Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Menyebarkan sumber daya IAM di AMS Advanced
<a name="deploy-iam-resources"></a>

AMS menyebarkan sumber daya IAM di aplikasi multi-akun landing zone (MALZ) dan akun landing zone (SALZ) akun tunggal dengan dua cara:
+ Penyediaan IAM Otomatis: Kemampuan ini di AMS memungkinkan Anda mengirimkan jenis perubahan buat, pembaruan, atau hapus untuk peran IAM atau penyediaan kebijakan, tanpa tinjauan operator, dan dengan pemeriksaan validasi IAM dan AMS berjalan secara otomatis.

  Kemampuan ini harus diaktifkan secara eksplisit dengan Manajemen \$1 Akun terkelola \$1 Penyediaan IAM Otomatis AMS dengan izin baca-tulis \$1 [Aktifkan (otomatisasi terkelola) jenis perubahan (](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-enable-review-required.html)ct-1706xvvk6j9hf). Untuk mempelajari selengkapnya, lihat [AMS Penyediaan IAM Otomatis](auto-iam-provisioning.md). Setelah Penyediaan IAM Otomatis AMS diaktifkan, Anda memiliki akses ke Buat, Perbarui, dan Hapus jenis perubahan untuk mengelola sumber daya IAM Anda.
+ otomatisasi terkelola Jenis perubahan IAM: Jenis perubahan ini, Deployment \$1 Komponen tumpukan lanjutan \$1 Identity and Access Management (IAM) [\$1 Buat entitas atau kebijakan (otomatisasi terkelola) (](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy-review-required.html)ct-3dpd8mdd9jn1r), memerlukan tinjauan operator AMS, yang terkadang membutuhkan waktu beberapa hari untuk diselesaikan jika klarifikasi diperlukan.

**catatan**  
Metode apa pun yang digunakan, peran IAM disediakan ke akun atau akun yang relevan dan, setelah peran tersebut disediakan, Anda harus memasukkan peran tersebut dalam solusi federasi Anda.

# AMS Penyediaan IAM Otomatis
<a name="auto-iam-provisioning"></a>

AWS Managed Services (AMS) mendukung validasi dan penyediaan otomatis untuk sumber daya IAM termasuk peran dan kebijakan yang menggunakan AMS Advanced request for change (RFCs) dan new change types (). CTs Sebelumnya, permintaan ini melalui proses semi-otomatis yang terkadang menghasilkan waktu tunggu yang lama. Sekarang, Anda dapat menggunakan AMS Automated IAM Provisioning untuk menyediakan sumber daya IAM dan mendapatkan hasilnya lebih cepat.

# Cara Kerja Penyediaan IAM Otomatis di AMS
<a name="aip-how-works"></a>

Penyediaan IAM Otomatis bergantung pada pemeriksaan run-time otomatis untuk IAM untuk memvalidasi perubahan pada sumber daya IAM. Pemeriksaan otomatis ini, yang dilakukan saat jenis perubahan Buat, Perbarui, atau Hapus dijalankan, mencegah sumber daya IAM yang terlalu permisif atau memiliki pola tidak aman agar tidak diterapkan ke akun Anda. Ini memungkinkan Anda untuk mencocokkan tingkat ketelitian dalam ulasan IAM dengan keahlian tim Anda. Kami menyarankan tim yang baru mengenal layanan cloud dan memerlukan pemeriksaan manual untuk semua perubahan sumber daya IAM menggunakan jenis perubahan yang diperlukan tinjauan yang ada: Deployment \$1 Komponen tumpukan lanjutan \$1 Identity and Access Management (IAM) [\$1 Buat entitas atau kebijakan](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy-review-required.html) (otomatisasi terkelola), (ct-3dpd8mdd9jn1r). Tim dengan AWS keahlian dan kontrol lingkungan mereka dapat menggunakan Penyediaan IAM Otomatis untuk mempercepat penerapan mereka. Anda dapat menggunakan fitur ini untuk melakukan validasi melalui pemeriksaan run-time otomatis atau untuk melakukan validasi dan penyediaan sumber daya IAM setelah validasi berhasil.

**penting**  
AWS Managed Services telah secara proaktif menerapkan daftar [pemeriksaan runtime](aip-runtime-checks.md) validasi yang mencegah pembuatan sumber daya atau kebijakan IAM dengan izin dan ketentuan tertentu. Untuk deskripsi hak istimewa dan ketentuan ini, lihat [Menerapkan sumber daya IAM di](https://docs.aws.amazon.com/managedservices/latest/userguide/deploy-iam-resources.html) AMS Advanced. Jenis perubahan otomatis [ct-1n9gfnog5x7fl, ct-1e0xmuy1diafq](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy-read-write-permissions.html)[, dan ct-17cj84y7632o6, memungkinkan](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-read-write-permissions.html) pengguna yang mahir dalam mengelola sumber IAM untuk menyediakan peran dan kebijakan IAM yang memungkinkan tindakan di luar hak [Read Only](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-delete-entity-or-policy-read-write-permissions.html).  
[https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-read-write-permissions.html](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-read-write-permissions.html) Namun, sumber daya tidak dapat mengikuti standar penamaan AMS dan bukan bagian dari tumpukan AMS standar. AMS menyediakan dukungan operasional dan keamanan dari sumber daya spesifik tersebut berdasarkan upaya terbaik.  
Meskipun proses manual dan otomatis bertujuan untuk menegakkan standar keamanan kami, penting untuk dicatat bahwa ada perbedaan dalam pemeriksaan di antara keduanya. Penyediaan otomatis memungkinkan fleksibilitas yang lebih besar dalam membuat dan memperbarui peran dan kebijakan; oleh karena itu, mereka tidak sama. Disarankan agar organisasi Anda meninjau dengan cermat [pemeriksaan runtime](aip-runtime-checks.md) validasi yang tercantum dalam Panduan Pengguna AMS untuk memastikan bahwa pemeriksaan tersebut selaras dengan harapan dan persyaratan organisasi Anda.

**Aliran validasi**

![\[Aliran validasi\]](http://docs.aws.amazon.com/id_id/managedservices/latest/userguide/images/Validation-Flow.png)


**Aliran validasi dan penyediaan**

![\[Aliran validasi dan penyediaan\]](http://docs.aws.amazon.com/id_id/managedservices/latest/userguide/images/Validation-and-Provisioning-Flow.png)


**catatan**  
Fitur ini cocok untuk tim yang berpengalaman AWS dan sumber daya IAM, dan kami tidak merekomendasikannya untuk tim yang baru. AWS Proses validasi otomatis dirancang untuk menangkap sebagian besar kesalahan dan sangat membantu tim untuk mendapatkan ulasan cepat untuk perubahan IAM, ketika mereka memahami izin yang mereka butuhkan. Untuk menggunakan jenis perubahan baru dengan aman dan efektif, kami menyarankan Anda untuk memiliki pemahaman yang baik tentang AWS IAM, dan [pemeriksaan run-time](https://docs.aws.amazon.com/managedservices/latest/userguide/aip-runtime-checks.html) yang ditawarkan oleh jenis perubahan untuk menentukan apakah mereka cocok untuk tim Anda. 

# Orientasi ke Penyediaan IAM Otomatis AMS di AMS
<a name="aip-onboarding"></a>

[Untuk menggunakan jenis perubahan baru, pertama-tama aktifkan Penyediaan IAM Otomatis AMS dengan mengirimkan RFC menggunakan jenis perubahan berikut: Manajemen \$1 Akun terkelola \$1 Penyediaan IAM Otomatis AMS dengan izin baca-tulis \$1 Aktifkan (otomatisasi terkelola) (ct-1706xvvk6j9hf).](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-enable-review-required.html) AWS mengharuskan organisasi Anda melalui proses manajemen risiko keamanan pelanggan (CSRM) untuk memastikan bahwa penggunaan jenis perubahan ini selaras dengan kebijakan organisasi Anda. Tim AWS operasi bekerja dengan Anda untuk mendapatkan persetujuan eksplisit dari kontak tim keamanan Anda dalam bentuk penerimaan risiko sebagai bagian dari tinjauan yang diperlukan. Untuk mempelajari lebih lanjut, lihat proses [manajemen risiko pelanggan (CSRM) RFC](https://docs.aws.amazon.com/managedservices/latest/userguide/rfc-security.html).

Setelah RFC mengaktifkan AMS Automated IAM Provisioning dengan fitur izin baca-tulis berhasil, AMS mengaktifkan jenis perubahan Penyediaan IAM Otomatis AMS di akun yang digunakan untuk mengirimkan RFC yang diaktifkan. Untuk mengonfirmasi bahwa akun telah mengaktifkan Penyediaan IAM Otomatis AMS, periksa peran tersebut pada konsol IAM. `AWSManagedServicesIAMProvisionAdminRole`

Sebagai bagian dari orientasi, AMS menyediakan IAM Access Analyzer di Wilayah AWS akun yang sama untuk memanfaatkan kemampuan pratinjau aksesnya. IAM Access Analyzer membantu mengidentifikasi sumber daya di organisasi dan akun Anda yang dibagikan dengan entitas eksternal, memvalidasi kebijakan IAM terhadap tata bahasa kebijakan dan praktik terbaik, dan menghasilkan kebijakan IAM berdasarkan aktivitas akses di log Anda. AWS CloudTrail Untuk mempelajari lebih lanjut, lihat [Menggunakan AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html).

Setelah onboard, akan `AWSManagedServicesIAMProvisionAdminRole` diterapkan ke akun yang diaktifkan. Jika Anda memilih untuk menggunakan peran ini melalui federasi SAFL, maka Anda harus memasukkan peran tersebut ke solusi federasi Anda. 

Sebagai bagian dari orientasi, Anda dapat meminta untuk memperbarui IAMProvision AdminRole kebijakan kepercayaan AWSManaged Layanan untuk memberikan peran IAM lain ARN untuk mengambil peran ini menggunakan. AWS Security Token Service

# Menggunakan Penyediaan IAM Otomatis AMS di AMS
<a name="aip-using"></a>

Anda dapat membuat RFCs dengan jenis perubahan Penyediaan IAM Otomatis AMS berikut.

**catatan**  
Hanya penyediaan peran dan kebijakan yang didukung.  
Saat memperbarui peran, CT Pembaruan menggantikan daftar nama sumber daya Amazon (ARNs) kebijakan terkelola yang ada dan dokumen kebijakan “asumsikan peran”, dengan daftar kebijakan terkelola yang disediakan ARNs dan dokumen kebijakan “asumsikan peran”. Dalam pembaruan sebagian; misalnya, menambahkan atau menghapus ARN dalam daftar kebijakan terkelola yang ada ARNs, menambahkan atau menghapus pernyataan kebijakan individual ke dokumen kebijakan “asumsikan peran” tidak diperbolehkan. Demikian pula, saat memperbarui kebijakan, CT Pembaruan menggantikan dokumen kebijakan yang ada dan tidak mengizinkan penambahan atau penghapusan pernyataan kebijakan individual dalam dokumen kebijakan yang ada.
Ketika opsi “validasi saja” dipilih, pemeriksaan run-time dilakukan tanpa menyediakan entitas atau kebijakan IAM apa pun. Terlepas dari temuan apa pun, status RFC adalah “sukses”. Status “sukses” menunjukkan validasi yang berhasil terhadap entitas atau kebijakan IAM yang disediakan.
+ Deployment \$1 Komponen Stack Lanjutan \$1 Identity and Access Management (IAM) \$1 [Buat entitas atau kebijakan (izin baca-tulis) (ct-1n9gfnog5x7fl)](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy-read-write-permissions.html): Entitas atau kebijakan IAM baru divalidasi dan disediakan secara otomatis.
+ Manajemen \$1 Komponen Stack Lanjutan \$1 Identity and Access Management (IAM) \$1 [Perbarui entitas atau kebijakan (izin baca-tulis) (ct-1e0xmuy1diafq)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-read-write-permissions.html): Entitas atau kebijakan IAM yang ada diperbarui dan divalidasi secara otomatis.
+ Manajemen \$1 Komponen Stack Tingkat Lanjut \$1 Identity and Access Management (IAM) \$1 [Hapus entitas atau kebijakan (izin baca-tulis) (ct-17cj84y7632o6)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-delete-entity-or-policy-read-write-permissions.html): Entitas atau kebijakan IAM yang sudah ada yang disediakan menggunakan entitas pembuat otomatis atau jenis perubahan kebijakan dihapus.

Anda hanya dapat memanggil tiga sebelumnya CTs menggunakan peran IAM khusus:. `AWSManagedServicesIAMProvisionAdminRole` Peran ini hanya tersedia di akun yang telah di-onboard ke fitur menggunakan Manajemen \$1 Akun terkelola \$1 Izin baca-tulis Penyediaan IAM Otomatis AMS \$1 [Aktifkan](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-enable-review-required.html) (otomatisasi terkelola) (ct-1706xvvk6j9hf).

**penting**  
Jenis perubahan Buat, Perbarui, dan Hapus selalu terlihat di akun Anda, tetapi tidak diaktifkan secara default. Jika Anda mencoba mengirimkan RFC menggunakan salah satu jenis perubahan ini tanpa terlebih dahulu mengaktifkan fitur Penyediaan IAM Otomatis AMS, maka kesalahan “tidak sah” akan ditampilkan.

**Keterbatasan**:
+ Buat CT memungkinkan Anda membuat peran atau kebijakan IAM dengan izin untuk membuat AWS sumber daya. Namun, AWS sumber daya yang dibuat oleh peran dan kebijakan ini tidak dikelola oleh AMS. Ini adalah praktik terbaik untuk mematuhi kontrol organisasi Anda untuk membatasi pembuatan peran atau kebijakan tersebut.
+ CT Pembaruan tidak dapat mengubah peran dan kebijakan IAM yang dibuat dengan CFN Ingest, Mode Perubahan Langsung, Mode Pengembang, atau, dalam beberapa kasus, melalui manual AMS Advanced yang ada atau otomatis. CTs
+ CT Hapus tidak dapat menghapus peran atau kebijakan yang ada yang tidak dibuat dengan CT Pembuatan Penyediaan IAM Otomatis AMS.
+ Penyediaan IAM Otomatis AMS dengan fitur izin baca-tulis tidak didukung dalam peran Mode Perubahan Langsung. Ini berarti Anda tidak dapat menyediakan atau memperbarui peran dan kebijakan IAM dengan izin baca-tulis menggunakan peran ini.
+ Penyediaan IAM Otomatis AMS dengan izin baca-tulis Buat, Perbarui, dan Hapus jenis perubahan tidak kompatibel dengan Konektor. ServiceNow 

# Pemeriksaan runtime untuk Penyediaan IAM Otomatis AMS di AMS
<a name="aip-runtime-checks"></a>

Penyediaan IAM Otomatis memanfaatkan pemeriksaan dari AWS Identity and Access Management Access Analyzer, dan melakukan pemeriksaan dan validasi tambahan terhadap kebijakan batas AMS. AMS mendefinisikan pemeriksaan dan validasi tambahan berdasarkan praktik terbaik IAM, pengalaman mengoperasikan beban kerja pelanggan di cloud, dan pengalaman evaluasi manual AMS IAM kolektif.

Anda dapat melihat temuan pemeriksaan waktu proses kebijakan dalam output request for change (RFC). Temuan termasuk pengidentifikasi sumber daya, lokasi dalam and/or kebijakan peran yang menghasilkan temuan, dan pesan yang menguraikan pemeriksaan bahwa entitas atau sumber daya IAM gagal lulus. Temuan ini membantu Anda membuat kebijakan yang fungsional dan sesuai dengan praktik terbaik keamanan.

**catatan**  
Penyediaan IAM Otomatis mencoba untuk spesifik tentang lokasi dalam entitas atau definisi kebijakan yang gagal lulus pemeriksaan. Bergantung pada jenisnya, lokasi mungkin menyertakan nama sumber daya atau ARN, atau indeks dalam array. Misalnya, pernyataan untuk membantu Anda menyesuaikan entitas atau kebijakan untuk hasil yang sukses.

Untuk pengalaman Penyediaan IAM Otomatis AMS yang lancar, adalah praktik terbaik untuk menggunakan opsi “validasi saja” untuk menjalankan pemeriksaan validasi hingga tidak ada temuan dari pemeriksaan validasi yang dilaporkan dalam output RFC. Saat pemeriksaan validasi melaporkan tidak ada temuan, pilih **Buat salinan** dari Konsol AMS untuk membuat salinan RFC yang ada dengan cepat. Ketika Anda siap untuk menyediakan, di bagian **Parameter**, alihkan nilai **Validasi hanya** dari **Ya** ke **Tidak**, dan kemudian lanjutkan.

Ini adalah pemeriksaan run-time yang dilakukan oleh Penyediaan IAM Otomatis AMS untuk memastikan bahwa sumber daya IAM Anda aman:

**catatan**  
Untuk menyediakan kebijakan IAM yang berisi tindakan yang ditolak oleh jenis perubahan otomatis ini, Anda harus mengikuti proses manajemen risiko keamanan pelanggan (CSRM) RFC. Gunakan jenis perubahan berikut: Deployment \$1 Komponen tumpukan lanjutan \$1 Identity and Access Management (IAM) \$1 Buat entitas atau kebijakan (otomatisasi terkelola) (ct-3dpd8mdd9jn1r).
+ **Pemeriksaan dan validasi kebijakan IAM Access Analyzer: Lihat juga referensi pemeriksaan kebijakan Access Analyzer dan validasi** [kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html) [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) Access Analyzer.
+ **Pemeriksaan kebijakan batas izin AMS:** Tindakan pada serangkaian layanan yang ditolak secara default. Untuk informasi selengkapnya, lihat [Pemeriksaan batas izin Penyediaan IAM Otomatis](https://docs.aws.amazon.com/managedservices/latest/userguide/aip-runtime-checks-perm-boundary.html).
+ **Pemeriksaan kebijakan batas izin yang ditentukan pelanggan:** Tindakan terbatas tambahan pada serangkaian layanan yang ditolak. Untuk informasi selengkapnya, lihat [Pemeriksaan batas izin Penyediaan IAM Otomatis](https://docs.aws.amazon.com/managedservices/latest/userguide/aip-runtime-checks-perm-boundary.html).
+ **Pemeriksaan kustom yang ditentukan AMS**: Pemeriksaan yang mengidentifikasi berbagai kebijakan atau pola akses yang tidak aman dan terlalu permisif dalam entitas atau kebijakan IAM yang diminta, dan menolak permintaan jika ditemukan. Untuk selengkapnya, lihat [Elemen kebijakan AWS JSON: Principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).


| Temuan | Deskripsi | 
| --- | --- | 
| Peran tersebut dapat diakses dari akun eksternal yang berada di luar zona kepercayaan Anda. | Temuan ini mengacu pada prinsip yang tercantum dalam kebijakan kepercayaan peran yang berada di luar zona kepercayaan Anda. Zona kepercayaan didefinisikan sebagai akun tempat peran dibuat atau AWS organisasi tempat akun tersebut berada. Entitas yang bukan milik akun atau AWS Organisasi yang sama adalah entitas eksternal. Untuk menyelesaikan temuan ini, tinjau ID akun di prinsipal ARNs dan pastikan bahwa ID tersebut milik Anda dan merupakan akun bawaan AMS. | 
| Peran tersebut dapat diakses oleh entitas eksternal yang dimiliki oleh akun *External\$1Account\$1ID* yang tidak dimiliki oleh akun pemilik pelanggan AMS. *Account\$1ID* | Temuan ini dihasilkan jika kebijakan kepercayaan peran menyertakan ARN utama yang memiliki ID akun yang tidak dimiliki oleh Anda dan akun bawaan AMS. Untuk mengatasi temuan ini, hapus prinsipal tersebut dari kebijakan kepercayaan peran. | 
| ID pengguna kanonik bukan prinsip yang didukung dalam kebijakan kepercayaan IAM. | Prinsipal kanonik tidak IDs didukung dalam kebijakan kepercayaan IAM. Untuk menyelesaikan temuan, hapus prinsipal tersebut dari kebijakan kepercayaan peran. | 
| Peran tersebut dapat diakses oleh identitas web eksternal yang berada di luar zona kepercayaan Anda. | Temuan ini dihasilkan jika kebijakan kepercayaan peran memungkinkan penyedia identitas Web eksternal (iDP) selain SAMP iDP. Untuk mengatasi temuan ini, tinjau kebijakan kepercayaan peran dan hapus pernyataan yang memungkinkan `sts:AssumeRoleWithWebIdentity` operasi. | 
| Peran tersebut dapat diakses melalui federasi SAMP; namun, penyedia identitas SAMP (IDP) yang disediakan tidak ada. | Temuan ini dihasilkan jika kebijakan kepercayaan peran berisi SAMP IDP yang tidak ada di akun Anda. Untuk menyelesaikannya, pastikan Anda semua IDP SAMP yang terdaftar ada di akun Anda. | 
| Kebijakan berisi tindakan istimewa yang setara dengan administrator atau akses pengguna daya. Pertimbangkan untuk mengurangi ruang lingkup izin ke layanan, tindakan, atau sumber daya tertentu. Jika elemen kebijakan lanjutan seperti **NotAction**atau **NotResource**digunakan, pastikan bahwa mereka tidak memberikan akses lebih dari yang Anda inginkan, terutama dalam pernyataan **Izinkan**. | Ini adalah praktik keamanan terbaik AWS Identity and Access Management untuk hanya memberikan izin yang diperlukan untuk melakukan tugas saat Anda menetapkan izin dengan kebijakan IAM. Lakukan ini dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, juga dikenal sebagai izin hak istimewa paling sedikit. Temuan ini dihasilkan ketika otomatisasi mendeteksi kebijakan memberikan izin luas dan tidak mematuhi prinsip hak istimewa paling sedikit. Untuk menyelesaikan temuan, tinjau dan kurangi izin. | 
| Pernyataan berisi tindakan istimewa untuk*Service\$1Name*. Pertimbangkan untuk mengecualikan tindakan ini dengan pernyataan penolakan. Lihat referensi kebijakan batas dalam dokumentasi AMS untuk daftar tindakan istimewa. | AMS mengidentifikasi tindakan tertentu untuk layanan tertentu sebagai berisiko dan memerlukan peninjauan dan penerimaan risiko lebih lanjut oleh tim keamanan pelanggan. Temuan ini dihasilkan ketika otomatisasi mendeteksi kebijakan yang diberikan yang memberikan izin tersebut. Untuk mengatasi temuan ini, tolak tindakan ini dalam kebijakan Anda. Untuk daftar tindakan, lihat kebijakan batas AMS. Untuk detail tentang kebijakan batas AMS, lihat. [Pemeriksaan batas izin Penyediaan IAM Otomatis AMS](aip-runtime-checks-perm-boundary.md)  | 
| [https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-read-write-permissions.html](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-read-write-permissions.html) *Service\$1Name* Pertimbangkan untuk mencakup izin untuk jenis perubahan tertentu atau mengecualikan jenis perubahan ini dengan pernyataan penolakan. | Temuan ini dihasilkan jika kebijakan memberikan izin untuk melakukan tindakan terkait RFC menggunakan jenis perubahan Penyediaan IAM Otomatis (). CTs CTs Ini tunduk pada penerimaan risiko dan hanya boleh digunakan melalui peran onboard. Jadi, Anda tidak bisa memberikan izin untuk ini CTs. Untuk mengatasi temuan ini, tolak tindakan RFC menggunakan ini CTs. | 
| Pernyataan berisi tindakan istimewa yang tidak mencakup sumber daya Anda untuk layanan. *Service\$1Name* Pertimbangkan untuk melingkupi tindakan ke sumber daya tertentu atau mengecualikan sumber daya dengan awalan namespace AMS. Jika wildcard digunakan, pastikan mereka membatasi ruang lingkup sumber daya Anda. | Temuan ini dihasilkan jika kebijakan memberikan tindakan istimewa yang tidak mencakup sumber daya Anda dari layanan yang diberikan. Kartu liar sering membuat kebijakan yang terlalu permisif yang membawa serangkaian sumber daya atau tindakan yang luas ke dalam ruang lingkup izin. Untuk mengatasi temuan ini, kurangi cakupan izin ke sumber daya yang Anda miliki atau kecualikan sumber daya yang ada di namespace AMS. Untuk daftar awalan namespace AMS, lihat kebijakan batas dalam dokumentasi AMS. Perhatikan bahwa tidak semua awalan berlaku untuk semua layanan. Untuk detail tentang kebijakan batas AMS, lihat. [Pemeriksaan batas izin Penyediaan IAM Otomatis AMS](aip-runtime-checks-perm-boundary.md) | 
| Id akun atau Nama Sumber Daya Amazon (ARN) tidak valid. | Temuan ini dihasilkan jika ada ARN atau ID akun yang ditentukan dalam kebijakan atau kebijakan kepercayaan peran tidak valid. Untuk meninjau sumber daya ARN yang valid untuk layanan, lihat Referensi [Otorisasi Layanan](https://docs.aws.amazon.com/service-authorization/latest/reference/reference.html). Pastikan bahwa ID akun adalah nomor 12 digit dan akun tersebut aktif. AWS | 
| Penggunaan wildcard (\$1) untuk id akun di ARN dibatasi.. | Temuan ini dihasilkan jika kartu liar (\$1) ditentukan di bidang ID akun ARN. Kartu liar di bidang ID akun cocok dengan akun apa pun dan berpotensi memberikan izin yang tidak diinginkan ke sumber daya. Untuk mengatasi ini, ganti kartu liar dengan ID akun tertentu. | 
| Akun sumber daya tertentu yang tidak dimiliki oleh akun *Account\$1ID* pemilik pelanggan AMS yang sama. | Temuan ini dihasilkan jika ID akun yang ditentukan dalam ARN sumber daya bukan milik Anda dan tidak dikelola oleh AMS. Untuk mengatasi hal ini, pastikan bahwa semua sumber daya (sebagaimana ditentukan oleh ARN mereka dalam kebijakan) milik akun Anda yang dikelola oleh AMS. | 
| Nama peran ada di namespace terbatas AMS. | Temuan ini dihasilkan jika Anda mencoba membuat peran dengan nama yang dimulai dengan awalan cadangan AMS. Untuk mengatasi hal ini, gunakan nama untuk peran yang khusus untuk kasus penggunaan Anda. Untuk daftar awalan cadangan AMS, lihat awalan cadangan [AMS](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-reserved-prefixes.html) | 
| Nama kebijakan ada di namespace terbatas AMS. | Temuan ini dihasilkan jika Anda mencoba membuat kebijakan dengan nama yang dimulai dengan awalan cadangan AMS. Untuk mengatasi hal ini, gunakan nama untuk kebijakan yang khusus untuk kasus penggunaan Anda. Untuk daftar awalan cadangan AMS, lihat awalan [cadangan AMS](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-reserved-prefixes.html). | 
| ID sumber daya di ARN berada di namespace terbatas AMS. | Temuan ini dihasilkan jika Anda mencoba membuat kebijakan yang memberikan izin ke sumber daya bernama yang ada di namespace AMS. Untuk mengatasinya, pastikan Anda mencakupkan izin ke sumber daya atau menolak izin ke sumber daya yang ada di namespace AMS. Untuk informasi selengkapnya tentang ruang nama AMS, lihat ruang nama yang [dibatasi AMS](https://docs.aws.amazon.com/managedservices/latest/userguide/apx-namespaces.html). | 
| Kasus variabel kebijakan tidak valid. Perbarui variabel ke*Variable\$1Names*. | Temuan ini dihasilkan jika mencoba membuat kebijakan yang berisi variabel kebijakan global IAM dalam kasus yang salah. Untuk mengatasi hal ini, gunakan kasus yang benar untuk variabel global dalam kebijakan Anda. Untuk daftar variabel global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html). Untuk informasi selengkapnya tentang variabel kebijakan, lihat [elemen kebijakan IAM: Variabel dan tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) | 
| Pernyataan berisi tindakan istimewa yang tidak dicakup ke kunci KMS Anda. Pertimbangkan untuk mencantumkan izin ini ke kunci tertentu atau mengecualikan kunci yang dimiliki AMS. | Temuan ini dihasilkan jika kebijakan berisi izin yang tidak dicakup ke kunci KMS tertentu yang Anda miliki. Untuk mengatasinya, lingkup izin ke kunci tertentu atau kecualikan kunci yang dimiliki AMS. Kunci yang dimiliki AMS memiliki set alias tertentu. Untuk daftar alias kunci yang dimiliki AMS, lihat[Pemeriksaan batas izin Penyediaan IAM Otomatis AMS](aip-runtime-checks-perm-boundary.md). | 
| Pernyataan berisi tindakan istimewa yang tidak dicakup ke alias kunci KMS Anda. Pertimbangkan untuk mencantumkan izin ini ke kunci atau alias Anda, atau kecualikan alias kunci milik AMS. | Temuan ini dihasilkan jika kebijakan berisi izin yang tidak tercakup pada alias kunci KMS tertentu yang Anda miliki. Untuk mengatasinya, lingkup izin ke kunci tertentu atau kecualikan kunci yang dimiliki AMS. Kunci yang dimiliki AMS memiliki set alias tertentu. Untuk daftar alias kunci yang dimiliki AMS, lihat[Pemeriksaan batas izin Penyediaan IAM Otomatis AMS](aip-runtime-checks-perm-boundary.md). | 
| Pernyataan berisi tindakan istimewa yang tidak tercakup secara memadai ke kunci KMS Anda menggunakan. `kms:ResourceAliases condition` Pertimbangkan untuk menggunakan nama alias tertentu bersama dengan operator set yang sesuai untuk kunci kondisi. Jika wildcard digunakan dalam nama alias pastikan mereka membatasi ruang lingkup ke set terbatas kunci KMS Anda. | Temuan ini dihasilkan jika Anda melingkupi izin ke kunci KMS Anda menggunakan kondisi dan tidak menggunakan `kms:ResourceAliases` untuk menutupi alias untuk kunci KMS Anda. Atau, jika kunci `kms:ResourceAliases` kondisi memiliki nilai yang juga menyertakan alias kunci KMS milik AMS. Untuk mengatasinya, perbarui kondisi untuk mengurangi izin hanya ke alias kunci KMS Anda atau kecualikan alias untuk kunci KMS milik AMS. Untuk daftar alias kunci yang dimiliki AMS, lihat[Pemeriksaan batas izin Penyediaan IAM Otomatis AMS](aip-runtime-checks-perm-boundary.md). | 
| Peran harus memiliki customer\$1deny\$1policy terlampir. Sertakan kebijakan ARN dalam daftar kebijakan yang dikelola. ARNs | Temuan ini dihasilkan jika peran yang Anda buat tidak `customer_deny_policy` melekat padanya. Untuk mengatasi hal ini, sertakan `customer_deny_policy` dalam ARNs daftar kebijakan terkelola. | 
| Kebijakan AWS terkelola terlalu permisif atau memberikan izin yang dibatasi oleh kebijakan batas AMS. | Temuan ini dihasilkan jika **ManagedPolicyArns**nilai untuk peran berisi kebijakan terkelola AMS yang menyediakan akses penuh atau tingkat administrator ke layanan yang relevan. Untuk mengatasi hal ini, tinjau penggunaan kebijakan AWS terkelola dan gunakan kebijakan yang memberikan izin ruang lingkup atau tentukan kebijakan Anda sendiri yang mengikuti prinsip hak istimewa paling sedikit. | 
| Kebijakan terkelola pelanggan berada di namespace AMS terbatas. | Temuan ini dihasilkan jika kebijakan yang dikelola pelanggan dengan nama yang diawali di AWS namespace dilampirkan ke peran. Untuk mengatasinya, hapus kebijakan dari **ManagedPolicyArn**daftar peran tersebut. | 
| Customer\$1deny\$1policy tidak dapat dilepaskan dari peran. Sertakan kebijakan ARN dalam daftar kebijakan yang dikelola. ARNs | Temuan ini dihasilkan jika terlepas dari peran selama pembaruan. `customer_deny_policy` Untuk mengatasi ini, tambahkan `customer_deny_policy` ke **ManagedPolicyArns**bidang peran dan coba lagi. | 
| Kebijakan yang dikelola pelanggan disediakan di luar layanan AMS Change Management atau tanpa validasi sebelumnya. | Temuan ini dihasilkan jika satu atau lebih kebijakan yang dikelola pelanggan ARNs yang ada dilampirkan pada suatu peran dan kebijakan tidak disediakan melalui layanan AMS Change Management (melalui RFC). Misalnya, Mode Pengembang atau Mode Perubahan Langsung memungkinkan pelanggan untuk menyediakan kebijakan IAM tanpa RFC. Untuk mengatasinya, hapus kebijakan terkelola pelanggan ARNs dari **ManagedPolicyArns**daftar peran tersebut. | 
| Jumlah kebijakan terkelola yang diberikan ARNs melebihi kebijakan terlampir per kuota peran. | Temuan ini dihasilkan jika jumlah total kebijakan terkelola yang melekat pada peran melebihi kuota kebijakan per peran. Untuk informasi selengkapnya tentang kuota IAM, lihat [kuota IAM dan AWS STS, persyaratan nama,](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html) dan batas karakter. Gunakan informasi ini untuk mengurangi jumlah kebijakan yang Anda lampirkan pada peran tersebut. | 
| Ukuran kebijakan kepercayaan (\$1trust\$1policy\$1) melebihi kuota ukuran kebijakan peran dari \$1size\$1. | Temuan ini dihasilkan jika ukuran dokumen kebijakan peran asumsi melebihi kuota ukuran kebijakan. Untuk informasi selengkapnya tentang kuota IAM, lihat [kuota IAM dan AWS STS, persyaratan nama,](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html) dan batas karakter. | 
| Pernyataan berisi semua tindakan mutatif untuk Amazon S3. Pertimbangkan untuk melingkupi izin ini hanya untuk tindakan yang diperlukan. Jika kartu liar digunakan, pastikan mereka mencakup serangkaian tindakan mutatif yang terbatas. | Temuan ini dihasilkan jika kebijakan yang diberikan memberikan semua izin mutatif Amazon Simple Storage Service terlepas dari satu atau beberapa sumber daya. Untuk mengatasinya, sertakan hanya tindakan mutatif Amazon S3 yang diperlukan terhadap bucket Anda. | 
| Pernyataan berisi tindakan istimewa yang tidak diizinkan terhadap bucket apa pun di Amazon S3. Pertimbangkan untuk menambahkan pernyataan yang menyangkal tindakan ini. | Temuan ini dihasilkan jika kebijakan memberikan tindakan istimewa pada ember apa pun. Untuk daftar tindakan istimewa, lihat [Pemeriksaan batas izin Penyediaan IAM Otomatis AMS](aip-runtime-checks-perm-boundary.md) Untuk menyelesaikan temuan ini, hapus, atau tolak tindakan ini dalam kebijakan Anda. | 
| Pernyataan berisi tindakan istimewa yang tidak dicakup ke bucket Anda di Amazon S3. Pertimbangkan untuk menyertakan bucket Anda atau mengecualikan bucket dengan awalan namespace AMS. Jika kartu liar digunakan, pastikan kartu tersebut cocok dengan ember di ruang nama Anda. | Temuan ini dihasilkan jika kebijakan memberikan tindakan Amazon S3 yang tidak tercakup ke bucket Anda saja. Ini sering terjadi jika kartu liar digunakan saat menentukan sumber daya bucket. Untuk mengatasinya, tentukan nama bucket atau ARNs yang Anda miliki atau kecualikan bucket yang memiliki awalan namespace AMS. | 
| Pernyataan berisi tindakan istimewa yang tidak dicakup ke bucket Anda di Amazon S3. Pertimbangkan untuk menghindari penggunaan kartu liar (\$1) yang mencakup semua ember di akun. | Temuan ini dihasilkan jika kebijakan memberikan tindakan Amazon S3 yang tidak tercakup dalam bucket Anda. Ini sering terjadi jika kartu liar digunakan saat menentukan sumber daya bucket. Untuk mengatasinya, tentukan nama bucket atau ARNs yang Anda miliki atau kecualikan bucket yang memiliki awalan namespace AMS. | 
| Pernyataan berisi wildcard sumber daya yang dicakup ke semua bucket Amazon S3, termasuk bucket dan bucket yang tidak ada yang tidak Anda miliki. Pertimbangkan untuk melingkupi izin menggunakan kunci kondisi dan `s3:ResourceAccount` kondisi. | Temuan ini dihasilkan jika kebijakan memberikan izin ke ember yang ditentukan menggunakan kartu liar. Penggunaan kartu liar sering kali membawa ember yang tidak ada atau non-pemilik dalam ruang lingkup. Untuk mengatasi hal ini, gunakan kondisi dan kunci `aws:ResourceAccount` kondisi untuk cakupan izin ke bucket dalam akun saat ini saja. Untuk detail selengkapnya, lihat [Batasi akses ke bucket Amazon S3 yang dimiliki oleh](https://aws.amazon.com/blogs/storage/limit-access-to-amazon-s3-buckets-owned-by-specific-aws-accounts/) akun tertentu. AWS  | 
| Pernyataan berisi elemen `NotResource` kebijakan, yang dapat dicakup ke sejumlah besar ember, termasuk ember dan ember yang tidak ada yang tidak Anda miliki. Pertimbangkan untuk melingkupi izin menggunakan kunci kondisi dan `s3:ResourceAccount` kondisi. | Temuan ini dihasilkan jika kebijakan menggunakan elemen `NotResources` kebijakan untuk menentukan sumber daya bucket. Penggunaan `NotResource` elemen mungkin mencakup sejumlah besar ember, termasuk ember yang tidak ada atau non-pemilik. Untuk mengatasi hal ini, gunakan kondisi dan kunci `aws:ResourceAccount` kondisi untuk cakupan izin ke bucket hanya dalam akun saat ini. | 
| Pernyataan berisi tindakan Amazon S3 ke bucket *Bucket\$1Name* yang tidak ada, tidak dimiliki oleh akun*Account\$1ID*, atau nama berisi kartu liar yang mungkin dicakup ke sejumlah besar ember, termasuk ember dan ember yang tidak ada yang tidak Anda miliki. Pertimbangkan untuk melingkupi izin menggunakan kondisi dan kunci kondisi `s3:ResourceAccount` | Temuan ini dihasilkan jika kebijakan memberikan izin ke ember yang tidak ada, tidak dimiliki oleh Anda, atau memiliki kartu liar dalam nama ember yang mencakup sejumlah besar ember dan akses tidak dicakup ke akun saat ini saja. Untuk mengatasi hal ini, gunakan kondisi dan kunci `aws:ResourceAccount` kondisi untuk cakupan izin ke bucket dalam akun saat ini saja. | 
| Pernyataan berisi tindakan Amazon S3 ke bucket *Bucket\$1Name* yang tidak ada, tidak dimiliki oleh akun*Account\$1ID*, atau namanya berisi kartu liar yang mungkin dicakup ke sejumlah besar ember, termasuk ember dan ember yang tidak ada yang tidak Anda miliki. Akses tidak dibatasi menggunakan `s3:ResourceAccount` atau akun sumber daya tertentu dalam kondisi bukan milik Anda. | Temuan ini dihasilkan jika kebijakan memberikan izin ke ember yang tidak ada, tidak dimiliki oleh Anda, atau memiliki kartu liar dalam nama ember yang mencakup sejumlah besar ember dan akses hanya dicakup ke akun tertentu. Namun, akun yang ditentukan dalam kunci `aws:ResourceAccount` kondisi bukan milik Anda dan dikelola oleh AMS. Untuk mengatasinya, perbarui kunci `aws:ResourceAccount` kondisi dan atur ID akun yang sesuai yang Anda miliki dan dikelola oleh AMS. | 
| Pernyataan berisi tindakan istimewa yang tidak dicakup untuk instans Anda untuk Amazon EC2. Pertimbangkan untuk melingkupi tindakan ke instance tertentu ARNs atau mengecualikan instance yang memiliki kunci tag Nama dengan nilai di awalan namespace AMS. Jika kartu liar digunakan, pastikan mereka cocok dengan ruang nama yang Anda miliki. | Temuan ini dihasilkan jika kebijakan memberikan tindakan istimewa terhadap instans Amazon EC2 yang dimiliki AMS. Instance AMS ditandai dengan kunci tag **Nama** dengan nilai di namespace AMS. Untuk mengatasi hal ini, tentukan resource Anda atau kecualikan instance AMS dengan kondisi yang memiliki `aws:ResourceTag/Name` kunci yang mengecualikan nilai dalam namespace AMS menggunakan operator `StringNotLike` | 
| Pernyataan berisi tindakan istimewa yang tidak dicakup ke sumber daya Anda di AWS Systems Manager penyimpanan parameter. Pertimbangkan untuk menentukan ARNs parameter Anda atau mengecualikan parameter dengan awalan namespace AMS. Jika kartu liar digunakan, pastikan mereka hanya mencakup parameter Anda. | Temuan ini dihasilkan jika kebijakan memberikan izin ke parameter yang tidak Anda miliki. Ini biasanya ketika kartu liar digunakan atau parameter dengan awalan namespace AMS terdaftar di bawah sumber daya dalam pernyataan kebijakan. Untuk mengatasinya, tentukan parameter yang ada di dalam namespace Anda atau kecualikan parameter AMS dengan pernyataan penolakan. | 
| Pernyataan berisi tindakan istimewa terhadap sumber daya di AWS Systems Manager. Pertimbangkan untuk mencantumkan izin untuk hanya membaca tindakan atau tindakan terhadap sumber daya Anda. | Temuan ini dihasilkan jika kebijakan memberikan izin selain penyimpanan parameter atau tindakan hanya-baca terhadap sumber daya Systems Manager. Untuk mengatasi temuan ini, kurangi izin untuk tindakan hanya-baca atau penyimpanan parameter saja. | 
| Pernyataan berisi tindakan istimewa yang tidak dicakup ke \$1message\$1 *Service\$1Name* yang Anda miliki. Pertimbangkan untuk mencakup izin ini ke jenis sumber daya tertentu sebagaimana mestinya atau mengecualikan sumber daya yang dimiliki AMS. Jika kartu liar digunakan, pastikan mereka cocok*Resources*. | Temuan ini dihasilkan jika kebijakan mengizinkan tindakan istimewa yang tidak diberikan terhadap sumber daya Anda, terutama untuk sumber daya bernama. Untuk mengatasi temuan ini, tinjau daftar sumber daya Anda dan lihat apakah daftar tersebut hanya mencakup sumber daya yang ada di ruang nama Anda. Atau kecualikan sumber daya yang ada di namespace AMS. | 
| Pernyataan berisi tindakan penandaan \$1*Service\$1Name*\$1 yang tidak dicakup ke nilai tertentu untuk kunci tag Nama. Pertimbangkan untuk mencatat tindakan ini dengan menyetel kunci `aws:RequestTag/Name` kondisi dengan nilai di namespace Anda atau batasi tindakan ini dengan menyetel kunci `aws:RequestTag/Name` kondisi dengan `StringNotLike` operator dengan nilai di awalan namespace AMS. | Temuan ini dihasilkan jika kebijakan memberikan izin penandaan untuk layanan tertentu dan izin tidak dicakup ke kunci/nilai tag tertentu. Untuk melihat kunci atau nilai apa yang dapat digunakan dalam tindakan tag, misalnya, saat membuat permintaan untuk melakukan tindakan, gunakan `aws:RequestTag/tag key` kondisi. Jadi, untuk mengatasinya, gunakan kunci kondisi ini untuk membatasi kunci atau nilai di ruang nama Anda. Atau, tolak kunci `Name` tag (`aws:RequestTag/Name`) dengan nilai di namespace AMS. | 
| Kesalahan internal memvalidasi kebijakan kepercayaan peran IAM. | Temuan ini dihasilkan ketika otomatisasi CT mengalami kesalahan dalam melakukan validasi pada kebijakan kepercayaan peran IAM melalui layanan IAM Access Analyzer. Untuk mengatasi ini, kirim ulang RFC. Jika kesalahan berlanjut, hubungi Operasi AMS untuk memecahkan masalah kesalahan. | 
| Kesalahan internal memvalidasi kebijakan terkelola pelanggan. | Temuan ini dihasilkan ketika otomatisasi CT mengalami kesalahan saat melakukan pembatalan pada kebijakan yang dikelola pelanggan melalui layanan IAM Access Analyzer. Untuk mengatasi ini, kirim ulang RFC. Jika kesalahan berlanjut, hubungi Operasi AMS untuk memecahkan masalah kesalahan. | 
| Access analyzer tidak ditemukan di*Wilayah AWS*. Tidak dapat melakukan pemeriksaan pratinjau akses untuk kebijakan kepercayaan peran. | Temuan ini dihasilkan ketika sumber daya IAM Access Analyzer tidak ditemukan di file. Wilayah AWS Hubungi Operasi AMS untuk memecahkan masalah dan membuat sumber daya IAM Access Analyzer di Wilayah AWS. | 
| Kebijakan kepercayaan yang tidak valid untuk peran *Role\$1Name* | Temuan ini dihasilkan bila diberikan peran IAM berisi kebijakan kepercayaan yang tidak valid. Untuk menyelesaikan meninjau kebijakan kepercayaan untuk memverifikasi bahwa itu valid. | 
| IAM Access Analyzer mengalami kesalahan internal. Gagal membuat pratinjau akses untuk peran *Role\$1Name* | Temuan ini dihasilkan ketika otomatisasi menemukan kesalahan saat membuat pratinjau akses untuk peran melalui IAM Access Analyzer. Untuk mengatasi ini, kirim ulang RFC. Jika kesalahan berlanjut, hubungi Operasi AMS untuk memecahkan masalah kesalahan. | 
| Gagal membuat pratinjau akses untuk kebijakan kepercayaan peran *Role\$1Name* | Temuan ini dihasilkan ketika otomatisasi menemukan kesalahan saat membuat pratinjau akses untuk peran melalui IAM Access Analyzer. Untuk mengatasi ini, kirim ulang RFC. Jika kesalahan berlanjut, hubungi Operasi AMS untuk memecahkan masalah kesalahan. | 
| Kesalahan internal memvalidasi SAMP iDP yang terdaftar. | Temuan ini dihasilkan ketika otomatisasi menemukan kesalahan saat memvalidasi SAMP yang disediakan yang IdPs tercantum dalam kebijakan kepercayaan peran. Untuk mengatasi ini, kirim ulang RFC. Jika kesalahan berlanjut, hubungi Operasi AMS untuk memecahkan masalah kesalahan. | 
| Kesalahan internal memvalidasi izin terhadap. AWS Key Management Service | Temuan ini dihasilkan saat otomatisasi mengalami kesalahan saat memvalidasi izin AWS KMS utama dalam kebijakan yang disediakan. Untuk mengatasi ini, kirim ulang RFC. Jika kesalahan berlanjut, hubungi Operasi AMS untuk memecahkan masalah kesalahan. | 
| Kesalahan internal memvalidasi kebijakan ARNs terkelola yang terdaftar. | Temuan ini dihasilkan ketika otomatisasi menemukan kesalahan saat memvalidasi kebijakan terkelola yang terdaftar. ARNs Untuk mengatasi ini, kirim ulang RFC. Jika kesalahan berlanjut, hubungi Operasi AMS untuk memecahkan masalah kesalahan. | 
| Kesalahan internal memvalidasi `customer_deny_policy` lampiran default. | Temuan ini dihasilkan ketika otomatisasi menemukan kesalahan saat memvalidasi bahwa melekat pada peran. `customer_deny_policy` Untuk mengatasi ini, kirim ulang RFC. Jika kesalahan berlanjut, hubungi Operasi AMS untuk memecahkan masalah kesalahan. | 
| Kesalahan internal memvalidasi argumen kebijakan terkelola untuk peran tersebut *Role\$1Name* | Temuan ini dihasilkan ketika otomatisasi menemukan kesalahan saat memvalidasi kebijakan terkelola ARNs untuk peran tersebut. Untuk mengatasi ini, kirim ulang RFC. Jika kesalahan berlanjut, hubungi Operasi AMS untuk memecahkan masalah kesalahan. | 
| Kesalahan internal memvalidasi *Policy\$1name* terhadap kebijakan batas yang ditentukan pelanggan `AWSManagedServicesIAMProvisionCustomerBoundaryPolicy` | Temuan ini dihasilkan ketika otomatisasi mengalami kesalahan saat memvalidasi kebijakan yang membuat daftar penolakan kustom Anda. Untuk mengatasi ini, kirim ulang RFC. Jika kesalahan berlanjut, hubungi Operasi AMS untuk memecahkan masalah kesalahan. | 
| Kebijakan batas yang ditentukan pelanggan `AWSManagedServicesIAMProvisionCustomerBoundaryPolicy` ada di akun. Namun, kebijakan tersebut berisi pernyataan allow yang memberikan izin. Kebijakan hanya boleh berisi pernyataan penolakan. | Temuan ini dihasilkan ketika kebijakan yang berisi daftar penolakan kustom Anda menyertakan pernyataan yang memberikan izin. Meskipun daftar penolakan kustom ada di dalam akun Anda sebagai kebijakan yang dikelola IAM, itu tidak dapat digunakan untuk manajemen izin. Kebijakan hanya boleh berisi pernyataan penolakan yang menunjukkan bahwa Anda ingin Penyediaan IAM Otomatis AMS memvalidasi dan menolak tindakan tersebut dalam kebijakan IAM Anda yang dibuat oleh Penyediaan IAM Otomatis AMS. | 
| Pernyataan berisi tindakan istimewa yang ditentukan oleh organisasi Anda untuk*Service\$1Name*. Pertimbangkan untuk mengecualikan tindakan ini dengan pernyataan penolakan. Lihat kebijakan yang disebutkan di akun Anda untuk referensi ke daftar tindakan yang dibatasi. | Temuan ini dihasilkan ketika otomatisasi mendeteksi tindakan apa pun dalam kebijakan Anda yang Anda tetapkan dalam daftar penolakan khusus. Untuk menyelesaikan temuan, tinjau pernyataan kebijakan Anda dan hapus tindakan apa pun yang ditentukan dalam daftar penolakan kustom Anda atau tambahkan pernyataan penolakan yang menyangkal tindakan tersebut. | 
| Peran itu harus *POLICY\$1ARN* melekat. Sertakan kebijakan ARN dalam daftar kebijakan yang dikelola. ARNs | Temuan ini dihasilkan jika peran yang Anda buat tidak *POLICY\$1ARN* melekat padanya. Untuk mengatasi ini, sertakan *POLICY\$1ARN* di **ManagedPolicyArns**bidang peran dan coba lagi. | 
| Tidak *POLICY\$1ARN* bisa terlepas dari peran. Sertakan kebijakan ARN dalam daftar kebijakan yang dikelola. ARNs | Temuan ini dihasilkan jika terlepas dari peran selama pembaruan. *POLICY\$1ARN* Untuk mengatasi ini, tambahkan *POLICY\$1ARN* ke **ManagedPolicyArns**bidang peran dan coba lagi. | 

# Pemeriksaan batas izin Penyediaan IAM Otomatis AMS
<a name="aip-runtime-checks-perm-boundary"></a>

Pemeriksaan batas izin AMS membantu Anda mematuhi kebijakan batas izin default yang disediakan oleh AMS. Kebijakan ini adalah daftar tindakan yang ditolak oleh AMS Automated IAM Provisioning. Kebijakan penyediaan yang berisi tindakan terbatas ini memerlukan penerimaan risiko eksplisit tambahan. Unduh kebijakan di sini: [boundary-policy.zip](samples/boundary-policy.zip).

Gunakan pemeriksaan kebijakan batas izin yang ditentukan pelanggan untuk menyesuaikan tindakan penolakan di luar default kebijakan batas izin AMS. Saat Anda melakukan onboard ke Penyediaan IAM Otomatis AMS menggunakan jenis perubahan berikut: Manajemen \$1 Akun terkelola \$1 Penyediaan IAM Otomatis AMS dengan izin baca-tulis \$1 [Aktifkan (otomatisasi terkelola) (ct-1706xvvk6j9hf)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-enable-review-required.html), Anda dapat menyertakan daftar tindakan penolakan khusus yang menentukan tindakan tambahan yang dibatasi. 

Anda dapat memperbarui daftar tindakan tolak menggunakan jenis perubahan: Manajemen \$1 Akun terkelola \$1 Penyediaan IAM otomatis dengan izin baca-tulis \$1 [Perbarui daftar penolakan khusus](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-update-custom-deny-list-review-required.html) (ct-2r9xvd3sdsic0). Anda harus menggunakan peran IAM khusus `AWSManagedServicesIAMProvisionAdminRole` untuk menjalankan jenis perubahan ini.

**catatan**  
Anda harus memberikan daftar lengkap tindakan penolakan untuk setiap pembaruan. Daftar sebelumnya diganti dengan daftar baru.
Daftar tindakan penolakan harus berisi hanya tindakan yang harus ditolak. Izinkan tindakan tidak didukung. 
Daftar tindakan penolakan berada di dalam akun sebagai kebijakan terkelola IAM bernama. `AWSManagedServicesIAMProvisionCustomerBoundaryPolicy` Kebijakan tidak boleh dilampirkan pada peran apa pun.
Istilah *batas izin* yang digunakan untuk menunjukkan tindakan yang ditolak dalam Penyediaan IAM Otomatis AMS memiliki arti kontekstual yang berbeda dibandingkan dengan batas izin IAM. Batas izin IAM menetapkan izin maksimum yang dapat diberikan kebijakan saat runtime ke entitas IAM. *Untuk informasi selengkapnya tentang batas izin IAM, lihat [Jenis kebijakan di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policy-types) Pengguna.AWS Identity and Access Management * Batas izin dalam Penyediaan IAM Otomatis AMS mencegah Anda menyediakan kebijakan IAM yang berisi serangkaian izin tertentu, misalnya, daftar tindakan yang ditolak.

# Pemecahan masalah AMS Automated IAM Provisioning fndings dan error
<a name="aip-troubleshooting"></a>

Ada tiga cara Anda mungkin mengalami masalah saat menggunakan Penyediaan IAM Otomatis AMS:
+ Kesalahan RFC: Ini dapat terjadi karena berbagai alasan; misalnya, input yang salah. Untuk informasi selengkapnya, lihat [Memecahkan masalah kesalahan RFC di AMS](rfc-troubleshoot.md).
+ Kesalahan SSM: Ini dapat terjadi karena berbagai alasan; misalnya, pemformatan yang buruk. Untuk informasi selengkapnya, lihat [Pemecahan Masalah Otomasi Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-troubleshooting.html).
+ Temuan pemeriksaan validasi: Ini terjadi ketika salah satu dari banyak pemeriksaan validasi yang menjalankan Penyediaan IAM Otomatis menemukan masalah. Untuk daftar pemeriksaan validasi, dan tindakan yang disarankan untuk diperbaiki, lihat[Pemeriksaan runtime untuk Penyediaan IAM Otomatis AMS di AMS](aip-runtime-checks.md).