Pemberitahuan akhir dukungan: Pada 20 Mei 2026, AWS akan mengakhiri dukungan untuk AWS IoT Events. Setelah 20 Mei 2026, Anda tidak akan lagi dapat mengakses AWS IoT Events konsol atau AWS IoT Events sumber daya. Untuk informasi selengkapnya, lihat [AWS IoT Events akhir dukungan](https://docs.aws.amazon.com/iotevents/latest/developerguide/iotevents-end-of-support.html).
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# AWS IoT Events contoh kebijakan berbasis identitas
Secara default, pengguna dan peran tidak memiliki izin untuk membuat atau memodifikasi AWS IoT Events sumber daya. Mereka juga tidak dapat melakukan tugas menggunakan Konsol Manajemen AWS, AWS CLI, atau AWS API. Administrator IAM harus membuat kebijakan IAM yang memberikan izin kepada pengguna dan peran untuk melakukan operasi API tertentu pada sumber daya yang diperlukan. Administrator kemudian harus melampirkan kebijakan tersebut ke pengguna atau grup yang memerlukan izin tersebut.
Untuk mempelajari cara membuat kebijakan berbasis identitas IAM menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat kebijakan pada tab JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) dalam *Panduan Pengguna IAM*.
**Topics**
+ [Praktik terbaik kebijakan](security_iam_service-with-iam-policy-best-practices.md)
+ [Menggunakan AWS IoT Events konsol](security_iam_id-based-policy-examples-console.md)
+ [Izinkan pengguna untuk melihat izin mereka sendiri di AWS IoT Events](security_iam_id-based-policy-examples-view-own-permissions.md)
+ [Akses satu AWS IoT Events masukan](security_iam_id-based-policy-examples-access-one-input.md)
+ [Lihat AWS IoT Events input berdasarkan tag](security_iam_id-based-policy-examples-view-input-tags.md)
# Praktik terbaik kebijakan
Kebijakan berbasis identitas adalah pilihan yang sangat tepat. Mereka menentukan apakah seseorang dapat membuat, mengakses, atau menghapus AWS IoT Events sumber daya di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
+ **Memulai Menggunakan Kebijakan AWS Terkelola** — Untuk mulai menggunakan AWS IoT Events dengan cepat, gunakan kebijakan AWS terkelola untuk memberi karyawan Anda izin yang mereka butuhkan. Kebijakan ini sudah tersedia di akun Anda dan dikelola, serta diperbarui oleh AWS. Untuk informasi selengkapnya, lihat [Memulai menggunakan izin dengan kebijakan AWS terkelola](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies) di *Panduan Pengguna IAM*.
+ **Berikan hak akses terkecil** – Saat Anda membuat kebijakan khusus, berikan izin yang diperlukan untuk melaksanakan tugas saja. Mulai dengan satu set izin minimum dan berikan izin tambahan sesuai kebutuhan. Melakukan hal tersebut lebih aman daripada memulai dengan izin yang terlalu fleksibel, lalu mencoba memperketatnya nanti. Untuk informasi selengkapnya, lihat [Pemberian hak istimewa terendah](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) dalam *Panduan Pengguna IAM*.
+ **Aktifkan MFA untuk Operasi Sensitif** — Untuk keamanan ekstra, pengguna harus menggunakan otentikasi multi-faktor (MFA) untuk mengakses sumber daya sensitif atau operasi API. Untuk informasi selengkapnya, lihat [Menggunakan autentikasi multifaktor (MFA) dalam AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan Kondisi Kebijakan untuk Keamanan Tambahan** – Selama praktis, tentukan ketentuan di mana kebijakan berbasis identitas Anda memungkinkan akses ke sumber daya. Misalnya, Anda dapat menulis persyaratan untuk menentukan jangkauan alamat IP yang diizinkan untuk mengajukan permintaan. Anda juga dapat menulis persyaratan untuk mengizinkan permintaan hanya dalam rentang tanggal atau waktu tertentu, atau untuk mewajibkan penggunaan SSL atau autentikasi multifaktor (MFA). Untuk informasi selengkapnya, lihat [Elemen kebijakan JSON IAM: Syarat](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
# Menggunakan AWS IoT Events konsol
Untuk mengakses AWS IoT Events konsol, Anda harus memiliki set izin minimum. Izin ini harus memungkinkan Anda untuk membuat daftar dan melihat detail tentang AWS IoT Events sumber daya di Anda Akun AWS. Jika Anda membuat kebijakan berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana mestinya untuk entitas (pengguna atau peran) dengan kebijakan tersebut.
Untuk memastikan bahwa entitas tersebut masih dapat menggunakan AWS IoT Events konsol, lampirkan juga kebijakan AWS terkelola berikut ke entitas. Untuk informasi selengkapnya, lihat [Menambahkan izin ke pengguna di Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) *IAM:*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotevents:BatchPutMessage",
"iotevents:BatchUpdateDetector",
"iotevents:CreateDetectorModel",
"iotevents:CreateInput",
"iotevents:DeleteDetectorModel",
"iotevents:DeleteInput",
"iotevents:DescribeDetector",
"iotevents:DescribeDetectorModel",
"iotevents:DescribeInput",
"iotevents:DescribeLoggingOptions",
"iotevents:ListDetectorModelVersions",
"iotevents:ListDetectorModels",
"iotevents:ListDetectors",
"iotevents:ListInputs",
"iotevents:ListTagsForResource",
"iotevents:PutLoggingOptions",
"iotevents:TagResource",
"iotevents:UntagResource",
"iotevents:UpdateDetectorModel",
"iotevents:UpdateInput",
"iotevents:UpdateInputRouting"
],
"Resource": "arn:aws:iotevents:us-east-1:123456789012:detectorModel/your-detector-model-name",
"Resource": "arn:aws:iotevents:us-east-1:123456789012:input/your-input-name"
}
]
}
```
------
Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau AWS API. Sebagai alternatif, hanya izinkan akses ke tindakan yang cocok dengan operasi API yang sedang Anda coba lakukan.
# Izinkan pengguna untuk melihat izin mereka sendiri di AWS IoT Events
Contoh ini menunjukkan cara Anda membuat kebijakan yang memungkinkan pengguna melihat kebijakan sebaris dan terkelola yang dilampirkan pada identitas pengguna mereka. Memungkinkan pengguna untuk melihat izin IAM mereka sendiri berguna untuk kesadaran keamanan dan kemampuan layanan mandiri. Kebijakan ini mencakup izin untuk menyelesaikan tindakan ini di konsol atau menggunakan API atau secara terprogram. AWS CLI AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": [
"arn:aws:iam::*:user/${aws:username}"
]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
------
# Akses satu AWS IoT Events masukan
Kontrol akses granular ke AWS IoT Events input penting untuk menjaga keamanan di lingkungan multi-pengguna atau multi-tim. Bagian ini menunjukkan cara membuat kebijakan IAM yang memberikan akses ke AWS IoT Events input tertentu sambil membatasi akses ke orang lain.
Dalam contoh ini, Anda dapat memberikan pengguna Akun AWS akses ke salah satu AWS IoT Events input Anda,`exampleInput`. Anda juga dapat mengizinkan pengguna untuk menambah, memperbarui, dan menghapus input.
Kebijakan memberikan`iotevents:ListInputs`,,, `iotevents:DescribeInput` `iotevents:CreateInput``iotevents:DeleteInput`, dan `iotevents:UpdateInput` izin kepada pengguna. Untuk contoh panduan untuk Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) yang memberikan izin kepada pengguna dan mengujinya menggunakan konsol, [lihat Mengontrol](https://docs.aws.amazon.com/AmazonS3/latest/userguide/walkthrough1.html) akses ke bucket dengan kebijakan pengguna.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ListInputsInConsole",
"Effect":"Allow",
"Action":[
"iotevents:ListInputs"
],
"Resource":"arn:aws:iotevents:us-east-2:123456789012:input/*"
},
{
"Sid":"ViewSpecificInputInfo",
"Effect":"Allow",
"Action":[
"iotevents:DescribeInput"
],
"Resource":"arn:aws:iotevents:us-east-1:123456789012:input/inputName"
},
{
"Sid":"ManageInputs",
"Effect":"Allow",
"Action":[
"iotevents:CreateInput",
"iotevents:DeleteInput",
"iotevents:DescribeInput",
"iotevents:ListInputs",
"iotevents:UpdateInput"
],
"Resource":"arn:aws:iotevents:us-east-1:123456789012:input/*"
}
]
}
```
------
# Lihat AWS IoT Events input berdasarkan tag
Tag membantu Anda mengatur AWS IoT Events sumber daya. Anda dapat menggunakan kondisi dalam kebijakan berbasis identitas untuk mengontrol akses ke AWS IoT Events sumber daya berdasarkan tag. Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan yang memungkinkan melihat*input*. Namun, izin diberikan hanya jika *input* tag `Owner` memiliki nilai nama pengguna pengguna tersebut. Kebijakan ini juga memberi izin yang diperlukan untuk menyelesaikan tindakan ini pada konsol tersebut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListInputsInConsole",
"Effect": "Allow",
"Action": "iotevents:ListInputs",
"Resource": "*"
},
{
"Sid": "ViewInputsIfOwner",
"Effect": "Allow",
"Action": "iotevents:ListInputs",
"Resource": "arn:aws:iotevents:*:*:input/*",
"Condition": {
"StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
```
------
Anda dapat melampirkan kebijakan ini ke pengguna di akun Anda. Jika pengguna bernama `richard-roe` mencoba untuk melihat AWS IoT Events *input*, *input* harus ditandai `Owner=richard-roe` atau`owner=richard-roe`. Jika tidak, aksesnya akan ditolak. Kunci tanda syarat `Owner` cocok dengan `Owner` dan `owner` karena nama kunci syarat tidak terpengaruh huruf besar/kecil. Untuk informasi selengkapnya, lihat [Elemen kebijakan IAM JSON: Syarat](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.