Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Buat infrastruktur AD
Pilih tab *Otomatis* untuk membuat infrastruktur Active Directory (AD) dengan templat buat CloudFormation cepat.
Pilih tab *Manual* untuk membuat infrastruktur AD secara manual.
## Otomatis
1. Masuk ke Konsol Manajemen AWS.
1. Buka [CloudFormation Quick Create (region us-east-1](https://us-east-1.console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/create/review?stackName=pcluster-ad&templateURL=https://us-east-1-aws-parallelcluster.s3.amazonaws.com/templates/1-click/ad-integration.yaml)) untuk membuat sumber daya berikut di konsol: CloudFormation
+ VPC dengan dua subnet dan routing untuk akses publik, jika tidak ada VPC yang ditentukan.
+ Sebuah AWS Managed Microsoft AD.
+ Instans Amazon EC2 yang bergabung dengan AD yang dapat Anda gunakan untuk mengelola direktori.
1. Di bagian **Quick create stack** page **Parameters**, masukkan kata sandi untuk parameter berikut:
+ **AdminPassword**
+ **ReadOnlyPassword**
+ **UserPassword**
Catat kata sandi. Anda menggunakannya nanti dalam tutorial ini.
1. Untuk **DomainName**, masukkan **corp.example.com**
1. Untuk **Keypair**, masukkan nama key pair Amazon EC2.
1. Centang kotak untuk mengetahui setiap kemampuan akses di bagian bawah halaman.
1. Pilih **Buat tumpukan**.
1. Setelah CloudFormation tumpukan mencapai `CREATE_COMPLETE` status, pilih tab **Output** dari tumpukan. Catat nama sumber daya keluaran dan IDs karena Anda perlu menggunakannya di langkah selanjutnya. Output memberikan informasi yang diperlukan untuk membuat cluster.
![\[Diagram yang menunjukkan output tumpukan yang dibuat di file. Konsol Manajemen AWS\]](http://docs.aws.amazon.com/id_id/parallelcluster/latest/ug/images/ad-cfn.png)
1. Untuk menyelesaikan latihan[(Opsional) Kelola pengguna dan grup AD](tutorials_05_multi-user-ad-step2.md), Anda memerlukan ID direktori. Pilih **Sumber Daya** dan gulir ke bawah untuk mencatat ID direktori.
1. Lanjutkan di [(Opsional) Kelola pengguna dan grup AD](tutorials_05_multi-user-ad-step2.md) atau[Buat cluster](tutorials_05_multi-user-ad-step3.md).
## Manual
Buat VPC untuk layanan direktori dengan dua subnet di Availability Zone yang berbeda dan file. AWS Managed Microsoft AD
### Buat AD
**catatan**
Direktori dan nama domain adalah`corp.example.com`. Nama pendeknya adalah`CORP`.
Ubah `Admin` kata sandi dalam skrip.
Active Directory (AD) membutuhkan waktu setidaknya 15 menit untuk membuatnya.
Gunakan skrip Python berikut untuk membuat VPC, subnet, dan sumber daya AD di lokal Anda. Wilayah AWS Simpan file ini sebagai `ad.py` dan jalankan.
```
import boto3
import time
from pprint import pprint
vpc_name = "PclusterVPC"
ad_domain = "corp.example.com"
admin_password = "asdfASDF1234"
ec2 = boto3.client("ec2")
ds = boto3.client("ds")
region = boto3.Session().region_name
# Create the VPC, Subnets, IGW, Routes
vpc = ec2.create_vpc(CidrBlock="10.0.0.0/16")["Vpc"]
vpc_id = vpc["VpcId"]
time.sleep(30)
ec2.create_tags(Resources=[vpc_id], Tags=[{"Key": "Name", "Value": vpc_name}])
subnet1 = ec2.create_subnet(VpcId=vpc_id, CidrBlock="10.0.0.0/17", AvailabilityZone=f"{region}a")["Subnet"]
subnet1_id = subnet1["SubnetId"]
time.sleep(30)
ec2.create_tags(Resources=[subnet1_id], Tags=[{"Key": "Name", "Value": f"{vpc_name}/subnet1"}])
ec2.modify_subnet_attribute(SubnetId=subnet1_id, MapPublicIpOnLaunch={"Value": True})
subnet2 = ec2.create_subnet(VpcId=vpc_id, CidrBlock="10.0.128.0/17", AvailabilityZone=f"{region}b")["Subnet"]
subnet2_id = subnet2["SubnetId"]
time.sleep(30)
ec2.create_tags(Resources=[subnet2_id], Tags=[{"Key": "Name", "Value": f"{vpc_name}/subnet2"}])
ec2.modify_subnet_attribute(SubnetId=subnet2_id, MapPublicIpOnLaunch={"Value": True})
igw = ec2.create_internet_gateway()["InternetGateway"]
ec2.attach_internet_gateway(InternetGatewayId=igw["InternetGatewayId"], VpcId=vpc_id)
route_table = ec2.describe_route_tables(Filters=[{"Name": "vpc-id", "Values": [vpc_id]}])["RouteTables"][0]
ec2.create_route(RouteTableId=route_table["RouteTableId"], DestinationCidrBlock="0.0.0.0/0", GatewayId=igw["InternetGatewayId"])
ec2.modify_vpc_attribute(VpcId=vpc_id, EnableDnsSupport={"Value": True})
ec2.modify_vpc_attribute(VpcId=vpc_id, EnableDnsHostnames={"Value": True})
# Create the Active Directory
ad = ds.create_microsoft_ad(
Name=ad_domain,
Password=admin_password,
Description="ParallelCluster AD",
VpcSettings={"VpcId": vpc_id, "SubnetIds": [subnet1_id, subnet2_id]},
Edition="Standard",
)
directory_id = ad["DirectoryId"]
# Wait for completion
print("Waiting for the directory to be created...")
directories = ds.describe_directories(DirectoryIds=[directory_id])["DirectoryDescriptions"]
directory = directories[0]
while directory["Stage"] in {"Requested", "Creating"}:
time.sleep(3)
directories = ds.describe_directories(DirectoryIds=[directory_id])["DirectoryDescriptions"]
directory = directories[0]
dns_ip_addrs = directory["DnsIpAddrs"]
pprint({"directory_id": directory_id,
"vpc_id": vpc_id,
"subnet1_id": subnet1_id,
"subnet2_id": subnet2_id,
"dns_ip_addrs": dns_ip_addrs})
```
Berikut ini adalah contoh output dari script Python.
```
{
"directory_id": "d-abcdef01234567890",
"dns_ip_addrs": ["192.0.2.254", "203.0.113.237"],
"subnet1_id": "subnet-021345abcdef6789",
"subnet2_id": "subnet-1234567890abcdef0",
"vpc_id": "vpc-021345abcdef6789"
}
```
Catat nama sumber daya keluaran dan IDs. Anda menggunakannya di langkah selanjutnya.
Setelah skrip selesai, lanjutkan ke langkah berikutnya.
### Membuat instans Amazon EC2
------
#### [ New Amazon EC2 console ]
1. Masuk ke Konsol Manajemen AWS.
1. Jika Anda tidak memiliki peran dengan kebijakan yang tercantum di langkah 4 terlampir, buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). Jika tidak, lewati ke langkah 5.
1. Buat `ResetUserPassword` kebijakan, ganti konten berwarna merah yang disorot dengan ID, ID Akun, dan ID direktori dari output skrip yang Anda jalankan untuk membuat AD. Wilayah AWS
ResetUserPassword
```
{
"Statement": [
{
"Action": [
"ds:ResetUserPassword"
],
"Resource": "arn:aws:ds:region-id:123456789012:directory/d-abcdef01234567890",
"Effect": "Allow"
}
]
}
```
1. Buat peran IAM dengan kebijakan berikut terlampir.
+ AWS kebijakan terkelola [Amazon SSMManaged InstanceCore](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore)
+ AWS kebijakan terkelola [Amazon SSMDirectory ServiceAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess)
+ ResetUserPassword kebijakan
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Di **Dasbor Amazon EC2**, pilih **Launch** Instance.
1. Di **Gambar Aplikasi dan OS**, pilih AMI Amazon Linux 2 terbaru.
1. Untuk **jenis Instance**, pilih t2.micro.
1. Untuk **Key pair**, pilih key pair.
1. Untuk **pengaturan Jaringan**, pilih **Edit**.
1. Untuk **VPC**, pilih direktori VPC.
1. Gulir ke bawah dan pilih **Detail lanjutan**.
1. Di **Detail lanjutan**, **Domain bergabung direktori**, pilih**corp.example.com**.
1. Untuk **profil Instans IAM**, pilih peran yang Anda buat di langkah 1 atau peran dengan kebijakan yang tercantum di langkah 4 terlampir.
1. Dalam **Ringkasan** pilih **Launch instance**.
1. Catat ID Instance (misalnya, i-1234567890abcdef0) dan tunggu hingga instance selesai diluncurkan.
1. Setelah instance diluncurkan, lanjutkan ke langkah berikutnya.
------
#### [ Old Amazon EC2 console ]
1. Masuk ke Konsol Manajemen AWS.
1. Jika Anda tidak memiliki peran dengan kebijakan yang tercantum di langkah 4 terlampir, buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). Jika tidak, lewati ke langkah 5.
1. Buat `ResetUserPassword` kebijakan. Ganti konten yang disorot merah dengan Wilayah AWS Akun AWS ID, ID, dan ID direktori Anda dari output skrip yang Anda jalankan untuk membuat Active Directory (AD).
ResetUserPassword
```
{
"Statement": [
{
"Action": [
"ds:ResetUserPassword"
],
"Resource": "arn:aws:ds:region-id:123456789012:directory/d-abcdef01234567890",
"Effect": "Allow"
}
]
}
```
1. Buat peran IAM dengan kebijakan berikut terlampir.
+ AWS kebijakan terkelola [Amazon SSMManaged InstanceCore](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore)
+ AWS kebijakan terkelola [Amazon SSMDirectory ServiceAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess)
+ ResetUserPasswordkebijakan
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Di **Dasbor Amazon EC2**, pilih **Launch** Instance.
1. Di **Gambar Aplikasi dan OS**, pilih AMI Amazon Linux 2 terbaru.
1. Untuk **jenis Instance**, piliht2.micro.
1. Untuk **Key pair**, pilih key pair.
1. Di **Pengaturan jaringan**, pilih **Edit**.
1. Di **Pengaturan jaringan**, **VPC**, pilih direktori VPC.
1. Gulir ke bawah dan pilih **Detail lanjutan**.
1. Di **Detail lanjutan**, **Domain bergabung direktori**, pilih**corp.example.com**.
1. Di **Detail lanjutan**, **Profil instans**, pilih peran yang Anda buat di langkah 1 atau peran dengan kebijakan yang tercantum di langkah 4 terlampir.
1. Dalam **Ringkasan** pilih **Launch instance**.
1. Catat ID Instance (misalnya,i-1234567890abcdef0) dan tunggu instance selesai diluncurkan.
1. Setelah instance diluncurkan, lanjutkan ke langkah berikutnya.
------
### Bergabunglah dengan instans Anda ke AD
1.
**Hubungkan ke instans Anda dan bergabunglah dengan ranah AD sebagai`admin`.**
Jalankan perintah berikut untuk terhubung ke instance.
```
$ INSTANCE_ID="i-1234567890abcdef0"
```
```
$ PUBLIC_IP=$(aws ec2 describe-instances \
--instance-ids $INSTANCE_ID \
--query "Reservations[0].Instances[0].PublicIpAddress" \
--output text)
```
```
$ ssh -i ~/.ssh/keys/keypair.pem ec2-user@$PUBLIC_IP
```
1.
**Instal perangkat lunak yang diperlukan dan bergabunglah dengan dunia.**
```
$ sudo yum -y install sssd realmd oddjob oddjob-mkhomedir adcli samba-common samba-common-tools krb5-workstation openldap-clients policycoreutils-python
```
1.
**Ganti kata sandi admin dengan `admin` kata sandi Anda.**
```
$ ADMIN_PW="asdfASDF1234"
```
```
$ echo $ADMIN_PW | sudo realm join -U Admin corp.example.com
Password for Admin:
```
Jika sebelumnya telah berhasil, Anda bergabung ke ranah dan dapat melanjutkan ke langkah berikutnya.
### Menambahkan pengguna ke AD
1.
**Buat ReadOnlyUser dan pengguna tambahan.**
Pada langkah ini, Anda menggunakan alat [adcli](https://www.mankier.com/package/adcli) dan [openldap-client](https://www.mankier.com/package/openldap-clients) yang Anda instal pada langkah sebelumnya.
```
$ echo $ADMIN_PW | adcli create-user -x -U Admin --domain=corp.example.com --display-name=ReadOnlyUser ReadOnlyUser
```
```
$ echo $ADMIN_PW | adcli create-user -x -U Admin --domain=corp.example.com --display-name=user000 user000
```
1. **Verifikasi pengguna dibuat:**
Alamat IP DNS direktori adalah output dari skrip Python.
```
$ DIRECTORY_IP="192.0.2.254"
```
```
$ ldapsearch -x -h $DIRECTORY_IP -D Admin -w $ADMIN_PW -b "cn=ReadOnlyUser,ou=Users,ou=CORP,dc=corp,dc=example,dc=com"
```
```
$ ldapsearch -x -h $DIRECTORY_IP -D Admin -w $ADMIN_PW -b "cn=user000,ou=Users,ou=CORP,dc=corp,dc=example,dc=com"
```
Secara default, saat Anda membuat pengguna dengan`ad-cli`, pengguna dinonaktifkan.
1.
****Setel ulang dan aktifkan kata sandi pengguna dari mesin lokal Anda:****
Keluar dari instans Amazon EC2 Anda.
**catatan**
`ro-p@ssw0rd`adalah kata sandi dari`ReadOnlyUser`, diambil dari AWS Secrets Manager.
`user-p@ssw0rd`adalah kata sandi pengguna cluster yang disediakan saat Anda menghubungkan (`ssh`) ke cluster.
`directory-id`Ini adalah output dari skrip Python.
```
$ DIRECTORY_ID="d-abcdef01234567890"
```
```
$ aws ds reset-user-password \
--directory-id $DIRECTORY_ID \
--user-name "ReadOnlyUser" \
--new-password "ro-p@ssw0rd" \
--region "region-id"
```
```
$ aws ds reset-user-password \
--directory-id $DIRECTORY_ID \
--user-name "user000" \
--new-password "user-p@ssw0rd" \
--region "region-id"
```
1. **Tambahkan kata sandi ke rahasia Secrets Manager.**
Sekarang setelah Anda membuat `ReadOnlyUser` dan mengatur kata sandi, simpan dalam rahasia yang AWS ParallelCluster digunakan untuk memvalidasi login.
Gunakan Secrets Manager untuk membuat rahasia baru untuk menyimpan kata sandi `ReadOnlyUser` sebagai nilai. Format nilai rahasia harus berupa teks biasa saja (bukan format JSON). Catat rahasia ARN untuk langkah-langkah masa depan.
```
$ aws secretsmanager create-secret --name "ADSecretPassword" \
--region region_id \
--secret-string "ro-p@ssw0rd" \
--query ARN \
--output text
arn:aws:secretsmanager:region-id:123456789012:secret:ADSecretPassword-1234
```
### LDAPS dengan pengaturan verifikasi sertifikat (disarankan)
Catat sumber daya IDs. Anda menggunakannya dalam langkah-langkah nanti.
1.
**Hasilkan sertifikat domain, secara lokal.**
```
$ PRIVATE_KEY="corp-example-com.key"
CERTIFICATE="corp-example-com.crt"
printf ".\n.\n.\n.\n.\ncorp.example.com\n.\n" | openssl req -x509 -sha256 -nodes -newkey rsa:2048 -keyout $PRIVATE_KEY -days 365 -out $CERTIFICATE
```
1.
**Simpan sertifikat ke Secrets Manager untuk membuatnya dapat diambil dari dalam cluster nanti.**
```
$ aws secretsmanager create-secret --name example-cert \
--secret-string file://$CERTIFICATE \
--region region-id
{
"ARN": "arn:aws:secretsmanager:region-id:123456789012:secret:example-cert-123abc",
"Name": "example-cert",
"VersionId": "14866070-092a-4d5a-bcdd-9219d0566b9c"
}
```
1. Tambahkan kebijakan berikut ke peran IAM yang Anda buat untuk bergabung dengan instans Amazon EC2 ke domain AD.
`PutDomainCertificateSecrets`
```
{
"Statement": [
{
"Action": [
"secretsmanager:PutSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:region-id:123456789012:secret:example-cert-123abc"
],
"Effect": "Allow"
}
]
}
```
1.
**Impor sertifikat ke AWS Certificate Manager (ACM).**
```
$ aws acm import-certificate --certificate fileb://$CERTIFICATE \
--private-key fileb://$PRIVATE_KEY \
--region region-id
{
"CertificateArn": "arn:aws:acm:region-id:123456789012:certificate/343db133-490f-4077-b8d4-3da5bfd89e72"
}
```
1.
**Buat dan penyeimbang beban yang diletakkan di depan titik akhir Active Directory.**
```
$ aws elbv2 create-load-balancer --name CorpExampleCom-NLB \
--type network \
--scheme internal \
--subnets subnet-1234567890abcdef0 subnet-021345abcdef6789 \
--region region-id
{
"LoadBalancers": [
{
"LoadBalancerArn": "arn:aws:elasticloadbalancing:region-id:123456789012:loadbalancer/net/CorpExampleCom-NLB/3afe296bf4ba80d4",
"DNSName": "CorpExampleCom-NLB-3afe296bf4ba80d4.elb.region-id.amazonaws.com",
"CanonicalHostedZoneId": "Z2IFOLAFXWLO4F",
"CreatedTime": "2022-05-05T12:56:55.988000+00:00",
"LoadBalancerName": "CorpExampleCom-NLB",
"Scheme": "internal",
"VpcId": "vpc-021345abcdef6789",
"State": {
"Code": "provisioning"
},
"Type": "network",
"AvailabilityZones": [
{
"ZoneName": "region-idb",
"SubnetId": "subnet-021345abcdef6789",
"LoadBalancerAddresses": []
},
{
"ZoneName": "region-ida",
"SubnetId": "subnet-1234567890abcdef0",
"LoadBalancerAddresses": []
}
],
"IpAddressType": "ipv4"
}
]
}
```
1.
**Buat grup target yang menargetkan titik akhir Active Directory.**
```
$ aws elbv2 create-target-group --name CorpExampleCom-Targets --protocol TCP \
--port 389 \
--target-type ip \
--vpc-id vpc-021345abcdef6789 \
--region region-id
{
"TargetGroups": [
{
"TargetGroupArn": "arn:aws:elasticloadbalancing:region-id:123456789012:targetgroup/CorpExampleCom-Targets/44577c583b695e81",
"TargetGroupName": "CorpExampleCom-Targets",
"Protocol": "TCP",
"Port": 389,
"VpcId": "vpc-021345abcdef6789",
"HealthCheckProtocol": "TCP",
"HealthCheckPort": "traffic-port",
"HealthCheckEnabled": true,
"HealthCheckIntervalSeconds": 30,
"HealthCheckTimeoutSeconds": 10,
"HealthyThresholdCount": 3,
"UnhealthyThresholdCount": 3,
"TargetType": "ip",
"IpAddressType": "ipv4"
}
]
}
```
1.
**Daftarkan titik akhir Active Directory (AD) ke dalam grup target.**
```
$ aws elbv2 register-targets --target-group-arn arn:aws:elasticloadbalancing:region-id:123456789012:targetgroup/CorpExampleCom-Targets/44577c583b695e81 \
--targets Id=192.0.2.254,Port=389 Id=203.0.113.237,Port=389 \
--region region-id
```
1.
**Buat pendengar LB dengan sertifikat.**
```
$ aws elbv2 create-listener --load-balancer-arn arn:aws:elasticloadbalancing:region-id:123456789012:loadbalancer/net/CorpExampleCom-NLB/3afe296bf4ba80d4 \
--protocol TLS \
--port 636 \
--default-actions Type=forward,TargetGroupArn=arn:aws:elasticloadbalancing:region-id:123456789012:targetgroup/CorpExampleCom-Targets/44577c583b695e81 \
--ssl-policy ELBSecurityPolicy-TLS-1-2-2017-01 \
--certificates CertificateArn=arn:aws:acm:region-id:123456789012:certificate/343db133-490f-4077-b8d4-3da5bfd89e72 \
--region region-id
"Listeners": [
{
"ListenerArn": "arn:aws:elasticloadbalancing:region-id:123456789012:listener/net/CorpExampleCom-NLB/3afe296bf4ba80d4/a8f9d97318743d4b",
"LoadBalancerArn": "arn:aws:elasticloadbalancing:region-id:123456789012:loadbalancer/net/CorpExampleCom-NLB/3afe296bf4ba80d4",
"Port": 636,
"Protocol": "TLS",
"Certificates": [
{
"CertificateArn": "arn:aws:acm:region-id:123456789012:certificate/343db133-490f-4077-b8d4-3da5bfd89e72"
}
],
"SslPolicy": "ELBSecurityPolicy-TLS-1-2-2017-01",
"DefaultActions": [
{
"Type": "forward",
"TargetGroupArn": "arn:aws:elasticloadbalancing:region-id:123456789012:targetgroup/CorpExampleCom-Targets/44577c583b695e81",
"ForwardConfig": {
"TargetGroups": [
{
"TargetGroupArn": "arn:aws:elasticloadbalancing:region-id:123456789012:targetgroup/CorpExampleCom-Targets/44577c583b695e81"
}
]
}
}
]
}
]
}
```
1.
**Buat zona yang dihosting untuk membuat domain dapat ditemukan di dalam VPC cluster.**
```
$ aws route53 create-hosted-zone --name corp.example.com \
--vpc VPCRegion=region-id,VPCId=vpc-021345abcdef6789 \
--caller-reference "ParallelCluster AD Tutorial"
{
"Location": "https://route53.amazonaws.com/2013-04-01/hostedzone/Z09020002B5MZQNXMSJUB",
"HostedZone": {
"Id": "/hostedzone/Z09020002B5MZQNXMSJUB",
"Name": "corp.example.com.",
"CallerReference": "ParallelCluster AD Tutorial",
"Config": {
"PrivateZone": true
},
"ResourceRecordSetCount": 2
},
"ChangeInfo": {
"Id": "/change/C05533343BF3IKSORW1TQ",
"Status": "PENDING",
"SubmittedAt": "2022-05-05T13:21:53.863000+00:00"
},
"VPC": {
"VPCRegion": "region-id",
"VPCId": "vpc-021345abcdef6789"
}
}
```
1.
**Buat file yang diberi nama `recordset-change.json` dengan konten berikut. `HostedZoneId`adalah ID zona host kanonik dari penyeimbang beban.**
```
{
"Changes": [
{
"Action": "CREATE",
"ResourceRecordSet": {
"Name": "corp.example.com",
"Type": "A",
"Region": "region-id",
"SetIdentifier": "example-active-directory",
"AliasTarget": {
"HostedZoneId": "Z2IFOLAFXWLO4F",
"DNSName": "CorpExampleCom-NLB-3afe296bf4ba80d4.elb.region-id.amazonaws.com",
"EvaluateTargetHealth": true
}
}
}
]
}
```
1.
**Kirim perubahan recordset ke zona yang dihosting, kali ini menggunakan ID zona yang dihosting.**
```
$ aws route53 change-resource-record-sets --hosted-zone-id Z09020002B5MZQNXMSJUB \
--change-batch file://recordset-change.json
{
"ChangeInfo": {
"Id": "/change/C0137926I56R3GC7XW2Y",
"Status": "PENDING",
"SubmittedAt": "2022-05-05T13:40:36.553000+00:00"
}
}
```
1.
**Buat dokumen kebijakan `policy.json` dengan konten berikut.**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:example-cert-abc123"
],
"Effect": "Allow"
}
]
}
```
------
1.
**Buat dokumen kebijakan yang diberi nama `policy.json` dengan konten berikut.**
```
$ aws iam create-policy --policy-name ReadCertExample \
--policy-document file://policy.json
{
"Policy": {
"PolicyName": "ReadCertExample",
"PolicyId": "ANPAUUXUVBC42VZSI4LDY",
"Arn": "arn:aws:iam::123456789012:policy/ReadCertExample-efg456",
"Path": "/",
"DefaultVersionId": "v1",
"AttachmentCount": 0,
"PermissionsBoundaryUsageCount": 0,
"IsAttachable": true,
"CreateDate": "2022-05-05T13:42:18+00:00",
"UpdateDate": "2022-05-05T13:42:18+00:00"
}
}
```
1. Terus ikuti langkah-langkah di [(Opsional) Kelola pengguna dan grup AD](tutorials_05_multi-user-ad-step2.md) atau[Buat cluster](tutorials_05_multi-user-ad-step3.md).