Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Audit dan rekonsiliasi sumber daya yang disediakan secara otomatis
<a name="reconcile-auto-provisioning"></a>

SCIM memungkinkan Anda untuk secara otomatis menyediakan pengguna, grup, dan keanggotaan grup dari sumber identitas Anda ke IAM Identity Center. Panduan ini membantu Anda memverifikasi dan mendamaikan sumber daya ini untuk mempertahankan sinkronisasi yang akurat.

## Mengapa mengaudit sumber daya Anda?
<a name="reconcile-auto-provisioning-why-audit"></a>

Audit rutin membantu memastikan kontrol akses Anda tetap akurat dan penyedia identitas (IDP) Anda tetap disinkronkan dengan Pusat Identitas IAM dengan benar. Ini sangat penting untuk kepatuhan keamanan dan manajemen akses.

Sumber daya yang dapat Anda audit:
+ Pengguna
+ Grup
+ Keanggotaan grup

 Anda dapat menggunakan [perintah AWS Identity Store [APIs](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html)atau CLI](https://docs.aws.amazon.com/cli/latest/reference/identitystore/) untuk melakukan audit dan rekonsiliasi. Contoh berikut menggunakan AWS CLI perintah. Untuk alternatif API, lihat [operasi terkait](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_Operations.html) dalam *referensi Identity Store API*. 

## Cara mengaudit sumber daya
<a name="how-to-audit-resources"></a>

Berikut adalah contoh cara mengaudit sumber daya ini menggunakan AWS CLI perintah.

Sebelum Anda mulai, pastikan Anda memiliki:
+ Akses administrator ke Pusat Identitas IAM.
+ AWS CLI diinstal dan dikonfigurasi. Untuk selengkapnya, lihat [https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html).
+ Izin IAM yang diperlukan untuk perintah Identity Store.

### Langkah 1: Daftar sumber daya saat ini
<a name="list-current-resources"></a>

Anda dapat melihat sumber daya Anda saat ini menggunakan AWS CLI.

**catatan**  
 Saat menggunakan AWS CLI, pagination ditangani secara otomatis kecuali Anda menentukan. `--no-paginate` Jika Anda memanggil API secara langsung (misalnya, dengan SDK atau skrip khusus), tangani `NextToken` respons tersebut. Ini memastikan Anda mengambil semua hasil di beberapa halaman. 

**Example untuk pengguna**  

```
aws identitystore list-users \
  --region {{REGION}} \
  --identity-store-id {{IDENTITY_STORE_ID}}
```

**Example untuk kelompok**  

```
aws identitystore list-groups \
  --region {{REGION}} \
  --identity-store-id {{IDENTITY_STORE_ID}}
```

**Example untuk keanggotaan grup**  

```
aws identitystore list-group-memberships \
  --region {{REGION}} \
  --identity-store-id {{IDENTITY_STORE_ID}}
  --group-id {{GROUP_ID}}
```

### Langkah 2: Bandingkan dengan sumber identitas Anda
<a name="compare-idenity-source"></a>

Bandingkan sumber daya yang terdaftar dengan sumber identitas Anda untuk mengidentifikasi perbedaan apa pun, seperti:
+ Sumber daya yang hilang yang harus disediakan di Pusat Identitas IAM.
+ Sumber daya tambahan yang harus dihapus dari IAM Identity Center.

**Example untuk pengguna**  

```
# Create missing users
aws identitystore create-user \
  --identity-store-id {{IDENTITY_STORE_ID }}\
  --user-name {{USERNAME}} \
  --display-name {{DISPLAY_NAME}} \
  --name GivenName={{FIRST_NAME}},FamilyName={{LAST_NAME}} \
  --emails Value={{EMAIL}},Primary=true

# Delete extra users
aws identitystore delete-user \
  --identity-store-id {{IDENTITY_STORE_ID}} \
  --user-id {{USER_ID}}
```

**Example untuk kelompok**  

```
# Create missing groups
aws identitystore create-group \
  --identity-store-id {{IDENTITY_STORE_ID}} \
  {{[group attributes]}}
  
# Delete extra groups
aws identitystore delete-group \
  --identity-store-id {{IDENTITY_STORE_ID }}\
  --group-id {{GROUP_ID}}
```

**Example untuk keanggotaan grup**  

```
# Add missing members
aws identitystore create-group-membership \
  --identity-store-id {{IDENTITY_STORE_ID}} \
  --group-id {{GROUP_ID}} \
  --member-id '{"UserId": "{{USER_ID}}"}'
  
# Remove extra members
aws identitystore delete-group-membership \
  --identity-store-id {{IDENTITY_STORE_ID}} \
  --membership-id {{MEMBERSHIP_ID}}
```

## Pertimbangan-pertimbangan
<a name="audit-resources-consideratons"></a>
+ Perintah tunduk pada [kuota layanan dan pembatasan API](limits.md#ssothrottlelimits).
+ Ketika Anda menemukan banyak perbedaan selama rekonsiliasi, buat perubahan kecil dan bertahap ke Identity Store. AWS Ini membantu Anda menghindari kesalahan yang memengaruhi banyak pengguna.
+ Sinkronisasi SCIM dapat mengganti perubahan manual Anda. Periksa pengaturan IDP Anda untuk memahami perilaku ini.