

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Menghasilkan rekomendasi kebijakan untuk temuan akses yang tidak terpakai
<a name="unused-access-recommendations"></a>

 Untuk temuan izin yang tidak digunakan, Security Hub dapat menghasilkan rekomendasi kebijakan hak istimewa paling sedikit yang menunjukkan kepada Anda kebijakan penggantian yang tercakup. Rekomendasi mengevaluasi setiap kebijakan yang dilampirkan pada prinsipal IAM dan menghasilkan pengganti yang hanya mempertahankan izin yang sebenarnya digunakan oleh prinsipal. Kemampuan ini disediakan untuk semua pelanggan Security Hub tanpa biaya tambahan. 

## Bagaimana rekomendasi kebijakan bekerja
<a name="recommendations-how-it-works"></a>

 Pembuatan rekomendasi kebijakan adalah operasi asinkron. Untuk menghasilkan dan mengambil rekomendasi: 

1.  Ambil pencarian izin yang tidak digunakan dari Security Hub menggunakan operasi API. `GetFindingsV2` Perhatikan `metadata.uid` bidang dari temuan. 

1.  Panggil `GenerateRecommendedPolicyV2` dengan temuannya`metadata.uid`. Ini memulai pembuatan rekomendasi, yang biasanya selesai dalam 20 detik. 

1.  Polling `GetRecommendedPolicyV2` dengan yang sama `metadata.uid` sampai `status` bidang kembali`SUCCEEDED`. 

1.  Respons berisi satu atau lebih langkah rekomendasi. Setiap langkah menentukan salah satu `recommendedAction` dari `CREATE_POLICY` (membuat dan melampirkan kebijakan penggantian cakupan ke bawah) atau `DETACH_POLICY` (lepaskan kebijakan asli yang terlalu istimewa). Untuk `CREATE_POLICY` langkah-langkah, responsnya mencakup `existingPolicy` JSON dan `recommendedPolicy` JSON sehingga Anda dapat membandingkannya. 

 Anda harus menelepon `GenerateRecommendedPolicyV2` sebelum menelepon `GetRecommendedPolicyV2` jika rekomendasi belum dibuat sebelumnya untuk temuan itu. 

## Siapa yang dapat menghasilkan rekomendasi
<a name="recommendations-who-can-generate"></a>

 Baik pemilik akun maupun administrator yang didelegasikan dapat memanggil operasi API ini: 
+  **Pemilik akun** dapat membuat dan melihat rekomendasi untuk temuan izin yang tidak digunakan di akun mereka sendiri. 
+  **Administrator yang didelegasikan** dapat membuat dan melihat rekomendasi untuk temuan izin akun anggota yang tidak digunakan dalam organisasi mereka. 

 Jika Anda bukan administrator yang didelegasikan dan temuan milik akun yang berbeda, operasi API akan mengembalikan `AccessDeniedException` kesalahan. 

## Siklus hidup rekomendasi
<a name="recommendations-lifecycle"></a>
+  Rekomendasi di-cache selama 90 hari dan tetap tersedia selama temuan aktif (tidak Ditutup). Namun, menelepon `GenerateRecommendedPolicyV2` beberapa kali akan membatalkan cache dan memulai pekerjaan baru yang akan menggantikan kebijakan cache. Disarankan Anda hanya menelepon `GenerateRecommendedPolicyV2` sekali per temuan. 
+  Rekomendasi mengikuti pola detach-and-attach. Itu tidak mengubah kebijakan IAM Anda yang ada. Anda meninjau kebijakan yang disarankan dan menerapkannya secara manual di konsol IAM atau melalui IAM API. 
+  Jika temuan diselesaikan (misalnya, karena izin yang sebelumnya tidak digunakan sekarang sedang digunakan), rekomendasi tidak lagi tersedia. 

## Kasus kesalahan
<a name="recommendations-errors"></a>

 Operasi API mengembalikan kesalahan dalam situasi berikut: 
+  Temuan telah diselesaikan — `InvalidInputException` (HTTP 400). 
+  Temuan ini bukan pencarian izin yang tidak digunakan — `InvalidInputException` (HTTP 400). 
+  Prinsipal IAM dibuat melalui set izin IAM Identity Center. Kebijakan untuk prinsipal yang ditetapkan izin tidak dapat langsung dimodifikasi. Rekomendasi mengembalikan `FAILED` status dengan penjelasan. 
+  Penelepon bukan administrator yang didelegasikan dan temuannya milik akun yang berbeda - `AccessDeniedException` (HTTP 403). 
+  Belum ada rekomendasi yang dibuat dan Anda menelepon `GetRecommendedPolicyV2` tanpa menelepon terlebih dahulu `GenerateRecommendedPolicyV2` - `ResourceNotFoundException` (HTTP 404). 

## Menggunakan konsol
<a name="recommendations-console"></a>

 Di konsol Security Hub, Anda dapat membuat rekomendasi kebijakan dengan melihat pencarian izin yang tidak digunakan dan memilih tab **Remediasi**. Konsol menampilkan pemintal pemuatan saat rekomendasi sedang dibuat. Ketika rekomendasi sudah siap, Anda dapat memilih **Pratinjau** untuk melihat perbandingan berdampingan dari kebijakan Anda saat ini dan penggantian hak istimewa paling sedikit yang disarankan. Anda dapat menyalin kebijakan yang direkomendasikan dalam format JSON. 

## Referensi API
<a name="recommendations-api-reference"></a>
+  **GenerateRecommendedPolicyV2**— Memulai pembuatan rekomendasi kebijakan hak istimewa paling tidak sinkron untuk pencarian izin yang tidak digunakan. Mengambil temuan `metadata.uid` sebagai masukan. Mengembalikan HTTP 200 dengan badan kosong pada keberhasilan. 
+  **GetRecommendedPolicyV2**— Mengambil rekomendasi kebijakan yang dihasilkan. Mengambil temuan `metadata.uid` sebagai masukan. Mendukung pagination dengan `maxResults` (1-100) dan parameter. `nextToken` Mengembalikan status rekomendasi (`IN_PROGRESS`,`SUCCEEDED`, atau`FAILED`), langkah-langkah rekomendasi, ARN sumber daya, dan kesalahan apa pun. 

 Untuk dokumentasi API yang mendetail, lihat *Referensi API Security Hub*. 