori**.
1. Pada halaman **Direktori**, pilih ID direktori Anda.
1. Pada halaman **Detail direktori**, lakukan salah satu hal berikut:
1. Jika Anda memiliki beberapa Region yang ditampilkan di bawah **Replikasi Multi-Region**, pilih Region tempat Anda ingin menghapus tugas Anda, lalu pilih tab **Pengelolaan Aplikasi**. Untuk informasi selengkapnya, lihat [Region utama vs tambahan](multi-region-global-primary-additional.md).
1. Jika Anda tidak memiliki Region apa pun yang ditampilkan di bawah **Replikasi Multi-Region**, pilih tab **Pengelolaan Aplikasi**.
1. Di bawah **Konsol Manajemen AWS**bagian ini, pilih peran IAM yang ingin Anda hapus pengguna dan grup.
1. Pada halaman **Peran yang dipilih**, di bawah **Mengelola pengguna dan grup untuk peran ini**, pilih pengguna atau grup untuk menghapus peran dan pilih **Hapus**. Peran dihapus dari pengguna dan grup tertentu, namun peran tersebut tidak dihapus dari akun Anda.
**catatan**
Jika Anda ingin menghapus peran, lihat [Menghapus peran atau profil instance](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html).
# Menggunakan kebijakan AWS terkelola dengan Directory Service
Directory Service menyediakan kebijakan AWS terkelola berikut untuk memberi pengguna dan grup Anda akses ke AWS layanan dan sumber daya, seperti akses ke EC2 konsol Amazon. Anda harus masuk ke Konsol Manajemen AWS sebelum Anda dapat melihat kebijakan ini.
+ [Akses hanya baca](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/ReadOnlyAccess)
+ [Akses pengguna daya](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/PowerUserAccess)
+ [Directory Service akses penuh](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSDirectoryServiceFullAccess)
+ [Directory Service akses baca saja](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSDirectoryServiceReadOnlyAccess)
+ [AWS Directory Service Data akses penuh](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSDirectoryServiceDataFullAccess)
+ [AWS Directory Service Data hanya membaca akses](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSDirectoryServiceDataReadOnlyAccess)
+ [Akses penuh Amazon Cloud Directory](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonCloudDirectoryFullAccess)
+ [Akses hanya baca Amazon Cloud Directory](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonCloudDirectoryReadOnlyAccess)
+ [Akses EC2 penuh Amazon](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEC2FullAccess)
+ [Akses hanya EC2 baca Amazon](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess)
+ [Amazon VPC akses penuh](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonVPCFullAccess)
+ [Akses hanya baca Amazon VPC](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonVPCReadOnlyAccess)
+ [Amazon RDS akses penuh](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonRDSFullAccess)
+ [Akses hanya baca Amazon RDS](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonRDSReadOnlyAccess)
+ [Amazon DynamoDB akses penuh](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonDynamoDBFullAccess)
+ [Amazon DynamoDB hanya membaca akses](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonDynamoDBReadOnlyAccess)
+ [Amazon S3 akses penuh](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonS3FullAccess)
+ [Akses hanya baca Amazon S3](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess)
+ [AWS CloudTrail akses penuh](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSCloudTrailFullAccess)
+ [AWS CloudTrail akses baca saja](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSCloudTrailReadOnlyAccess)
+ [Akses CloudWatch penuh Amazon](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/CloudWatchFullAccess)
+ [Akses hanya CloudWatch baca Amazon](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/CloudWatchReadOnlyAccess)
+ [Amazon CloudWatch Logs akses penuh](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/CloudWatchLogsFullAccess)
+ [Amazon CloudWatch Logs hanya membaca akses](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/CloudWatchLogsReadOnlyAccess)
Untuk informasi selengkapnya tentang cara membuat kebijakan Anda sendiri, lihat [Contoh kebijakan untuk mengelola AWS sumber daya](https://docs.aws.amazon.com/console/iam/example-policies) di *Panduan Pengguna IAM*.