Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Izin minimum untuk AWS PCS
<a name="security-min-permissions"></a>

Bagian ini menjelaskan izin IAM minimum yang diperlukan untuk identitas IAM (pengguna, grup, atau peran) untuk menggunakan layanan.

**Contents**
+ [Izin minimum untuk menggunakan tindakan API](#security-min-permissions_api)
+ [Izin minimum untuk menggunakan tag](#security-min-permissions_tagging)
+ [Izin minimum untuk mendukung log](#security-min-permissions_logging)
+ [Izin minimum untuk menggunakan Blok Kapasitas](#security-min-permissions_capacity-blocks)
+ [Izin minimum untuk administrator layanan](#security-min-permissions_admin-policy)

## Izin minimum untuk menggunakan tindakan API
<a name="security-min-permissions_api"></a>


| Tindakan API | Izin minimum | Izin tambahan untuk konsol | 
| --- | --- | --- | 
|  CreateCluster  |  <pre>ec2:CreateNetworkInterface,<br />ec2:DescribeVpcs,<br />ec2:DescribeSubnets,<br />ec2:DescribeSecurityGroups, <br />ec2:GetSecurityGroupsForVpc, <br />iam:CreateServiceLinkedRole,<br />secretsmanager:CreateSecret,<br />secretsmanager:TagResource,<br />secretsmanager:RotateSecret,<br />pcs:CreateCluster</pre>  |    | 
|  ListClusters  |  <pre>pcs:ListClusters</pre>  |    | 
|  GetCluster  |  <pre>pcs:GetCluster</pre>  |  <pre>ec2:DescribeSubnets</pre>  | 
|  DeleteCluster  |  <pre>pcs:DeleteCluster</pre>  |    | 
|  CreateComputeNodeGroup  |  <pre>ec2:DescribeVpcs,<br />ec2:DescribeSubnets,<br />ec2:DescribeSecurityGroups,<br />ec2:DescribeLaunchTemplates,<br />ec2:DescribeLaunchTemplateVersions,<br />ec2:DescribeInstanceTypes,<br />ec2:DescribeInstanceTypeOfferings,<br />ec2:RunInstances,<br />ec2:CreateFleet,<br />ec2:CreateTags,<br />iam:PassRole,<br />iam:GetInstanceProfile,<br />pcs:CreateComputeNodeGroup</pre>  |  <pre>iam:ListInstanceProfiles,<br />ec2:DescribeImages,<br />pcs:GetCluster</pre>  | 
|  ListComputerNodeGroups  |  <pre>pcs:ListComputeNodeGroups</pre>  |  <pre>pcs:GetCluster</pre>  | 
|  GetComputeNodeGroup  |  <pre>pcs:GetComputeNodeGroup</pre>  |  <pre>ec2:DescribeSubnets</pre>  | 
|  UpdateComputeNodeGroup  |  <pre>ec2:DescribeVpcs,<br />ec2:DescribeSubnets,<br />ec2:DescribeSecurityGroups,<br />ec2:DescribeLaunchTemplates,<br />ec2:DescribeLaunchTemplateVersions,<br />ec2:DescribeInstanceTypes,<br />ec2:DescribeInstanceTypeOfferings,<br />ec2:RunInstances,<br />ec2:CreateFleet,<br />ec2:CreateTags,<br />iam:PassRole,<br />iam:GetInstanceProfile,<br />pcs:UpdateComputeNodeGroup</pre>  |  <pre>pcs:GetComputeNodeGroup,<br />iam:ListInstanceProfiles,<br />ec2:DescribeImages,<br />pcs:GetCluster</pre>  | 
|  DeleteComputeNodeGroup  |  <pre>pcs:DeleteComputeNodeGroup</pre>  |    | 
|  CreateQueue  |  <pre>pcs:CreateQueue</pre>  |  <pre>pcs:ListComputeNodeGroups,<br />pcs:GetCluster</pre>  | 
|  ListQueues  |  <pre>pcs:ListQueues</pre>  |  <pre>pcs:GetCluster</pre>  | 
|  GetQueue  |  <pre>pcs:GetQueue</pre>  |    | 
|  UpdateQueue  |  <pre>pcs:UpdateQueue</pre>  |  <pre>pcs:ListComputeNodeGroups,<br />pcs:GetQueue</pre>  | 
|  DeleteQueue  |  <pre>pcs:DeleteQueue</pre>  |    | 

## Izin minimum untuk menggunakan tag
<a name="security-min-permissions_tagging"></a>

 Izin berikut diperlukan untuk menggunakan tag dengan sumber daya Anda di AWS PCS. 

```
pcs:ListTagsForResource,
pcs:TagResource,
pcs:UntagResource
```

## Izin minimum untuk mendukung log
<a name="security-min-permissions_logging"></a>

AWS PCS mengirimkan data log ke Amazon CloudWatch Logs (CloudWatch Log). Anda harus memastikan bahwa identitas Anda memiliki izin minimum untuk menggunakan CloudWatch Log. Untuk informasi selengkapnya, lihat [Ringkasan mengelola izin akses ke sumber daya CloudWatch Log Anda](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/iam-access-control-overview-cwl.html) di *Panduan Pengguna Amazon CloudWatch Logs*.

Untuk informasi tentang izin yang diperlukan bagi layanan untuk mengirim CloudWatch log ke Log, lihat [Mengaktifkan logging dari AWS layanan](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-vended-logs-permissions-V2) di *Panduan Pengguna Amazon CloudWatch Logs*.

## Izin minimum untuk menggunakan Blok Kapasitas
<a name="security-min-permissions_capacity-blocks"></a>

Blok Kapasitas Amazon EC2 untuk ML adalah opsi pembelian Amazon EC2 yang memungkinkan Anda membayar di muka untuk memesan instans komputasi akselerasi berbasis GPU dalam rentang tanggal dan waktu tertentu untuk mendukung beban kerja berdurasi pendek. Untuk informasi selengkapnya, lihat [Menggunakan Blok Kapasitas Amazon EC2 untuk ML dengan PCS AWS](capacity-blocks.md).

Anda memilih untuk menggunakan Blok Kapasitas saat membuat atau memperbarui grup node komputasi. Identitas IAM yang Anda gunakan untuk membuat atau memperbarui grup node komputasi harus memiliki izin berikut:

```
ec2:DescribeCapacityReservations
```

## Izin minimum untuk administrator layanan
<a name="security-min-permissions_admin-policy"></a>

Kebijakan IAM berikut menentukan izin minimum yang diperlukan untuk identitas IAM (pengguna, grup, atau peran) untuk mengonfigurasi dan mengelola layanan PCS. AWS 

**catatan**  
Pengguna yang tidak mengonfigurasi dan mengelola layanan tidak memerlukan izin ini. Pengguna yang hanya menjalankan pekerjaan menggunakan shell aman (SSH) untuk terhubung ke cluster. AWS Identity and Access Management (IAM) tidak menangani otentikasi atau otorisasi untuk SSH.

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PCSAccess",
      "Effect": "Allow",
      "Action": [
        "pcs:*"
      ],
      "Resource": "*"
    },
    {
      "Sid": "EC2Access",
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterface",
        "ec2:DescribeImages",
        "ec2:GetSecurityGroupsForVpc",
        "ec2:DescribeSubnets",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeVpcs",
        "ec2:DescribeLaunchTemplates",
        "ec2:DescribeLaunchTemplateVersions",
        "ec2:DescribeInstanceTypes",
        "ec2:DescribeInstanceTypeOfferings",
        "ec2:RunInstances",
        "ec2:CreateFleet",
        "ec2:CreateTags",
        "ec2:DescribeCapacityReservations"
      ],
      "Resource": "*"
    },
    {
      "Sid": "IamInstanceProfile",
      "Effect": "Allow",
      "Action": [
        "iam:GetInstanceProfile"
      ],
      "Resource": "*"
    },
    {
      "Sid": "IamPassRole",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": [
        "arn:aws:iam::*:role/*/AWSPCS*",
        "arn:aws:iam::*:role/AWSPCS*",
        "arn:aws:iam::*:role/aws-pcs/*",
        "arn:aws:iam::*:role/*/aws-pcs/*"
      ],
      "Condition": {
        "StringEquals": {
           "iam:PassedToService": [
             "ec2.amazonaws.com"
           ]
        }
      }
    },
    {
      "Sid": "SLRAccess",
      "Effect": "Allow",
      "Action": [
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": [
        "arn:aws:iam::*:role/aws-service-role/pcs.amazonaws.com/AWSServiceRoleFor*",
        "arn:aws:iam::*:role/aws-service-role/spot.amazonaws.com/AWSServiceRoleFor*"
      ],
      "Condition": {
        "StringLike": {
          "iam:AWSServiceName": [
            "pcs.amazonaws.com",
            "spot.amazonaws.com"
          ]
        }
      }
    },
    {
      "Sid": "AccessKMSKey",
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:Encrypt",
        "kms:GenerateDataKey",
        "kms:CreateGrant",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    {
      "Sid": "SecretManagementAccess",
      "Effect": "Allow",
      "Action": [
        "secretsmanager:CreateSecret",
        "secretsmanager:TagResource",
        "secretsmanager:UpdateSecret",
        "secretsmanager:RotateSecret"
      ],
      "Resource": "*"
    },
    { 
       "Sid": "ServiceLogsDelivery",
       "Effect": "Allow",
       "Action": [
         "pcs:AllowVendedLogDeliveryForResource",
         "logs:PutDeliverySource",
         "logs:PutDeliveryDestination",
         "logs:CreateDelivery"
       ],
       "Resource": "*"
    }
  ]
}
```