Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Keamanan di Penjelajah Sumber Daya AWS
Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.
Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) menjelaskan hal ini sebagai keamanan cloud dan keamanan dalam cloud:
+ **Keamanan cloud** — AWS bertanggung jawab untuk melindungi infrastruktur yang berjalan Layanan AWS di dalamnya AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Auditor pihak ketiga secara teratur menguji dan memverifikasi efektivitas keamanan kami sebagai bagian dari [Program AWS Kepatuhan Program AWS Kepatuhan](https://aws.amazon.com/compliance/programs/) . Untuk mempelajari tentang program kepatuhan yang berlaku untuk Resource Explorer, lihat [Layanan AWS di Cakupan berdasarkan Program Kepatuhan Layanan AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Keamanan di cloud** — Tanggung jawab Anda ditentukan oleh Layanan AWS yang Anda gunakan. Anda juga bertanggung jawab atas faktor lain, yang mencakup kepekaan data Anda, persyaratan perusahaan, serta peraturan perundangan yang berlaku
Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan Penjelajah Sumber Daya AWS. Ini menunjukkan kepada Anda cara mengkonfigurasi Resource Explorer untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga mempelajari cara menggunakan Layanan AWS yang lain yang membantu Anda memantau dan mengamankan sumber daya Resource Explorer Anda.
**Topics**
+ [Tingkatkan IAM kebijakan ke IPv6](arex-security-ipv6-upgrade.md)
+ [Pengelolaan identitas dan akses](security_iam.md)
+ [Perlindungan data](data-protection.md)
+ [Validasi Kepatuhan](compliance-validation.md)
+ [Ketahanan](disaster-recovery-resiliency.md)
+ [Keamanan infrastruktur](infrastructure-security.md)
# Tingkatkan IAM kebijakan ke IPv6
Penjelajah Sumber Daya AWS pelanggan menggunakan IAM kebijakan untuk menetapkan rentang alamat IP yang diizinkan dan mencegah alamat IP apa pun di luar rentang yang dikonfigurasi agar tidak dapat mengakses Resource ExplorerAPIs.
*Sumber daya-penjelajah-2.*region**Domain.api.aws tempat Resource Explorer di-host APIs sedang ditingkatkan untuk mendukung IPv6 sebagai tambahan. IPv4
Kebijakan pemfilteran alamat IP yang tidak diperbarui untuk menangani IPv6 alamat dapat mengakibatkan klien kehilangan akses ke sumber daya pada API domain Resource Explorer.
## Pelanggan terpengaruh oleh peningkatan dari ke IPv4 IPv6
Pelanggan yang menggunakan pengalamatan ganda dengan kebijakan yang berisi *aws: sourceIp* terpengaruh oleh peningkatan ini. Pengalamatan ganda berarti bahwa jaringan mendukung keduanya IPv4 danIPv6.
Jika Anda menggunakan pengalamatan ganda, Anda harus memperbarui IAM kebijakan yang saat ini dikonfigurasi dengan alamat IPv4 format untuk menyertakan alamat IPv6 format.
Untuk bantuan terkait masalah akses, hubungi [Dukungan](https://support.console.aws.amazon.com/support/home/?nc1=f_dr#/case/create).
**catatan**
Pelanggan berikut *tidak* terpengaruh oleh peningkatan ini:
Pelanggan yang *hanya* berada di IPv4 jaringan.
Pelanggan yang *hanya* berada di IPv6 jaringan.
## Apa yang dimaksud dengan IPv6?
IPv6adalah standar IP generasi berikutnya yang dimaksudkan untuk akhirnya menggantikanIPv4. Versi sebelumnya,IPv4, menggunakan skema pengalamatan 32-bit untuk mendukung 4,3 miliar perangkat. IPv6Sebaliknya menggunakan pengalamatan 128-bit untuk mendukung sekitar 340 triliun triliun triliun (atau 2 hingga daya 128) perangkat.
```
2001:cdba:0000:0000:0000:0000:3257:9652
2001:cdba:0:0:0:0:3257:9652
2001:cdba::3257:965
```
## Memperbarui IAM kebijakan untuk IPv6
IAMkebijakan saat ini digunakan untuk menetapkan rentang alamat IP yang diizinkan menggunakan `aws:SourceIp` filter.
Pengalamatan ganda mendukung keduanya IPv4 dan IPV6 lalu lintas. Jika jaringan Anda menggunakan pengalamatan ganda, Anda harus memastikan bahwa setiap IAM kebijakan yang digunakan untuk pemfilteran alamat IP diperbarui untuk menyertakan IPv6 rentang alamat.
Misalnya, kebijakan bucket Amazon S3 ini mengidentifikasi rentang IPv4 alamat yang diizinkan `192.0.2.0.*` dan elemen`203.0.113.0.*`. `Condition`
```
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NotIpAddress": {
"*aws:SourceIp*": [
"*192.0.2.0/24*",
"*203.0.113.0/24*"
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
}
}
```
Untuk memperbarui kebijakan ini, `Condition` elemen kebijakan diperbarui untuk menyertakan rentang IPv6 alamat `2001:DB8:1234:5678::/64` dan`2001:cdba:3257:8593::/64`.
**catatan**
LAKUKAN IPv4 alamat NOT REMOVE yang ada karena diperlukan untuk kompatibilitas mundur.
```
"Condition": {
"NotIpAddress": {
"*aws:SourceIp*": [
"*192.0.2.0/24*", <>
"*203.0.113.0/24*", <>
"*2001:DB8:1234:5678::/64*", <>
"*2001:cdba:3257:8593::/64*" <>
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
```
Untuk informasi selengkapnya tentang mengelola izin akses denganIAM, lihat [Kebijakan terkelola dan kebijakan sebaris](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html) di *AWS Identity and Access Management Panduan Pengguna*.
## Verifikasi klien Anda dapat mendukung IPv6
Pelanggan menggunakan *resource-explorer-2. Endpoint \$1region\$1 .api.aws* disarankan untuk memverifikasi apakah klien mereka dapat mengakses Layanan AWS Endpoint lain yang sudah diaktifkan. IPv6 Langkah-langkah berikut menjelaskan cara memverifikasi titik akhir tersebut.
*Contoh ini menggunakan Linux dan curl versi 8.6.0 dan menggunakan [titik akhir layanan Amazon Athena yang telah IPv6 mengaktifkan titik akhir](https://docs.aws.amazon.com/general/latest/gr/athena.html) yang terletak di domain api.aws.*
**catatan**
Beralih Wilayah AWS ke Wilayah yang sama di mana klien berada. Dalam contoh ini, kita menggunakan US East (N. Virginia) — `us-east-1` endpoint.
1. Tentukan apakah titik akhir menyelesaikan dengan IPv6 alamat menggunakan perintah curl berikut.
```
dig +short AAAA athena.us-east-1.api.aws
2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6
2600:1f18:e2f:4e03:4a1e:83b0:8823:4ce5
2600:1f18:e2f:4e04:34c3:6e9a:2b0d:dc79
```
1. Tentukan apakah jaringan klien dapat membuat koneksi menggunakan IPv6 menggunakan perintah curl berikut.
```
curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws
remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6
response code: 404
```
Jika IP jarak jauh diidentifikasi **dan** kode respons tidak`0`, koneksi jaringan berhasil dibuat ke titik akhir menggunakanIPv6.
Jika IP jarak jauh kosong atau kode responsnya`0`, jaringan klien atau jalur jaringan ke titik akhir adalah IPv4 -only. Anda dapat memverifikasi konfigurasi ini dengan perintah curl berikut.
```
curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws
remote ip: 3.210.103.49
response code: 404
```
Jika IP jarak jauh diidentifikasi **dan** kode respons tidak`0`, koneksi jaringan berhasil dibuat ke titik akhir menggunakanIPv4. IP jarak jauh harus menjadi IPv4 alamat karena sistem operasi harus memilih protokol yang valid untuk klien. Jika IP jarak jauh bukan IPv4 alamat, gunakan perintah berikut untuk memaksa curl untuk digunakanIPv4.
```
curl --ipv4 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws
remote ip: 35.170.237.34
response code: 404
```
# Identitas dan manajemen akses untuk Penjelajah Sumber Daya AWS
AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. IAMadministrator mengontrol siapa yang dapat *diautentikasi* (masuk) dan *diberi wewenang* (memiliki izin) untuk menggunakan sumber daya Resource Explorer. IAMadalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.
**Topics**
+ [Audiens](#security_iam_audience)
+ [Mengautentikasi dengan identitas](#security_iam_authentication)
+ [Mengelola akses menggunakan kebijakan](#security_iam_access-manage)
+ [Bagaimana Resource Explorer bekerja dengan IAM](security_iam_service-with-iam.md)
+ [Contoh kebijakan berbasis identitas Penjelajah Sumber Daya AWS](security_iam_id-based-policy-examples.md)
+ [Contoh kebijakan kontrol layanan untuk AWS Organizations dan Resource Explorer](security_iam_scp.md)
+ [AWS kebijakan terkelola untuk Penjelajah Sumber Daya AWS](security_iam_awsmanpol.md)
+ [Menggunakan peran terkait layanan untuk Resource Explorer](security_iam_service-linked-roles.md)
+ [Izin pemecahan masalah Penjelajah Sumber Daya AWS](security_iam_troubleshoot.md)
## Audiens
Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda, tergantung pada pekerjaan yang Anda lakukan di Resource Explorer.
**Pengguna layanan** — Jika Anda menggunakan layanan Resource Explorer untuk melakukan pekerjaan Anda, administrator Anda memberi Anda kredensi dan izin yang Anda butuhkan. Saat Anda menggunakan lebih banyak fitur Resource Explorer untuk melakukan pekerjaan Anda, Anda mungkin memerlukan izin tambahan. Memahami cara akses dikelola dapat membantu Anda meminta izin yang tepat dari administrator Anda. Jika Anda tidak dapat mengakses fitur di Resource Explorer, lihat[Izin pemecahan masalah Penjelajah Sumber Daya AWS](security_iam_troubleshoot.md).
**Administrator layanan** — Jika Anda bertanggung jawab atas sumber daya Resource Explorer di perusahaan Anda, Anda mungkin memiliki akses penuh ke Resource Explorer. Tugas Anda adalah menentukan fitur dan sumber daya Resource Explorer mana yang harus diakses pengguna layanan Anda. Anda kemudian harus mengirimkan permintaan ke IAM administrator Anda untuk mengubah izin pengguna layanan Anda. Tinjau informasi di halaman ini untuk memahami konsep dasarIAM. Untuk mempelajari selengkapnya tentang cara perusahaan Anda dapat menggunakan IAM Resource Explorer, lihat[Bagaimana Resource Explorer bekerja dengan IAM](security_iam_service-with-iam.md).
**IAMadministrator** - Jika Anda seorang IAM administrator, Anda mungkin ingin mempelajari detail tentang cara menulis kebijakan untuk mengelola akses ke Resource Explorer. Untuk melihat contoh kebijakan berbasis identitas Resource Explorer yang dapat Anda gunakan, lihat. IAM [Contoh kebijakan berbasis identitas Penjelajah Sumber Daya AWS](security_iam_id-based-policy-examples.md)
## Mengautentikasi dengan identitas
Otentikasi adalah cara Anda masuk AWS menggunakan kredensi identitas Anda. Anda harus *diautentikasi* (masuk ke AWS) sebagai Pengguna root akun AWS, sebagai IAM pengguna, atau dengan mengambil peranIAM.
Anda dapat masuk AWS sebagai identitas federasi dengan menggunakan kredensi yang disediakan melalui sumber identitas. AWS IAM Identity Center Pengguna (Pusat IAM Identitas), autentikasi masuk tunggal perusahaan Anda, dan kredensi Google atau Facebook Anda adalah contoh identitas federasi. Saat Anda masuk sebagai identitas federasi, administrator Anda sebelumnya menyiapkan federasi identitas menggunakan IAM peran. Ketika Anda mengakses AWS dengan menggunakan federasi, Anda secara tidak langsung mengambil peran.
Bergantung pada jenis pengguna Anda, Anda dapat masuk ke Konsol Manajemen AWS atau portal AWS akses. Untuk informasi selengkapnya tentang masuk AWS, lihat [Cara masuk ke *Panduan AWS Sign-In Pengguna* Anda Akun AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html).
Jika Anda mengakses AWS secara terprogram, AWS sediakan kit pengembangan perangkat lunak (SDK) dan antarmuka baris perintah (CLI) untuk menandatangani permintaan Anda secara kriptografis dengan menggunakan kredensil Anda. Jika Anda tidak menggunakan AWS alat, Anda harus menandatangani permintaan sendiri. Untuk informasi selengkapnya tentang menggunakan metode yang disarankan untuk menandatangani permintaan sendiri, lihat [Menandatangani AWS API permintaan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-signing.html) di *Panduan IAM Pengguna*.
Apa pun metode autentikasi yang digunakan, Anda mungkin diminta untuk menyediakan informasi keamanan tambahan. Misalnya, AWS merekomendasikan agar Anda menggunakan otentikasi multi-faktor (MFA) untuk meningkatkan keamanan akun Anda. *Untuk mempelajari lebih lanjut, lihat [Autentikasi multi-faktor](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-mfa.html) di *Panduan AWS IAM Identity Center Pengguna* dan [Menggunakan otentikasi multi-faktor (MFA) AWS di](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) Panduan Pengguna. IAM*
### Akun AWS pengguna root
Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya di akun. Identitas ini disebut *pengguna Akun AWS root* dan diakses dengan masuk dengan alamat email dan kata sandi yang Anda gunakan untuk membuat akun. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Lindungi kredensial pengguna root Anda dan gunakan kredensial tersebut untuk melakukan tugas yang hanya dapat dilakukan pengguna root. Untuk daftar lengkap tugas yang mengharuskan Anda masuk sebagai pengguna root, lihat [Tugas yang memerlukan kredensi pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) di *IAMPanduan Pengguna*.
### Pengguna dan grup
*[IAMPengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* adalah identitas dalam diri Anda Akun AWS yang memiliki izin khusus untuk satu orang atau aplikasi. Jika memungkinkan, sebaiknya mengandalkan kredensi sementara daripada membuat IAM pengguna yang memiliki kredensi jangka panjang seperti kata sandi dan kunci akses. Namun, jika Anda memiliki kasus penggunaan khusus yang memerlukan kredensil jangka panjang dengan IAM pengguna, kami sarankan Anda memutar kunci akses. Untuk informasi selengkapnya, lihat [Memutar kunci akses secara teratur untuk kasus penggunaan yang memerlukan kredensi jangka panjang](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials) di *IAMPanduan Pengguna*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) adalah identitas yang menentukan kumpulan IAM pengguna. Anda tidak dapat masuk sebagai grup. Anda dapat menggunakan grup untuk menentukan izin bagi beberapa pengguna sekaligus. Grup mempermudah manajemen izin untuk sejumlah besar pengguna sekaligus. Misalnya, Anda dapat memiliki grup bernama *IAMAdmins*dan memberikan izin grup tersebut untuk mengelola sumber dayaIAM.
Pengguna berbeda dari peran. Pengguna secara unik terkait dengan satu orang atau aplikasi, tetapi peran dimaksudkan untuk dapat digunakan oleh siapa pun yang membutuhkannya. Pengguna memiliki kredensial jangka panjang permanen, tetapi peran memberikan kredensial sementara. Untuk mempelajari lebih lanjut, lihat [Kapan membuat IAM pengguna (bukan peran)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose) di *Panduan IAM Pengguna*.
### Peran
*[IAMPeran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* adalah identitas dalam diri Anda Akun AWS yang memiliki izin khusus. Ini mirip dengan IAM pengguna, tetapi tidak terkait dengan orang tertentu. Anda dapat mengambil IAM peran sementara Konsol Manajemen AWS dengan [beralih peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html). Anda dapat mengambil peran dengan memanggil AWS CLI atau AWS API operasi atau dengan menggunakan kustomURL. Untuk informasi selengkapnya tentang metode penggunaan peran, lihat [Metode untuk mengambil peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dalam *Panduan IAM Pengguna*.
IAMperan dengan kredensi sementara berguna dalam situasi berikut:
+ **Akses pengguna terfederasi** – Untuk menetapkan izin ke identitas terfederasi, Anda membuat peran dan menentukan izin untuk peran tersebut. Ketika identitas terfederasi mengautentikasi, identitas tersebut terhubung dengan peran dan diberi izin yang ditentukan oleh peran. Untuk informasi tentang peran untuk federasi, lihat [Membuat peran untuk Penyedia Identitas pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html) di *Panduan IAM Pengguna*. Jika Anda menggunakan Pusat IAM Identitas, Anda mengonfigurasi set izin. Untuk mengontrol apa yang dapat diakses identitas Anda setelah diautentikasi, Pusat IAM Identitas menghubungkan izin yang disetel ke peran. IAM Untuk informasi tentang set izin, lihat [Set izin](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) dalam *Panduan Pengguna AWS IAM Identity Center *.
+ **Izin IAM pengguna sementara** — IAM Pengguna atau peran dapat mengambil IAM peran untuk sementara mengambil izin yang berbeda untuk tugas tertentu.
+ **Akses lintas akun** — Anda dapat menggunakan IAM peran untuk memungkinkan seseorang (prinsipal tepercaya) di akun lain mengakses sumber daya di akun Anda. Peran adalah cara utama untuk memberikan akses lintas akun. Namun, dengan beberapa Layanan AWS, Anda dapat melampirkan kebijakan secara langsung ke sumber daya (alih-alih menggunakan peran sebagai proxy). *Untuk mempelajari perbedaan antara peran dan kebijakan berbasis sumber daya untuk akses lintas akun, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) Panduan Pengguna. IAM*
+ **Akses lintas layanan** — Beberapa Layanan AWS menggunakan fitur lain Layanan AWS. Misalnya, saat Anda melakukan panggilan dalam suatu layanan, biasanya layanan tersebut menjalankan aplikasi di Amazon EC2 atau menyimpan objek di Amazon S3. Sebuah layanan mungkin melakukannya menggunakan izin prinsipal yang memanggil, menggunakan peran layanan, atau peran terkait layanan.
+ **Sesi akses teruskan (FAS)** — Saat Anda menggunakan IAM pengguna atau peran untuk melakukan tindakan AWS, Anda dianggap sebagai prinsipal. Ketika Anda menggunakan beberapa layanan, Anda mungkin melakukan sebuah tindakan yang kemudian menginisiasi tindakan lain di layanan yang berbeda. FASmenggunakan izin dari pemanggilan utama Layanan AWS, dikombinasikan dengan permintaan Layanan AWS untuk membuat permintaan ke layanan hilir. FASPermintaan hanya dibuat ketika layanan menerima permintaan yang memerlukan interaksi dengan orang lain Layanan AWS atau sumber daya untuk menyelesaikannya. Dalam hal ini, Anda harus memiliki izin untuk melakukan kedua tindakan tersebut. Untuk detail kebijakan saat membuat FAS permintaan, lihat [Meneruskan sesi akses](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
+ **Peran layanan** — Peran layanan adalah [IAMperan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) yang diasumsikan layanan untuk melakukan tindakan atas nama Anda. IAMAdministrator dapat membuat, memodifikasi, dan menghapus peran layanan dari dalamIAM. Untuk informasi selengkapnya, lihat [Membuat peran untuk mendelegasikan izin ke Layanan AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dalam *IAMPanduan Pengguna*.
+ **Peran terkait layanan — Peran** terkait layanan adalah jenis peran layanan yang ditautkan ke. Layanan AWS Layanan tersebut dapat menjalankan peran untuk melakukan tindakan atas nama Anda. Peran terkait layanan muncul di Anda Akun AWS dan dimiliki oleh layanan. IAMAdministrator dapat melihat, tetapi tidak mengedit izin untuk peran terkait layanan.
+ **Aplikasi yang berjalan di Amazon EC2** — Anda dapat menggunakan IAM peran untuk mengelola kredenal sementara untuk aplikasi yang berjalan pada EC2 instance dan membuat AWS CLI atau AWS API meminta. Ini lebih baik untuk menyimpan kunci akses dalam EC2 instance. Untuk menetapkan AWS peran ke EC2 instance dan membuatnya tersedia untuk semua aplikasinya, Anda membuat profil instance yang dilampirkan ke instance. Profil instance berisi peran dan memungkinkan program yang berjalan pada EC2 instance untuk mendapatkan kredensi sementara. Untuk informasi selengkapnya, lihat [Menggunakan IAM peran untuk memberikan izin ke aplikasi yang berjalan di EC2 instans Amazon](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) di *IAMPanduan Pengguna*.
Untuk mempelajari apakah akan menggunakan IAM peran atau IAM pengguna, lihat [Kapan membuat IAM peran (bukan pengguna)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose_role) di *Panduan IAM Pengguna*.
## Mengelola akses menggunakan kebijakan
Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan adalah objek AWS yang, ketika dikaitkan dengan identitas atau sumber daya, menentukan izinnya. AWS mengevaluasi kebijakan ini ketika prinsipal (pengguna, pengguna root, atau sesi peran) membuat permintaan. Izin dalam kebijakan menentukan apakah permintaan diizinkan atau ditolak. Sebagian besar kebijakan disimpan AWS sebagai JSON dokumen. Untuk informasi selengkapnya tentang struktur dan isi dokumen JSON kebijakan, lihat [Ringkasan JSON kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) di *Panduan IAM Pengguna*.
Administrator dapat menggunakan AWS JSON kebijakan untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **principal** dapat melakukan **tindakan** pada suatu **sumber daya**, dan dalam suatu **syarat**.
Secara default, pengguna dan peran tidak memiliki izin. Untuk memberikan izin kepada pengguna untuk melakukan tindakan pada sumber daya yang mereka butuhkan, IAM administrator dapat membuat IAM kebijakan. Administrator kemudian dapat menambahkan IAM kebijakan ke peran, dan pengguna dapat mengambil peran.
IAMkebijakan menentukan izin untuk tindakan terlepas dari metode yang Anda gunakan untuk melakukan operasi. Misalnya, anggaplah Anda memiliki kebijakan yang mengizinkan tindakan `iam:GetRole`. Pengguna dengan kebijakan itu bisa mendapatkan informasi peran dari Konsol Manajemen AWS, AWS CLI, atau AWS API.
### Kebijakan berbasis identitas
Kebijakan berbasis identitas adalah dokumen kebijakan JSON izin yang dapat dilampirkan ke identitas, seperti pengguna, grup IAM pengguna, atau peran. Kebijakan ini mengontrol jenis tindakan yang dapat dilakukan oleh pengguna dan peran, di sumber daya mana, dan berdasarkan kondisi seperti apa. *Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Membuat IAM kebijakan di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) Pengguna. IAM*
Kebijakan berbasis identitas dapat dikategorikan lebih lanjut sebagai *kebijakan inline* atau *kebijakan yang dikelola*. Kebijakan inline disematkan langsung ke satu pengguna, grup, atau peran. Kebijakan terkelola adalah kebijakan mandiri yang dapat Anda lampirkan ke beberapa pengguna, grup, dan peran dalam. Akun AWS Kebijakan AWS terkelola mencakup kebijakan terkelola dan kebijakan yang dikelola pelanggan. Untuk mempelajari cara memilih antara kebijakan terkelola atau kebijakan sebaris, lihat [Memilih antara kebijakan terkelola dan kebijakan sebaris](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#choosing-managed-or-inline) di *IAMPanduan Pengguna*.
### Kebijakan berbasis sumber daya
Kebijakan berbasis sumber daya adalah dokumen JSON kebijakan yang Anda lampirkan ke sumber daya. *Contoh kebijakan berbasis sumber daya adalah kebijakan *kepercayaan IAM peran dan kebijakan bucket Amazon* S3.* Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Untuk sumber daya tempat kebijakan dilampirkan, kebijakan menentukan tindakan apa yang dapat dilakukan oleh prinsipal tertentu pada sumber daya tersebut dan dalam kondisi apa. Anda harus [menentukan prinsipal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya. Prinsipal dapat mencakup akun, pengguna, peran, pengguna federasi, atau. Layanan AWS
Kebijakan berbasis sumber daya merupakan kebijakan inline yang terletak di layanan tersebut. Anda tidak dapat menggunakan kebijakan AWS terkelola IAM dalam kebijakan berbasis sumber daya.
Penjelajah Sumber Daya AWS tidak mendukung kebijakan berbasis sumber daya.
### Daftar kontrol akses (ACLs)
Access control lists (ACLs) mengontrol prinsipal mana (anggota akun, pengguna, atau peran) yang memiliki izin untuk mengakses sumber daya. ACLsmirip dengan kebijakan berbasis sumber daya, meskipun mereka tidak menggunakan format dokumen kebijakan. JSON
Amazon S3, AWS WAF, dan Amazon VPC adalah contoh layanan yang mendukung. ACLs Untuk mempelajari selengkapnyaACLs, lihat [Ikhtisar daftar kontrol akses (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) di *Panduan Pengembang Layanan Penyimpanan Sederhana Amazon*.
Penjelajah Sumber Daya AWS tidak mendukungACLs.
### Jenis-jenis kebijakan lain
AWS mendukung jenis kebijakan tambahan yang kurang umum. Jenis-jenis kebijakan ini dapat mengatur izin maksimum yang diberikan kepada Anda oleh jenis kebijakan yang lebih umum.
+ **Batas izin** — Batas izin adalah fitur lanjutan tempat Anda menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas (pengguna atau peran). IAM IAM Anda dapat menetapkan batasan izin untuk suatu entitas. Izin yang dihasilkan adalah perpotongan antara kebijakan berbasis identitas milik entitas dan batasan izinnya. Kebijakan berbasis sumber daya yang menentukan pengguna atau peran dalam bidang `Principal` tidak dibatasi oleh batasan izin. Penolakan eksplisit dalam salah satu kebijakan ini akan menggantikan pemberian izin. Untuk informasi selengkapnya tentang batas izin, lihat [Batas izin untuk IAM entitas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) di *IAMPanduan Pengguna*.
+ **Kebijakan kontrol layanan (SCPs)** — SCPs adalah JSON kebijakan yang menentukan izin maksimum untuk organisasi atau unit organisasi (OU) di AWS Organizations. AWS Organizations adalah layanan untuk mengelompokkan dan mengelola secara terpusat beberapa Akun AWS yang dimiliki bisnis Anda. Jika Anda mengaktifkan semua fitur dalam organisasi, Anda dapat menerapkan kebijakan kontrol layanan (SCPs) ke salah satu atau semua akun Anda. SCPMembatasi izin untuk entitas di akun anggota, termasuk masing-masing Pengguna root akun AWS. Untuk informasi selengkapnya tentang Organizations danSCPs, lihat [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) di *Panduan AWS Organizations Pengguna*.
+ **Kebijakan sesi** – Kebijakan sesi adalah kebijakan lanjutan yang Anda berikan sebagai parameter ketika Anda membuat sesi sementara secara programatis untuk peran atau pengguna terfederasi. Izin sesi yang dihasilkan adalah perpotongan antara kebijakan berbasis identitas pengguna atau peran dan kebijakan sesi. Izin juga bisa datang dari kebijakan berbasis sumber daya. Penolakan secara tegas dalam salah satu kebijakan ini membatalkan izin. Untuk informasi selengkapnya, lihat [Kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) di *Panduan IAM Pengguna*.
### Berbagai jenis kebijakan
Ketika beberapa jenis kebijakan berlaku pada suatu permintaan, izin yang dihasilkan lebih rumit untuk dipahami. Untuk mempelajari cara AWS menentukan apakah akan mengizinkan permintaan saat beberapa jenis kebijakan terlibat, lihat [Logika evaluasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) di *Panduan IAM Pengguna*.
# Bagaimana Resource Explorer bekerja dengan IAM
Sebelum Anda menggunakan IAM untuk mengelola akses ke Penjelajah Sumber Daya AWS, Anda harus memahami IAM fitur apa yang tersedia untuk digunakan dengan Resource Explorer. Untuk mendapatkan tampilan tingkat tinggi tentang cara Layanan AWS kerja Resource Explorer dan lainnyaIAM, lihat Layanan AWS cara [kerjanya IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) di *Panduan IAM Pengguna*.
**Topics**
+ [Kebijakan berbasis identitas Resource Explorer](#security_iam_service-with-iam-id-based-policies)
+ [Otorisasi berdasarkan tag Resource Explorer](#security_iam_service-with-iam-tags)
+ [IAMPeran Resource Explorer](#security_iam_service-with-iam-roles)
Seperti yang lainnya Layanan AWS, Resource Explorer memerlukan izin untuk menggunakan operasinya untuk berinteraksi dengan sumber daya Anda. Untuk mencari, pengguna harus memiliki izin untuk mengambil detail tentang tampilan, dan juga untuk mencari menggunakan tampilan. Untuk membuat indeks atau tampilan, atau untuk memodifikasinya atau pengaturan Resource Explorer lainnya, Anda harus memiliki izin tambahan.
Tetapkan kebijakan IAM berbasis identitas yang memberikan izin tersebut kepada prinsipal yang sesuai. IAM Resource Explorer menyediakan [beberapa kebijakan terkelola](security_iam_awsmanpol.md) yang menentukan set izin umum. Anda dapat menetapkan ini ke IAM kepala sekolah Anda.
## Kebijakan berbasis identitas Resource Explorer
Dengan kebijakan IAM berbasis identitas, Anda dapat menentukan tindakan yang diizinkan atau ditolak terhadap sumber daya tertentu dan kondisi di mana tindakan tersebut diizinkan atau ditolak. Resource Explorer mendukung tindakan, sumber daya, dan kunci kondisi tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam JSON kebijakan, lihat [referensi elemen IAM JSON kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) di *Panduan IAM Pengguna*.
### Tindakan
Administrator dapat menggunakan AWS JSON kebijakan untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **principal** dapat melakukan **tindakan** pada suatu **sumber daya**, dan dalam suatu **syarat**.
`Action`Elemen JSON kebijakan menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam kebijakan. Tindakan kebijakan biasanya memiliki nama yang sama dengan AWS API operasi terkait. Ada beberapa pengecualian, seperti *tindakan khusus izin yang* tidak memiliki operasi yang cocok. API Ada juga beberapa operasi yang memerlukan beberapa tindakan dalam suatu kebijakan. Tindakan tambahan ini disebut *tindakan dependen*.
Menyertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.
Tindakan kebijakan di Resource Explorer menggunakan awalan `resource-explorer-2` layanan sebelum tindakan. Misalnya, untuk memberikan izin kepada seseorang untuk mencari menggunakan tampilan, dengan `Search` API operasi Resource Explorer, Anda menyertakan `resource-explorer-2:Search` tindakan tersebut dalam kebijakan yang ditetapkan untuk prinsipal tersebut. Pernyataan kebijakan harus memuat elemen `Action` atau `NotAction`. Resource Explorer mendefinisikan serangkaian tindakannya sendiri yang menggambarkan tugas yang dapat Anda lakukan dengan layanan ini. Ini sejajar dengan API operasi Resource Explorer.
Untuk menetapkan beberapa tindakan dalam satu pernyataan, pisahkan dengan koma seperti yang ditunjukkan dalam contoh berikut.
```
"Action": [
"resource-explorer-2:action1",
"resource-explorer-2:action2"
]
```
Anda dapat menentukan beberapa tindakan menggunakan karakter wildcard (`*`). Misalnya, untuk menentukan semua tindakan yang dimulai dengan kata `Describe`, sertakan tindakan berikut.
```
"Action": "resource-explorer-2:Describe*"
```
Untuk daftar tindakan Resource Explorer, lihat [Tindakan yang Ditentukan oleh Penjelajah Sumber Daya AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-actions-as-permissions) dalam *Referensi Otorisasi AWS Layanan*.
### Sumber daya
Administrator dapat menggunakan AWS JSON kebijakan untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **principal** dapat melakukan **tindakan** pada suatu **sumber daya**, dan dalam suatu **syarat**.
Elemen `Resource` JSON kebijakan menentukan objek atau objek yang tindakan tersebut berlaku. Pernyataan harus menyertakan elemen `Resource` atau `NotResource`. Sebagai praktik terbaik, tentukan sumber daya menggunakan [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Anda dapat melakukan ini untuk tindakan yang mendukung jenis sumber daya tertentu, yang dikenal sebagai *izin tingkat sumber daya*.
Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, misalnya operasi pencantuman, gunakan wildcard (\$1) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.
```
"Resource": "*"
```
#### Tayang
Jenis sumber daya Resource Explorer utama adalah *tampilan*.
Sumber daya tampilan Resource Explorer memiliki ARN format berikut.
```
arn:${Partition}:resource-explorer-2:${Region}:${Account}:view/${ViewName}/${unique-id}
```
ARNFormat Resource Explorer ditampilkan dalam contoh berikut.
```
arn:aws:resource-explorer-2:us-east-1:123456789012:view/My-Search-View/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
```
**catatan**
ARNUntuk tampilan menyertakan pengenal unik di bagian akhir untuk memastikan bahwa setiap tampilan unik. Ini membantu memastikan bahwa IAM kebijakan yang memberikan akses ke tampilan lama yang dihapus tidak dapat digunakan untuk secara tidak sengaja memberikan akses ke tampilan baru yang kebetulan memiliki nama yang sama dengan tampilan lama. Setiap tampilan baru menerima ID baru yang unik di bagian akhir untuk memastikan bahwa tidak pernah ARNs digunakan kembali.
Untuk informasi selengkapnya tentang formatARNs, lihat [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Anda menggunakan kebijakan IAM berbasis identitas yang ditetapkan ke IAM prinsipal dan menentukan tampilan sebagai. `Resource` Melakukan hal ini memungkinkan Anda memberikan akses penelusuran melalui satu tampilan ke satu set prinsipal, dan mengakses melalui tampilan yang sama sekali berbeda ke kumpulan prinsip yang berbeda.
Misalnya, untuk memberikan izin ke satu tampilan bernama `ProductionResourcesView` dalam pernyataan IAM kebijakan, pertama-tama dapatkan [nama sumber daya Amazon (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) dari tampilan tersebut. Anda dapat menggunakan halaman **[Tampilan](https://console.aws.amazon.com/resource-explorer/home#/views)** di konsol untuk melihat detail tampilan, atau menjalankan `[ListViews](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_ListViews.html)` operasi untuk mengambil tampilan penuh ARN yang Anda inginkan. Kemudian, sertakan dalam pernyataan kebijakan, seperti yang ditunjukkan dalam contoh berikut yang memberikan izin untuk mengubah definisi hanya satu tampilan.
```
"Effect": "Allow",
"Action": "UpdateView",
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/ProductionResourcesView/"
```
Untuk mengizinkan tindakan pada ***semua*** tampilan yang dimiliki oleh akun tertentu, gunakan karakter wildcard (`*`) di bagian yang relevan dari akun. ARN Contoh berikut memberikan izin pencarian ke semua tampilan di akun Wilayah AWS dan yang ditentukan.
```
"Effect": "Allow",
"Action": "Search",
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/*"
```
Beberapa tindakan Resource Explorer`CreateView`, seperti, tidak dilakukan terhadap sumber daya tertentu, karena, seperti pada contoh berikut, sumber daya belum ada. Dalam kasus seperti itu, Anda harus menggunakan karakter wildcard (`*`) untuk seluruh sumber dayaARN.
```
"Effect": "Allow",
"Action": "resource-explorer-2:CreateView"
"Resource": "*"
```
Jika Anda menentukan jalur yang berakhir dengan karakter wildcard, maka Anda dapat membatasi `CreateView` operasi untuk membuat tampilan hanya dengan jalur yang disetujui. Bagian kebijakan contoh berikut menunjukkan cara mengizinkan prinsipal untuk membuat tampilan hanya di jalur`view/ProductionViews/`.
```
"Effect": "Allow",
"Action": "resource-explorer-2:CreateView"
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/ProductionViews/*""
```
#### Indeks
Jenis sumber daya lain yang dapat Anda gunakan untuk mengontrol akses ke fungsionalitas Resource Explorer adalah indeks.
Cara utama Anda berinteraksi dengan indeks adalah mengaktifkan Resource Explorer Wilayah AWS dengan membuat indeks di Wilayah tersebut. Setelah itu, Anda melakukan hampir semua hal lain dengan berinteraksi dengan tampilan.
Satu hal yang dapat Anda lakukan dengan indeks adalah mengontrol siapa yang dapat ***membuat*** tampilan di setiap Wilayah.
**catatan**
Setelah Anda membuat tampilan, IAM mengotorisasi semua tindakan tampilan lainnya hanya terhadap tampilan, dan bukan indeks. ARN
Indeks memiliki [ARN](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)yang dapat Anda referensikan dalam kebijakan izin. Indeks Resource Explorer ARN memiliki format berikut.
```
arn:${Partition}:resource-explorer-2:${Region}:${Account}:index/${unique-id}
```
Lihat contoh indeks Resource Explorer berikutARN.
```
arn:aws:resource-explorer-2:us-east-1:123456789012:index/1a2b3c4d-5d6e-7f8a-9b0c-abcd22222222
```
Beberapa tindakan Resource Explorer memeriksa otentikasi terhadap beberapa jenis sumber daya. Misalnya, [CreateView](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_CreateView.html)operasi mengotorisasi terhadap indeks dan tampilan seperti ARN yang akan terjadi setelah Resource Explorer membuatnya. ARN Untuk memberikan izin kepada administrator untuk mengelola layanan Resource Explorer, Anda dapat menggunakan `"Resource": "*"` untuk mengotorisasi tindakan untuk sumber daya, indeks, atau tampilan apa pun.
Atau, Anda dapat membatasi prinsipal untuk hanya dapat bekerja dengan sumber daya Resource Explorer tertentu. Misalnya, untuk membatasi tindakan hanya pada resource Resource Explorer di Wilayah tertentu, Anda dapat menyertakan ARN templat yang cocok dengan indeks dan tampilan, tetapi hanya memanggil satu Wilayah. Dalam contoh berikut, ARN cocok dengan indeks atau tampilan hanya di `us-west-2` Wilayah akun yang ditentukan. Tentukan Wilayah di bidang ketigaARN, tetapi gunakan karakter wildcard (\$1) di bidang terakhir untuk mencocokkan jenis sumber daya apa pun.
```
"Resource": "arn:aws:resource-explorer-2:us-west-2:123456789012:*
```
Untuk informasi selengkapnya, lihat [Sumber Daya yang Ditentukan oleh Penjelajah Sumber Daya AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-resources-for-iam-policies) dalam *Referensi Otorisasi AWS Layanan*. Untuk mempelajari tindakan mana yang dapat Anda tentukan ARN dari setiap sumber daya, lihat [Tindakan yang Ditentukan oleh Penjelajah Sumber Daya AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-actions-as-permissions).
### Kunci syarat
Resource Explorer tidak menyediakan kunci kondisi khusus layanan apa pun, tetapi mendukung penggunaan beberapa kunci kondisi global. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan IAM Pengguna*.
Administrator dapat menggunakan AWS JSON kebijakan untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen `Condition` (atau *blok* `Condition`) akan memungkinkan Anda menentukan kondisi yang menjadi dasar suatu pernyataan berlaku. Elemen `Condition` bersifat opsional. Anda dapat membuat ekspresi bersyarat yang menggunakan [operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta.
Jika Anda menentukan beberapa elemen `Condition` dalam sebuah pernyataan, atau beberapa kunci dalam elemen `Condition` tunggal, maka AWS akan mengevaluasinya menggunakan operasi `AND` logis. Jika Anda menentukan beberapa nilai untuk satu kunci kondisi, AWS mengevaluasi kondisi menggunakan `OR` operasi logis. Semua kondisi harus dipenuhi sebelum izin pernyataan diberikan.
Anda juga dapat menggunakan variabel placeholder saat menentukan kondisi. Misalnya, Anda dapat memberikan izin IAM pengguna untuk mengakses sumber daya hanya jika ditandai dengan nama IAM pengguna mereka. Untuk informasi selengkapnya, lihat [elemen IAM kebijakan: variabel dan tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) di *Panduan IAM Pengguna*.
AWS mendukung kunci kondisi global dan kunci kondisi khusus layanan. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan IAM Pengguna*.
Untuk melihat daftar kunci kondisi yang dapat Anda gunakan dengan Resource Explorer, lihat [Condition Keys untuk Penjelajah Sumber Daya AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-policy-keys) dalam *Referensi Otorisasi AWS Layanan*. Untuk mempelajari tindakan dan sumber daya yang dapat digunakan untuk menggunakan kunci kondisi, lihat [Tindakan yang Ditentukan oleh Penjelajah Sumber Daya AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-actions-as-permissions).
### Contoh
Untuk melihat contoh kebijakan berbasis identitas Resource Explorer, lihat. [Contoh kebijakan berbasis identitas Penjelajah Sumber Daya AWS](security_iam_id-based-policy-examples.md)
## Otorisasi berdasarkan tag Resource Explorer
Anda dapat melampirkan tag ke tampilan Resource Explorer atau meneruskan tag dalam permintaan ke Resource Explorer. Untuk mengendalikan akses berdasarkan tag, berikan informasi tentang tag di [elemen kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dari kebijakan menggunakan kunci kondisi `resource-explorer-2:ResourceTag/key-name`, `aws:RequestTag/key-name`, atau `aws:TagKeys`. Untuk informasi selengkapnya tentang menandai resource Resource Explorer, lihat[Menambahkan tag ke tampilan yang sudah ditonton](manage-views-tag.md). Untuk menggunakan otorisasi berbasis tag di Resource Explorer, lihat. [Menggunakan otorisasi berbasis tanda untuk mengontrol akses ke tampilan Anda](manage-views-grant-access.md#manage-views-grant-access-abac)
## IAMPeran Resource Explorer
[IAMPeran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) adalah prinsip dalam diri Anda Akun AWS yang memiliki izin khusus.
### Menggunakan kredensi sementara dengan Resource Explorer
Anda dapat menggunakan kredensi sementara untuk masuk dengan federasi, mengambil IAM peran, atau untuk mengambil peran lintas akun. Anda memperoleh kredensi keamanan sementara dengan memanggil AWS Security Token Service (AWS STS) API operasi seperti [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)atau. [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)
Resource Explorer mendukung penggunaan kredenal sementara.
### Peran terkait layanan
[Peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) memungkinkan Layanan AWS untuk mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran terkait layanan muncul di IAM akun Anda dan dimiliki oleh layanan. IAMAdministrator dapat melihat tetapi tidak mengedit izin untuk peran terkait layanan.
Resource Explorer menggunakan peran terkait layanan untuk melakukan pekerjaannya. Untuk detail tentang peran terkait layanan Resource Explorer, lihat. [Menggunakan peran terkait layanan untuk Resource Explorer](security_iam_service-linked-roles.md)
# Contoh kebijakan berbasis identitas Penjelajah Sumber Daya AWS
Secara default,AWS Identity and Access Management IAM), seperti peran, grup, pengguna, tidak memiliki izin untuk membuat atau memodifikasi sumber daya Resource Explorer. Mereka juga tidak dapat melakukan tugas menggunakanKonsol Manajemen AWS,AWS Command Line Interface (AWS CLI), atauAWS API. Administrator IAM harus membuat kebijakan IAM yang memberi izin kepada prinsipal untuk melakukan operasi API tertentu pada sumber daya yang diperlukan. Kemudian, administrator harus menetapkan kebijakan tersebut ke prinsipal IAM yang memerlukan izin tersebut.
Untuk menyediakan akses, tambahkan izin ke pengguna, grup, atau peran Anda:
+ Pengguna dan grup diAWS IAM Identity Center:
Buat set izin. Ikuti petunjuk di [Buat set izin](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtocreatepermissionset.html) di *PanduanAWS IAM Identity Center Pengguna*.
+ Pengguna yang dikelola dalam IAM melalui penyedia identitas:
Membuat PERM. Ikuti petunjuk dalam [Membuat peran untuk penyedia identitas pihak ketiga (federasi)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html) di *Panduan Pengguna IAM*.
+ Pengguna IAM:
+ Buat peran yang dapat diasumsikan pengguna Anda. Ikuti petunjuk dalam [Membuat peran untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) di *Panduan Pengguna IAM*.
+ (Tidak disarankan) Lampirkan kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk dalam [Menambahkan izin ke pengguna (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) di *Panduan Pengguna IAM*.
Untuk mempelajari cara membuat kebijakan berbasis identitas IAM menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat Kebijakan pada Tab JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) dalam *Panduan Pengguna IAM*.
**Topics**
+ [Praktik terbaik kebijakan](#security_iam_service-with-iam-policy-best-practices)
+ [Menggunakan konsol Resource Explorer](#security_iam_id-based-policy-examples-console)
+ [Memberikan akses ke tampilan berdasarkan tag](#security_iam_id-based-policy-examples-abac-views)
+ [Memberikan akses untuk membuat tampilan berdasarkan tag](#security_iam_id-based-policy-examples-abac-createview)
+ [Izinkan para prinsipal untuk melihat izin mereka sendiri](#security_iam_id-based-policy-examples-view-own-permissions)
## Praktik terbaik kebijakan
Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus sumber daya Resource Explorer di akun Anda. Tindakan ini membuat Akun AWS Anda terkena biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
+ **Memulai kebijakanAWS terkelola dan beralih ke izin paling sedikit hak istimewa** — Untuk mulai memberikan izin kepada pengguna dan beban kerja Anda, gunakan *kebijakanAWS terkelola* yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di AndaAkun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelolaAWS pelanggan yang spesifik untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat [kebijakanAWSAWS terkelola](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) [atau kebijakan terkelola untuk fungsi pekerjaan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) di *Panduan Pengguna IAM*.
+ **Gunakan izin hak akses IAM** — Saat Anda mengatur izin dengan kebijakan IAM, hanya berikan izin yang diperlukan untuk melaksanakan tugas. Anda melakukan ini dengan menentukan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, juga dikenal sebagai *izin paling tidak memiliki hak istimewa*. Untuk informasi selengkapnya tentang penggunaan IAM untuk menerapkan izin, lihat [Kebijakan dan izin di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan ketentuan dalam kebijakan IAM untuk membatasi akses lebih lanjut** — Anda dapat menambahkan kondisi pada kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Misalnya, Anda dapat menulis sebuah kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakan SSL. Anda juga dapat menggunakan kondisi untuk memberikan akses ke tindakan layanan jika digunakan melalui spesifikLayanan AWS, sepertiCloudFormation. Untuk mengetahui informasi lebih lanjut, lihat [Elemen Kebijakan IAM JSON: Syarat](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk memastikan izin yang aman dan fungsional** - IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan mematuhi bahasa kebijakan IAM (JSON) dan praktik terbaik IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat [validasi kebijakan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) di *Panduan Pengguna IAM*.
+ **Memerlukan otentikasi multi-faktor (MFA)** — Jika Anda memiliki skenario yang mengharuskan pengguna IAM atau pengguna root di AndaAkun AWS, aktifkan MFA untuk keamanan tambahan. Untuk mewajibkan MFA saat operasi API dipanggil, tambahkan kondisi MFA ke kebijakan Anda. Untuk informasi selengkapnya, lihat [Mengonfigurasi akses API yang dilindungi MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) di *Panduan Pengguna IAM*.
Untuk informasi selengkapnya tentang praktik terbaik dalam IAM, lihat [praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.
## Menggunakan konsol Resource Explorer
Agar prinsipal dapat mencari diPenjelajah Sumber Daya AWS konsol tersebut, mereka harus memiliki satu set izin minimum. Jika Anda tidak membuat kebijakan berbasis identitas dengan izin minimum yang diperlukan, konsol Resource Explorer tidak akan berfungsi sebagaimana dimaksudkan untuk prinsipal di akun.
Anda dapat menggunakan kebijakanAWS terkelola bernama`AWSResourceExplorerReadOnlyAccess` untuk memberikan kemampuan menggunakan konsol Resource Explorer untuk mencari menggunakan tampilan apa pun di akun. Untuk memberikan izin untuk mencari hanya dengan satu tampilan, lihat[Memberikan akses ke tampilan Resource Explorer untuk pencarian](manage-views-grant-access.md), dan contoh dalam dua bagian berikut.
Anda tidak perlu memberikan izin konsol minimum untuk prinsipal yang melakukan panggilan hanya keAWS CLI atauAWS API. Sebagai gantinya, Anda dapat memilih untuk memberikan akses hanya ke tindakan yang cocok dengan operasi API yang perlu dilakukan oleh prinsipal.
## Memberikan akses ke tampilan berdasarkan tag
Dalam contoh ini, Anda ingin memberi akses ke tampilan Resource Explorer pada prinsipal di akun tersebut.Akun AWS Untuk melakukan ini, Anda menetapkan kebijakan berbasis identitas IAM ke prinsipal yang ingin Anda cari di Resource Explorer. Contoh berikut kebijakan IAM memberikan akses ke setiap permintaan di mana`Search-Group` tag yang dilampirkan ke prinsipal panggilan sama persis dengan nilai untuk tag yang sama yang dilampirkan ke tampilan yang digunakan dalam permintaan.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"resource-explorer-2:GetView",
"resource-explorer-2:Search"
],
"Resource": "arn:aws:resource-explorer-2:*:*:view/*",
"Condition": {
"StringEquals": {"aws:ResourceTag/Search-Group": "${aws:PrincipalTag/Search-Group}"}
}
}
]
}
```
Anda dapat menetapkan kebijakan ini ke prinsipal IAM di akun Anda. Jika prinsipal dengan tag`Search-Group=A` mencoba mencari menggunakan tampilan Resource Explorer, tampilan juga harus ditandai`Search-Group=A`. Jika tidak, maka kepala sekolah ditolak aksesnya. Kunci tanda syarat `Search-Group` sama dengan kedua `Search-group` dan `search-group` karena nama kunci syarat tidak terpengaruh huruf besar/kecil. Untuk informasi lebih lanjut, lihat [Elemen Kebijakan IAM JSON: Persyaratan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
**penting**
Untuk melihat sumber daya Anda dalam hasil pencarian terpadu diKonsol Manajemen AWS, prinsipal harus memiliki keduanya`GetView` dan`Search` izin untuk tampilan default diWilayah AWS yang berisi indeks agregator. Cara paling sederhana untuk memberikan izin tersebut adalah dengan meninggalkan izin berbasis sumber daya default yang dilampirkan ke tampilan saat Anda mengaktifkan Resource Explorer menggunakan penyiapan Cepat atau Lanjutan.
Untuk skenario ini, Anda dapat mempertimbangkan untuk mengatur tampilan default untuk memfilter sumber daya sensitif dan kemudian menyiapkan tampilan tambahan yang Anda berikan akses berbasis tag seperti yang dijelaskan dalam contoh sebelumnya.
## Memberikan akses untuk membuat tampilan berdasarkan tag
Dalam contoh ini, Anda ingin mengizinkan hanya prinsipal yang ditandai sama dengan indeks untuk dapat membuat tampilan diWilayah AWS yang berisi indeks. Untuk melakukan ini, buat izin berbasis identitas untuk memungkinkan prinsipal mencari dengan tampilan.
Sekarang Anda siap untuk membuat izin untuk membuat tampilan. Anda dapat menambahkan pernyataan dalam contoh ini ke kebijakan izin yang sama yang Anda gunakan untuk memberikan`Search` izin kepada prinsipal yang sesuai. Tindakan diperbolehkan atau ditolak berdasarkan tag yang dilampirkan pada prinsipal yang memanggil operasi dan indeks bahwa pandangan harus dikaitkan dengan. Contoh berikut kebijakan IAM menolak permintaan apa pun untuk membuat tampilan saat nilai`Allow-Create-View` tag yang dilampirkan pada prinsipal pemanggil tidak sama persis dengan nilai tag yang sama yang dilampirkan ke indeks di Wilayah tempat tampilan dibuat.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "resource-explorer-2:CreateView",
"Resource": "*",
"Condition": {
"StringNotEquals": {"aws:ResourceTag/Allow-Create-View": "${aws:PrincipalTag/Allow-Create-View}"}
}
}
]
}
```
## Izinkan para prinsipal untuk melihat izin mereka sendiri
Contoh ini menunjukkan cara Anda dapat membuat kebijakan yang mengizinkan para pengguna IAM untuk melihat kebijakan inline dan terkelola yang dilampirkan ke identitas pengguna mereka. Kebijakan ini mencakup izin untuk menyelesaikan tindakan pada konsol atau secara terprogram menggunakan API AWS CLI atau AWS.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# Contoh kebijakan kontrol layanan untuk AWS Organizations dan Resource Explorer
Penjelajah Sumber Daya AWS mendukung kebijakan kontrol layanan (SCP). SCP adalah kebijakan yang Anda lampirkan ke elemen dalam organisasi untuk mengelola izin dalam organisasi tersebut. SCP berlaku untuk semua Akun AWS dalam organisasi di [bawah elemen yang Anda lampirkan SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_evaluation.html). SCP menawarkan kontrol pusat atas izin maksimum yang tersedia untuk semua akun di organisasi Anda. Mereka dapat membantu Anda memastikan Anda Akun AWS tetap berada dalam pedoman kontrol akses organisasi Anda. Untuk informasi selengkapnya, lihat [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_type-auth.html) di *Panduan AWS Organizations Pengguna*.
## Prasyarat
Untuk menggunakan SCP, Anda harus terlebih dahulu melakukan hal berikut:
+ Aktifkan semua fitur di organisasi Anda. Untuk informasi selengkapnya, lihat [Mengaktifkan semua fitur di organisasi Anda](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) dalam *Panduan Pengguna AWS Organizations *.
+ Aktifkan SCP untuk digunakan dalam organisasi Anda. *Untuk informasi selengkapnya, lihat [Mengaktifkan dan menonaktifkan jenis kebijakan di Panduan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_enable-disable.html) Pengguna.AWS Organizations *
+ Buat SCP yang Anda butuhkan. Untuk informasi selengkapnya tentang membuat SCP, lihat [Membuat dan memperbarui SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scp-create.html) di *AWS Organizations Panduan Pengguna*.
## Contoh kebijakan kontrol layanan
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan [kontrol akses berbasis atribut (ABAC) untuk mengontrol](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) akses ke operasi administratif Resource Explorer. Kebijakan contoh ini menolak akses ke semua operasi Resource Explorer kecuali dua izin yang diperlukan untuk mencari, `resource-explorer-2:Search` dan`resource-explorer-2:GetView`, kecuali jika prinsipal IAM yang membuat permintaan diberi tag. `ResourceExplorerAdmin=TRUE` Untuk diskusi yang lebih lengkap tentang penggunaan ABAC dengan Resource Explorer, lihat[Menggunakan otorisasi berbasis tanda untuk mengontrol akses ke tampilan Anda](manage-views-grant-access.md#manage-views-grant-access-abac).
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"resource-explorer-2:AssociateDefaultView",
"resource-explorer-2:BatchGetView",
"resource-explorer-2:CreateIndex",
"resource-explorer-2:CreateView",
"resource-explorer-2:DeleteIndex",
"resource-explorer-2:DeleteView",
"resource-explorer-2:DisassociateDefaultView",
"resource-explorer-2:GetDefaultView",
"resource-explorer-2:GetIndex",
"resource-explorer-2:ListIndexes",
"resource-explorer-2:ListSupportedResourceTypes",
"resource-explorer-2:ListTagsForResource",
"resource-explorer-2:ListViews",
"resource-explorer-2:TagResource",
"resource-explorer-2:UntagResource",
"resource-explorer-2:UpdateIndexType",
"resource-explorer-2:UpdateView""
],
"Resource": [
"*"
],
"Condition": {
"StringNotEqualsIgnoreCase": {"aws:PrincipalTag/ResourceExplorerAdmin": "TRUE"}
}
]
}
```
# AWS kebijakan terkelola untuk Penjelajah Sumber Daya AWS
Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.
Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan [ kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) yang khusus untuk kasus penggunaan Anda.
Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.
Untuk informasi selengkapnya, lihat [AWS kebijakan yang dikelola](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.
**Kebijakan AWS terkelola umum yang menyertakan izin Resource Explorer**
+ [AdministratorAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AdministratorAccess)— Memberikan akses penuh ke Layanan AWS dan sumber daya.
+ [ReadOnlyAkses](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess) — Memberikan akses dan sumber daya hanya-baca. Layanan AWS
+ [ViewOnlyAkses](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/job-function/ViewOnlyAccess) — Memberikan izin untuk melihat sumber daya dan metadata dasar untuk. Layanan AWS
**catatan**
`Get*`Izin Resource Explorer yang disertakan dalam `ViewOnlyAccess` kebijakan berfungsi seperti `List` izin meskipun izin tersebut hanya menampilkan satu nilai, karena Region hanya dapat berisi satu indeks dan satu tampilan default.
**AWS kebijakan terkelola untuk Resource Explorer**
+ [AWSResourceExplorerFullAccess](#security_iam_awsmanpol_AWSResourceExplorerFullAccess)
+ [AWSResourceExplorerReadOnlyAccess](#security_iam_awsmanpol_AWSResourceExplorerReadOnlyAccess)
+ [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)
## AWS kebijakan terkelola: AWSResourceExplorerFullAccess
Anda dapat menetapkan `AWSResourceExplorerFullAccess` kebijakan untuk identitas IAM Anda.
Kebijakan ini memberikan izin yang memungkinkan kontrol administratif penuh atas layanan Resource Explorer. Anda dapat melakukan semua tugas yang terlibat dalam mengaktifkan dan mengelola Resource Explorer Wilayah AWS di akun Anda.
**Detail izin**
Kebijakan ini mencakup izin yang memungkinkan semua tindakan untuk Resource Explorer, termasuk mengaktifkan dan menonaktifkan Resource Explorer di Wilayah AWS, membuat atau menghapus indeks agregator untuk akun, membuat, memperbarui, dan menghapus tampilan, dan mencari. Kebijakan ini juga mencakup izin yang bukan bagian dari Resource Explorer:
+ `ec2:DescribeRegions`— memungkinkan Resource Explorer untuk mengakses detail tentang Wilayah di akun Anda.
+ `ram:ListResources`— memungkinkan Resource Explorer untuk membuat daftar pembagian sumber daya yang menjadi bagian dari sumber daya.
+ `ram:GetResourceShares`— memungkinkan Resource Explorer untuk mengidentifikasi rincian tentang pembagian sumber daya yang Anda miliki atau yang dibagikan dengan Anda.
+ `iam:CreateServiceLinkedRole`— memungkinkan Resource Explorer untuk membuat peran terkait layanan yang diperlukan saat Anda [mengaktifkan Resource Explorer dengan membuat indeks pertama](manage-service-turn-on-region.md#manage-service-turn-on-region-region).
+ `organizations:DescribeOrganization`— memungkinkan Resource Explorer untuk mengakses informasi tentang organisasi Anda.
Untuk melihat versi terbaru dari kebijakan AWS terkelola ini, lihat `[AWSResourceExplorerFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSResourceExplorerFullAccess.html)` di *Panduan Referensi Kebijakan AWS Terkelola*.
## AWS kebijakan terkelola: AWSResourceExplorerReadOnlyAccess
Anda dapat menetapkan `AWSResourceExplorerReadOnlyAccess` kebijakan untuk identitas IAM Anda.
Kebijakan ini memberikan izin hanya-baca yang memungkinkan pengguna akses penelusuran dasar untuk menemukan sumber daya mereka.
**Detail izin**
Kebijakan ini mencakup izin yang memungkinkan pengguna menjalankan Resource Explorer `Get*``List*`, dan `Search` operasi untuk melihat informasi tentang komponen Resource Explorer dan setelan konfigurasi, tetapi tidak memungkinkan pengguna untuk mengubahnya. Pengguna juga dapat mencari. Kebijakan ini juga mencakup dua izin yang bukan merupakan bagian dari Resource Explorer:
+ `ec2:DescribeRegions`— memungkinkan Resource Explorer untuk mengakses detail tentang Wilayah di akun Anda.
+ `ram:ListResources`— memungkinkan Resource Explorer untuk membuat daftar pembagian sumber daya yang menjadi bagian dari sumber daya.
+ `ram:GetResourceShares`— memungkinkan Resource Explorer untuk mengidentifikasi rincian tentang pembagian sumber daya yang Anda miliki atau yang dibagikan dengan Anda.
+ `organizations:DescribeOrganization`— memungkinkan Resource Explorer untuk mengakses informasi tentang organisasi Anda.
Untuk melihat versi terbaru dari kebijakan AWS terkelola ini, lihat `[AWSResourceExplorerReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSResourceExplorerReadOnlyAccess.html)` di *Panduan Referensi Kebijakan AWS Terkelola*.
## AWS kebijakan terkelola: AWSResourceExplorerServiceRolePolicy
Anda tidak dapat melampirkan `AWSResourceExplorerServiceRolePolicy` ke entitas IAM apa pun sendiri. Kebijakan ini hanya dapat dilampirkan ke peran terkait layanan yang memungkinkan Resource Explorer melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat [Menggunakan peran terkait layanan untuk Resource Explorer](security_iam_service-linked-roles.md).
Kebijakan ini memberikan izin yang diperlukan untuk Resource Explorer untuk mengambil informasi tentang sumber daya Anda. Resource Explorer mengisi indeks yang dipertahankannya di setiap Wilayah AWS yang Anda daftarkan.
Untuk melihat versi terbaru dari kebijakan AWS terkelola ini, lihat `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` di konsol IAM.
## AWS kebijakan terkelola: AWSResourceExplorerOrganizationsAccess
Anda dapat menetapkan identitas `AWSResourceExplorerOrganizationsAccess` IAM Anda.
Kebijakan ini memberikan izin administratif ke Resource Explorer dan memberikan izin hanya-baca kepada orang lain untuk mendukung akses ini. Layanan AWS AWS Organizations Administrator memerlukan izin ini untuk mengatur dan mengelola pencarian multi-akun di konsol.
**Detail izin**
Kebijakan ini mencakup izin yang memungkinkan administrator menyiapkan penelusuran multi-akun untuk organisasi:
+ `ec2:DescribeRegions`— Memungkinkan Resource Explorer untuk mengakses detail tentang Wilayah di akun Anda.
+ `ram:ListResources`— Memungkinkan Resource Explorer untuk mencantumkan pembagian sumber daya yang menjadi bagian dari sumber daya.
+ `ram:GetResourceShares`— Memungkinkan Resource Explorer untuk mengidentifikasi rincian tentang pembagian sumber daya yang Anda miliki atau yang dibagikan dengan Anda.
+ `organizations:ListAccounts`— Memungkinkan Resource Explorer untuk mengidentifikasi akun dalam suatu organisasi.
+ `organizations:ListRoots`— Memungkinkan Resource Explorer untuk mengidentifikasi akun root dalam suatu organisasi.
+ `organizations:ListOrganizationalUnitsForParent`— Memungkinkan Resource Explorer untuk mengidentifikasi unit organisasi (OU) dalam unit organisasi induk atau root.
+ `organizations:ListAccountsForParent`— Memungkinkan Resource Explorer untuk mengidentifikasi akun dalam organisasi yang terkandung oleh root target yang ditentukan atau OU.
+ `organizations:ListDelegatedAdministrators`— Memungkinkan Resource Explorer untuk mengidentifikasi AWS akun yang ditetapkan sebagai administrator yang didelegasikan dalam organisasi ini.
+ `organizations:ListAWSServiceAccessForOrganization`— Memungkinkan Resource Explorer untuk mengidentifikasi daftar Layanan AWS yang diaktifkan untuk diintegrasikan dengan organisasi Anda.
+ `organizations:DescribeOrganization`— Memungkinkan Resource Explorer untuk mengambil informasi tentang organisasi yang menjadi milik akun pengguna.
+ `organizations:EnableAWSServiceAccess`— Memungkinkan Resource Explorer untuk mengaktifkan integrasi Layanan AWS (layanan yang ditentukan oleh`ServicePrincipal`) dengan AWS Organizations.
+ `organizations:DisableAWSServiceAccess`— Memungkinkan Resource Explorer untuk menonaktifkan integrasi Layanan AWS (layanan yang ditentukan oleh ServicePrincipal) dengan AWS Organizations.
+ `organizations:RegisterDelegatedAdministrator`— Memungkinkan Resource Explorer untuk mengaktifkan akun anggota yang ditentukan untuk mengelola fitur organisasi dari AWS layanan yang ditentukan.
+ `organizations:DeregisterDelegatedAdministrator`— Memungkinkan Resource Explorer untuk menghapus anggota yang ditentukan Akun AWS sebagai administrator yang didelegasikan untuk yang ditentukan Layanan AWS.
+ `iam:GetRole`— Memungkinkan Resource Explorer untuk mengambil informasi tentang peran yang ditentukan, termasuk jalur peran, GUID, ARN, dan kebijakan kepercayaan peran yang memberikan izin untuk mengambil peran.
+ `iam:CreateServiceLinkedRole`— Memungkinkan Resource Explorer untuk membuat peran terkait layanan yang diperlukan saat Anda [mengaktifkan Resource Explorer dengan membuat indeks pertama](manage-service-turn-on-region.md#manage-service-turn-on-region-region).
Untuk melihat versi terbaru dari kebijakan AWS terkelola ini, lihat `[AWSResourceExplorerOrganizationsAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerOrganizationsAccess)` di konsol IAM.
## Pembaruan Resource Explorer ke kebijakan AWS terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Resource Explorer sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman [riwayat Dokumen Resource Explorer](doc-history.md).
| Perubahan | Deskripsi | Tanggal |
| --- | --- | --- |
| [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)- Izin kebijakan yang diperbarui untuk melihat jenis sumber daya tambahan | Resource Explorer menambahkan izin ke kebijakan peran terkait layanan [`AWSResourceExplorerServiceRolePolicy`](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)yang memungkinkan Resource Explorer melihat jenis sumber daya tambahan: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | Desember 12, 2023 |
| Kebijakan terkelola baru | Resource Explorer menambahkan kebijakan AWS terkelola berikut: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 14 November 2023 |
| Kebijakan terkelola yang diperbarui | Resource Explorer memperbarui kebijakan AWS terkelola berikut untuk mendukung penelusuran multi-akun: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 14 November 2023 |
| [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)— Kebijakan yang diperbarui untuk mendukung pencarian multi-akun dengan Organizations | Resource Explorer menambahkan izin ke kebijakan peran terkait layanan `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` yang memungkinkan Resource Explorer mendukung penelusuran multi-akun dengan Organizations: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 14 November 2023 |
| [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)— Kebijakan yang diperbarui untuk mendukung jenis sumber daya tambahan | Resource Explorer menambahkan izin ke kebijakan peran terkait layanan `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` yang memungkinkan layanan mengindeks jenis sumber daya berikut: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 17 Oktober 2023 |
| [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)— Kebijakan yang diperbarui untuk mendukung jenis sumber daya tambahan | Resource Explorer menambahkan izin ke kebijakan peran terkait layanan `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` yang memungkinkan layanan mengindeks jenis sumber daya berikut: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 1 Agustus 2023 |
| [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)— Kebijakan yang diperbarui untuk mendukung jenis sumber daya tambahan | Resource Explorer menambahkan izin ke kebijakan peran terkait layanan `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` yang memungkinkan layanan mengindeks jenis sumber daya berikut: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 7 Maret 2023 |
| Kebijakan terkelola baru | Resource Explorer menambahkan kebijakan AWS terkelola berikut: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 7 November 2022 |
| Resource Explorer mulai melacak perubahan | Resource Explorer mulai melacak perubahan untuk kebijakan AWS terkelolanya. | 7 November 2022 |
# Menggunakan peran terkait layanan untuk Resource Explorer
Penjelajah Sumber Daya AWS menggunakan AWS Identity and Access Management (IAM) peran [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role). Peran terkait layanan adalah jenis peran unik yang ditautkan langsung ke Resource Explorer. IAM Peran terkait layanan telah ditentukan sebelumnya oleh Resource Explorer dan menyertakan semua izin yang diperlukan layanan untuk memanggil orang lain Layanan AWS atas nama Anda.
Peran terkait layanan membuat konfigurasi Resource Explorer lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. Resource Explorer mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya Resource Explorer yang dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tersebut tidak dapat ditetapkan ke entitas lain mana pun. IAM
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, lihat [AWS layanan yang berfungsi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) di *IAMPanduan Pengguna*. Di sana, cari layanan yang memiliki **Ya** di kolom **Peran terkait layanan**. Pilih **Ya** bersama tautan untuk melihat dokumentasi peran tertaut layanan untuk layanan tersebut.
## Izin peran terkait layanan untuk Resource Explorer
Resource Explorer menggunakan nama peran terkait layanan. `AWSServiceRoleForResourceExplorer` Peran ini memberikan izin ke layanan Resource Explorer untuk melihat sumber daya dan AWS CloudTrail peristiwa atas nama Anda Akun AWS dan untuk mengindeks sumber daya tersebut untuk mendukung penelusuran.
Peran `AWSServiceRoleForResourceExplorer` terkait layanan hanya mempercayai layanan dengan prinsip layanan berikut untuk mengambil peran:
+ `resource-explorer-2.amazonaws.com`
Kebijakan izin peran bernama AWSResourceExplorerServiceRolePolicy memungkinkan akses hanya-baca Resource Explorer untuk mengambil nama dan properti sumber daya untuk sumber daya yang didukung. AWS Untuk melihat layanan dan sumber daya yang didukung Resource Explorer, lihat [Jenis sumber daya yang dapat Anda cari dengan Resource Explorer](https://docs.aws.amazon.com/resource-explorer/latest/userguide/supported-resource-types.html). Untuk daftar lengkap semua tindakan yang dapat dilakukan peran ini, Anda dapat melihat `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` kebijakan di IAM konsol.
Principal adalah IAM entitas seperti pengguna, grup, atau peran. Jika Anda membiarkan Resource Explorer membuat peran terkait layanan untuk Anda saat membuat indeks di Wilayah pertama akun, maka prinsipal yang melakukan tugas hanya memerlukan izin yang diperlukan untuk membuat indeks Resource Explorer. Untuk membuat peran terkait layanan secara manual menggunakanIAM, maka prinsipal yang melakukan tugas harus memiliki izin untuk membuat peran terkait layanan. *Untuk informasi selengkapnya, lihat [Izin peran terkait layanan di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) Pengguna. IAM*
## Membuat peran terkait layanan untuk Resource Explorer
Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda mengaktifkan Resource Explorer di Konsol Manajemen AWS, atau menjalankan [CreateIndex](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_CreateIndex.html)yang pertama Wilayah AWS di akun Anda menggunakan AWS CLI atau AWS API, Resource Explorer akan membuat peran terkait layanan untuk Anda.
Jika Anda menghapus peran terkait layanan ini, dan kemudian perlu membuatnya lagi, Anda dapat menggunakan proses yang sama untuk membuat ulang peran di akun Anda. Saat Anda [RegisterResourceExplorer](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_RegisterResourceExplorer.html)berada di Wilayah pertama di akun Anda, Resource Explorer akan membuat peran terkait layanan untuk Anda lagi.
## Mengedit peran terkait layanan untuk Resource Explorer
Resource Explorer tidak mengizinkan Anda mengedit peran `AWSServiceRoleForResourceExplorer` terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat mengedit deskripsi peran menggunakanIAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) di *IAMPanduan Pengguna*.
## Menghapus peran terkait layanan untuk Resource Explorer
Anda dapat menggunakan IAM konsol, konsol AWS CLI, atau AWS API untuk menghapus peran terkait layanan secara manual. Untuk melakukan ini, Anda harus terlebih dahulu menghapus indeks Resource Explorer dari setiap Wilayah AWS akun Anda dan kemudian Anda dapat menghapus peran terkait layanan secara manual.
**catatan**
Jika layanan Resource Explorer menggunakan peran saat Anda mencoba menghapus sumber daya, penghapusan gagal. Jika itu terjadi, pastikan bahwa semua indeks dari semua Wilayah dihapus, lalu tunggu beberapa menit dan coba operasi lagi.
**Untuk menghapus peran terkait layanan secara manual menggunakan IAM**
Gunakan IAM konsol, AWS CLI, atau AWS API untuk menghapus peran `AWSServiceRoleForResourceExplorer` terkait layanan. *Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) Pengguna. IAM*
## Wilayah yang Didukung untuk peran terkait layanan Resource Explorer
Resource Explorer mendukung penggunaan peran terkait layanan di semua Wilayah tempat layanan tersedia. Untuk informasi selengkapnya, silakan lihat [titik akhir Layanan AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html) di *Referensi Umum Amazon Web Services*.
# Izin pemecahan masalah Penjelajah Sumber Daya AWS
Gunakan informasi berikut untuk membantu Anda mendiagnosis dan memperbaiki masalah umum yang mungkin Anda temui saat bekerja dengan Resource Explorer dan AWS Identity and Access Management (IAM).
**Topics**
+ [Saya tidak berwenang untuk melakukan tindakan di Resource Explorer](#security_iam_troubleshoot-no-permissions)
+ [Saya ingin mengizinkan orang di luar saya Akun AWS untuk mengakses sumber daya Resource Explorer saya](#security_iam_troubleshoot-cross-account-access)
## Saya tidak berwenang untuk melakukan tindakan di Resource Explorer
Jika Konsol Manajemen AWS memberitahu Anda bahwa Anda tidak berwenang untuk melakukan tindakan, maka Anda harus menghubungi administrator Anda untuk bantuan. Administrator Anda adalah orang yang memberi Anda kredensi yang Anda gunakan untuk mencoba operasi ini.
Misalnya, kesalahan berikut terjadi ketika seseorang mengasumsikan peran IAM `MyExampleRole` mencoba menggunakan konsol untuk melihat detail tentang tampilan tetapi tidak memiliki `resource-explorer-2:GetView` izin.
```
User: arn:aws:iam::123456789012:role/MyExampleRole is not authorized to perform: resource-explorer-2:GetView on resource: arn:aws:resource-explorer-2:us-east-1:123456789012:view/EC2-Only-View/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
```
Dalam hal ini, orang yang menggunakan peran harus meminta administrator untuk memperbarui kebijakan izin peran untuk mengizinkan akses ke tampilan menggunakan `resource-explorer-2:GetView` tindakan.
## Saya ingin mengizinkan orang di luar saya Akun AWS untuk mengakses sumber daya Resource Explorer saya
Anda dapat membuat peran yang dapat digunakan pengguna di akun lain atau orang-orang di luar organisasi Anda untuk mengakses sumber daya Anda. Anda dapat menentukan siapa saja yang dipercaya untuk mengambil peran tersebut. Untuk layanan yang mendukung kebijakan berbasis sumber daya atau daftar kontrol akses (ACL), Anda dapat menggunakan kebijakan tersebut untuk memberi orang akses ke sumber daya Anda.
Untuk mempelajari selengkapnya, periksa referensi berikut:
+ Untuk mempelajari apakah Resource Explorer mendukung fitur ini, lihat[Bagaimana Resource Explorer bekerja dengan IAM](security_iam_service-with-iam.md).
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda di seluruh sumber daya Akun AWS yang Anda miliki, lihat [Menyediakan akses ke pengguna IAM di pengguna lain Akun AWS yang Anda miliki](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) di *Panduan Pengguna IAM*.
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda kepada pihak ketiga Akun AWS, lihat [Menyediakan akses yang Akun AWS dimiliki oleh pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dalam *Panduan Pengguna IAM*.
+ Untuk mempelajari cara memberikan akses melalui federasi identitas, lihat [Menyediakan akses ke pengguna terautentikasi eksternal (federasi identitas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dalam *Panduan Pengguna IAM*.
+ *Untuk mempelajari perbedaan antara menggunakan peran dan kebijakan berbasis sumber daya untuk akses lintas akun, lihat [Akses sumber daya lintas akun di IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html).*
# Perlindungan data di Penjelajah Sumber Daya AWS
[Model tanggung jawab AWS bersama model](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data di Penjelajah Sumber Daya AWS. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Untuk informasi selengkapnya tentang privasi data, lihat [Privasi Data FAQ](https://aws.amazon.com/compliance/data-privacy-faq/). Untuk informasi tentang perlindungan data di Eropa, lihat [Model Tanggung Jawab AWS Bersama dan](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) posting GDPR blog di *Blog AWS Keamanan*.
Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensil dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management ()IAM. Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
+ Gunakan otentikasi multi-faktor (MFA) dengan setiap akun.
+ GunakanSSL/TLSuntuk berkomunikasi dengan AWS sumber daya. Kami membutuhkan TLS 1.2 dan merekomendasikan TLS 1.3.
+ Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat [Bekerja dengan CloudTrail jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) di *AWS CloudTrail Panduan Pengguna*.
+ Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.
+ Gunakan layanan keamanan terkelola lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.
+ Jika Anda memerlukan FIPS 140-3 modul kriptografi yang divalidasi saat mengakses AWS melalui antarmuka baris perintah atau, gunakan titik akhir. API FIPS Untuk informasi selengkapnya tentang FIPS titik akhir yang tersedia, lihat [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang **Nama**. Ini termasuk saat Anda bekerja dengan Resource Explorer atau lainnya Layanan AWS menggunakan konsol,API, AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Jika Anda memberikan URL ke server eksternal, kami sangat menyarankan agar Anda tidak menyertakan informasi kredensil dalam URL untuk memvalidasi permintaan Anda ke server tersebut.
## Enkripsi diam
Data yang disimpan oleh Resource Explorer mencakup daftar sumber daya yang diindeks dan yang terkait ARNs yang digunakan oleh pelanggan dan pandangan untuk mengaksesnya.
Data ini dienkripsi saat diam dengan menggunakan [AWS Key Management Service (AWS KMS) kunci enkripsi simetris yang mengimplementasikan Advanced Encryption](https://docs.aws.amazon.com/kms/latest/developerguide/asymmetric-key-specs.html#key-spec-symmetric-default) [Standard (AES) dalam Galois Counter Mode ()](https://csrc.nist.gov/csrc/media/publications/fips/197/final/documents/fips-197.pdf) [dengan kunci 256-bit (-256-GCM)](http://csrc.nist.gov/publications/nistpubs/800-38D/SP-800-38D.pdf). AES GCM
## Enkripsi bergerak
Permintaan pelanggan dan semua data terkait dienkripsi dalam perjalanan menggunakan [Transport Later Security (TLS) 1.2](https://datatracker.ietf.org/doc/html/rfc5246) atau yang lebih baru. Semua titik akhir Resource Explorer mendukung HTTPS untuk mengenkripsi data dalam perjalanan. Untuk daftar titik akhir layanan Resource Explorer, lihat [Penjelajah Sumber Daya AWS titik akhir dan kuota](https://docs.aws.amazon.com/general/latest/gr/resourceexplorer2.html) di. *Referensi Umum AWS*
# Validasi kepatuhan untuk Penjelajah Sumber Daya AWS
Untuk mengetahui apakah suatu Layanan AWS berada dalam lingkup program kepatuhan tertentu, lihat [Layanan AWSdi Lingkup oleh Program Kepatuhan](https://aws.amazon.com/compliance/services-in-scope/). Untuk informasi umum, silakan lihat [Program Kepatuhan AWS](https://aws.amazon.com/compliance/programs/) .
Anda bisa mengunduh laporan audit pihak ketiga menggunakan AWS Artifact. Untuk informasi selengkapnya, lihat [AWS ArtifactMengunduh](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) Mengunduh laporan AWS Artifact di *Panduan AWS Artifact Pengguna*.
Tanggung jawab kepatuhan Anda saat menggunakan Resource Explorer ditentukan oleh sensitivitas data Anda, tujuan kepatuhan perusahaan Anda, dan hukum dan peraturan yang berlaku. AWSmenyediakan sumber daya berikut untuk membantu kepatuhan:
+ [Panduan Quick Start Keamanan dan Kepatuhan](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) – Panduan deployment ini membahas pertimbangan arsitektur dan menyediakan langkah–langkah untuk melakukan deployment terhadap lingkungan dasar di AWS yang menjadi fokus keamanan dan kepatuhan.
+ [Arsitektur untuk Keamanan dan Kepatuhan HIPAA di Amazon Web Services](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html) — Whitepaper ini menjelaskan bagaimana perusahaan dapat menggunakan AWS untuk membuat aplikasi yang memenuhi syarat HIPAA.
**catatan**
Tidak semua memenuhi syarat Layanan AWS HIPAA. Untuk informasi selengkapnya, lihat [Referensi Layanan yang Memenuhi Syarat HIPAA](https://aws.amazon.com/compliance/hipaa-eligible-services-reference).
+ [Sumber Daya Kepatuhan AWS](https://aws.amazon.com/compliance/resources/) – Kumpulan buku kerja dan panduan ini mungkin berlaku untuk industri dan lokasi Anda.
+ [Mengevaluasi Sumber Daya dengan Aturan](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) dalam *Panduan Developer AWS Config* – AWS Config menilai seberapa patuh konfigurasi sumber daya Anda terhadap praktik internal, panduan industri, dan peraturan.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) – Layanan AWS ini memberikan pandangan yang komprehensif tentang status keamanan Anda di dalam AWS yang membantu Anda memeriksa kepatuhan terhadap standar industri dan praktik terbaik yang terkait dengan keamanan.
# Ketahanan di Penjelajah Sumber Daya AWS
InfrastrukturAWS global dibangun di sekitarWilayah AWS dan Availability Zone. Wilayah memberikan beberapa Zona Ketersediaan yang terpisah dan terisolasi secara fisik, yang terkoneksi melalui jaringan latensi rendah, throughput tinggi, dan sangat redundan. Dengan Zona Ketersediaan, Anda dapat merancang serta mengoperasikan aplikasi dan basis data yang secara otomatis melakukan fail over di antara zona tanpa gangguan. Availability Zone memiliki ketersediaan yang lebih baik, toleran terhadap kegagalan, dan dapat diukur skalanya jika dibandingkan dengan satu atau beberapa infrastruktur pusat data tradisional.
Untuk informasi selengkapnya tentang Wilayah AWS dan Availability Zone, lihat [Infrastruktur Global AWS](https://aws.amazon.com/about-aws/global-infrastructure/).
# Keamanan infrastruktur di Penjelajah Sumber Daya AWS
Sebagai layanan terkelola, Penjelajah Sumber Daya AWS dilindungi oleh keamanan jaringan AWS global. Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat [Keamanan AWS Cloud](https://aws.amazon.com/security/). Untuk mendesain AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat [Perlindungan Infrastruktur dalam Kerangka Kerja](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) yang * AWS Diarsiteksikan dengan Baik Pilar Keamanan*.
Anda menggunakan API panggilan yang AWS dipublikasikan untuk mengakses Resource Explorer melalui jaringan. Klien harus mendukung hal-hal berikut:
+ Keamanan Lapisan Transportasi (TLS). Kami membutuhkan TLS 1.2 dan merekomendasikan TLS 1.3.
+ Suite cipher dengan kerahasiaan maju yang sempurna (PFS) seperti (Ephemeral Diffie-Hellman) atau DHE (Elliptic Curve Ephemeral Diffie-Hellman). ECDHE Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.
Selain itu, permintaan harus ditandatangani dengan menggunakan ID kunci akses dan kunci akses rahasia yang terkait dengan IAM prinsipal. Atau Anda dapat menggunakan [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) (AWS STS) untuk menghasilkan kredensial keamanan sementara untuk menandatangani permintaan.
Untuk informasi selengkapnya tentang prosedur keamanan jaringan AWS global, lihat [whitepaper Amazon Web Services: Ikhtisar Proses Keamanan](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf).