Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Keamanan Amazon IVS
Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.
Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) menggambarkan hal ini sebagai keamanan *dari* cloud dan keamanan *di* cloud:
+ **Keamanan cloud** — AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan AWS layanan di AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Auditor pihak ketiga secara berkala menguji dan memverifikasi efektivitas keamanan kami sebagai bagian dari [Program kepatuhan AWS](https://aws.amazon.com/compliance/programs/).
+ **Keamanan di cloud** — Tanggung jawab Anda ditentukan oleh AWS layanan yang Anda gunakan. Anda juga bertanggung jawab atas faktor-faktor lain termasuk sensitivitas data, kebutuhan organisasi, serta undang-undang dan peraturan yang berlaku.
Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan Amazon IVS. Topik berikut menunjukkan cara mengonfigurasi Amazon IVS untuk memenuhi tujuan keamanan dan kepatuhan Anda.
**Topics**
+ [Perlindungan Data IVS](security-data-protection.md)
+ [Identity and Access Management di IVS](security-iam.md)
+ [Kebijakan Terkelola untuk Amazon IVS](security-iam-awsmanpol.md)
+ [Menggunakan Peran Tertaut Layanan untuk Amazon IVS](security-service-linked-roles.md)
+ [Pencatatan dan Pemantauan IVS](security-logging-monitoring.md)
+ [Respon Insiden IVS](security-incident-response.md)
+ [Ketahanan IVS](security-resilience.md)
+ [Keamanan Infrastruktur IVS](security-infrastructure.md)
# Perlindungan Data IVS
Untuk data yang dikirim ke Amazon Interactive Video Service (IVS), terdapat perlindungan data berikut:
+ Amazon IVS mengenkripsi data dalam perjalanan melalui titik akhir HTTPS API, konsumsi RTMPS, dan pemutaran HTTPS. Tidak diperlukan konfigurasi untuk titik akhir API.
+ Untuk menelan, streamer dapat mengamankan konten mereka dengan menggunakan RTMPS. Ini tersedia secara default. Lihat [Memulai Streaming Latensi Rendah IVS](getting-started.md).
+ Saluran IVS dapat dikonfigurasi untuk memungkinkan konsumsi RTMP yang tidak aman, meskipun kami sarankan menggunakan RTMPS kecuali Anda memiliki kasus penggunaan spesifik dan terverifikasi yang memerlukan RTMP.
+ Untuk transcoding/transmuxing, data dapat ditransmisikan tanpa terenkripsi di jaringan Amazon internal.
+ Untuk pemutaran, data disajikan melalui HTTPS.
+ Konten video langsung tidak disimpan dan bersifat sementara. Ini hanya berjalan melalui sistem dan di-cache (pada sistem internal) saat dilihat.
+ Untuk fitur auto-record-to-S 3, konten video ditulis ke Amazon S3. Untuk informasi selengkapnya, lihat [perlindungan data di Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/DataDurability.html).
+ Semua metadata masukan pelanggan yang disimpan berada dalam layanan yang AWS dikelola menggunakan enkripsi sisi server.
+ Untuk meningkatkan kualitas layanan, Amazon IVS menyimpan metadata pelanggan (pengguna akhir) (misalnya, tarif buffer untuk wilayah tertentu). Metadata ini tidak dapat digunakan untuk mengidentifikasi pengguna akhir Anda secara pribadi.
+ Kunci enkripsi publik (yang Anda kelola) dapat digunakan dengan operasi `ImportPlaybackKeyPair` API. Lihat Referensi API [Streaming Latensi Rendah IVS](https://docs.aws.amazon.com/ivs/latest/LowLatencyAPIReference/Welcome.html). *Jangan bagikan kunci enkripsi ini*.
Amazon IVS tidak mengharuskan Anda memberikan data pelanggan (pengguna akhir) apa pun. Tidak ada bidang di saluran, input, atau grup keamanan input di mana ada harapan bahwa Anda akan memberikan data pelanggan (pengguna akhir).
Jangan masukkan informasi pengidentifikasi yang sensitif, seperti nomor rekening pelanggan (pengguna akhir) Anda, ke dalam bidang isian bentuk bebas seperti bidang Nama. Ini termasuk saat Anda bekerja dengan konsol Amazon IVS atau API, AWS CLI, atau. AWS SDKs Setiap bagian data yang Anda masukkan ke Amazon IVS mungkin disertakan dalam log diagnostik.
Aliran tidak end-to-end dienkripsi; aliran dapat ditransmisikan secara tidak terenkripsi secara internal di jaringan IVS, untuk diproses.
# Identity and Access Management di IVS
AWS Identity and Access Management (IAM) adalah AWS layanan yang membantu administrator akun mengontrol akses ke sumber daya dengan aman. AWS Setiap AWS sumber daya dimiliki oleh AWS akun, dan izin untuk membuat atau mengakses sumber daya diatur oleh kebijakan izin. Administrator akun IAM mengontrol siapa yang dapat diautentikasi (masuk) dan diotorisasi (memiliki izin) untuk menggunakan sumber daya Amazon IVS. IAM adalah fitur AWS akun Anda yang ditawarkan tanpa biaya tambahan.
**Penting**: Untuk informasi lengkap, lihat [halaman produk AWS IAM](https://aws.amazon.com/iam/), [Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/), dan Permintaan [AWS API Penandatanganan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-signing.html). Sepanjang bagian ini, kami juga menyediakan tautan ke bagian tertentu dari *Panduan Pengguna IAM*. Anda harus terbiasa dengan materi ini sebelum melanjutkan.
## Audiens
Cara Anda menggunakan IAM berbeda, tergantung pada pekerjaan yang Anda lakukan di Amazon IVS:
+ **Pengguna layanan** — Jika Anda menggunakan layanan Amazon IVS untuk melakukan pekerjaan Anda, administrator Anda memberi Anda kredensyal dan izin yang Anda butuhkan. Saat Anda menggunakan lebih banyak fitur Amazon IVS untuk melakukan pekerjaan Anda, Anda mungkin memerlukan izin tambahan. Memahami cara akses dikelola dapat membantu Anda meminta izin yang tepat dari administrator Anda. Jika Anda tidak dapat mengakses fitur di Amazon IVS, lihat[Pemecahan masalah](#security-iam-troubleshooting).
+ **Administrator layanan** - Jika Anda bertanggung jawab atas sumber daya Amazon IVS di perusahaan Anda, Anda mungkin memiliki akses penuh ke Amazon IVS. Tugas Anda adalah menentukan fitur dan sumber daya Amazon IVS mana yang harus diakses karyawan Anda. Anda kemudian harus mengirimkan permintaan ke administrator IAM Anda, untuk mengubah izin pengguna layanan Anda. Tinjau informasi di halaman ini untuk memahami konsep IAM dasar. Untuk mempelajari lebih lanjut tentang bagaimana perusahaan Anda dapat menggunakan IAM dengan Amazon IVS, lihat. [Cara kerja Amazon IVS dengan IAM](#security-iam-how-ivs-works)
+ **Administrator IAM** - Jika Anda administrator IAM, Anda dapat menulis kebijakan untuk mengelola akses ke Amazon IVS. Untuk melihat contoh kebijakan berbasis identitas Amazon IVS yang dapat Anda gunakan di IAM, lihat. [Contoh Kebijakan Berbasis Identitas](#security-iam-policy-examples)
## Cara kerja Amazon IVS dengan IAM
Sebelum dapat membuat permintaan API Amazon IVS, Anda harus membuat satu atau beberapa *identitas* IAM (pengguna, grup, dan peran) serta *kebijakan* IAM, lalu lampirkan kebijakan ke identitas. Diperlukan waktu hingga beberapa menit agar izin disebarkan; sampai saat itu, permintaan API akan ditolak.
Untuk mendapatkan tampilan tingkat tinggi tentang cara kerja Amazon IVS dengan IAM, lihat [Layanan AWS yang Bekerja dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dalam *Panduan Pengguna IAM*.
## Identitas
Anda dapat membuat identitas IAM untuk memberikan otentikasi bagi orang dan proses di akun Anda. AWS Grup IAM adalah kumpulan pengguna IAM yang dapat Anda kelola sebagai satu unit. Lihat [Identitas (Pengguna, Grup, dan Peran)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) di *Panduan Pengguna IAM*.
## Kebijakan
Lihat bagian ini di *Panduan Pengguna IAM*:
+ [Manajemen Akses](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) — Semua tentang kebijakan.
+ [Tindakan, Sumber Daya, dan Kunci Kondisi untuk Amazon IVS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninteractivevideoservice.html)
+ [AWS Kunci Konteks Kondisi Global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)
+ [Referensi Elemen Kebijakan IAM JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) - Semua elemen yang dapat Anda gunakan dalam kebijakan JSON.
Secara default, pengguna dan peran IAM tidak memiliki izin untuk membuat atau memodifikasi sumber daya Amazon IVS (bahkan untuk mengubah kata sandi mereka sendiri). Mereka juga tidak dapat melakukan tugas menggunakan AWS konsol, AWS CLI, atau AWS API. Administrator IAM harus membuat kebijakan IAM yang memberikan izin kepada pengguna dan peran untuk melakukan operasi API tertentu pada sumber daya tertentu yang mereka butuhkan.
Kebijakan IAM menentukan izin untuk tindakan terlepas dari metode yang digunakan untuk melakukan operasi. Misalnya, anggaplah Anda memiliki kebijakan yang mengizinkan tindakan `iam:GetRole`. Pengguna dengan kebijakan tersebut bisa mendapatkan informasi peran dari AWS Management Console, AWS CLI, atau API. AWS
Kebijakan adalah dokumen kebijakan izin JSON yang terdiri atas *elemen-elemen*. Amazon IVS mendukung tiga elemen:
+ **Tindakan** — Tindakan kebijakan untuk Amazon IVS menggunakan `ivs` awalan sebelum tindakan. Misalnya, untuk memberikan izin kepada seseorang untuk membuat saluran Amazon IVS dengan metode Amazon IVS `CreateChannel` API, Anda menyertakan `ivs:CreateChannel` tindakan tersebut dalam kebijakan untuk orang tersebut. Pernyataan kebijakan harus memuat elemen `Action` atau `NotAction`.
+ **Sumber daya - Sumber daya** saluran Amazon IVS memiliki format [ARN](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) berikut:
```
arn:aws:ivs:${Region}:${Account}:channel/${channelId}
```
Misalnya, untuk menentukan `VgNkEJgOVX9N` saluran dalam pernyataan Anda, gunakan ARN ini:
```
"Resource": "arn:aws:ivs:us-west-2:123456789012:channel/VgNkEJgOVX9N"
```
Beberapa tindakan Amazon IVS, seperti untuk membuat sumber daya, tidak dapat dilakukan pada sumber daya tertentu. Dalam kasus tersebut, Anda harus menggunakan wildcard (`*`):
```
"Resource":"*"
```
+ **Ketentuan** - Amazon IVS mendukung beberapa kunci kondisi global:`aws:RequestTag`,`aws:TagKeys`, dan`aws:ResourceTag`.
Anda dapat memanfaatkan variabel sebagai placeholder dalam sebuah kebijakan. Misalnya, Anda dapat memberikan izin kepada pengguna IAM untuk mengakses sumber daya hanya jika izin tersebut ditandai dengan nama pengguna IAM pengguna. Lihat [Variabel dan Tanda](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) dalam *Panduan Pengguna IAM*.
Amazon IVS menyediakan kebijakan yang dikelola AWS yang dapat digunakan untuk memberikan seperangkat izin yang telah dikonfigurasi sebelumnya kepada identitas (hanya baca atau akses penuh). Anda dapat memilih untuk menggunakan kebijakan terkelola alih-alih kebijakan berbasis identitas yang ditunjukkan di bawah ini. Untuk detailnya, lihat [Kebijakan Terkelola untuk Amazon IVS](security-iam-awsmanpol.md).
## Otorisasi Berdasarkan Tanda Amazon IVS
Anda dapat melampirkan tag ke sumber daya Amazon IVS atau meneruskan tag dalam permintaan ke Amazon IVS. Untuk mengontrol akses berdasarkan tanda, Anda harus memberikan informasi tanda di elemen persyaratan sebuah kebijakan dengan menggunakan kunci syarat `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, atau `aws:TagKeys`. [Untuk informasi selengkapnya tentang menandai resource Amazon IVS, lihat “Penandaan” di Referensi API Streaming [Latensi Rendah IVS, Referensi API Streaming Waktu Nyata IVS, dan Referensi](https://docs.aws.amazon.com/ivs/latest/LowLatencyAPIReference/Welcome.html)[API Obrolan](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/Welcome.html) IVS.](https://docs.aws.amazon.com/ivs/latest/ChatAPIReference/Welcome.html)
Sebagai contoh, lihat [Lihat Saluran Amazon IVS Berdasarkan Tag](#security-iam-policy-examples-tags).
## Peran
Lihat [Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) dan [Kredensial Keamanan Sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) di *Panduan Pengguna IAM*.
*Peran* IAM adalah entitas di dalam akun AWS Anda yang memiliki izin tertentu.
Amazon IVS mendukung penggunaan *kredensial keamanan sementara*. Anda dapat menggunakan kredensial sementara untuk masuk ke federasi, mengasumsikan peran IAM, atau mengasumsikan peran lintas akun. Anda memperoleh kredensial keamanan sementara dengan memanggil operasi API [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) seperti `AssumeRole` atau `GetFederationToken`.
## Hak Akses Istimewa dan Tidak Istimewa
Sumber daya API memiliki akses istimewa. Akses pemutaran yang tidak memiliki hak istimewa dapat diatur melalui saluran pribadi; lihat. [Menyiapkan Saluran Privat](private-channels.md)
## Praktik Terbaik untuk Kebijakan
Lihat [Praktik Terbaik IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.
Kebijakan berbasis identitas adalah pilihan yang sangat tepat. Kebijakan tersebut menentukan apakah seseorang dapat membuat, mengakses, atau menghapus sumber daya Amazon IVS di akun Anda. Tindakan ini dapat menimbulkan biaya untuk AWS akun Anda. Ikuti rekomendasi ini:
+ **Berikan hak akses paling rendah** — Ketika Anda membuat kebijakan kustom, berikan hanya izin yang diperlukan untuk melakukan tugas. Mulai dengan set izin minimum dan berikan izin tambahan sesuai kebutuhan. Hal itu lebih aman daripada memulai dengan izin yang terlalu fleksibel, lalu mencoba memperketatnya nanti. Secara khusus, simpan `ivs:*` untuk akses admin; jangan menggunakannya dalam aplikasi.
+ **Aktifkan autentikasi multi-faktor (MFA) untuk operasi sensitif** — Untuk keamanan ekstra, mintalah pengguna IAM untuk menggunakan MFA guna mengakses sumber daya atau operasi API yang sensitif.
+ **Gunakan syarat kebijakan untuk keamanan ekstra** — Selama bisa dilakukan, tentukan persyaratan agar kebijakan berbasis identitas Anda mengizinkan akses ke sumber daya. Misalnya, Anda dapat menulis persyaratan untuk menentukan rentang alamat IP yang diizinkan untuk mengajukan permintaan. Anda juga dapat menulis persyaratan untuk mengizinkan permintaan hanya dalam rentang tanggal atau waktu tertentu, atau untuk mensyaratkan penggunaan SSL atau MFA.
## Contoh Kebijakan Berbasis Identitas
### Gunakan Konsol Amazon IVS
Untuk mengakses konsol Amazon IVS, Anda harus memiliki seperangkat izin minimum yang memungkinkan Anda membuat daftar dan melihat detail tentang sumber daya Amazon IVS di akun Anda. AWS Jika Anda membuat kebijakan berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan, konsol tersebut tidak akan berfungsi sebagaimana mestinya untuk identitas dengan kebijakan tersebut. Untuk memastikan akses ke konsol Amazon IVS, lampirkan kebijakan berikut ke identitas (lihat [Menambahkan dan Menghapus Izin IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) dalam *Panduan Pengguna IAM*).
Bagian-bagian dari kebijakan berikut menyediakan akses ke:
+ Semua operasi Amazon IVS API
+ Kuota [layanan](service-quotas.md) Amazon IVS Anda
+ Titik akhir Amazon S3 diperlukan untuk fungsionalitas IVS auto-record-to-S 3 (low-latency-streaming) dan fungsionalitas perekaman komposit IVS (streaming waktu nyata).
+ Penciptaan uto-record-to -S3 service-linked-role
+ Amazon Cloudwatch untuk mendapatkan metrik untuk sesi live-stream Anda
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "ivs:*",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"servicequotas:ListServiceQuotas"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"s3:CreateBucket",
"s3:DeleteBucketPolicy",
"s3:GetBucketLocation",
"s3:GetBucketPolicy",
"s3:ListAllMyBuckets",
"s3:PutBucketPolicy"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"iam:AttachRolePolicy",
"iam:CreateServiceLinkedRole",
"iam:PutRolePolicy"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/ivs.amazonaws.com/AWSServiceRoleForIVSRecordToS3*"
},
{
"Action": [
"cloudwatch:GetMetricData"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"lambda:AddPermission",
"lambda:ListFunctions"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
### Izinkan Pengguna untuk Melihat Izin Mereka Sendiri
Contoh ini menunjukkan kebijakan yang memungkinkan pengguna IAM untuk melihat kebijakan sebaris dan terkelola yang dilampirkan pada identitas pengguna mereka. Kebijakan ini mencakup izin untuk menyelesaikan tindakan ini di AWS konsol atau menggunakan CLI AWS atau API secara terprogram. AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": [
"arn:aws:iam:*:*:user/${aws:username}"
]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
------
### Akses Saluran Amazon IVS
Di sini, Anda ingin memberikan pengguna IAM di AWS akun Anda akses ke salah satu saluran Amazon IVS Anda,. `VgNkEJgOVX9N` Anda juga ingin mengizinkan pengguna menghentikan stream (`ivs:StopStream`), menambahkan metadata (`ivs:PutMetadata`), dan memperbarui channel (`ivs:UpdateChannel`). Kebijakan ini juga memberikan izin yang diperlukan oleh konsol Amazon IVS:`ivs:ListChannels`,,`ivs:ListStreams`, `ivs:GetChannel` dan. `ivs:GetStream`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ListChannelsInConsole",
"Effect":"Allow",
"Action":[
"ivs:ListChannels",
"ivs:ListStreams"
],
"Resource":"arn:aws:ivs:*:*:channel/*"
},
{
"Sid":"ViewSpecificChannelInfo",
"Effect":"Allow",
"Action":[
"ivs:GetChannel",
"ivs:GetStream"
],
"Resource":"arn:aws:ivs:*:*:channel/VgNkEJgOVX9N"
},
{
"Sid":"ManageChannel",
"Effect":"Allow",
"Action":[
"ivs:StopStream",
"ivs:PutMetadata",
"ivs:UpdateChannel"
],
"Resource":"arn:aws:ivs:*:*:channel/VgNkEJgOVX9N"
}
]
}
```
------
### Lihat Saluran Amazon IVS Berdasarkan Tag
Anda dapat menggunakan kondisi dalam kebijakan berbasis identitas untuk mengontrol akses ke sumber daya Amazon IVS berdasarkan tag. Contoh ini menunjukkan kebijakan yang memungkinkan melihat saluran. Kebijakan ini juga memberikan izin yang diperlukan untuk menyelesaikan tindakan ini di konsol Amazon IVS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListWidgetsInConsole",
"Effect": "Allow",
"Action": "ivs:ListChannels",
"Resource": "arn:aws:ivs:*:*:channel/*"
},
{
"Sid": "ViewChannelIfOwner",
"Effect": "Allow",
"Action": "ivs:GetChannel",
"Resource": "arn:aws:ivs:*:*:channel/*",
"Condition": {
"StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
```
------
Anda dapat melampirkan kebijakan ini ke pengguna IAM di akun Anda. Namun, izin diberikan hanya jika saluran ditandai dengan nama pengguna pengguna tersebut sebagai pemilik. Jika pengguna bernama richard-roe mencoba melihat saluran Amazon IVS, saluran tersebut harus diberi tag `Owner=richard-roe` atau`owner=richard-roe`; jika tidak, ia ditolak aksesnya. (Kunci tag kondisi `Owner` cocok dengan keduanya `Owner` dan `owner` karena nama kunci kondisi tidak peka huruf besar/kecil.)
## Pemecahan masalah
Gunakan informasi berikut untuk membantu mendiagnosis dan memperbaiki masalah umum yang mungkin Anda temui saat bekerja dengan Amazon IVS dan IAM.
+ **Saya tidak berwenang untuk melakukan tindakan di Amazon IVS.**
Contoh kesalahan berikut terjadi ketika pengguna IAM mateojackson mencoba menggunakan AWS konsol untuk melihat detail tentang saluran tetapi tidak memiliki izin. `ivs:GetChannel`
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: ivs:GetChannel on resource: arn:aws:ivs:us-west-2:123456789012:channel/VgNkEJgOVX9N
```
Dalam hal ini, Mateo meminta administratornya untuk memperbarui kebijakannya untuk mengizinkan dia mengakses sumber daya `arn:aws:ivs:us-west-2:123456789012:channel/VgNkEJgOVX9N` menggunakan tindakan `ivs:GetChannel`.
+ **Saya ingin melihat kunci akses saya**.
Setelah membuat access key pengguna IAM, Anda dapat melihat access key ID Anda setiap saat. Namun, Anda tidak dapat melihat secret access key Anda lagi. Jika Anda kehilangan secret key, Anda harus membuat pasangan access key baru. Kunci akses memiliki dua bagian:
+ ID kunci akses (misalnya,`AKIAIOSFODNN7EXAMPLE`)
+ Kunci akses rahasia (misalnya,`wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`)
Seperti halnya nama pengguna dan kata sandi, Anda harus menggunakan ID kunci akses dan kunci akses rahasia bersama-sama untuk mengautentikasi permintaan Anda. Kelola access key Anda seaman nama pengguna dan kata sandi Anda.
***Penting: Jangan berikan kunci akses Anda ke pihak ketiga, bahkan untuk membantu [menemukan ID pengguna kanonik Anda](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html#FindingCanonicalId). Melakukannya mungkin memberi seseorang akses permanen ke akun Anda.***
Saat Anda membuat pasangan access key, Anda diminta menyimpan access key ID dan secret access key di lokasi yang aman. Kunci akses rahasia hanya tersedia saat Anda membuatnya. Jika Anda kehilangan secret access key Anda, Anda harus menambahkan access key baru ke pengguna IAM Anda.
Anda dapat memiliki paling banyak dua kunci akses. Jika Anda sudah memiliki dua, Anda harus menghapus satu pasangan kunci sebelum membuat pasangan baru. Lihat [Mengelola Kunci Akses untuk Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html) di *Panduan Pengguna IAM*.
+ **Saya seorang administrator dan ingin mengizinkan orang lain mengakses Amazon IVS.**
Untuk mengizinkan orang lain mengakses Amazon IVS, Anda harus membuat entitas IAM (pengguna atau peran) untuk orang atau aplikasi yang memerlukan akses. Orang atau aplikasi akan menggunakan kredensyal untuk entitas tersebut untuk mengakses. AWS Anda kemudian harus melampirkan kebijakan ke entitas yang memberikan izin yang benar di Amazon IVS.
Untuk memulai, lihat [Membuat Pengguna dan Grup Delegasi IAM Pertama Anda di Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html) *IAM*.
+ **Saya ingin mengizinkan orang di luar AWS akun saya untuk mengakses sumber daya Amazon IVS saya.**
Anda dapat membuat peran yang dapat digunakan pengguna di akun lain atau orang di luar organisasi Anda untuk mengakses sumber daya Anda. Anda dapat menentukan siapa saja yang dipercaya untuk mengambil peran tersebut. Untuk layanan yang mendukung kebijakan berbasis sumber daya atau daftar kontrol akses (ACLs), Anda dapat menggunakan kebijakan tersebut untuk memberi orang akses ke sumber daya Anda. Untuk informasi terkait, lihat bagian *Panduan Pengguna IAM* ini:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/ivs/latest/LowLatencyUserGuide/security-iam.html)
# Kebijakan Terkelola untuk Amazon IVS
Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.
Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan [kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) yang khusus untuk kasus penggunaan Anda.
Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.
Untuk informasi selengkapnya, lihat [Kebijakan terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.
## IVSReadOnlyAccess
Gunakan kebijakan terkelola [IVSReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/IVSReadOnlyAccess.html)AWS untuk memberi pengembang aplikasi Anda akses ke semua operasi API IVS yang tidak bermutasi (untuk streaming latensi rendah dan real-time).
## IVSFullAkses
Gunakan kebijakan terkelola [IVSFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/IVSFullAccess.html) AWS untuk memberi pengguna Anda akses ke semua operasi API Obrolan IVS dan IVS (untuk streaming latensi rendah dan real-time). Kebijakan ini mencakup izin tambahan untuk layanan dependen, untuk mengizinkan akses penuh ke konsol IVS.
## Pembaruan Kebijakan
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Amazon IVS sejak layanan ini mulai melacak perubahan ini. [Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman Riwayat Dokumen Streaming Latensi Rendah Amazon IVS.](doc-history.md)
| Ubah | Deskripsi | Date |
| --- | --- | --- |
| [IVSReadOnlyAccess](#security-iam-awsmanpol-ivsreadonlyaccess)— Ubah | IVS menambahkan tindakan baru untuk memberikan ListParticipantReplicas izin dalam mendukung rilis Replikasi real-time-streaming Peserta. | Juli 24, 2025 |
| [IVSReadOnlyAccess](#security-iam-awsmanpol-ivsreadonlyaccess)— Ubah | IVS menambahkan tindakan baru untuk memberikan izin berikut untuk mendukung dua real-time-streaming rilis, RTMP Ingest dan Hasilkan Token Peserta dengan Pasangan Kunci: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/ivs/latest/LowLatencyUserGuide/security-iam-awsmanpol.html) | September 18, 2024 |
| [IVSReadOnlyAccess](#security-iam-awsmanpol-ivsreadonlyaccess)— Ubah | IVS menambahkan tindakan baru untuk memberikan izin berikut untuk mendukung Komposisi Sisi Server, Perekaman Komposit Waktu Nyata, dan Pembatasan Pemutaran Tanpa Token: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/ivs/latest/LowLatencyUserGuide/security-iam-awsmanpol.html) | Februari 16, 2024 |
| [IVSFullAkses](#security-iam-awsmanpol-ivsfullaccess) — Kebijakan baru | IVS menambahkan kebijakan baru untuk memungkinkan akses penuh ke IVS (baik latensi rendah dan streaming real-time) dan Obrolan IVS. | 5 Desember 2023 |
| [IVSReadOnlyAccess](#security-iam-awsmanpol-ivsreadonlyaccess) – Kebijakan baru | IVS menambahkan kebijakan baru untuk mengizinkan akses hanya-baca ke IVS (baik latensi rendah maupun streaming waktu nyata). | 5 Desember 2023 |
| Amazon IVS mulai melacak perubahan | Amazon IVS mulai melacak perubahan untuk kebijakan yang AWS dikelola. | 5 Desember 2023 |
# Menggunakan Peran Tertaut Layanan untuk Amazon IVS
Amazon IVS menggunakan peran terkait [layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) IAM. Peran terkait layanan adalah jenis peran IAM unik yang ditautkan langsung ke layanan. AWS Peran terkait layanan telah ditentukan sebelumnya oleh Amazon IVS dan mencakup semua izin yang diperlukan layanan untuk memanggil layanan lain AWS atas nama Anda.
Peran terkait layanan membuat pengaturan Amazon IVS lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. Amazon IVS mendefinisikan izin peran terkait layanannya, dan hanya Amazon IVS yang dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, serta bahwa kebijakan izin tidak dapat dilampirkan ke entitas IAM lainnya.
Anda dapat menghapus peran terkait layanan IVS hanya setelah terlebih dahulu menghapus sumber daya IVS terkait. Ini mencegah Anda menghapus izin IVS secara tidak sengaja untuk mengakses sumber daya AWS yang terkait dengan peran terkait layanan.
Untuk informasi tentang layanan lain yang mendukung peran yang terhubung dengan layanan, lihat [Layanan AWS yang Berfungsi dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan cari layanan yang memiliki **Ya** di kolom **Peran yang Terhubung dengan Layanan**. Pilih **Ya** dengan tautan untuk melihat dokumentasi peran tertaut layanan untuk layanan tersebut.
## Izin Peran Tertaut Layanan untuk Amazon IVS
Amazon IVS menggunakan peran terkait layanan bernama **AWSServiceRoleForIVSRecordToS3 untuk mengakses bucket Amazon S3** atas nama Saluran Amazon IVS Anda.
Peran terkait layanan AWSService RoleFor IVSRecord ToS3 mempercayai layanan berikut untuk mengambil peran:
+ `ivs.amazonaws.com`
Kebijakan izin peran memungkinkan Amazon IVS menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
+ Tindakan: `s3:PutObject` pada `your Amazon S3 buckets`
Anda harus mengonfigurasikan izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, menyunting, atau menghapus peran terhubung dengan layanan. Untuk informasi selengkapnya, silakan lihat [Izin Peran Tertaut Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) di *Panduan Pengguna IAM*.
## Membuat Peran Tertaut Layanan untuk Amazon IVS
Anda tidak perlu membuat peran terkait layanan untuk IVS secara manual. Amazon IVS membuatnya untuk Anda, saat Anda membuat sumber daya konfigurasi perekaman di Amazon IVS Console, the AWS CLI, atau API. AWS Peran terkait layanan diberi nama AWSService RoleFor IVSRecord ToS3.
**penting**
Peran tertaut layanan ini dapat muncul di akun Anda jika Anda menyelesaikan tindakan di layanan lain yang menggunakan fitur yang disupport oleh peran ini. Untuk mempelajari lebih lanjut, lihat [Peran Baru yang Muncul di Akun IAM Saya](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Jika Anda menghapus peran tertaut layanan ini, lalu ingin membuatnya lagi, Anda dapat menggunakan proses yang sama untuk membuat ulang peran tersebut di akun Anda. Saat Anda membuat sumber daya konfigurasi perekaman, Amazon IVS membuat peran terkait layanan untuk Anda lagi.
## Mengedit Peran Tertaut Layanan untuk Amazon IVS
Amazon IVS tidak mengizinkan Anda mengedit peran terkait layanan AWSService RoleFor IVSRecord ToS3. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin merujuk peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit Peran Tertaut Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.
## Menghapus Peran Tertaut Layanan untuk Amazon IVS
Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, sebaiknya hapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Tetapi, Anda harus membersihkan sumber daya peran yang terhubung dengan layanan sebelum menghapusnya secara manual.
**catatan**
Jika layanan Amazon IVS menggunakan peran saat Anda mencoba menghapus sumber daya, maka penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.
**Untuk menghapus sumber daya Amazon IVS yang digunakan oleh peran terkait layanan AWSService RoleFor IVSRecord ToS3:**
Gunakan Amazon IVS Console, the AWS CLI, atau AWS API untuk menghapus asosiasi perekaman-konfigurasi dari semua saluran dan menghapus semua sumber daya konfigurasi perekaman di wilayah tersebut.
**Untuk menghapus peran terkait layanan secara manual menggunakan IAM:**
Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran terkait layanan AWSService RoleFor IVSRecord ToS3. Untuk informasi selengkapnya, silakan lihat [Menghapus Peran Terkait Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) di *Panduan Pengguna IAM*.
## Wilayah yang Didukung untuk Peran Tertaut Layanan Amazon IVS
Amazon IVS mendukung penggunaan peran terkait layanan di semua wilayah tempat layanan tersedia. Untuk informasi selengkapnya, lihat [Titik Akhir Layanan Amazon IVS](https://docs.aws.amazon.com/general/latest/gr/ivs.html).
# Pencatatan dan Pemantauan IVS
Untuk mencatat and/or operasi kinerja, gunakan Amazon CloudTrail. Lihat [Mencatat Panggilan API Amazon IVS dengan AWS CloudTrail](cloudtrail.md).
# Respon Insiden IVS
Untuk mendeteksi atau memperingatkan insiden, Anda dapat memantau kesehatan streaming Anda melalui EventBridge acara Amazon. [Lihat Menggunakan Amazon EventBridge dengan Amazon IVS: untuk Streaming [Latensi Rendah dan Streaming Waktu](eventbridge.md) Nyata.](https://docs.aws.amazon.com//ivs/latest/RealTimeUserGuide/eventbridge.html)
Gunakan [Dasbor AWS Health](https://health.aws.amazon.com/health/status) untuk informasi tentang kondisi Amazon IVS secara keseluruhan (berdasarkan wilayah).
# Ketahanan IVS
IVS APIs menggunakan infrastruktur AWS global dan dibangun di sekitar AWS Wilayah dan Zona Ketersediaan. AWS Wilayah menyediakan beberapa Availability Zone, yaitu:
+ Terpisah secara fisik dan terisolasi.
+ Terhubung dengan latensi rendah, throughput tinggi, jaringan yang sangat redundan.
+ Lebih tersedia, toleran terhadap kesalahan, dan dapat diskalakan daripada infrastruktur pusat data tunggal atau ganda tradisional.
Untuk informasi selengkapnya APIs, lihat Referensi API Streaming [Latensi Rendah IVS, Referensi API Streaming](https://docs.aws.amazon.com/ivs/latest/LowLatencyAPIReference/Welcome.html) Waktu [Nyata IVS, dan Referensi API](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/Welcome.html) Obrolan [IVS](https://docs.aws.amazon.com/ivs/latest/ChatAPIReference/Welcome.html). Untuk informasi selengkapnya tentang AWS Wilayah dan Availability Zone, lihat [Infrastruktur AWS Global](https://aws.amazon.com/about-aws/global-infrastructure/).
## Pesawat Data Video Amazon IVS
Penyerapan dan distribusi video dijalankan melalui jaringan pengiriman konten global (CDN) yang dioptimalkan untuk video latensi rendah. Ini memungkinkan Amazon IVS menyediakan video berkualitas tinggi kepada pelanggan yang disajikan kepada pemirsa global dengan penundaan minimal. end-to-end Video CDN memiliki global Points-of-Presence (PoPs), memungkinkan penyiar dan pemirsa tersebar secara geografis.
Terlepas dari AWS wilayah tempat Anda memilih untuk mengonfigurasi sumber daya Amazon IVS Anda:
+ Streamer secara otomatis menyerap video ke PoP yang secara geografis dekat dengan lokasi mereka.
+ Pemirsa mengalirkan video melalui CDN video global.
Setelah tertelan, aliran video diproses dan ditranskode di salah satu dari beberapa pusat data Amazon IVS. Amazon IVS tidak menyediakan failover otomatis untuk kegagalan konsumsi atau transcoding. Alih-alih, streamer harus mengonfigurasi encoder atau klien penyiaran mereka untuk secara otomatis mencerna kembali setiap kegagalan penyiaran.
# Keamanan Infrastruktur IVS
Sebagai layanan terkelola, Amazon IVS dilindungi oleh prosedur keamanan jaringan AWS global. Hal ini dijelaskan dalam [Praktik Terbaik untuk Keamanan, Identitas, dan Kepatuhan](https://aws.amazon.com/architecture/security-identity-compliance/).
## Panggilan API
Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses Amazon IVS melalui jaringan. Klien harus mendukung Keamanan Lapisan Pengangkutan (TLS) 1.2 atau versi yang lebih baru. Kami merekomendasikan TLS 1.3 atau yang lebih baru (karena kerentanan di versi sebelumnya). Klien juga harus mendukung cipher suite dengan perfect forward secrecy (PFS) seperti Ephemeral Diffie-Hellman (DHE) atau Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). Sebagian besar sistem-sistem modern seperti Java 7 dan versi yang lebih baru mendukung mode-mode ini.
Selain itu, permintaan API harus ditandatangani dengan menggunakan ID kunci akses dan kunci akses rahasia yang terkait dengan prinsipal IAM. Atau Anda dapat menggunakan [Layanan Token AWS Keamanan](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) untuk menghasilkan kredensyal keamanan sementara untuk menandatangani permintaan.
Anda dapat memanggil operasi API ini dari lokasi jaringan mana pun, tetapi Amazon IVS mendukung kebijakan akses berbasis sumber daya, yang dapat mencakup pembatasan berdasarkan alamat IP sumber. Anda juga dapat menggunakan kebijakan Amazon IVS untuk mengontrol akses dari titik akhir Amazon Virtual Private Cloud (Amazon VPC) tertentu atau spesifik. VPCs Secara efektif, ini mengisolasi akses jaringan ke sumber daya Amazon IVS tertentu hanya dari VPC tertentu dalam jaringan. AWS
Selain itu, semua permintaan API ditandatangani sigv4.
Untuk detail API, lihat Referensi API Streaming [Latensi Rendah IVS, Referensi API Streaming](https://docs.aws.amazon.com/ivs/latest/LowLatencyAPIReference/Welcome.html) Waktu [Nyata IVS, dan Referensi API](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/Welcome.html) Obrolan [IVS](https://docs.aws.amazon.com/ivs/latest/ChatAPIReference/Welcome.html).
## Streaming dan Pemutaran
Pemutaran terjadi melalui HTTPS dari tepi ke penampil, dan “edge kontribusi” (titik akhir ingest) mendukung RTMPS (RTMP over TLS) atau RTMP jika saluran dikonfigurasi untuk memungkinkan konsumsi yang tidak aman. Streaming Amazon IVS membutuhkan TLS versi 1.2 atau yang lebih baru. Aliran tidak end-to-end dienkripsi; aliran dapat ditransmisikan secara tidak terenkripsi secara internal di jaringan IVS, untuk diproses.