• AWS Systems Manager CloudWatch Dasbor tidak akan lagi tersedia setelah 30 April 2026. Pelanggan dapat terus menggunakan CloudWatch konsol Amazon untuk melihat, membuat, dan mengelola CloudWatch dasbor Amazon mereka, seperti yang mereka lakukan hari ini. Untuk informasi selengkapnya, lihat [dokumentasi CloudWatch Dasbor Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Buat peran layanan untuk Otomasi menggunakan konsol
Jika Anda perlu membuat peran layanan untuk Otomasi, alat di AWS Systems Manager, selesaikan tugas-tugas berikut. Untuk informasi lebih lanjut tentang kapan peran layanan diperlukan untuk otomatisasi, lihat [Menyiapkan Otomatisasi](automation-setup.md).
**Topics**
+ [Tugas 1: Buat peran layanan untuk otomatisasi](#create-service-role)
+ [Tugas 2: Lampirkan PassRole kebijakan iam: ke peran Otomasi Anda](#attach-passrole-policy)
## Tugas 1: Buat peran layanan untuk otomatisasi
Gunakan prosedur berikut untuk membuat peran layanan (atau *peran asumsi*) untuk Otomatisasi Systems Manager.
**catatan**
Anda juga dapat menggunakan peran ini di runbook, seperti `AWS-CreateManagedLinuxInstance` runbook. Menggunakan peran ini, atau Nama Sumber Daya Amazon (ARN) peran AWS Identity and Access Management (IAM), dalam runbook memungkinkan Otomasi untuk melakukan tindakan di lingkungan Anda, seperti meluncurkan instans baru dan melakukan tindakan atas nama Anda.
**Untuk membuat IAM role dan mengizinkan Otomatisasi mengasumsikannya**
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Peran**, lalu pilih **Buat peran**.
1. Di bawah **Pilih jenis entitas tepercaya**, pilih **AWS layanan**.
1. Di bagian **Pilih kasus penggunaan**, pilih **Systems Manager**, lalu pilih **Berikutnya: Izin**.
1. Pada halaman **Kebijakan izin terlampir**, cari kebijakan **SSMAutomationPeran Amazon**, pilih kebijakan tersebut, lalu pilih **Berikutnya: Tinjau**.
1. Pada halaman **Ulasan**, masukkan nama di kotak **Nama peran**, dan kemudian masukkan deskripsi.
1. Pilih **Buat peran**. Sistem mengembalikan Anda ke halaman **Peran**.
1. Pada halaman **Peran**, pilih peran yang baru Anda buat untuk membuka halaman **Ringkasan**. Catat **Nama peran** dan **Peran ARN**. Anda akan menentukan peran ARN saat Anda melampirkan PassRole kebijakan **iam:** ke akun IAM Anda di prosedur berikutnya. Anda juga dapat menentukan nama peran dan ARN di runbook.
**catatan**
`AmazonSSMAutomationRole`Kebijakan menetapkan izin peran Otomasi ke subset AWS Lambda fungsi dalam akun Anda. Fungsi ini dimulai dengan "Otomatisasi". Jika Anda berencana untuk menggunakan otomatisasi dengan fungsi Lambda, Lambda ARN harus menggunakan format berikut:
`"arn:aws:lambda:*:*:function:Automation*"`
**Jika Anda memiliki fungsi Lambda yang ARNs tidak menggunakan format ini, Anda juga harus melampirkan kebijakan Lambda tambahan ke peran otomatisasi Anda, seperti kebijakan Peran. AWSLambda** Kebijakan atau peran tambahan harus menyediakan akses yang lebih luas ke fungsi Lambda dalam Akun AWS.
Setelah membuat peran layanan Anda, kami sarankan untuk mengedit kebijakan kepercayaan untuk membantu mencegah masalah wakil lintas layanan yang membingungkan. *Masalah confused deputy* adalah masalah keamanan saat entitas yang tidak memiliki izin untuk melakukan suatu tindakan dapat memaksa entitas yang lebih berhak untuk melakukan tindakan tersebut. Pada tahun AWS, peniruan lintas layanan dapat mengakibatkan masalah wakil yang membingungkan. Peniruan identitas lintas layanan dapat terjadi ketika satu layanan (*layanan yang dipanggil*) memanggil layanan lain (*layanan yang dipanggil*). Layanan pemanggilan dapat dimanipulasi menggunakan izinnya untuk bertindak pada sumber daya pelanggan lain dengan cara yang seharusnya tidak dilakukannya kecuali bila memiliki izin untuk mengakses. Untuk mencegah hal ini, AWS sediakan alat yang membantu Anda melindungi data Anda untuk semua layanan dengan prinsip layanan yang telah diberikan akses ke sumber daya di akun Anda.
Sebaiknya gunakan kunci konteks kondisi [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)dan global dalam kebijakan sumber daya untuk membatasi izin yang diberikan Automation layanan lain ke sumber daya. Jika `aws:SourceArn` nilainya tidak berisi ID akun, seperti ARN bucket Amazon S3, Anda harus menggunakan kedua kunci konteks kondisi global untuk membatasi izin. Jika Anda menggunakan kunci konteks kondisi global dan nilai `aws:SourceArn` berisi ID akun, nilai `aws:SourceAccount` dan akun dalam nilai `aws:SourceArn` harus menggunakan ID akun yang sama saat digunakan dalam pernyataan kebijakan yang sama. Gunakan `aws:SourceArn` jika Anda ingin hanya satu sumber daya yang akan dikaitkan dengan akses lintas layanan. Gunakan `aws:SourceAccount` jika Anda ingin mengizinkan sumber daya apa pun di akun tersebut dikaitkan dengan penggunaan lintas layanan. Nilai `aws:SourceArn` harus ARN untuk eksekusi otomatisasi. Jika Anda tidak mengetahui ARN lengkap sumber daya atau jika Anda menentukan beberapa sumber daya, gunakan kunci kondisi konteks `aws:SourceArn` global dengan wildcard (`*`) untuk bagian ARN yang tidak diketahui. Misalnya, `arn:aws:ssm:*:123456789012:automation-execution/*`.
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan `aws:SourceArn` dan kunci konteks kondisi `aws:SourceAccount` global untuk Otomasi untuk mencegah masalah wakil yang membingungkan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"ssm.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ssm:*:123456789012:automation-execution/*"
}
}
}
]
}
```
------
**Untuk memodifikasi kebijakan kepercayaan peran**
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Peran**.
1. Dalam daftar peran di akun Anda, pilih nama peran layanan Otomasi Anda.
1. Pilih tab **Hubungan kepercayaan**, dan kemudian pilih**Ubah hubungan kepercayaan**.
1. Edit kebijakan kepercayaan menggunakan `aws:SourceArn` dan kunci konteks kondisi `aws:SourceAccount` global untuk Otomasi untuk mencegah masalah wakil yang membingungkan.
1. Pilih **Perbarui Kebijakan Kepercayaan** untuk menyimpan perubahan Anda.
### (Opsional) Tambahkan kebijakan sebaris Otomasi atau kebijakan terkelola pelanggan untuk memanggil lainnya Layanan AWS
Jika Anda menjalankan otomatisasi yang memanggil orang lain Layanan AWS dengan menggunakan peran layanan IAM, peran layanan harus dikonfigurasi dengan izin untuk memanggil layanan tersebut. Persyaratan ini berlaku untuk semua runbook AWS Otomasi (`AWS-*`runbook) seperti`AWS-ConfigureS3BucketLogging`,`AWS-CreateDynamoDBBackup`, dan `AWS-RestartEC2Instance` runbook, untuk beberapa nama. Persyaratan ini juga berlaku untuk setiap runbook kustom yang Anda buat yang memanggil orang lain Layanan AWS dengan menggunakan tindakan yang memanggil layanan lain. Misalnya, jika Anda menggunakan `aws:executeAwsApi`, `aws:CreateStack`, atau `aws:copyImage` tindakan,untuk beberapa nama, konfigurasikan peran layanan dengan izin untuk menjalankan layanan tersebut. Anda dapat memberikan izin kepada orang lain Layanan AWS dengan menambahkan kebijakan inline IAM atau kebijakan yang dikelola pelanggan ke peran tersebut.
**Untuk menyematkan kebijakan yang selaras bagi peran layanan (konsol IAM)**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Peran**.
1. Dalam daftar peran, pilih nama peran yang ingin Anda edit.
1. Pilih tab **Izin**.
1. Di menu tarik-turun **Tambah izin**, pilih **Lampirkan kebijakan atau **Buat** kebijakan** sebaris.
1. Jika Anda memilih **Lampirkan kebijakan**, pilih kotak centang di samping kebijakan yang ingin Anda tambahkan, lalu pilih **Tambahkan izin**.
1. Jika Anda memilih **Buat kebijakan sebaris**, pilih tab **JSON**.
1. Masukkan dokumen Kebijakan JSON untuk yang ingin Layanan AWS Anda panggil. Berikut adalah dua contoh dokumen Kebijakan JSON.
**Amazon S3 PutObject dan Contoh GetObject**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
**Amazon EC2 CreateSnapshot dan Contoh DescribeSnapShots**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"ec2:CreateSnapshot",
"Resource":"*"
},
{
"Effect":"Allow",
"Action":"ec2:DescribeSnapshots",
"Resource":"*"
}
]
}
```
------
Untuk rincian bahasa kebijakan IAM, lihat [Referensi kebijakan IAM JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) di *Panduan Pengguna IAM*.
1. Setelah selesai, pilih **Tinjau kebijakan**. [Validator Kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) melaporkan kesalahan sintaksis.
1. Pada halaman **Kebijakan ulasan**, masukkan **Nama** untuk kebijakan yang Anda buat. Ulas **Ringkasan** kebijakan untuk melihat izin yang diberikan oleh kebijakan Anda. Kemudian pilih **Buat kebijakan** untuk menyimpan pekerjaan Anda.
1. Setelah Anda membuat kebijakan yang selaras, ia akan secara otomatis tertanam di pengguna atau peran Anda.
## Tugas 2: Lampirkan PassRole kebijakan iam: ke peran Otomasi Anda
Gunakan prosedur berikut untuk melampirkan `iam:PassRole` kebijakan untuk peran layanan otomatisasi Anda. Hal ini memungkinkan layanan Otomasi untuk meneruskan peran ke layanan lain atau alat Systems Manager saat menjalankan otomatisasi.
**Untuk melampirkan PassRole kebijakan iam: ke peran Otomasi Anda**
1. Di halaman **Ringkasan** untuk peran yang baru saja Anda buat, pilih tab **Izin**.
1. Pilih **Tambah kebijakan inline**.
1. Di halaman **Buat kebijakan**, pilih tab **Visual editor**.
1. Pilih **Layanan**, lalu pilih **IAM**.
1. Pilih **Pilih tindakan**.
1. Di kotak teks **tindakan Filter****PassRole**, ketik, lalu pilih **PassRole**opsi.
1. Pilih **Sumber Daya**. Verifikasi bahwa **Spesifik** dipilih, dan kemudian pilih **Tambahkan ARN**.
1. Di **Spesifikasikan ARN untuk bidang** peran, tempel otomatisasi peran ARN yang Anda salin pada akhir tugas 1. Sistem mengisi **Akun** dan **Nama peran dengan bidang** jalur.
**catatan**
Jika Anda ingin peran layanan otomatisasi untuk melampirkan peran profil instans IAM ke instans EC2, maka Anda harus menambahkan ARN peran profil instans IAM. Hal ini memungkinkan peran layanan otomatisasi untuk bisa melewati peran profil instans IAM ke instans EC2 target.
1. Pilih **Tambahkan**.
1. Pilih **Tinjau kebijakan**.
1. Pada halaman **Tinjau kebijakan,** masukkan nama dan deskripsi kebijakan, dan pilih **Buat Kebijakan**.