# Manajemen identitas dan akses untuk AWS Well-Architected Tool
<a name="security-iam"></a>

AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengendalikan akses ke sumber daya AWS secara aman. Administrator IAM mengontrol siapa yang dapat *terautentikasi* (masuk) dan *berwenang* (memiliki izin) untuk menggunakan sumber daya AWS WA Tool. IAM adalah Layanan AWS yang dapat Anda gunakan tanpa dikenai biaya tambahan.

**Topics**
+ [Audiens](#security_iam_audience)
+ [Mengautentikasi dengan identitas](#security_iam_authentication)
+ [Mengelola akses menggunakan kebijakan](#security_iam_access-manage)
+ [Cara kerja AWS Well-Architected Tool dengan IAM](security_iam_service-with-iam.md)
+ [Contoh kebijakan berbasis identitas AWS Well-Architected Tool](security_iam_id-based-policy-examples.md)
+ [Kebijakan yang dikelola AWS untuk AWS Well-Architected Tool](security-iam-awsmanpol.md)
+ [Pemecahan masalah identitas dan akses AWS Well-Architected Tool](security_iam_troubleshoot.md)

## Audiens
<a name="security_iam_audience"></a>

Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda berdasarkan peran Anda:
+ **Pengguna layanan** - minta izin dari administrator Anda jika Anda tidak dapat mengakses fitur (lihat [Pemecahan masalah identitas dan akses AWS Well-Architected Tool](security_iam_troubleshoot.md))
+ **Administrator layanan** - tentukan akses pengguna dan mengirimkan permintaan izin (lihat [Cara kerja AWS Well-Architected Tool dengan IAM](security_iam_service-with-iam.md))
+ **Administrator IAM** - tulis kebijakan untuk mengelola akses (lihat [Contoh kebijakan berbasis identitas AWS Well-Architected Tool](security_iam_id-based-policy-examples.md))

## Mengautentikasi dengan identitas
<a name="security_iam_authentication"></a>

Autentikasi merupakan cara Anda untuk masuk ke AWS menggunakan kredensial identitas Anda. Anda harus terautentikasi sebagai Pengguna root akun AWS, pengguna IAM, atau dengan mengambil peran IAM.

Anda dapat masuk sebagai identitas terfederasi menggunakan kredensial dari sumber identitas seperti AWS IAM Identity Center (Pusat Identitas IAM), autentikasi masuk tunggal, atau kredensial Google/Facebook. Untuk informasi selengkapnya tentang cara masuk, lihat [Cara masuk ke Akun AWS Anda](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dalam *Panduan Pengguna AWS Sign-In*.

Untuk akses terprogram, AWS menyediakan SDK dan CLI untuk menandatangani permintaan secara kriptografis. Untuk informasi selengkapnya, lihat [AWS Signature Version 4 untuk permintaan API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dalam *Panduan Pengguna IAM*.

### Pengguna root Akun AWS
<a name="security_iam_authentication-rootuser"></a>

 Ketika membuat Akun AWS, Anda memulai dengan satu identitas masuk yang disebut *pengguna root* Akun AWS yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Untuk tugas yang memerlukan kredensial pengguna root, lihat [Tugas yang memerlukan kredensial pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dalam *Panduan Pengguna IAM*. 

### Identitas terfederasi
<a name="security_iam_authentication-federated"></a>

Sebagai praktik terbaik, wajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas guna mengakses Layanan AWS dengan kredensial sementara.

*Identitas terfederasi* adalah pengguna dari direktori korporasi Anda, penyedia identitas web, atau Directory Service yang mengakses Layanan AWS menggunakan kredensial dari sumber identitas. Identitas terfederasi mengambil peran yang memberikan kredensial sementara.

Untuk manajemen akses terpusat, kami menyarankan AWS IAM Identity Center. Untuk informasi selengkapnya, lihat [Apa itu Pusat Identitas IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dalam *Panduan Pengguna AWS IAM Identity Center*.

### Pengguna dan grup IAM
<a name="security_iam_authentication-iamuser"></a>

*[Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* adalah identitas dengan izin khusus untuk satu orang atau aplikasi. Sebaiknya gunakan kredensial sementara alih-alih pengguna IAM dengan kredensial jangka panjang. Untuk informasi selengkapnya, lihat [Wajibkan pengguna manusia menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensial sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) dalam *Panduan Pengguna IAM*.

[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) menentukan kumpulan pengguna IAM dan mempermudah pengelolaan izin untuk pengguna dalam jumlah besar. Untuk mempelajari selengkapnya, lihat [Kasus penggunaan untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dalam *Panduan Pengguna IAM*.

### Peran IAM
<a name="security_iam_authentication-iamrole"></a>

*[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* adalah identitas dengan izin khusus yang menyediakan kredensial sementara. Anda dapat mengambil peran dengan [beralih dari pengguna ke peran IAM (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) atau dengan memanggil operasi AWS CLI atau API AWS. Untuk informasi selengkapnya, lihat [Metode untuk mengambil peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dalam *Panduan Pengguna IAM*.

Peran IAM berguna untuk akses pengguna terfederasi, izin pengguna IAM sementara, akses lintas akun, akses lintas layanan, dan aplikasi yang berjalan di Amazon EC2. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.

## Mengelola akses menggunakan kebijakan
<a name="security_iam_access-manage"></a>

Anda mengendalikan akses di AWS dengan membuat kebijakan dan melampirkannya ke identitas atau sumber daya AWS. Sebuah kebijakan menentukan izin saat dikaitkan dengan sebuah identitas atau sumber daya. AWS mengevaluasi kebijakan ini ketika principal mengajukan permintaan. Sebagian besar kebijakan disimpan di AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang dokumen kebijakan JSON, lihat [Gambaran umum kebijakan JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dalam *Panduan Pengguna IAM*.

Menggunakan kebijakan, administrator menentukan siapa yang memiliki akses ke apa dengan mendefinisikan **principal** mana yang dapat melakukan **tindakan** pada **sumber daya** apa, dan dalam **kondisi** apa.

Secara default, pengguna dan peran tidak memiliki izin. Administrator IAM membuat kebijakan IAM dan menambahkannya ke peran, yang kemudian dapat diambil oleh pengguna. Kebijakan IAM mendefinisikan izin terlepas dari metode yang Anda gunakan untuk melakukan operasinya.

### Kebijakan berbasis identitas
<a name="security_iam_access-manage-id-based-policies"></a>

Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang Anda lampirkan ke identitas (pengguna, grup, atau peran). Kebijakan ini mengontrol tindakan apa yang bisa dilakukan oleh identitas tersebut, terhadap sumber daya yang mana, dan dalam kondisi apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.

Kebijakan berbasis identitas dapat berupa *kebijakan inline* (disematkan langsung ke dalam satu identitas) atau *kebijakan terkelola* (kebijakan mandiri yang dilampirkan pada banyak identitas). Untuk mempelajari cara memilih antara kebijakan terkelola dan kebijakan inline, lihat [Pilih antara kebijakan terkelola dan kebijakan inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dalam *Panduan Pengguna IAM*.

### Kebijakan berbasis sumber daya
<a name="security_iam_access-manage-resource-based-policies"></a>

Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contohnya termasuk *kebijakan kepercayaan peran IAM* dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya.

Kebijakan berbasis sumber daya merupakan kebijakan inline yang terletak di layanan tersebut. Anda tidak dapat menggunakan kebijakan terkelola AWS dari IAM dalam kebijakan berbasis sumber daya.

### Jenis-jenis kebijakan lain
<a name="security_iam_access-manage-other-policies"></a>

AWS mendukung jenis kebijakan tambahan yang dapat mengatur izin maksimum yang diberikan oleh jenis kebijakan yang lebih umum:
+ **Batasan izin** – Menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Untuk informasi selengkapnya, lihat [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dalam *Panduan Pengguna IAM*.
+ **Kebijakan kontrol layanan (SCP)** – Menentukan izin maksimum untuk organisasi atau unit organisasi di AWS Organizations. Untuk informasi selengkapnya, lihat [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dalam *Panduan Pengguna AWS Organizations*.
+ **Kebijakan kontrol sumber daya (RCP)** – Menetapkan izin maksimum yang tersedia untuk sumber daya di akun Anda. Untuk informasi selengkapnya, lihat [Kebijakan kontrol sumber daya (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) dalam *Panduan Pengguna AWS Organizations*.
+ **Kebijakan sesi** – Kebijakan lanjutan yang diteruskan sebagai parameter saat membuat sesi sementara untuk peran atau pengguna terfederasi. Untuk informasi selengkapnya, lihat [Kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dalam *Panduan Pengguna IAM*.

### Berbagai jenis kebijakan
<a name="security_iam_access-manage-multiple-policies"></a>

Ketika beberapa jenis kebijakan berlaku pada suatu permintaan, izin yang dihasilkan lebih rumit untuk dipahami. Untuk mempelajari cara AWS menentukan apakah mengizinkan permintaan ketika ada beberapa tipe kebijakan, lihat [Logika evaluasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) dalam *Panduan Pengguna IAM*.

# Cara kerja AWS Well-Architected Tool dengan IAM
<a name="security_iam_service-with-iam"></a>

Sebelum Anda menggunakan IAM untuk mengelola akses ke AWS WA Tool, Anda harus memahami fitur IAM yang tersedia untuk digunakan dengan AWS WA Tool.


**Fitur IAM yang dapat Anda gunakan dengan AWS Well-Architected Tool**  

| Fitur IAM | Dukungan AWS WA Tool | 
| --- | --- | 
|  [Kebijakan berbasis identitas](#security_iam_service-with-iam-id-based-policies)  |   Ya  | 
|  [Kebijakan berbasis sumber daya](#security_iam_service-with-iam-resource-based-policies)  |   Tidak   | 
|  [Tindakan kebijakan](#security_iam_service-with-iam-id-based-policies-actions)  |   Ya  | 
|  [Sumber daya kebijakan](#security_iam_service-with-iam-id-based-policies-resources)  |   Ya  | 
|  [kunci-kunci persyaratan kebijakan (spesifik layanan)](#security_iam_service-with-iam-id-based-policies-conditionkeys)  |   Ya  | 
|  [ACL](#security_iam_service-with-iam-acls)  |   Tidak   | 
|  [ABAC (tanda dalam kebijakan)](#security_iam_service-with-iam-tags)  |   Ya  | 
|  [Kredensial sementara](#security_iam_service-with-iam-roles-tempcreds)  |   Ya  | 
|  [Izin principal](#security_iam_service-with-iam-principal-permissions)  |   Ya  | 
|  [Peran layanan](#security_iam_service-with-iam-roles-service)  |   Tidak   | 
|  [Peran terkait layanan](#security_iam_service-with-iam-roles-service-linked)  |   Tidak   | 

Untuk mendapatkan gambaran tingkat tinggi tentang cara AWS WA Tool dan layanan AWS lain bekerja dengan sebagian besar fitur IAM, lihat [Layanan AWS yang bekerja dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dalam *Panduan Pengguna IAM*.

## Kebijakan berbasis identitas AWS WA Tool
<a name="security_iam_service-with-iam-id-based-policies"></a>

**Mendukung tindakan kebijakan:** Ya

Administrator dapat menggunakan kebijakan JSON AWS untuk menentukan secara spesifik siapa yang memiliki akses terhadap apa. Artinya, **principal** manakah yang dapat melakukan **tindakan** pada **sumber daya** apa, dan dengan **kondisi** apa.

Elemen `Action` dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.

## Kebijakan berbasis sumber daya dalam AWS WA Tool
<a name="security_iam_service-with-iam-resource-based-policies"></a>

**Mendukung kebijakan berbasis sumber daya:** Tidak 

Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contoh kebijakan berbasis sumber daya adalah *kebijakan kepercayaan peran* IAM dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Untuk sumber daya tempat kebijakan dilampirkan, kebijakan menentukan tindakan apa yang dapat dilakukan oleh principal tertentu pada sumber daya tersebut dan dalam kondisi apa. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya. Principal dapat mencakup akun, pengguna, peran, pengguna terfederasi, atau Layanan AWS.

Untuk mengaktifkan akses lintas akun, Anda dapat menentukan secara spesifik seluruh akun atau entitas IAM di akun lain sebagai principal dalam kebijakan berbasis sumber daya. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.

## Tindakan kebijakan untuk AWS WA Tool
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

**Mendukung tindakan kebijakan:** Ya

Administrator dapat menggunakan kebijakan JSON AWS untuk menentukan secara spesifik siapa yang memiliki akses terhadap apa. Artinya, **principal** manakah yang dapat melakukan **tindakan** pada **sumber daya** apa, dan dengan **kondisi** apa.

Elemen `Action` dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.

Tindakan kebijakan di AWS WA Tool menggunakan prefiks berikut sebelum tindakan: `wellarchitected:`. Misalnya, untuk mengizinkan entitas menentukan beban kerja, administrator harus melampirkan kebijakan yang mengizinkan `wellarchitected:CreateWorkload` tindakan. Demikian pula, untuk mencegah entitas menghapus beban kerja, administrator dapat melampirkan kebijakan yang menolak tindakan `wellarchitected:DeleteWorkload`. Pernyataan kebijakan harus menyertakan elemen `Action` atau `NotAction`. AWS WA Tool menentukan serangkaian tindakannya sendiri yang menjelaskan tugas yang dapat Anda lakukan dengan layanan ini.

Untuk melihat daftar tindakan AWS WA Tool, lihat [Tindakan yang Ditentukan oleh AWS Well-Architected Tool](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswell-architectedtool.html#awswell-architectedtool-actions-as-permissions) dalam *Referensi Otorisasi Layanan*. 

## Sumber daya kebijakan
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

**Mendukung sumber daya kebijakan:** Ya

Administrator dapat menggunakan kebijakan JSON AWS untuk menentukan secara spesifik siapa yang memiliki akses terhadap apa. Artinya, **principal** manakah yang dapat melakukan **tindakan** pada **sumber daya** apa, dan dengan **kondisi** apa.

Elemen kebijakan JSON `Resource` menentukan objek yang menjadi target penerapan tindakan. Praktik terbaiknya, tentukan sumber daya menggunakan [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, gunakan wildcard (\$1) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.

```
"Resource": "*"
```

Untuk melihat daftar jenis sumber daya AWS WA Tool dan ARN-nya, lihat [Sumber daya yang ditentukan oleh AWS Well-Architected Tool](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswell-architectedtool.html#your_service-resources-for-iam-policies) dalam *Referensi Otorisasi Layanan*. Untuk mempelajari dengan tindakan mana Anda dapat menentukan ARN setiap sumber daya, lihat [Tindakan yang ditentukan oleh AWS Well-Architected Tool](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswell-architectedtool.html#your_service-actions-as-permissions).

Sumber daya beban kerja AWS WA Tool memiliki ARN berikut:

```
arn:${Partition}:wellarchitected:${Region}:${Account}:workload/${ResourceId} 
```

Untuk informasi selengkapnya tentang format ARN, lihat [Amazon Resource Name (ARN) dan Namespace Layanan AWS](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).

ARN dapat ditemukan di halaman **Properti beban kerja** untuk beban kerja. Misalnya, untuk menentukan beban kerja tertentu:

```
"Resource": "arn:aws:wellarchitected:us-west-2:123456789012:workload/11112222333344445555666677778888" 
```

Untuk menetapkan semua beban kerja milik akun tertentu, gunakan wildcard (\$1):

```
"Resource": "arn:aws:wellarchitected:us-west-2:123456789012:workload/*" 
```

Beberapa tindakan AWS WA Tool, seperti yang digunakan untuk membuat dan menampilkan daftar sumber daya, tidak dapat dilakukan pada sumber daya tertentu. Dalam kasus tersebut, Anda harus menggunakan wildcard (\$1).

```
"Resource": "*"
```

Untuk melihat daftar jenis sumber daya AWS WA Tool dan ARN-nya, lihat [Sumber Daya yang Ditentukan oleh AWS Well-Architected Tool](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswell-architectedtool.html#awswell-architectedtool-resources-for-iam-policies) dalam *Referensi Otorisasi Layanan*. Untuk mempelajari dengan tindakan mana Anda dapat menentukan ARN setiap sumber daya, lihat [Tindakan yang ditentukan oleh AWS Well-Architected Tool](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswell-architectedtool.html#awswell-architectedtool-actions-as-permissions).

## Kunci kondisi kebijakan untuk AWS WA Tool
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

**Mendukung kunci kondisi kebijakan khusus layanan:** Yes

Administrator dapat menggunakan kebijakan JSON AWS untuk menentukan secara spesifik siapa yang memiliki akses terhadap apa. Artinya, **principal** manakah yang dapat melakukan **tindakan** pada **sumber daya** apa, dan dengan **kondisi** apa.

Elemen `Condition` menentukan ketika pernyataan dieksekusi berdasarkan kriteria yang ditetapkan. Anda dapat membuat ekspresi bersyarat yang menggunakan [operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta. Untuk melihat semua kunci kondisi global AWS, lihat [Kunci konteks kondisi global AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dalam *Panduan Pengguna IAM*.

AWS WA Tool mendukung kunci kondisi khusus layanan (`wellarchitected:JiraProjectKey`) dan mendukung penggunaan sebagian kunci kondisi global. Untuk melihat semua kunci kondisi global AWS, lihat [Kunci Konteks Kondisi Global AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dalam *Referensi Otorisasi Layanan*.

Administrator dapat menggunakan kebijakan JSON AWS untuk menentukan secara spesifik siapa yang memiliki akses terhadap apa. Artinya, **principal** manakah yang dapat melakukan **tindakan** pada **sumber daya** apa, dan dengan **kondisi** apa.

Elemen `Condition` menentukan ketika pernyataan dieksekusi berdasarkan kriteria yang ditetapkan. Anda dapat membuat ekspresi bersyarat yang menggunakan [operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta. Untuk melihat semua kunci kondisi global AWS, lihat [Kunci konteks kondisi global AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dalam *Panduan Pengguna IAM*.

## ACL di AWS WA Tool
<a name="security_iam_service-with-iam-acls"></a>

**Mendukung ACL:** Tidak 

Daftar kontrol akses (ACL) mengendalikan principal mana (anggota akun, pengguna, atau peran) yang memiliki izin untuk mengakses sumber daya. ACL serupa dengan kebijakan berbasis sumber daya, meskipun kebijakan tersebut tidak menggunakan format dokumen kebijakan JSON.

## Otorisasi berdasarkan tanda AWS WA Tool
<a name="security_iam_service-with-iam-tags"></a>

**Mendukung ABAC (tanda dalam kebijakan):** Ya

Kontrol akses berbasis atribut (ABAC) adalah strategi otorisasi yang menentukan izin berdasarkan atribut tanda. Anda dapat melampirkan tanda ke entitas IAM dan sumber daya AWS, lalu merancang kebijakan ABAC untuk mengizinkan operasi ketika tanda principal cocok dengan tanda pada sumber daya.

Untuk mengendalikan akses berdasarkan tanda, berikan informasi tentang tanda di [elemen kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dari kebijakan menggunakan kunci kondisi `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, atau `aws:TagKeys`.

Jika sebuah layanan mendukung ketiga kunci kondisi untuk setiap jenis sumber daya, nilainya adalah **Ya** untuk layanan tersebut. Jika suatu layanan mendukung ketiga kunci kondisi untuk hanya beberapa jenis sumber daya, nilainya adalah **Parsial**.

Untuk informasi selengkapnya tentang ABAC, lihat [Tentukan izin dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dalam *Panduan Pengguna IAM.* Untuk melihat tutorial dengan langkah-langkah untuk menyiapkan ABAC, lihat [Menggunakan kontrol akses berbasis atribut (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) dalam *Panduan Pengguna IAM*.

## Menggunakan kredensial sementara dengan AWS WA Tool
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

**Mendukung kredensial sementara:** Ya

Kredensial sementara menyediakan akses jangka pendek ke sumber daya AWS dan secara otomatis dibuat saat Anda menggunakan federasi atau beralih peran. AWS merekomendasikan agar Anda secara dinamis menghasilkan kredensial sementara alih-alih menggunakan kunci akses jangka panjang. Untuk informasi selengkapnya, lihat [Kredensial keamanan sementara di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) dan [Layanan AWS yang berfungsi dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dalam *Panduan Pengguna IAM*.

## Izin principal lintas layanan untuk AWS WA Tool
<a name="security_iam_service-with-iam-principal-permissions"></a>

**Mendukung sesi akses terusan (FAS):** Ya

 Sesi akses terusan (FAS) menggunakan izin dari principal yang memanggil Layanan AWS, yang dikombinasikan dengan Layanan AWS, untuk mengajukan permintaan ke layanan hilir. Untuk detail kebijakan ketika mengajukan permintaan FAS, lihat [Sesi akses terusan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 

## Peran layanan untuk AWS WA Tool
<a name="security_iam_service-with-iam-roles-service"></a>

**Mendukung peran layanan:** Tidak 

 Peran layanan adalah [peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) yang diambil oleh sebuah layanan untuk melakukan tindakan atas nama Anda. Administrator IAM dapat membuat, mengubah, dan menghapus peran layanan dari dalam IAM. Untuk informasi selengkapnya, lihat [Buat sebuah peran untuk mendelegasikan izin ke Layanan AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dalam *Panduan pengguna IAM*. 

## Peran terkait untuk AWS WA Tool
<a name="security_iam_service-with-iam-roles-service-linked"></a>

**Mendukung peran terkait layanan:** Tidak 

 Peran terkait layanan adalah jenis peran layanan yang tertaut dengan Layanan AWS. Layanan tersebut dapat menjalankan peran untuk melakukan tindakan atas nama Anda. Peran terkait layanan akan muncul di Akun AWS Anda dan dimiliki oleh layanan tersebut. Administrator IAM dapat melihat, tetapi tidak dapat mengedit izin untuk peran terkait layanan. 

Untuk detail tentang pembuatan atau manajemen peran terkait layanan, lihat [Layanan AWS yang berfungsi dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Cari layanan dalam tabel yang memiliki `Yes` di kolom **Peran terkait layanan**. Pilih tautan **Ya** untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.

# Contoh kebijakan berbasis identitas AWS Well-Architected Tool
<a name="security_iam_id-based-policy-examples"></a>

Secara default, pengguna dan peran tidak memiliki izin untuk membuat atau mengubah sumber daya AWS WA Tool. Mereka juga tidak dapat melakukan tugas menggunakan API Konsol Manajemen AWS, AWS CLI, atau AWS. Administrator IAM harus membuat kebijakan IAM yang memberikan izin kepada pengguna dan peran untuk melakukan operasi API tertentu pada sumber daya yang diperlukan. Administrator kemudian harus melampirkan kebijakan tersebut ke pengguna atau grup yang memerlukan izin tersebut.

Untuk mempelajari cara membuat kebijakan berbasis identitas IAM menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat Kebijakan pada Tab JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) dalam *Panduan Pengguna IAM*.

**Topics**
+ [Praktik terbaik kebijakan](#security_iam_service-with-iam-policy-best-practices)
+ [Menggunakan konsol AWS WA Tool](#security_iam_id-based-policy-examples-console)
+ [Izinkan para pengguna untuk melihat izin mereka sendiri](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Memberikan akses penuh ke beban kerja](#security_iam_id-based-policy-examples-full-access)
+ [Memberikan akses hanya baca ke beban kerja](#security_iam_id-based-policy-examples-readonly-access)
+ [Mengakses satu beban kerja](#security_iam_id-based-policy-examples-access-one-workload)
+ [Menggunakan kunci kondisi khusus layanan untuk Konektor AWS Well-Architected Tool untuk Jira](#security_iam_id-based-policy-examples-service-specific-condition-key)

## Praktik terbaik kebijakan
<a name="security_iam_service-with-iam-policy-best-practices"></a>

Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus sumber daya AWS WA Tool yang ada di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
+ **Mulailah dengan kebijakan yang dikelola AWS dan beralih ke izin dengan hak akses paling rendah** – Untuk mulai memberikan izin kepada pengguna dan beban kerja Anda, gunakan *kebijakan yang dikelola AWS* yang memberikan izin untuk banyak kasus penggunaan umum. Kebijakan ini ada di Akun AWS Anda. Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola pelanggan AWS yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat [Kebijakan yang dikelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) atau [Kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dalam *Panduan Pengguna IAM*.
+ **Menerapkan izin dengan hak akses paling rendah** – Ketika Anda menetapkan izin dengan kebijakan IAM, hanya berikan izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai *izin dengan hak akses paling rendah*. Untuk informasi selengkapnya tentang cara menggunakan IAM untuk mengajukan izin, lihat [Kebijakan dan izin dalam IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan kondisi dalam kebijakan IAM untuk membatasi akses lebih lanjut** – Anda dapat menambahkan suatu kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Sebagai contoh, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakan SSL. Anda juga dapat menggunakan kondisi untuk memberi akses ke tindakan layanan jika digunakan melalui Layanan AWS yang spesifik, sepertiCloudFormation. Untuk informasi selengkapnya, lihat [Elemen kebijakan JSON IAM: Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk memastikan izin yang aman dan fungsional** – IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan tersebut mematuhi bahasa kebijakan IAM (JSON) dan praktik terbaik IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat [Validasi kebijakan dengan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dalam *Panduan Pengguna IAM*.
+ **Wajibkan autentikasi multi-faktor (MFA)** – Jika Anda memiliki skenario yang memerlukan pengguna IAM atau pengguna root di Akun AWS Anda, aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA ketika operasi API dipanggil, tambahkan kondisi MFA pada kebijakan Anda. Untuk informasi selengkapnya, lihat [Amankan akses API dengan MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dalam *Panduan Pengguna IAM*.

Untuk informasi selengkapnya tentang praktik terbaik dalam IAM, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.

## Menggunakan konsol AWS WA Tool
<a name="security_iam_id-based-policy-examples-console"></a>

Untuk mengakses konsol AWS Well-Architected Tool, Anda harus memiliki rangkaian izin minimum. Izin ini harus mengizinkan Anda untuk membuat daftar dan melihat detail tentang sumber daya AWS WA Tool di akun Akun AWS Anda. Jika Anda membuat kebijakan berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana mestinya untuk entitas (pengguna atau peran) dengan kebijakan tersebut.

Untuk memastikan bahwa entitas tersebut masih dapat menggunakan konsol AWS WA Tool, lampirkan kebijakan yang dikelola AWS berikut ini ke entitas.

```
WellArchitectedConsoleReadOnlyAccess
```

Untuk memungkinkan kemampuan membuat, mengubah, dan menghapus beban kerja, lampirkan kebijakan terkelola AWS berikut ke entitas:

```
WellArchitectedConsoleFullAccess
```

Untuk informasi selengkapnya, lihat [Menambahkan Izin ke Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*.

Anda tidak perlu mengizinkan konsol minimum untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau API AWS. Sebagai alternatif, hanya izinkan akses ke tindakan yang cocok dengan operasi API yang sedang Anda coba lakukan.

## Izinkan para pengguna untuk melihat izin mereka sendiri
<a name="security_iam_id-based-policy-examples-view-own-permissions"></a>

Contoh ini menunjukkan cara membuat kebijakan yang mengizinkan pengguna IAM melihat kebijakan inline dan terkelola yang dilampirkan ke identitas pengguna mereka. Kebijakan ini mencakup izin untuk menyelesaikan tindakan pada konsol atau menggunakan API AWS CLI atau AWS secara programatis.

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```

## Memberikan akses penuh ke beban kerja
<a name="security_iam_id-based-policy-examples-full-access"></a>

Dalam contoh ini, Anda ingin memberi pengguna di Akun AWS Anda akses penuh ke beban kerja Anda. Akses penuh memungkinkan pengguna melakukan semua tindakan di AWS WA Tool. Akses ini diperlukan untuk menentukan beban kerja, menghapus beban kerja, melihat beban kerja, dan memperbarui beban kerja.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement" : [  
     {
     "Effect" : "Allow",
     "Action" : [
          "wellarchitected:*"
     ],
     "Resource": "*"
     }
   ]
}
```

------

## Memberikan akses hanya baca ke beban kerja
<a name="security_iam_id-based-policy-examples-readonly-access"></a>

Dalam contoh ini, Anda ingin memberi pengguna di Akun AWS Anda akses hanya baca ke beban kerja Anda. Akses hanya baca hanya memungkinkan pengguna melihat beban kerja di AWS WA Tool.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement" : [  
     {
     "Effect" : "Allow",
     "Action" : [
          "wellarchitected:Get*",
          "wellarchitected:List*"
     ],
     "Resource": "*"
     }
   ]
}
```

------

## Mengakses satu beban kerja
<a name="security_iam_id-based-policy-examples-access-one-workload"></a>

Dalam contoh ini, Anda ingin memberi pengguna di Akun AWS Anda akses hanya baca ke salah satu beban kerja Anda, `99999999999955555555555566666666`, di Wilayah `us-west-2`. ID akun Anda adalah `777788889999`.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement" : [  
     {
     "Effect" : "Allow",
     "Action" : [
          "wellarchitected:Get*",
          "wellarchitected:List*"
     ],
     "Resource": "arn:aws:wellarchitected:us-west-2:777788889999:workload/999999999999555555555555666666666"
     }
   ]
}
```

------

## Menggunakan kunci kondisi khusus layanan untuk Konektor AWS Well-Architected Tool untuk Jira
<a name="security_iam_id-based-policy-examples-service-specific-condition-key"></a>

 Contoh ini menunjukkan cara menggunakan kunci kondisi khusus layanan `wellarchitected:JiraProjectKey` untuk mengontrol proyek Jira mana yang dapat ditautkan ke beban kerja di akun Anda. 

 Hal berikut ini menjelaskan penggunaan yang relevan untuk kunci kondisi: 
+  **`CreateWorkload:`** Saat Anda melampirkan `wellarchitected:JiraProjectKey` ke `CreateWorkload`, Anda dapat menentukan proyek Jira kustom mana yang dapat ditautkan ke beban kerja apa pun yang dibuat oleh pengguna. Misalnya, jika pengguna mencoba membuat beban kerja baru dengan proyek ABC, tetapi kebijakan hanya menentukan proyek PQR, tindakan ini akan ditolak. 
+  **`UpdateWorkload:`** Saat Anda melampirkan `wellarchitected:JiraProjectKey` ke `UpdateWorkload`, Anda dapat menentukan proyek Jira kustom mana yang dapat ditautkan ke beban kerja ini atau beban kerja apa pun. Misalnya, jika pengguna mencoba memperbarui beban kerja yang ada dengan proyek ABC, tetapi kebijakan menentukan proyek PQR, tindakan ini akan ditolak. Selain itu, jika pengguna memiliki beban kerja yang ditautkan ke proyek PQR dan mencoba memperbarui beban kerja yang akan ditautkan ke proyek ABC, tindakan ini akan ditolak. 
+  **`UpdateGlobalSettings:`** Saat Anda melampirkan `wellarchitected:JiraProjectKey` ke `UpdateGlobalSettings`, Anda dapat menentukan proyek Jira kustom mana yang dapat ditautkan ke Akun AWS. Pengaturan tingkat akun melindungi beban kerja di akun Anda yang tidak menimpa pengaturan Jira tingkat akun. Misalnya, jika pengguna memiliki akses `UpdateGlobalSettings`, dia tidak dapat menautkan beban kerja di akun Anda ke proyek apa pun yang tidak ditentukan dalam kebijakan. 

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "VisualEditor0",
			"Effect": "Allow",
			"Action": [
				"wellarchitected:UpdateGlobalSettings",
				"wellarchitected:CreateWorkload"
			],
			"Resource": "*",
			"Condition": {
				"StringEqualsIfExists": {
					"wellarchitected:JiraProjectKey": ["ABC, PQR"]
				}
			}
		},
		{
			"Sid": "VisualEditor1",
			"Effect": "Allow",
			"Action": [
				"wellarchitected:UpdateWorkload"
			],
			"Resource": "arn:aws:wellarchitected:us-east-1:111122223333:workload/example-workload",
			"Condition": {
				"StringEqualsIfExists": {
					"wellarchitected:JiraProjectKey": ["ABC, PQR"]
				}
			}
		}
	]
}
```

------

# Kebijakan yang dikelola AWS untuk AWS Well-Architected Tool
<a name="security-iam-awsmanpol"></a>

Kebijakan yang dikelola AWS adalah kebijakan mandiri yang dibuat dan diterapkan oleh AWS. Kebijakan yang dikelola AWS dirancang untuk memberikan izin dalam banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin ke pengguna, grup, dan peran.

Perlu diingat bahwa kebijakan yang dikelola AWS mungkin tidak memberikan izin hak akses paling rendah untuk kasus penggunaan khusus Anda karena tersedia untuk digunakan semua pelanggan AWS. Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan [kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) yang khusus untuk kasus penggunaan Anda.

Anda tidak dapat mengubah izin yang ditetapkan dalam kebijakan yang dikelola AWS. Apabila AWS memperbarui izin yang ditetapkan dalam kebijakan yang dikelola AWS, pembaruan tersebut memengaruhi semua identitas principal (pengguna, grup, dan peran) yang terkait dengan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan yang dikelola AWS saat Layanan AWS baru diluncurkan atau operasi API baru tersedia untuk layanan yang sudah ada.

Untuk informasi selengkapnya, lihat [Kebijakan terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.

## Kebijakan terkelola AWS: WellArchitectedConsoleFullAccess
<a name="security-iam-awsmanpol-WellArchitectedConsoleFullAccess"></a>

Anda dapat melampirkan kebijakan `WellArchitectedConsoleFullAccess` ke identitas IAM Anda.

Kebijakan ini juga memberikan akses penuh ke AWS Well-Architected Tool. 

**Detail izin**

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement" : [  
     {
     "Effect" : "Allow",
     "Action" : [
          "wellarchitected:*"
     ],
     "Resource": "*"
     }
   ]
}
```

------

## Kebijakan terkelola AWS: WellArchitectedConsoleReadOnlyAccess
<a name="security-iam-awsmanpol-WellArchitectedConsoleReadOnlyAccess"></a>

Anda dapat melampirkan kebijakan `WellArchitectedConsoleReadOnlyAccess` ke identitas IAM Anda.

Kebijakan ini memberikan akses hanya baca ke AWS Well-Architected Tool. 

**Detail izin**

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "wellarchitected:Get*",
                "wellarchitected:List*",
                "wellarchitected:ExportLens"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## Kebijakan terkelola AWS: AWSWellArchitectedOrganizationsServiceRolePolicy
<a name="security-iam-awsmanpol-AWSWellArchitectedOrganizationsServiceRolePolicy"></a>

Anda dapat melampirkan kebijakan `AWSWellArchitectedOrganizationsServiceRolePolicy` ke identitas IAM Anda.

Kebijakan ini memberikan izin administratif di AWS Organizations yang diperlukan untuk mendukung integrasi AWS Well-Architected Tool dengan Organisasi. Izin ini memungkinkan akun manajemen organisasi mengaktifkan berbagi sumber daya dengan AWS WA Tool. 

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `organizations:ListAWSServiceAccessForOrganization` – Memungkinkan principal memeriksa apakah akses layanan AWS diaktifkan untuk AWS WA Tool. 
+ `organizations:DescribeAccount` – Memungkinkan principal mengambil informasi tentang akun di organisasi.
+ `organizations:DescribeOrganization` – Memungkinkan principal mengambil informasi tentang konfigurasi organisasi.
+ `organizations:ListAccounts` – Memungkinkan principal mengambil daftar akun milik suatu organisasi.
+ `organizations:ListAccountsForParent` – Memungkinkan principal mengambil daftar akun milik organisasi dari simpul root yang diberikan dalam organisasi.
+ `organizations:ListChildren` – Memungkinkan principal mengambil daftar akun dan unit organisasi milik organisasi dari simpul root yang diberikan dalam organisasi.
+ `organizations:ListParents` – Memungkinkan principal mengambil daftar orang tua langsung yang ditentukan oleh OU atau akun dalam suatu organisasi.
+ `organizations:ListRoots` – Memungkinkan principal mengambil daftar semua simpul root dalam suatu organisasi.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:ListAccountsForParent",
                "organizations:ListChildren",
                "organizations:ListParents",
                "organizations:ListRoots"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## Kebijakan terkelola AWS: AWSWellArchitectedDiscoveryServiceRolePolicy
<a name="security-iam-awsmanpol-AWSWellArchitectedDiscoveryServiceRolePolicy"></a>

Anda dapat melampirkan kebijakan `AWSWellArchitectedDiscoveryServiceRolePolicy` ke identitas IAM Anda.

Kebijakan ini memungkinkan AWS Well-Architected Tool mengakses layanan dan sumber daya AWS yang berhubungan dengan sumber daya AWS WA Tool. 

**Detail izin**

Kebijakan ini mencakup izin berikut.
+ `trustedadvisor:DescribeChecks` – Menampilkan daftar pemeriksaan Trusted Advisor yang tersedia. 
+ `trustedadvisor:DescribeCheckItems` – Mengambil data pemeriksaan Trusted Advisor, termasuk status dan sumber daya yang ditandai oleh Trusted Advisor.
+ `servicecatalog:GetApplication` – Mengambil detail aplikasi AppRegistry.
+ `servicecatalog:ListAssociatedResources` – menampilkan daftar sumber daya yang terkait dengan aplikasi AppRegistry. 
+ `cloudformation:DescribeStacks` – Mendapatkan detail tumpukan CloudFormation.
+ `cloudformation:ListStackResources` – Menampilkan daftar sumber daya yang terkait dengan tumpukan CloudFormation. 
+ `resource-groups:ListGroupResources` – Menampilkan daftar sumber daya dari ResourceGroup. 
+ `tag:GetResources` – Diperlukan untuk ListGroupResources.
+ `servicecatalog:CreateAttributeGroup` – Membuat grup atribut yang dikelola layanan jika diperlukan.
+ `servicecatalog:AssociateAttributeGroup` – Mengaitkan grup atribut yang dikelola layanan dengan aplikasi AppRegistry.
+ `servicecatalog:UpdateAttributeGroup` – Memperbarui grup atribut yang dikelola layanan.
+ `servicecatalog:DisassociateAttributeGroup` – Memisahkan grup atribut yang dikelola layanan dari aplikasi AppRegistry.
+ `servicecatalog:DeleteAttributeGroup` – Menghapus grup atribut yang dikelola layanan jika diperlukan.

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"trustedadvisor:DescribeChecks",
				"trustedadvisor:DescribeCheckItems"
			],
			"Resource": [
				"*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"cloudformation:DescribeStacks",
				"cloudformation:ListStackResources",
				"resource-groups:ListGroupResources",
				"tag:GetResources"
			],
			"Resource": [
				"*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"servicecatalog:ListAssociatedResources",
				"servicecatalog:GetApplication",
				"servicecatalog:CreateAttributeGroup"
			],
			"Resource": [
				"*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"servicecatalog:AssociateAttributeGroup",
				"servicecatalog:DisassociateAttributeGroup"
			],
			"Resource": [
				"arn:*:servicecatalog:*:*:/applications/*",
				"arn:*:servicecatalog:*:*:/attribute-groups/AWS_WellArchitected-*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"servicecatalog:UpdateAttributeGroup",
				"servicecatalog:DeleteAttributeGroup"
			],
			"Resource": [
				"arn:*:servicecatalog:*:*:/attribute-groups/AWS_WellArchitected-*"
			]
		}
	]
}
```

------

## Pembaruan AWS WA Tool terhadap kebijakan terkelola AWS
<a name="security-iam-awsmanpol-updates"></a>

Lihat detail tentang pembaruan terhadap kebijakan terkelola AWS untuk AWS WA Tool sejak layanan ini mulai melacak perubahan-perubahan tersebut. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlanggananlah umpan RSS di halaman [Revisi dokumen](document-revisions.md) AWS WA Tool.


| Perubahan | Deskripsi | Tanggal | 
| --- | --- | --- | 
| Kebijakan terkelola yang diubah AWS WA Tool | Menambahkan `"wellarchitected:Export*"` ke ` WellArchitectedConsoleReadOnlyAccess`. | 22 Juni 2023 | 
|  Kebijakan peran layanan yang ditambahkan AWS WA Tool  |  Menambahkan `AWSWellArchitectedDiscoveryServiceRolePolicy` untuk memungkinkan AWS Well-Architected Tool mengakses layanan dan sumber daya AWS yang berhubungan dengan sumber daya AWS WA Tool.  | 3 Mei 2023 | 
|  Izin yang ditambahkan AWS WA Tool.  |  Menambahkan tindakan baru untuk memberikan `ListAWSServiceAccessForOrganization` agar AWS WA Tool dapat memeriksa apakah akses layanan AWS diaktifkan untuk AWS WA Tool.  | 22 Juli 2022 | 
|  AWS WA Tool mulai melacak perubahan  |  AWS WA Tool mulai melacak perubahan untuk kebijakan terkelola AWS.  | 22 Juli 2022 | 

# Pemecahan masalah identitas dan akses AWS Well-Architected Tool
<a name="security_iam_troubleshoot"></a>

Gunakan informasi berikut untuk membantu Anda mendiagnosis dan memperbaiki masalah umum yang mungkin Anda temukan saat bekerja dengan AWS WA Tool dan IAM.

**Topics**
+ [Saya tidak diotorisasi untuk melakukan tindakan di AWS WA Tool](#security_iam_troubleshoot-no-permissions)

## Saya tidak diotorisasi untuk melakukan tindakan di AWS WA Tool
<a name="security_iam_troubleshoot-no-permissions"></a>

Jika Konsol Manajemen AWS memberi tahu Anda bahwa Anda tidak berwenang untuk melakukan tindakan, Anda harus menghubungi administrator guna mendapatkan bantuan. Administrator Anda adalah orang yang memberi Anda kredensial masuk.

Contoh kesalahan berikut terjadi ketika pengguna IAM *mateojackson* mencoba menggunakan konsol untuk melakukan tindakan `DeleteWorkload`, tetapi tidak memiliki izin.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: wellarchitected:DeleteWorkload on resource: 11112222333344445555666677778888
```

Dalam hal ini, minta administrator Anda memperbarui kebijakan Anda agar Anda dapat mengakses sumber daya `11112222333344445555666677778888` menggunakan tindakan `wellarchitected:DeleteWorkload`.