Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Keamanan di AWS Service Catalog
Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.
Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) menggambarkan hal ini sebagai keamanan *dari* cloud dan keamanan *di* cloud:
+ **Keamanan cloud** — AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan AWS layanan di AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Auditor pihak ketiga secara teratur menguji dan memverifikasi keefektifan keamanan kami sebagai bagian dari [program kepatuhan AWS](https://aws.amazon.com/compliance/programs/).
Untuk mempelajari tentang program kepatuhan yang berlaku AWS Service Catalog, lihat [AWS Layanan dalam Lingkup berdasarkan Program Kepatuhan](https://aws.amazon.com/compliance/services-in-scope/)
+ **Keamanan di cloud** — Tanggung jawab Anda ditentukan oleh AWS layanan yang Anda gunakan. Anda juga bertanggung jawab atas faktor lain, yang mencakup sensitivitas data Anda, persyaratan perusahaan Anda, serta undang-undang dan peraturan yang berlaku.
Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan AWS Service Catalog. Topik berikut menunjukkan cara mengonfigurasi AWS Service Catalog untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga akan diperkenalkan ke AWS layanan lain yang membantu Anda memantau dan mengamankan AWS Service Catalog sumber daya Anda.
**Topics**
+ [Perlindungan Data di AWS Service Catalog](data-protection.md)
+ [Identity and Access Management di AWS Service Catalog](controlling_access.md)
+ [Logging dan Monitoring di AWS Service Catalog](logging-and-monitoring.md)
+ [Validasi Kepatuhan untuk AWS Service Catalog](service-catalog-compliance.md)
+ [Ketahanan di AWS Service Catalog](disaster-recovery-resiliency.md)
+ [Keamanan Infrastruktur di AWS Service Catalog](infrastructure-security.md)
+ [Praktik Terbaik Keamanan untuk AWS Service Catalog](security-best-practices.md)
# Perlindungan Data di AWS Service Catalog
[Model tanggung jawab AWS bersama model](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data di AWS Service Catalog. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam [Pertanyaan Umum Privasi Data](https://aws.amazon.com/compliance/data-privacy-faq/). Lihat informasi tentang perlindungan data di Eropa di pos blog [Model Tanggung Jawab Bersama dan GDPR AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) di *Blog Keamanan AWS *.
Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensil dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
+ Gunakan autentikasi multi-faktor (MFA) pada setiap akun.
+ Gunakan SSL/TLS untuk berkomunikasi dengan AWS sumber daya. Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat [Bekerja dengan CloudTrail jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) di *AWS CloudTrail Panduan Pengguna*.
+ Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.
+ Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.
+ Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-3 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi selengkapnya tentang titik akhir FIPS yang tersedia di [Standar Pemrosesan Informasi Federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang **Nama**. Ini termasuk saat Anda bekerja dengan AWS Service Catalog atau lainnya Layanan AWS menggunakan konsol, API AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.
## Melindungi Data dengan Enkripsi
### Enkripsi saat diam
AWS Service Catalog menggunakan bucket Amazon S3 dan database Amazon DynamoDB yang dienkripsi saat istirahat menggunakan kunci yang dikelola Amazon. Untuk mempelajari selengkapnya, lihat informasi tentang enkripsi saat tidak aktif yang disediakan oleh Amazon S3 dan Amazon DynamoDB.
### Enkripsi dalam perjalanan
AWS Service Catalog menggunakan Transport Layer Security (TLS) dan enkripsi informasi sisi klien dalam perjalanan antara penelepon dan. AWS
Anda dapat mengakses secara pribadi AWS Service Catalog APIs dari Amazon Virtual Private Cloud (Amazon VPC) dengan membuat titik akhir VPC. Dengan titik akhir VPC, perutean antara VPC dan AWS Service Catalog ditangani oleh AWS jaringan tanpa memerlukan gateway internet, gateway NAT, atau koneksi VPN.
Generasi terbaru dari titik akhir VPC yang digunakan oleh didukung oleh AWS Service Catalog AWS PrivateLink, sebuah AWS teknologi yang memungkinkan konektivitas pribadi antara AWS layanan menggunakan Antarmuka Jaringan Elastis dengan pribadi di dalam Anda. IPs VPCs
# Identity and Access Management di AWS Service Catalog
Akses ke AWS Service Catalog membutuhkan kredensil. Kredensyal tersebut harus memiliki izin untuk mengakses AWS sumber daya, seperti AWS Service Catalog portofolio atau produk. AWS Service Catalog terintegrasi dengan AWS Identity and Access Management (IAM) untuk memungkinkan Anda memberikan AWS Service Catalog administrator izin yang mereka butuhkan untuk membuat dan mengelola produk, dan untuk memberikan pengguna AWS Service Catalog akhir izin yang mereka butuhkan untuk meluncurkan produk dan mengelola produk yang disediakan. Kebijakan ini dibuat dan dikelola oleh AWS atau secara individual oleh administrator dan pengguna akhir. Untuk mengontrol akses, Anda melampirkan kebijakan ini ke pengguna, grup, dan peran yang Anda gunakan AWS Service Catalog.
## Audiens
Izin yang Anda miliki *dengan* AWS Identity and Access Management (IAM) dapat bergantung pada peran yang Anda mainkan. AWS Service Catalog
Izin yang Anda miliki *melalui* AWS Identity and Access Management (IAM) juga dapat bergantung pada peran yang Anda mainkan. AWS Service Catalog
**Administrator** - Sebagai AWS Service Catalog administrator, Anda memerlukan akses penuh ke konsol administrator dan izin IAM yang memungkinkan Anda melakukan tugas-tugas seperti membuat dan mengelola portofolio dan produk, mengelola kendala, dan memberikan akses ke pengguna akhir.
**Pengguna akhir** - Sebelum pengguna akhir dapat menggunakan produk Anda, Anda harus memberi mereka izin yang memberi mereka akses ke konsol pengguna AWS Service Catalog akhir. Mereka juga dapat memiliki izin untuk meluncurkan produk dan mengelola produk yang disediakan.
**Administrator IAM** – Jika Anda adalah administrator IAM, Anda mungkin ingin mempelajari detail tentang cara Anda menulis kebijakan untuk mengelola akses ke AWS Service Catalog. Untuk melihat contoh kebijakan AWS Service Catalog berbasis identitas yang dapat Anda gunakan di IAM, lihat. [AWS kebijakan terkelola untuk AWS Service Catalog AppRegistry](security-iam-awsmanpol.md)
# Contoh kebijakan berbasis identitas untuk AWS Service Catalog
**Topics**
+ [Akses konsol untuk pengguna akhir](#permissions-end-users-console)
+ [Akses produk untuk pengguna akhir](#permissions-end-users-product)
+ [Cpntoh kebijakan untuk mengelola produk yang disediakan](#example-policies)
## Akses konsol untuk pengguna akhir
****`AWSServiceCatalogEndUserReadOnlyAccess`****Kebijakan ****`AWSServiceCatalogEndUserFullAccess`****dan kebijakan memberikan akses ke tampilan konsol pengguna AWS Service Catalog akhir. Saat pengguna yang memiliki salah satu kebijakan ini memilih AWS Service Catalog Konsol Manajemen AWS, tampilan konsol pengguna akhir akan menampilkan produk yang diizinkan untuk diluncurkan.
Sebelum pengguna akhir berhasil meluncurkan produk tempat Anda memberi akses, Anda harus memberi mereka izin IAM tambahan untuk memungkinkan mereka menggunakan setiap AWS sumber daya yang mendasarinya dalam templat produk. AWS Service Catalog AWS CloudFormation Sebagai contoh, jika templat produk termasuk Amazon Relational Database Service (Amazon RDS), Anda harus memberikan izin Amazon RDS pada pengguna untuk meluncurkan produk.
Untuk mempelajari cara mengaktifkan pengguna akhir meluncurkan produk sambil menerapkan izin akses paling sedikit ke sumber daya, lihat. AWS [Menggunakan AWS Service Catalog Kendala](constraints.md)
Jika Anda menerapkan **`AWSServiceCatalogEndUserReadOnlyAccess`**kebijakan, pengguna Anda memiliki akses ke konsol pengguna akhir, tetapi mereka tidak akan memiliki izin yang mereka perlukan untuk meluncurkan produk dan mengelola produk yang disediakan. Anda dapat memberikan izin ini secara langsung kepada pengguna akhir yang menggunakan IAM, tetapi jika Anda ingin membatasi akses yang dimiliki pengguna akhir ke AWS sumber daya, Anda harus melampirkan kebijakan tersebut ke peran peluncuran. Anda kemudian menggunakan AWS Service Catalog untuk menerapkan peran peluncuran ke kendala peluncuran untuk produk. Untuk informasi selengkapnya tentang menerapkan peran peluncuran, batasan peran peluncuran, dan peran peluncuran sampel, lihat [AWS Service Catalog Luncurkan Kendala](constraints-launch.md).
**catatan**
Jika Anda memberikan izin IAM kepada pengguna untuk AWS Service Catalog administrator, tampilan konsol administrator akan ditampilkan sebagai gantinya. Jangan berikan izin ini kepada pengguna akhir kecuali jika Anda ingin mereka memiliki akses ke tampilan konsol administrator.
## Akses produk untuk pengguna akhir
Sebelum pengguna akhir dapat menggunakan produk yang Anda beri akses, Anda harus memberi mereka izin IAM tambahan untuk memungkinkan mereka menggunakan setiap AWS sumber daya yang mendasarinya dalam templat produk. CloudFormation Sebagai contoh, jika templat produk termasuk Amazon Relational Database Service (Amazon RDS), Anda harus memberikan izin Amazon RDS pada pengguna untuk meluncurkan produk.
Jika Anda menerapkan **`AWSServiceCatalogEndUserReadOnlyAccess`**kebijakan, pengguna Anda memiliki akses ke tampilan konsol pengguna akhir, tetapi mereka tidak akan memiliki izin yang mereka perlukan untuk meluncurkan produk dan mengelola produk yang disediakan. Anda dapat memberikan izin ini secara langsung kepada pengguna akhir di IAM, tetapi jika Anda ingin membatasi akses yang dimiliki pengguna akhir ke AWS sumber daya, Anda harus melampirkan kebijakan tersebut ke peran peluncuran. Anda kemudian menggunakan AWS Service Catalog untuk menerapkan peran peluncuran ke kendala peluncuran untuk produk. Untuk informasi selengkapnya tentang menerapkan peran peluncuran, batasan peran peluncuran, dan peran peluncuran sampel, lihat [AWS Service Catalog Luncurkan Kendala](constraints-launch.md).
## Cpntoh kebijakan untuk mengelola produk yang disediakan
Anda dapat membuat kebijakan kustom untuk membantu memenuhi persyaratan keamanan organisasi Anda. Contoh berikut menjelaskan cara menyesuaikan tingkat akses untuk setiap tindakan dengan dukungan untuk tingkat pengguna, peran, dan akun. Anda dapat memberikan akses pada pengguna untuk melihat, memperbarui, mengakhiri, dan mengelola produk yang disediakan yang dibuat hanya oleh pengguna tersebut atau dibuat oleh orang lain yang juga di bawah peran mereka atau akun tempat mereka masuk. Akses ini hierarkis - memberikan akses tingkat akun juga memberikan akses tingkat peran dan akses tingkat pengguna, selagi menambahkan akses tingkat peran juga memberikan akses tingkat pengguna tetapi tidak akses tingkat akun. Anda dapat menentukan ini dalam kebijakan JSON menggunakan blok `Condition` sebagai `accountLevel`, `roleLevel`, atau `userLevel`.
Contoh-contoh ini juga berlaku untuk tingkat akses untuk operasi penulisan AWS Service Catalog API: `UpdateProvisionedProduct` dan`TerminateProvisionedProduct`, dan operasi baca:`DescribeRecord`,`ScanProvisionedProducts`, dan`ListRecordHistory`. Operasi API `ScanProvisionedProducts` dan `ListRecordHistory` menggunakan `AccessLevelFilterKey` sebagai input, dan bahwa nilai-nilai kunci sesuai dengan tingkat blok `Condition` yang didiskusikan di sini (`accountLevel` setara dengan nilai “Akun” `AccessLevelFilterKey`, `roleLevel` dengan “Peran”, dan `userLevel` dengan “Pengguna”). Untuk informasi selengkapnya, lihat [Panduan Pengembang Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/dg/).
**Topics**
+ [Akses admin penuh ke produk yang disediakan](#full-admin)
+ [Akses pengguna akhir ke produk yang disediakan](#examples-end-user)
+ [Akses admin sebagian ke produk yang disediakan](#partial-admin)
### Akses admin penuh ke produk yang disediakan
Kebijakan berikut memungkinkan akses baca dan tulis penuh ke produk dan catatan yang disediakan dalam katalog pada tingkat akun.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"servicecatalog:*"
],
"Resource":"*",
"Condition": {
"StringEquals": {
"servicecatalog:accountLevel": "self"
}
}
}
]
}
```
------
Kebijakan ini secara fungsional setara dengan kebijakan berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"servicecatalog:*"
],
"Resource":"*"
}
]
}
```
------
Tidak menentukan `Condition` blok dalam kebijakan apa pun untuk AWS Service Catalog diperlakukan sama dengan menentukan akses`"servicecatalog:accountLevel"`. Perhatikan bahwa akses `accountLevel` termasuk akses `roleLevel` dan `userLevel`.
### Akses pengguna akhir ke produk yang disediakan
Kebijakan berikut membatasi akses ke operasi baca dan tulis untuk hanya produk yang disediakan atau catatan terkait yang dibuat pengguna saat ini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"servicecatalog:DescribeProduct",
"servicecatalog:DescribeProductView",
"servicecatalog:DescribeProvisioningParameters",
"servicecatalog:DescribeRecord",
"servicecatalog:ListLaunchPaths",
"servicecatalog:ListRecordHistory",
"servicecatalog:ProvisionProduct",
"servicecatalog:ScanProvisionedProducts",
"servicecatalog:SearchProducts",
"servicecatalog:TerminateProvisionedProduct",
"servicecatalog:UpdateProvisionedProduct"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"servicecatalog:userLevel": "self"
}
}
}
]
}
```
------
### Akses admin sebagian ke produk yang disediakan
Dua kebijakan di bawah ini, jika keduanya diterapkan pada pengguna yang sama, memungkinkan terjadinya tipe "akses admin parsial" dengan menyediakan akses hanya baca penuh dan akses tulis terbatas. Ini berarti pengguna dapat melihat produk yang disediakan atau catatan terkait dalam akun katalog tetapi tidak dapat melakukan tindakan apa pun pada produk atau catatan yang disediakan yang tidak dimiliki oleh pengguna tersebut.
Kebijakan pertama memungkinkan akses pengguna ke operasi tulis pada produk yang disediakan yang dibuat pengguna saat ini, tetapi tidak pada produk yang disediakan yang dibuat oleh orang lain. Kebijakan kedua menambahkan akses penuh ke operasi baca pada produk yang disediakan yang dibuat oleh semua (pengguna, peran, atau akun).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"servicecatalog:DescribeProduct",
"servicecatalog:DescribeProductView",
"servicecatalog:DescribeProvisioningParameters",
"servicecatalog:ListLaunchPaths",
"servicecatalog:ProvisionProduct",
"servicecatalog:SearchProducts",
"servicecatalog:TerminateProvisionedProduct",
"servicecatalog:UpdateProvisionedProduct"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"servicecatalog:userLevel": "self"
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"servicecatalog:DescribeRecord",
"servicecatalog:ListRecordHistory",
"servicecatalog:ScanProvisionedProducts"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"servicecatalog:accountLevel": "self"
}
}
}
]
}
```
------
# AWS kebijakan terkelola untuk AWS Service Catalog AppRegistry
## AWS kebijakan terkelola: `AWSServiceCatalogAdminFullAccess`
Anda dapat melampirkan `AWSServiceCatalogAdminFullAccess` ke entitas IAM Anda. AppRegistry juga melampirkan kebijakan ini ke peran layanan yang memungkinkan AppRegistry untuk melakukan tindakan atas nama Anda.
Kebijakan ini memberikan *administrative* izin yang memungkinkan akses penuh ke tampilan konsol administrator dan memberikan izin untuk membuat dan mengelola produk dan portofolio.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `servicecatalog`— Memungkinkan kepala sekolah izin penuh ke tampilan konsol administrator dan kemampuan untuk membuat dan mengelola portofolio dan produk, mengelola kendala, memberikan akses ke pengguna akhir, dan melakukan tugas administratif lainnya di dalamnya. AWS Service Catalog
+ `cloudformation`— Memungkinkan izin AWS Service Catalog penuh untuk daftar, membaca, menulis, dan menandai AWS CloudFormation tumpukan.
+ `config`— Memungkinkan izin AWS Service Catalog terbatas untuk portofolio, produk, dan produk yang disediakan melalui. AWS Config
+ `iam`— Memungkinkan prinsipal izin penuh untuk melihat dan membuat pengguna layanan, gropus, atau peran yang diperlukan untuk membuat dan mengelola produk dan portofolio.
+ `ssm`— Memungkinkan AWS Service Catalog AWS Systems Manager untuk menggunakan daftar dan membaca dokumen Systems Manager di AWS akun saat ini dan AWS Wilayah.
Lihat kebijakan: [AWSServiceCatalogAdminFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogAdminFullAccess.html).
## AWS kebijakan terkelola: `AWSServiceCatalogAdminReadOnlyAccess`
Anda dapat melampirkan `AWSServiceCatalogAdminReadOnlyAccess` ke entitas IAM Anda. AppRegistry juga melampirkan kebijakan ini ke peran layanan yang memungkinkan AppRegistry untuk melakukan tindakan atas nama Anda.
Kebijakan ini memberikan *read-only* izin yang memungkinkan akses penuh ke tampilan konsol administrator. Kebijakan ini tidak memberikan akses untuk membuat atau mengelola produk dan portofolio.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `servicecatalog`— Mengizinkan izin hanya-baca kepala sekolah ke tampilan konsol administrator.
+ `cloudformation`— Memungkinkan izin AWS Service Catalog terbatas untuk daftar dan membaca AWS CloudFormation tumpukan.
+ `config`— Memungkinkan izin AWS Service Catalog terbatas untuk portofolio, produk, dan produk yang disediakan melalui. AWS Config
+ `iam`— Memungkinkan izin terbatas prinsipal untuk melihat pengguna layanan, grup, atau peran yang diperlukan untuk membuat dan mengelola produk dan portofolio.
+ `ssm`— Memungkinkan AWS Service Catalog AWS Systems Manager untuk menggunakan daftar dan membaca dokumen Systems Manager di AWS akun saat ini dan AWS Wilayah.
Lihat kebijakan: [AWSServiceCatalogAdminReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogAdminReadOnlyAccess.html).
## AWS kebijakan terkelola: `AWSServiceCatalogEndUserFullAccess`
Anda dapat melampirkan `AWSServiceCatalogEndUserFullAccess` ke entitas IAM Anda. AppRegistry juga melampirkan kebijakan ini ke peran layanan yang memungkinkan AppRegistry untuk melakukan tindakan atas nama Anda.
Kebijakan ini memberikan *contributor* izin yang memungkinkan akses penuh ke tampilan konsol pengguna akhir dan memberikan izin untuk meluncurkan produk dan mengelola produk yang disediakan.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `servicecatalog`— Memungkinkan kepala sekolah izin penuh ke tampilan konsol pengguna akhir dan kemampuan untuk meluncurkan produk dan mengelola produk yang disediakan.
+ `cloudformation`— Memungkinkan izin AWS Service Catalog penuh untuk daftar, membaca, menulis, dan menandai AWS CloudFormation tumpukan.
+ `config`— Memungkinkan izin AWS Service Catalog terbatas untuk membuat daftar dan membaca detail tentang portofolio, produk, dan produk yang disediakan melalui. AWS Config
+ `ssm`— Memungkinkan AWS Service Catalog untuk menggunakan AWS Systems Manager untuk membaca dokumen Systems Manager di AWS akun saat ini dan AWS Wilayah.
Lihat kebijakan: [AWSServiceCatalogEndUserFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogEndUserFullAccess.html).
## AWS kebijakan terkelola: `AWSServiceCatalogEndUserReadOnlyAccess`
Anda dapat melampirkan `AWSServiceCatalogEndUserReadOnlyAccess` ke entitas IAM Anda. AppRegistry juga melampirkan kebijakan ini ke peran layanan yang memungkinkan AppRegistry untuk melakukan tindakan atas nama Anda.
Kebijakan ini memberikan *read-only* izin yang memungkinkan akses hanya-baca ke tampilan konsol pengguna akhir. Kebijakan ini tidak memberikan izin untuk meluncurkan produk atau mengelola produk yang disediakan.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `servicecatalog`— Mengizinkan izin hanya-baca utama ke tampilan konsol pengguna akhir.
+ `cloudformation`— Memungkinkan izin AWS Service Catalog terbatas untuk daftar dan membaca AWS CloudFormation tumpukan.
+ `config`— Memungkinkan izin AWS Service Catalog terbatas untuk membuat daftar dan membaca detail tentang portofolio, produk, dan produk yang disediakan melalui. AWS Config
+ `ssm`— Memungkinkan AWS Service Catalog untuk menggunakan AWS Systems Manager untuk membaca dokumen Systems Manager di AWS akun saat ini dan AWS Wilayah.
Lihat kebijakan: [AWSServiceCatalogEndUserReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogEndUserReadOnlyAccess.html).
## AWS kebijakan terkelola: `AWSServiceCatalogSyncServiceRolePolicy`
AWS Service Catalog melampirkan kebijakan ini ke peran `AWSServiceRoleForServiceCatalogSync` terkait layanan (SLR), yang memungkinkan AWS Service Catalog untuk menyinkronkan templat di repositori eksternal ke produk. AWS Service Catalog
Kebijakan ini memberikan izin yang memungkinkan akses terbatas ke AWS Service Catalog tindakan (misalnya, panggilan API), dan tindakan AWS layanan lain yang AWS Service Catalog bergantung padanya.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `servicecatalog`— Memungkinkan peran sinkronisasi AWS Service Catalog artefak akses terbatas ke AWS Service Catalog publik APIs.
+ `codeconnections`— Memungkinkan peran sinkronisasi AWS Service Catalog artefak akses terbatas ke CodeConnections publik APIs.
+ `cloudformation`— Memungkinkan peran sinkronisasi AWS Service Catalog artefak akses terbatas ke AWS CloudFormation publik APIs.
Lihat kebijakan: [AWSServiceCatalogSyncServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogSyncServiceRolePolicy.html).
**Detail peran terkait layanan**
AWS Service Catalog menggunakan detail izin di atas untuk peran `AWSServiceRoleForServiceCatalogSync` terkait layanan yang dibuat saat pengguna membuat atau memperbarui AWS Service Catalog produk yang digunakan. CodeConnections Anda dapat mengubah kebijakan ini menggunakan AWS CLI, AWS API, atau melalui konsol. AWS Service Catalog Untuk informasi selengkapnya tentang cara membuat, mengedit, dan menghapus peran terkait layanan, lihat [Menggunakan peran terkait layanan ()](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/using-service-linked-roles) untuk. SLRs AWS Service Catalog
Izin yang disertakan dalam peran `AWSServiceRoleForServiceCatalogSync` terkait layanan memungkinkan AWS Service Catalog untuk melakukan tindakan berikut atas nama pelanggan.
+ `servicecatalog:ListProvisioningArtifacts`— Memungkinkan peran sinkronisasi AWS Service Catalog artefak untuk mencantumkan artefak penyediaan untuk AWS Service Catalog produk tertentu yang disinkronkan ke file template dalam repositori.
+ `servicecatalog:DescribeProductAsAdmin`— Memungkinkan peran sinkronisasi AWS Service Catalog artefak untuk menggunakan `DescribeProductAsAdmin` API untuk mendapatkan detail untuk AWS Service Catalog produk dan artefak yang disediakan terkait yang disinkronkan ke file template dalam repositori. Peran sinkronisasi artefak menggunakan output dari panggilan ini untuk memverifikasi batas kuota layanan produk untuk penyediaan artefak.
+ `servicecatalog:DeleteProvisioningArtifact`— Memungkinkan peran sinkronisasi AWS Service Catalog artefak untuk menghapus artefak yang disediakan.
+ `servicecatalog:ListServiceActionsForProvisioningArtifact`— Memungkinkan peran sinkronisasi AWS Service Catalog artefak untuk menentukan apakah Tindakan Layanan dikaitkan dengan artefak penyediaan dan memastikan bahwa artefak penyediaan tidak dihapus jika Tindakan Layanan dikaitkan.
+ `servicecatalog:DescribeProvisioningArtifact`— Memungkinkan peran sinkronisasi AWS Service Catalog artefak untuk mengambil detail dari `DescribeProvisioningArtifact` API, termasuk ID komit, yang disediakan dalam output. `SourceRevisionInfo`
+ `servicecatalog:CreateProvisioningArtifact`— Memungkinkan peran sinkronisasi AWS Service Catalog artefak untuk membuat artefak baru yang disediakan jika perubahan terdeteksi (misalnya, git-push dilakukan) ke file template sumber di repositori eksternal.
+ `servicecatalog:UpdateProvisioningArtifact`— Memungkinkan peran sinkronisasi AWS Service Catalog artefak untuk memperbarui artefak yang disediakan untuk produk yang terhubung atau disinkronkan.
+ `codeconnections:UseConnection`— Memungkinkan peran sinkronisasi AWS Service Catalog artefak untuk menggunakan koneksi yang ada untuk memperbarui dan menyinkronkan produk.
+ `cloudformation:ValidateTemplate`— Memungkinkan peran sinkronisasi AWS Service Catalog artefak akses terbatas AWS CloudFormation untuk memvalidasi format template untuk template yang digunakan dalam repositori eksternal dan memverifikasi apakah CloudFormation dapat mendukung template.
## AWS kebijakan terkelola: `AWSServiceCatalogOrgsDataSyncServiceRolePolicy`
AWS Service Catalog melampirkan kebijakan ini ke peran `AWSServiceRoleForServiceCatalogOrgsDataSync` terkait layanan (SLR), yang memungkinkan AWS Service Catalog untuk disinkronkan. AWS Organizations
Kebijakan ini memberikan izin yang memungkinkan akses terbatas ke AWS Service Catalog tindakan (misalnya, panggilan API), dan tindakan AWS layanan lain yang AWS Service Catalog bergantung padanya.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `organizations`— Memungkinkan peran sinkronisasi AWS Service Catalog data terbatas akses ke AWS Organizations publik APIs.
Lihat kebijakan: [AWSServiceCatalogOrgsDataSyncServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogOrgsDataSyncServiceRolePolicy.html).
**Detail peran terkait layanan**
AWS Service Catalog menggunakan detail izin di atas untuk peran `AWSServiceRoleForServiceCatalogOrgsDataSync` terkait layanan yang dibuat saat pengguna mengaktifkan akses portofolio AWS Organizations bersama atau membuat pembagian portofolio. Anda dapat mengubah kebijakan ini menggunakan AWS CLI, AWS API, atau melalui konsol. AWS Service Catalog Untuk informasi selengkapnya tentang cara membuat, mengedit, dan menghapus peran terkait layanan, lihat [Menggunakan peran terkait layanan ()](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/using-service-linked-roles) untuk. SLRs AWS Service Catalog
Izin yang disertakan dalam peran `AWSServiceRoleForServiceCatalogOrgsDataSync` terkait layanan memungkinkan AWS Service Catalog untuk melakukan tindakan berikut atas nama pelanggan.
+ `organizations:DescribeAccount`— Memungkinkan peran AWS Service Catalog Organizations Data Sync untuk mengambil informasi AWS Organizations terkait tentang akun yang ditentukan.
+ `organizations:DescribeOrganization`— Memungkinkan peran AWS Service Catalog Organizations Data Sync untuk mengambil informasi tentang organisasi yang menjadi milik akun pengguna.
+ `organizations:ListAccounts`— Memungkinkan peran AWS Service Catalog Organizations Data Sync untuk mencantumkan akun di organisasi pengguna.
+ `organizations:ListChildren`— Memungkinkan peran AWS Service Catalog Organizations Data Sync untuk mencantumkan semua unit organisasi (UOs) atau akun yang terdapat dalam OU atau root induk yang ditentukan.
+ `organizations:ListParents`— Memungkinkan peran AWS Service Catalog Organizations Data Sync untuk mencantumkan root atau OUs yang berfungsi sebagai induk langsung dari OU atau akun anak yang ditentukan.
+ `organizations:ListAWSServiceAccessForOrganization`— Memungkinkan peran AWS Service Catalog Organizations Data Sync untuk mengambil daftar AWS layanan yang diaktifkan pengguna untuk mengintegrasikan dengan organisasi mereka.
## Kebijakan yang tidak lagi digunakan
Kebijakan terkelola berikut tidak lagi digunakan:
+ **ServiceCatalogAdminFullAccess**— Gunakan **AWSServiceCatalogAdminFullAccess**sebagai gantinya.
+ **ServiceCatalogAdminReadOnlyAccess**— Gunakan **AWSServiceCatalogAdminReadOnlyAccess**sebagai gantinya.
+ **ServiceCatalogEndUserFullAccess**— Gunakan **AWSServiceCatalogEndUserFullAccess**sebagai gantinya.
+ **ServiceCatalogEndUserAccess**— Gunakan **AWSServiceCatalogEndUserReadOnlyAccess**sebagai gantinya.
Gunakan prosedur berikut untuk memastikan bahwa administrator dan pengguna akhir diberikan izin untuk menggunakan kebijakan saat ini.
*Untuk bermigrasi dari kebijakan usang ke kebijakan saat ini, lihat [Menambahkan dan menghapus izin identitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console) di Panduan Pengguna.AWS Identity and Access Management *
## AppRegistry pembaruan kebijakan AWS terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola AppRegistry sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman Riwayat AppRegistry dokumen.
| Ubah | Deskripsi | Date |
| --- | --- | --- |
| [AWSServiceCatalogSyncServiceRolePolicy](#security-iam-awsmanpol-AWSServiceCatalogSyncServiceRolePolicy)— Perbarui kebijakan terkelola | AWS Service Catalog memperbarui `AWSServiceCatalogSyncServiceRolePolicy` kebijakan untuk diubah `codestar-connections` menjadi`codeconnections`. | 7 Mei 2024 |
| [AWSServiceCatalogAdminFullAccess](#security-iam-awsmanpol-AWSServiceCatalogAdminFullAccess)— Perbarui kebijakan terkelola | AWS Service Catalog memperbarui `AWSServiceCatalogAdminFullAccess` kebijakan untuk menyertakan izin yang diperlukan AWS Service Catalog administrator untuk membuat peran `AWSServiceRoleForServiceCatalogOrgsDataSync` terkait layanan (SLR) di akun mereka. | April 14, 2023 |
| [AWSServiceCatalogOrgsDataSyncServiceRolePolicy](#security-iam-awsmanpol-AWSServiceCatalogOrgsDataSyncServiceRolePolicy)— Kebijakan terkelola baru | AWS Service Catalog menambahkan`AWSServiceCatalogOrgsDataSyncServiceRolePolicy`, yang dilampirkan ke peran `AWSServiceRoleForServiceCatalogOrgsDataSync` terkait layanan (SLR), memungkinkan AWS Service Catalog untuk disinkronkan dengan. AWS Organizations Kebijakan ini memungkinkan akses terbatas ke AWS Service Catalog tindakan (misalnya, panggilan API), dan tindakan AWS layanan lain yang AWS Service Catalog bergantung padanya. | April 14, 2023 |
| [AWSServiceCatalogAdminFullAccess](#security-iam-awsmanpol-AWSServiceCatalogAdminFullAccess)— Perbarui kebijakan terkelola | AWS Service Catalog memperbarui `AWSServiceCatalogAdminFullAccess` kebijakan untuk menyertakan semua izin untuk AWS Service Catalog Administrator dan membuat kompatibilitas dengannya AppRegistry. | Januari 12, 2023 |
| [AWSServiceCatalogSyncServiceRolePolicy](#security-iam-awsmanpol-AWSServiceCatalogSyncServiceRolePolicy)— Kebijakan terkelola baru | AWS Service Catalog menambahkan `AWSServiceCatalogSyncServiceRolePolicy` kebijakan, yang dilampirkan ke peran `AWSServiceRoleForServiceCatalogSync` terkait layanan (SLR). Kebijakan ini memungkinkan AWS Service Catalog untuk menyinkronkan templat di repositori eksternal ke AWS Service Catalog produk. | 18 November 2022 |
| [AWSServiceRoleForServiceCatalogSync](using-service-linked-roles.md#slr-permissions)— Peran terkait layanan baru | AWS Service Catalog menambahkan peran `AWSServiceRoleForServiceCatalogSync` terkait layanan (SLR). Peran ini diperlukan AWS Service Catalog untuk menggunakan CodeConnections dan membuat, memperbarui, dan menjelaskan Artefak AWS Service Catalog Penyediaan untuk suatu produk. | 18 November 2022 |
| [AWSServiceCatalogAdminFullAccess](#security-iam-awsmanpol-AWSServiceCatalogAdminFullAccess)— Kebijakan terkelola yang diperbarui | AWS Service Catalog memperbarui `AWSServiceCatalogAdminFullAccess` kebijakan untuk menyertakan semua izin yang diperlukan untuk AWS Service Catalog Administrator. Kebijakan mengidentifikasi tindakan spesifik yang dapat dilakukan administrator terhadap semua AWS Service Catalog sumber daya, seperti membuat, mendeskripsikan, menghapus, dan lainnya. Selain itu, kebijakan diubah untuk mendukung fitur yang baru diluncurkan, Attribute Based Access Control (ABAC) untuk AWS Service Catalog. ABAC memungkinkan Anda menggunakan `AWSServiceCatalogAdminFullAccess` kebijakan sebagai templat untuk mengizinkan atau menolak tindakan pada AWS Service Catalog sumber daya berdasarkan tag. Untuk informasi lebih lanjut tentang ABAC, lihat [Untuk AWS apa ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html). *AWS Identity and Access Management* | 30 September 2022 |
| AppRegistry mulai melacak perubahan | AppRegistry mulai melacak perubahan untuk kebijakan yang AWS dikelola. | 15 September 2022 |
# Menggunakan peran terkait layanan untuk AWS Service Catalog
AWS Service Catalog menggunakan AWS Identity and Access Management peran [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke. AWS Service Catalog Peran terkait layanan telah ditentukan sebelumnya oleh AWS Service Catalog dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.
Peran terkait layanan membuat pengaturan AWS Service Catalog lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. AWS Service Catalog mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya AWS Service Catalog dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas IAM lainnya.
Anda dapat menghapus peran tertaut layanan hanya setelah menghapus sumber daya terkait terlebih dahulu. Ini melindungi AWS Service Catalog sumber daya Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, lihat [Layanan AWS yang Bekerja bersama IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan mencari layanan yang memiliki **Ya** dalam **Peran Terkait Layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
## Izin peran terkait layanan untuk `AWSServiceRoleForServiceCatalogSync`
AWS Service Catalog dapat menggunakan peran terkait layanan bernama **`AWSServiceRoleForServiceCatalogSync`**— Peran terkait layanan ini diperlukan AWS Service Catalog untuk menggunakan CodeConnections dan membuat, memperbarui, dan menjelaskan Artefak AWS Service Catalog Penyediaan untuk suatu produk.
Peran tertaut layanan `AWSServiceRoleForServiceCatalogSync` memercayai layanan berikut untuk mengambil peran tersebut:
+ `sync.servicecatalog.amazonaws.com`
Kebijakan izin peran bernama **AWSServiceCatalogSyncServiceRolePolicy**memungkinkan AWS Service Catalog untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
+ Tindakan: `Connection` pada `CodeConnections`
+ Tindakan: `Create, Update, and Describe` aktif `ProvisioningArtifact` untuk suatu AWS Service Catalog produk
Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat [Izin peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.
### Membuat peran `AWSServiceRoleForServiceCatalogSync` terkait layanan
Anda tidak perlu membuat peran `AWSServiceRoleForServiceCatalogSync` terkait layanan secara manual. AWS Service Catalog membuat peran terkait layanan untuk Anda secara otomatis saat Anda membuat CodeConnections di Konsol Manajemen AWS, the AWS CLI, atau API. AWS
**penting**
Peran tertaut layanan ini dapat muncul di akun Anda jika Anda menyelesaikan tindakan di layanan lain yang menggunakan fitur yang disupport oleh peran ini. Juga, jika Anda menggunakan AWS Service Catalog layanan sebelum 18 November 2022, ketika mulai mendukung peran terkait layanan, maka AWS Service Catalog buat `AWSServiceRoleForServiceCatalogSync` peran tersebut di akun Anda. Untuk mempelajari lebih lanjut, lihat [Peran baru muncul di akun IAM saya](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Ketika Anda membangun CodeConnections, AWS Service Catalog ciptakan peran terkait layanan untuk Anda lagi.
Anda juga dapat menggunakan konsol IAM untuk membuat peran terkait layanan dengan kasus penggunaan Produk yang **disinkronkan AWS Service Catalog **. Di AWS CLI atau AWS API, buat peran terkait layanan dengan nama `sync.servicecatalog.amazonaws.com` layanan. Untuk informasi selengkapnya, lihat [Membuat peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dalam *Panduan Pengguna IAM*. Jika Anda menghapus peran tertaut layanan ini, Anda dapat mengulang proses yang sama untuk membuat peran tersebut lagi.
## Izin peran terkait layanan untuk `AWSServiceRoleForServiceCatalogOrgsDataSync`
AWS Service Catalog dapat menggunakan peran terkait layanan bernama **`AWSServiceRoleForServiceCatalogOrgsDataSync`**— Peran terkait layanan ini diperlukan agar AWS Service Catalog organisasi tetap sinkron. AWS Organizations
Peran tertaut layanan `AWSServiceRoleForServiceCatalogOrgsDataSync` memercayai layanan berikut untuk mengambil peran tersebut:
+ `orgsdatasync.servicecatalog.amazonaws.com`
Peran `AWSServiceRoleForServiceCatalogOrgsDataSync` terkait layanan mengharuskan Anda menggunakan kebijakan kepercayaan berikut selain kebijakan `AWSServiceCatalogOrgsDataSyncServiceRolePolicy` [terkelola](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSServiceCatalogOrgsDataSyncServiceRolePolicy):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "orgsdatasync.servicecatalog.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Kebijakan izin peran bernama **AWSServiceCatalogOrgsDataSyncServiceRolePolicy**memungkinkan AWS Service Catalog untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
+ Tindakan:`DescribeAccount`,`DescribeOrganization`, dan `ListAWSServiceAccessForOrganization` seterusnya `Organizations accounts`
+ Tindakan:`ListAccounts`,`ListChildren`, dan `ListParent` seterusnya `Organizations accounts`
Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat [Izin peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.
### Membuat peran `AWSServiceRoleForServiceCatalogOrgsDataSync` terkait layanan
Anda tidak perlu membuat peran `AWSServiceRoleForServiceCatalogOrgsDataSync` terkait layanan secara manual. AWS Service Catalog mempertimbangkan tindakan Anda mengaktifkan [Berbagi dengan AWS Organizations](catalogs_portfolios_sharing_how-to-share.md#portfolio-sharing-organizations) atau [Membagi Portofolio](catalogs_portfolios_sharing_how-to-share.md) sebagai izin AWS Service Catalog untuk membuat SLR di latar belakang atas nama Anda.
AWS Service Catalog membuat peran terkait layanan untuk Anda secara otomatis saat Anda meminta `EnableAWSOrganizationsAccess` atau `CreatePortfolioShare` di Konsol Manajemen AWS, API AWS CLI, atau API. AWS
**penting**
Peran tertaut layanan ini dapat muncul di akun Anda jika Anda menyelesaikan tindakan di layanan lain yang menggunakan fitur yang disupport oleh peran ini. Untuk mempelajari lebih lanjut, lihat [Peran baru muncul di akun IAM saya](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda meminta `EnableAWSOrganizationsAccess` atau`CreatePortfolioShare`, AWS Service Catalog buat peran terkait layanan untuk Anda lagi.
## Mengedit peran terkait layanan untuk AWS Service Catalog
AWS Service Catalog tidak memungkinkan Anda untuk mengedit `AWSServiceRoleForServiceCatalogSync` atau peran `AWSServiceRoleForServiceCatalogOrgsDataSync` terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin merujuk peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.
## Menghapus peran terkait layanan untuk AWS Service Catalog
Anda dapat menggunakan konsol IAM, AWS CLI, atau API untuk menghapus `AWSServiceRoleForServiceCatalogSync` atau AWS SLR secara manual. `AWSServiceRoleForServiceCatalogOrgsDataSync` Untuk melakukan ini, Anda harus terlebih dahulu menghapus semua sumber daya yang menggunakan peran terkait layanan (misalnya, AWS Service Catalog produk apa pun yang disinkronkan ke repositori eksternal), dan kemudian peran terkait layanan dapat dihapus secara manual.
## Wilayah yang didukung untuk AWS Service Catalog peran terkait layanan
AWS Service Catalog mendukung penggunaan peran terkait layanan di semua wilayah tempat layanan tersedia. Untuk informasi selengkapnya, silakan lihat [Wilayah AWS dan titik akhir](https://docs.aws.amazon.com/general/latest/gr/rande.html).
****
| Nama wilayah | Identitas wilayah | Support di AWS Service Catalog |
| --- | --- | --- |
| US East (Northern Virginia) | us-east-1 | Ya |
| US East (Ohio) | us-east-2 | Ya |
| US West (N. California) | us-west-1 | Ya |
| US West (Oregon) | us-west-2 | Ya |
| Africa (Cape Town) | af-south-1 | Ya |
| Asia Pasifik (Hong Kong) | ap-east-1 | Ya |
| Asia Pasifik (Jakarta) | ap-southeast-3 | Ya |
| Asia Pacific (Mumbai) | ap-south-1 | Ya |
| Asia Pacific (Osaka) | ap-northeast-3 | Ya |
| Asia Pacific (Seoul) | ap-northeast-2 | Ya |
| Asia Pacific (Singapore) | ap-southeast-1 | Ya |
| Asia Pacific (Sydney) | ap-southeast-2 | Ya |
| Asia Pacific (Tokyo) | ap-northeast-1 | Ya |
| Canada (Central) | ca-sentral-1 | Ya |
| Eropa (Frankfurt) | eu-central-1 | Ya |
| Eropa (Irlandia) | eu-west-1 | Ya |
| Eropa (London) | eu-west-2 | Ya |
| Europe (Milan) | eu-south-1 | Ya |
| Europe (Paris) | eu-west-3 | Ya |
| Eropa (Stockholm) | eu-north-1 | Ya |
| Timur Tengah (Bahrain) | me-south-1 | Ya |
| South America (São Paulo) | sa-east-1 | Ya |
| AWS GovCloud (AS-Timur) | us-gov-east-1 | Tidak |
| AWS GovCloud (AS-Barat) | us-gov-west-1 | Tidak |
# Memecahkan masalah AWS Service Catalog identitas dan akses
Gunakan informasi berikut untuk membantu Anda mendiagnosis dan memperbaiki masalah umum yang mungkin Anda temui saat bekerja dengan AWS Service Catalog dan IAM.
**Topics**
+ [Saya tidak berwenang untuk melakukan tindakan di AWS Service Catalog](#troubleshoot-one)
+ [Saya tidak berwenang untuk melakukan `iam:PassRole`](#troubleshoot-two)
+ [Saya ingin mengizinkan orang di luar AWS akun saya untuk mengakses AWS Service Catalog sumber daya saya](#troubleshoot-five)
## Saya tidak berwenang untuk melakukan tindakan di AWS Service Catalog
Jika Konsol Manajemen AWS memberitahu Anda bahwa Anda tidak berwenang untuk melakukan tindakan, maka Anda harus menghubungi administrator Anda untuk bantuan. Administrator Anda adalah orang yang memberi Anda kredensial masuk. Contoh kesalahan berikut terjadi ketika pengguna mateojackson mencoba menggunakan konsol untuk melihat detail tentang my-example-widget sumber daya fiksi tetapi tidak memiliki izin fiksi. `aws:GetWidget`
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: aws:GetWidget on resource: my-example-widget
```
Dalam hal ini, Mateo meminta administratornya untuk memperbarui kebijakannya untuk mengizinkan dia mengakses sumber daya `my-example-widget` menggunakan tindakan `aws:GetWidget`.
## Saya tidak berwenang untuk melakukan `iam:PassRole`
Jika Anda menerima kesalahan bahwa Anda tidak terotorisasi untuk melakukan tindakan `iam:PassRole`, Anda harus menghubungi administrator untuk mendapatkan bantuan. Administrator Anda adalah orang yang memberikan Anda nama pengguna dan kata sandi Anda. Minta orang tersebut untuk memperbarui kebijakan Anda agar Anda dapat memberikan peran ke AWS Service Catalog.
Beberapa AWS layanan memungkinkan Anda untuk meneruskan peran yang ada ke layanan tersebut, alih-alih membuat peran layanan baru atau peran terkait layanan. Untuk melakukannya, Anda harus memiliki izin untuk meneruskan peran ke layanan.
Contoh kesalahan berikut terjadi ketika pengguna bernama marymajor mencoba menggunakan konsol untuk melakukan tindakan di. AWS Service Catalog Namun, tindakan ini mengharuskan layanan memiliki izin yang diberikan oleh peran layanan. Mary tidak memiliki izin untuk meneruskan peran tersebut ke layanan.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dalam hal ini, Mary meminta administratornya untuk memperbarui kebijakannya untuk memungkinkannya melakukan PassRole tindakan iam:.
## Saya ingin mengizinkan orang di luar AWS akun saya untuk mengakses AWS Service Catalog sumber daya saya
Anda dapat membuat peran yang dapat digunakan pengguna di akun lain atau orang-orang di luar organisasi Anda untuk mengakses sumber daya Anda. Anda dapat menentukan siapa saja yang dipercaya untuk mengambil peran tersebut. Untuk layanan yang mendukung kebijakan berbasis sumber daya atau daftar kontrol akses (ACLs), Anda dapat menggunakan kebijakan tersebut untuk memberi orang akses ke sumber daya Anda.
Untuk mempelajari selengkapnya, periksa referensi berikut:
+ Untuk mempelajari apakah AWS Service Catalog mendukung fitur ini, lihat [AWS Identity and Access ManagementAWS Service Catalog di](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/controlling_access.html) *Panduan AWS Service Catalog Administrator*.
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda di seluruh AWS akun yang Anda miliki, lihat [Menyediakan akses ke pengguna IAM di AWS akun lain yang Anda miliki](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) di *Panduan Pengguna IAM*.
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda ke AWS akun pihak ketiga, lihat [Menyediakan akses ke AWS akun yang dimiliki oleh pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) di *Panduan Pengguna IAM*.
+ Untuk mempelajari cara memberikan akses melalui federasi identitas, lihat [Menyediakan akses ke pengguna terautentikasi eksternal (federasi identitas)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dalam *Panduan Pengguna IAM*.
+ Untuk mempelajari perbedaan antara penggunaan kebijakan peran dan kebijakan berbasis sumber daya untuk akses lintas akun, lihat [Bagaimana peran IAM berbeda dari kebijakan berbasis sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html) dalam *Panduan Pengguna IAM*.
# Mengontrol Akses
AWS Service Catalog portofolio memberi administrator Anda tingkat kontrol akses untuk grup pengguna akhir Anda. Ketika Anda menambahkan pengguna ke portofolio, mereka dapat menelusuri dan meluncurkan salah satu produk dalam portofolio. Untuk informasi selengkapnya, lihat [Mengelola Portofolio](catalogs_portfolios.md).
## Batasan
Batasan mengontrol aturan yang diterapkan ke pengguna akhir Anda saat meluncurkan produk dari portofolio tertentu. Anda menggunakannya untuk menerapkan batasan produk untuk tata kelola atau pengendalian biaya. Untuk informasi selengkapnya tentang batasan, lihat [Menggunakan AWS Service Catalog Kendala](constraints.md).
AWS Service Catalog kendala peluncuran memberi Anda kontrol lebih besar atas izin yang dibutuhkan oleh pengguna akhir. Ketika administrator Anda membuat batasan peluncuran untuk produk dalam portofolio, batasan peluncuran mengaitkan ARN peran yang digunakan ketika pengguna akhir Anda meluncurkan produk dari portofolio tersebut. Dengan menggunakan pola ini, Anda dapat mengontrol akses ke pembuatan AWS sumber daya. Untuk informasi selengkapnya, lihat [AWS Service Catalog Luncurkan Kendala](constraints-launch.md).
# Logging dan Monitoring di AWS Service Catalog
AWS Service Catalog terintegrasi dengan AWS CloudTrail, layanan yang menangkap semua panggilan AWS Service Catalog API dan mengirimkan file log ke bucket Amazon S3 yang Anda tentukan. Untuk informasi selengkapnya, lihat [Mencatat Panggilan AWS Service Catalog API dengan CloudTrail.](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/logging-using-cloudtrail.html)
Anda juga dapat menggunakan batasan notifikasi untuk menyiapkan notifikasi Amazon SNS tentang peristiwa tumpukan. Untuk informasi selengkapnya, lihat [AWS Service Catalog Kendala Pemberitahuan](constraints-notification.md).
# Validasi Kepatuhan untuk AWS Service Catalog
Auditor pihak ketiga menilai keamanan dan kepatuhan AWS Service Catalog sebagai bagian dari beberapa program AWS kepatuhan, termasuk yang berikut:
+ Kontrol Sistem dan Organisasi (SOC)
+ Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS)
+ Program Manajemen Risiko dan Otorisasi Federal (FedRAMP)
+ Undang-Undang Akuntabilitas dan Portabilitas Asuransi Kesehatan (HIPAA)
Untuk daftar AWS layanan dalam lingkup program kepatuhan tertentu, lihat [AWS Services in Scope by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/). Untuk informasi umum, lihat [Program AWS Kepatuhan Program AWS](https://aws.amazon.com/compliance/programs/) .
Anda dapat mengunduh laporan audit pihak ketiga menggunakan AWS Artifact. Untuk informasi selengkapnya, lihat [ Mengunduh Laporan di AWS Artefak](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Tanggung jawab kepatuhan Anda saat menggunakan AWS Service Catalog tergantung pada sensitivitas data Anda, tujuan kepatuhan perusahaan Anda, dan hukum dan peraturan yang berlaku. AWS menyediakan sumber daya ini untuk membantu kepatuhan:
+ [Panduan Memulai Cepat Keamanan dan Kepatuhan — Panduan](https://aws.amazon.com/quickstart/) penerapan ini membahas pertimbangan arsitektur dan memberikan langkah-langkah untuk menerapkan lingkungan dasar yang berfokus pada keamanan dan kepatuhan. AWS
+ [Arsitektur untuk Whitepaper Keamanan dan Kepatuhan HIPAA — Whitepaper](https://docs.aws.amazon.com/pdfs/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.pdf) ini menjelaskan bagaimana perusahaan dapat menggunakan untuk membuat aplikasi yang sesuai dengan HIPAA. AWS
+ [AWS Sumber Daya Kepatuhan](https://aws.amazon.com/compliance/resources/) - Kumpulan buku kerja dan panduan ini dapat berlaku untuk industri dan lokasi Anda.
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) AWS Layanan ini menilai seberapa baik konfigurasi sumber daya Anda mematuhi praktik internal, pedoman industri, dan peraturan.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— AWS Layanan ini memberikan pandangan komprehensif tentang keadaan keamanan Anda di dalamnya AWS yang membantu Anda memeriksa kepatuhan Anda terhadap standar industri keamanan dan praktik terbaik.
# Ketahanan di AWS Service Catalog
Infrastruktur AWS global dibangun di sekitar AWS Wilayah dan Zona Ketersediaan. AWS Wilayah menyediakan beberapa Availability Zone yang terpisah secara fisik dan terisolasi, yang terhubung dengan latensi rendah, throughput tinggi, dan jaringan yang sangat redundan. Dengan Zona Ketersediaan, Anda dapat merancang dan mengoperasikan aplikasi dan basis data yang secara otomatis melakukan failover di antara Zona Ketersediaan tanpa gangguan. Availability Zone memiliki ketersediaan yang lebih baik, toleransi kesalahan, dan dapat diskalakan dibandingkan satu atau beberapa infrastruktur pusat data tradisional.
Untuk informasi selengkapnya tentang AWS Wilayah dan Availability Zone, lihat [Infrastruktur AWS Global](https://aws.amazon.com/about-aws/global-infrastructure/).
Selain infrastruktur AWS global, AWS Service Catalog menawarkan tindakan AWS Service Catalog swalayan. Dengan tindakan layanan mandiri, pelanggan dapat mengurangi perawatan administratif dan pelatihan pengguna akhir sambil mengikuti langkah-langkah kepatuhan dan keamanan. Dengan tindakan layanan mandiri, sebagai administrator, Anda dapat mengaktifkan pengguna akhir untuk melakukan tugas-tugas operasional seperti pencadangan dan pemulihan, memecahkan masalah, menjalankan perintah yang disetujui, dan meminta izin di AWS Service Catalog. Untuk mempelajari selengkapnya, lihat [AWS Service Catalog Tindakan Layanan](using-service-actions.md).
# Keamanan Infrastruktur di AWS Service Catalog
Sebagai layanan terkelola, AWS Service Catalog dilindungi oleh keamanan jaringan AWS global. Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat [Keamanan AWS Cloud](https://aws.amazon.com/security/). Untuk mendesain AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat [Perlindungan Infrastruktur dalam Kerangka Kerja](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) yang * AWS Diarsiteksikan dengan Baik Pilar Keamanan*.
Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses AWS Service Catalog melalui jaringan. Klien harus mendukung hal-hal berikut:
+ Keamanan Lapisan Pengangkutan (TLS). Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Sandi cocok dengan sistem kerahasiaan maju sempurna (perfect forward secrecy, PFS) seperti DHE (Ephemeral Diffie-Hellman) atau ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.
Dengan AWS Service Catalog, Anda dapat mengontrol Wilayah tempat data disimpan. Portofolio dan produk hanya tersedia di Wilayah tempat Anda telah membuatnya tersedia. Anda dapat menggunakan API `CopyProduct` untuk menyalin produk ke Wilayah lainnya.
# Praktik Terbaik Keamanan untuk AWS Service Catalog
AWS Service Catalog menyediakan sejumlah fitur keamanan untuk dipertimbangkan saat Anda mengembangkan dan menerapkan kebijakan keamanan Anda sendiri. Praktik terbaik berikut adalah pedoman umum dan tidak mewakili solusi keamanan yang lengkap. Karena praktik terbaik ini mungkin tidak sesuai atau cukup untuk lingkungan Anda, anggap praktik terbaik tersebut sebagai pertimbangan yang membantu dan bukan sebagai rekomendasi.
Anda dapat menentukan aturan yang membatasi nilai parameter yang dimasukkan pengguna saat meluncurkan produk. Aturan-aturan ini disebut batasan templat karena aturan ini membatasi cara templat CloudFormation untuk produk di-deploy. Anda menggunakan editor sederhana untuk membuat batasan templat, dan Anda menerapkannya pada produk individu.
AWS Service Catalog menerapkan kendala saat menyediakan produk baru atau memperbarui produk yang sudah digunakan. Ini selalu menerapkan batasan yang paling ketat di antara semua batasan yang diterapkan pada portofolio dan produk. Sebagai contoh, pertimbangkan skenario saat produk memungkinkan semua instans Amazon EC2 diluncurkan dan portofolio memiliki dua batasan: satu yang memungkinkan semua instans EC2 tipe non-GPU yang akan diluncurkan dan satu yang memungkinkan hanya t1.micro dan m1.small EC2 yang akan diluncurkan. Untuk contoh ini, AWS Service Catalog terapkan kendala kedua yang lebih ketat (t1.micro dan m1.small).
Anda dapat membatasi akses yang dimiliki pengguna akhir ke AWS sumber daya saat Anda melampirkan kebijakan IAM ke peran peluncuran. Anda kemudian menggunakan AWS Service Catalog untuk membuat batasan peluncuran untuk menggunakan peran saat meluncurkan produk.
Untuk mempelajari selengkapnya tentang kebijakan terkelola AWS Service Catalog, lihat [Kebijakan AWS Terkelola untuk AWS Service Catalog.](security-iam-awsmanpol.md)