Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Keamanan di AWS X-Ray
Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.
Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) menggambarkan hal ini sebagai keamanan *dari* cloud dan keamanan *di* cloud:
+ **Keamanan cloud** — AWS bertanggung jawab untuk melindungi infrastruktur yang berjalan Layanan AWS di dalamnya AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Efektivitas keamanan kami diuji dan diverifikasi secara rutin oleh auditor pihak ketiga sebagai bagian dari [program kepatuhan AWS](https://aws.amazon.com/compliance/programs/). Untuk mempelajari tentang program kepatuhan yang berlaku untuk X-Ray, lihat [Layanan AWS di Cakupan berdasarkan Program Kepatuhan](https://aws.amazon.com/compliance/services-in-scope/).
+ **Keamanan di cloud** — Tanggung jawab Anda ditentukan oleh Layanan AWS yang Anda gunakan. Anda juga bertanggung jawab atas faktor-faktor lain termasuk sensitivitas data, kebutuhan organisasi, serta undang-undang dan peraturan yang berlaku.
Dokumentasi ini akan membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan X-Ray. Topik berikut menunjukkan cara mengonfigurasi X-Ray untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga akan belajar cara menggunakan Layanan AWS yang lain yang dapat membantu Anda memantau dan mengamankan sumber daya X-Ray Anda.
**Topik**
+ [Perlindungan data di AWS X-Ray](xray-console-encryption.md)
+ [Identitas dan manajemen akses untuk AWS X-Ray](security-iam.md)
+ [Validasi kepatuhan untuk AWS X-Ray](compliance-validation.md)
+ [Ketahanan di AWS X-Ray](disaster-recovery-resiliency.md)
+ [Keamanan infrastruktur di AWS X-Ray](infrastructure-security.md)
# Perlindungan data di AWS X-Ray
AWS X-Ray selalu mengenkripsi jejak dan data terkait saat istirahat. Saat Anda perlu mengaudit dan menonaktifkan kunci enkripsi untuk kepatuhan atau persyaratan internal, Anda dapat mengonfigurasi X-Ray untuk menggunakan kunci AWS Key Management Service (AWS KMS) untuk mengenkripsi data.
X-Ray memberikan Kunci yang dikelola AWS nama`aws/xray`. Gunakan kunci ini ketika Anda hanya ingin [mengaudit penggunaan kunci di AWS CloudTrail](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html) dan tidak perlu mengelola kunci itu sendiri. Saat Anda perlu mengelola akses ke kunci atau mengonfigurasi rotasi kunci, Anda dapat [membuat kunci yang dikelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html).
Saat Anda mengubah pengaturan enkripsi, X-Ray menghabiskan beberapa waktu untuk membuat dan menyebarkan kunci data. Saat kunci baru sedang diproses, X-Ray dapat mengenkripsi data dengan kombinasi pengaturan baru dan lama. Data yang ada tidak dienkripsi ulang saat Anda mengubah pengaturan enkripsi.
**catatan**
AWS KMS mengisi daya saat X-Ray menggunakan kunci KMS untuk mengenkripsi atau mendekripsi data jejak.
**Enkripsi default** – Gratis.
**Kunci yang dikelola AWS**— Bayar untuk penggunaan kunci.
**kunci yang dikelola pelanggan** - Bayar untuk penyimpanan dan penggunaan kunci.
Lihat [AWS Key Management Service Harga](https://aws.amazon.com/kms/pricing/) untuk detailnya.
**catatan**
Pemberitahuan wawasan X-Ray mengirimkan peristiwa ke Amazon EventBridge, yang saat ini tidak mendukung kunci yang dikelola pelanggan. Untuk informasi selengkapnya, lihat [Perlindungan Data di Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/data-protection.html).
Anda harus memiliki akses tingkat pengguna ke kunci yang dikelola pelanggan untuk mengonfigurasi X-Ray untuk menggunakannya, dan kemudian melihat jejak terenkripsi. Untuk informasi selengkapnya, lihat [Izin pengguna untuk enkripsi](security_iam_service-with-iam.md#xray-permissions-encryption).
------
#### [ CloudWatch console ]
**Untuk mengkonfigurasi X-Ray untuk menggunakan kunci KMS untuk enkripsi menggunakan konsol CloudWatch**
1. Masuk ke Konsol Manajemen AWS dan buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Pilih **Pengaturan** di panel navigasi kiri.
1. Pilih **Lihat pengaturan** di bawah **Enkripsi** dalam bagian **jejak X-Ray**.
1. Pilih **Edit** di bagian **konfigurasi Enkripsi**.
1. Pilih **Gunakan tombol KMS**.
1. Pilih kunci dari menu dropdown:
+ **aws/xray - Gunakan**. Kunci yang dikelola AWS
+ *alias kunci* — Gunakan kunci yang dikelola pelanggan di akun Anda.
+ **Masukkan kunci ARN secara manual** — Gunakan kunci yang dikelola pelanggan di akun yang berbeda. Masukkan Amazon Resource Name (ARN) kunci yang lengkap di bidang yang muncul.
1. Pilih **Perbarui enkripsi**.
------
#### [ X-Ray console ]
**Untuk mengkonfigurasi X-Ray untuk menggunakan kunci KMS untuk enkripsi menggunakan konsol X-Ray**
1. Buka [konsol X-Ray](https://console.aws.amazon.com/xray/home#).
1. Pilih **Enkripsi**.
1. Pilih **Gunakan tombol KMS**.
1. Pilih kunci dari menu dropdown:
+ **aws/xray - Gunakan**. Kunci yang dikelola AWS
+ *alias kunci* — Gunakan kunci yang dikelola pelanggan di akun Anda.
+ **Masukkan kunci ARN secara manual** — Gunakan kunci yang dikelola pelanggan di akun yang berbeda. Masukkan Amazon Resource Name (ARN) kunci yang lengkap di bidang yang muncul.
1. Pilih **Terapkan**.
------
**catatan**
X-Ray tidak mendukung tombol KMS asimetris.
Jika X-Ray tidak dapat mengakses kunci enkripsi Anda, penyimpanan data akan berhenti. Hal ini dapat terjadi jika pengguna Anda kehilangan akses ke kunci KMS, atau jika Anda menonaktifkan kunci yang sedang digunakan. Saat hal ini terjadi, X-Ray akan menampilkan notifikasi di bilah navigasi.
Untuk mengonfigurasi pengaturan enkripsi dengan X-Ray API, lihat [Mengkonfigurasi pengaturan sampling, grup, dan enkripsi dengan API AWS X-Ray](xray-api-configuration.md).
# Identitas dan manajemen akses untuk AWS X-Ray
AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengendalikan siapa yang dapat *terautentikasi* (masuk) dan *berwenang* (memiliki izin) untuk menggunakan sumber daya X-Ray. IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.
**Topics**
+ [Audiens](#security_iam_audience)
+ [Mengautentikasi dengan identitas](#security_iam_authentication)
+ [Mengelola akses menggunakan kebijakan](#security_iam_access-manage)
+ [Bagaimana AWS X-Ray bekerja dengan IAM](security_iam_service-with-iam.md)
+ [AWS X-Ray contoh kebijakan berbasis identitas](security_iam_id-based-policy-examples.md)
+ [Memecahkan masalah AWS X-Ray identitas dan akses](security_iam_troubleshoot.md)
## Audiens
Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda berdasarkan peran Anda:
+ **Pengguna layanan** - minta izin dari administrator Anda jika Anda tidak dapat mengakses fitur (lihat [Memecahkan masalah AWS X-Ray identitas dan akses](security_iam_troubleshoot.md))
+ **Administrator layanan** - tentukan akses pengguna dan mengirimkan permintaan izin (lihat [Bagaimana AWS X-Ray bekerja dengan IAM](security_iam_service-with-iam.md))
+ **Administrator IAM** - tulis kebijakan untuk mengelola akses (lihat [AWS X-Ray contoh kebijakan berbasis identitas](security_iam_id-based-policy-examples.md))
## Mengautentikasi dengan identitas
Otentikasi adalah cara Anda masuk AWS menggunakan kredensi identitas Anda. Anda harus diautentikasi sebagai Pengguna root akun AWS, pengguna IAM, atau dengan mengasumsikan peran IAM.
Anda dapat masuk sebagai identitas federasi menggunakan kredensil dari sumber identitas seperti AWS IAM Identity Center (Pusat Identitas IAM), autentikasi masuk tunggal, atau kredensional. Google/Facebook Untuk informasi selengkapnya tentang cara masuk, lihat [Cara masuk ke Akun AWS Anda](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dalam *Panduan Pengguna AWS Sign-In *.
Untuk akses terprogram, AWS sediakan SDK dan CLI untuk menandatangani permintaan secara kriptografis. Untuk informasi selengkapnya, lihat [AWS Signature Version 4 untuk permintaan API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dalam *Panduan Pengguna IAM*.
### Akun AWS pengguna root
Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang disebut *pengguna Akun AWS root* yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Untuk tugas yang memerlukan kredensial pengguna root, lihat [Tugas yang memerlukan kredensial pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dalam *Panduan Pengguna IAM*.
### Pengguna dan grup IAM
*[Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* adalah identitas dengan izin khusus untuk satu orang atau aplikasi. Sebaiknya gunakan kredensial sementara alih-alih pengguna IAM dengan kredensial jangka panjang. Untuk informasi selengkapnya, lihat [Mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) di Panduan Pengguna *IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) menentukan kumpulan pengguna IAM dan mempermudah pengelolaan izin untuk pengguna dalam jumlah besar. Untuk mempelajari selengkapnya, lihat [Kasus penggunaan untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dalam *Panduan Pengguna IAM*.
### Peran IAM
*[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* adalah identitas dengan izin khusus yang menyediakan kredensial sementara. Anda dapat mengambil peran dengan [beralih dari pengguna ke peran IAM (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) atau dengan memanggil operasi AWS CLI atau AWS API. Untuk informasi selengkapnya, lihat [Metode untuk mengambil peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dalam *Panduan Pengguna IAM*.
Peran IAM berguna untuk akses pengguna terfederasi, izin pengguna IAM sementara, akses lintas akun, akses lintas layanan, dan aplikasi yang berjalan di Amazon EC2. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.
## Mengelola akses menggunakan kebijakan
Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan menentukan izin saat dikaitkan dengan identitas atau sumber daya. AWS mengevaluasi kebijakan ini ketika kepala sekolah membuat permintaan. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang dokumen kebijakan JSON, lihat [Gambaran umum kebijakan JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dalam *Panduan Pengguna IAM*.
Menggunakan kebijakan, administrator menentukan siapa yang memiliki akses ke apa dengan mendefinisikan **principal** mana yang dapat melakukan **tindakan** pada **sumber daya** apa, dan dalam **kondisi** apa.
Secara default, pengguna dan peran tidak memiliki izin. Administrator IAM membuat kebijakan IAM dan menambahkannya ke peran, yang kemudian dapat diambil oleh pengguna. Kebijakan IAM mendefinisikan izin terlepas dari metode yang Anda gunakan untuk melakukan operasinya.
### Kebijakan berbasis identitas
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang Anda lampirkan ke identitas (pengguna, grup, atau peran). Kebijakan ini mengontrol tindakan apa yang bisa dilakukan oleh identitas tersebut, terhadap sumber daya yang mana, dan dalam kondisi apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Kebijakan berbasis identitas dapat berupa *kebijakan inline* (disematkan langsung ke dalam satu identitas) atau *kebijakan terkelola* (kebijakan mandiri yang dilampirkan pada banyak identitas). Untuk mempelajari cara memilih antara kebijakan terkelola dan kebijakan inline, lihat [Pilih antara kebijakan terkelola dan kebijakan inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dalam *Panduan Pengguna IAM*.
### Kebijakan berbasis sumber daya
Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contohnya termasuk *kebijakan kepercayaan peran IAM* dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya.
Kebijakan berbasis sumber daya merupakan kebijakan inline yang terletak di layanan tersebut. Anda tidak dapat menggunakan kebijakan AWS terkelola dari IAM dalam kebijakan berbasis sumber daya.
### Daftar kontrol akses (ACLs)
Access control lists (ACLs) mengontrol prinsipal mana (anggota akun, pengguna, atau peran) yang memiliki izin untuk mengakses sumber daya. ACLs mirip dengan kebijakan berbasis sumber daya, meskipun mereka tidak menggunakan format dokumen kebijakan JSON.
Amazon S3, AWS WAF, dan Amazon VPC adalah contoh layanan yang mendukung. ACLs Untuk mempelajari selengkapnya ACLs, lihat [Ringkasan daftar kontrol akses (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) di *Panduan Pengembang Layanan Penyimpanan Sederhana Amazon*.
### Jenis-jenis kebijakan lain
AWS mendukung jenis kebijakan tambahan yang dapat menetapkan izin maksimum yang diberikan oleh jenis kebijakan yang lebih umum:
+ **Batasan izin** – Menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Untuk informasi selengkapnya, lihat [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dalam *Panduan Pengguna IAM*.
+ **Kebijakan kontrol layanan (SCPs)** — Tentukan izin maksimum untuk organisasi atau unit organisasi di AWS Organizations. Untuk informasi selengkapnya, lihat [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dalam *Panduan Pengguna AWS Organizations *.
+ **Kebijakan kontrol sumber daya (RCPs)** — Tetapkan izin maksimum yang tersedia untuk sumber daya di akun Anda. Untuk informasi selengkapnya, lihat [Kebijakan kontrol sumber daya (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) di *Panduan AWS Organizations Pengguna*.
+ **Kebijakan sesi** – Kebijakan lanjutan yang diteruskan sebagai parameter saat membuat sesi sementara untuk peran atau pengguna terfederasi. Untuk informasi selengkapnya, lihat [Kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dalam *Panduan Pengguna IAM*.
### Berbagai jenis kebijakan
Ketika beberapa jenis kebijakan berlaku pada suatu permintaan, izin yang dihasilkan lebih rumit untuk dipahami. Untuk mempelajari cara AWS menentukan apakah akan mengizinkan permintaan saat beberapa jenis kebijakan terlibat, lihat [Logika evaluasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) di *Panduan Pengguna IAM*.
# Bagaimana AWS X-Ray bekerja dengan IAM
Sebelum Anda menggunakan IAM untuk mengelola akses ke X-Ray, Anda harus memahami fitur IAM apa yang tersedia untuk digunakan dengan X-Ray. Untuk mendapatkan tampilan tingkat tinggi tentang cara Layanan AWS kerja X-Ray dan lainnya dengan IAM, lihat Layanan AWS That [Work with IAM di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) Pengguna *IAM*.
Anda dapat menggunakan AWS Identity and Access Management (IAM) untuk memberikan izin X-Ray kepada pengguna dan menghitung sumber daya di akun Anda. IAM mengontrol akses ke layanan X-Ray di tingkat API untuk menerapkan izin secara seragam, terlepas dari klien mana (konsol, AWS SDK,) yang digunakan pengguna Anda. AWS CLI
Untuk [menggunakan konsol X-Ray](aws-xray-interface-console.md#xray-console) untuk melihat peta dan segmen jejak, Anda hanya perlu izin baca. Untuk mengaktifkan akses konsol, tambahkan `AWSXrayReadOnlyAccess` [kebijakan terkelola](security_iam_id-based-policy-examples.md#xray-permissions-managedpolicies) untuk pengguna IAM Anda.
Untuk [pengembangan dan pengujian lokal](#xray-permissions-local), buat peran IAM dengan izin baca dan tulis. [Asumsikan peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html) dan simpan kredensi sementara untuk peran tersebut. Anda dapat menggunakan kredensil ini dengan daemon X-Ray, the AWS CLI, dan SDK. AWS Lihat [menggunakan kredensil keamanan sementara dengan AWS CLI](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html#using-temp-creds-sdk-cli) untuk informasi selengkapnya.
Untuk [menerapkan aplikasi yang diinstrumentasi AWS](#xray-permissions-aws), buat peran IAM dengan izin tulis dan tetapkan ke sumber daya yang menjalankan aplikasi Anda. `AWSXRayDaemonWriteAccess`termasuk izin untuk mengunggah jejak, dan beberapa izin baca juga untuk mendukung penggunaan aturan [pengambilan sampel](xray-console-sampling.md).
Kebijakan baca dan tulis tidak termasuk izin untuk mengonfigurasi[pengaturan kunci enkripsi](xray-console-encryption.md) dan aturan pengambilan sampel. Gunakan `AWSXrayFullAccess` untuk mengakses setelan ini, atau menambahkan [konfigurasi APIs](xray-api-configuration.md) dalam kebijakan khusus. Untuk enkripsi dan dekripsi dengan kunci yang dikelola pelanggan yang Anda buat, Anda juga perlu [izin untuk menggunakan kunci](#xray-permissions-encryption).
**Topics**
+ [Kebijakan berbasis identitas X-Ray](#security_iam_service-with-iam-id-based-policies)
+ [Kebijakan berbasis sumber daya X-Ray](#security_iam_service-with-iam-resource-based-policies)
+ [Otorisasi berdasarkan tanda X-Ray](#security_iam_service-with-iam-tags)
+ [Menjalankan aplikasi Anda secara lokal](#xray-permissions-local)
+ [Menjalankan aplikasi Anda di AWS](#xray-permissions-aws)
+ [Izin pengguna untuk enkripsi](#xray-permissions-encryption)
## Kebijakan berbasis identitas X-Ray
Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan apakah tindakan dan sumber daya diizinkan atau ditolak, serta persyaratan terkait diizinkan atau ditolaknya tindakan tersebut. X-Ray mendukung tindakan, sumber daya, dan kunci syarat tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam kebijakan JSON, lihat [Referensi Elemen Kebijakan JSON IAM ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dalam *Panduan Pengguna IAM*.
### Tindakan
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen `Action` dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.
Tindakan kebijakan di X-Ray menggunakan prefiks berikut sebelum tindakan: `xray:`. Misalnya, untuk memberikan izin kepada seseorang untuk mengambil detail sumber daya grup dengan operasi API `GetGroup` X-Ray, Anda mencantumkan tindakan `xray:GetGroup` dalam kebijakan mereka. Pernyataan kebijakan harus memuat elemen `Action` atau `NotAction`. X-Ray menentukan serangkaian tindakannya sendiri yang menjelaskan tugas yang dapat Anda lakukan dengan layanan ini.
Untuk menetapkan beberapa tindakan dalam satu pernyataan, pisahkan dengan koma seperti berikut:
```
"Action": [
"xray:action1",
"xray:action2"
```
Anda dapat menentukan beberapa tindakan menggunakan wildcard (\$1). Sebagai contoh, untuk menentukan semua tindakan yang dimulai dengan kata `Get`, sertakan tindakan berikut:
```
"Action": "xray:Get*"
```
Untuk melihat daftar tindakan X-Ray, lihat [Tindakan yang Ditentukan oleh AWS X-Ray](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsx-ray.html) dalam *Panduan Pengguna IAM*.
### Sumber daya
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen kebijakan JSON `Resource` menentukan objek yang menjadi target penerapan tindakan. Praktik terbaiknya, tentukan sumber daya menggunakan [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, gunakan wildcard (\$1) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.
```
"Resource": "*"
```
Anda dapat mengontrol akses ke sumber daya dengan menggunakan kebijakan IAM. Untuk tindakan yang mendukung sumber daya tingkat izin, Anda menggunakan Amazon Resource Name (ARN) untuk mengidentifikasi sumber daya yang diberlakukan oleh kebijakan tersebut.
Semua tindakan X-Ray dapat digunakan dalam kebijakan IAM untuk memberikan atau menolak izin pengguna untuk menggunakan tindakan tersebut. Namun, tidak semua [tindakan X-Ray](https://docs.aws.amazon.com/xray/latest/api/API_Operations.html) mendukung izin tingkat sumber daya, yang memungkinkan Anda untuk menentukan sumber daya tempat tindakan dapat dilakukan.
Untuk tindakan yang tidak mendukung izin tingkat sumber daya, Anda harus menggunakan "`*`" sebagai sumber daya.
Tindakan X-Ray berikut mendukung izin tingkat sumber daya:
+ `CreateGroup`
+ `GetGroup`
+ `UpdateGroup`
+ `DeleteGroup`
+ `CreateSamplingRule`
+ `UpdateSamplingRule`
+ `DeleteSamplingRule`
Berikut ini adalah contoh kebijakan izin berbasis identitas untuk tindakan `CreateGroup`. Contoh ini menunjukkan penggunaan ARN yang berkaitan dengan nama Grup `local-users` dengan ID unik sebagai wildcard. ID unik terbuat ketika grup dibuat, sehingga tidak dapat diprediksi di kebijakan sebelumnya. Saat menggunakan `GetGroup`, `UpdateGroup`, atau `DeleteGroup`, Anda dapat menentukan ini sebagai wildcard atau ARN yang tepat, termasuk ID.
**catatan**
ARN dari aturan pengambilan sampel ditentukan berdasarkan namanya. Tidak seperti grup ARNs, aturan pengambilan sampel tidak memiliki ID yang dihasilkan secara unik.
Untuk melihat daftar jenis sumber daya X-Ray dan jenisnya ARNs, lihat [Sumber Daya yang Ditentukan oleh AWS X-Ray](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsx-ray.html#awsx-ray-resources-for-iam-policies) dalam *Panduan Pengguna IAM*. Untuk mempelajari tindakan mana yang dapat menentukan ARN setiap sumber daya, lihat [Tindakan yang Ditentukan oleh AWS X-Ray](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsx-ray.html).
### Kunci syarat
X-Ray tidak menyediakan kunci syarat khusus layanan, tetapi mendukung penggunaan beberapa kunci syarat global. Untuk melihat semua kunci kondisi AWS global, lihat [Kunci Konteks Kondisi AWS Global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.
### Contoh
Untuk melihat contoh kebijakan berbasis identitas X-Ray, lihat [AWS X-Ray contoh kebijakan berbasis identitas](security_iam_id-based-policy-examples.md).
## Kebijakan berbasis sumber daya X-Ray
[X-Ray mendukung kebijakan berbasis sumber daya untuk Layanan AWS integrasi saat ini dan masa depan, seperti penelusuran aktif Amazon SNS.](https://docs.aws.amazon.com/sns/latest/dg/sns-active-tracing.html) Kebijakan berbasis sumber daya X-Ray dapat diperbarui oleh Konsol Manajemen AWS s lain, atau melalui SDK AWS atau CLI. Misalnya, konsol Amazon SNS mencoba mengonfigurasi kebijakan berbasis sumber daya secara otomatis untuk mengirim jejak ke X-Ray. Dokumen kebijakan berikut memberikan contoh konfigurasi kebijakan berbasis sumber daya X-Ray secara manual.
**Example Contoh kebijakan berbasis sumber daya X-Ray untuk penelusuran aktif Amazon SNS**
Contoh dokumen kebijakan ini menentukan izin yang diperlukan Amazon SNS untuk mengirim data jejak ke X-Ray:
```
{
Version: "2012-10-17",
Statement: [
{
Sid: "SNSAccess",
Effect: Allow,
Principal: {
Service: "sns.amazonaws.com",
},
Action: [
"xray:PutTraceSegments",
"xray:GetSamplingRules",
"xray:GetSamplingTargets"
],
Resource: "*",
Condition: {
StringEquals: {
"aws:SourceAccount": "account-id"
},
StringLike: {
"aws:SourceArn": "arn:partition:sns:region:account-id:topic-name"
}
}
}
]
}
```
Gunakan CLI untuk membuat kebijakan berbasis sumber daya yang memberikan izin Amazon SNS untuk mengirim data jejak ke X-Ray:
```
aws xray put-resource-policy --policy-name MyResourcePolicy --policy-document '{ "Version": "2012-10-17", "Statement": [ { "Sid": "SNSAccess", "Effect": "Allow", "Principal": { "Service": "sns.amazonaws.com" }, "Action": [ "xray:PutTraceSegments", "xray:GetSamplingRules", "xray:GetSamplingTargets" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "account-id" }, "StringLike": { "aws:SourceArn": "arn:partition:sns:region:account-id:topic-name" } } } ] }'
```
Untuk menggunakan contoh ini, ganti*`partition`*,*`region`*,*`account-id`*, dan *`topic-name`* dengan AWS partisi tertentu, wilayah, ID akun, dan nama topik Amazon SNS. Untuk memberikan izin kepada semua topik Amazon SNS untuk mengirim data jejak ke X-Ray, ganti nama topik dengan. `*`
## Otorisasi berdasarkan tanda X-Ray
Anda dapat melampirkan tanda ke grup X-Ray atau aturan pengambilan sampel, atau meneruskan tanda dalam permintaan ke X-Ray. Untuk mengendalikan akses berdasarkan tanda, Anda dapat memberikan informasi tentang tanda di kebijakan [elemen syarat](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) menggunakan kunci syarat `xray:ResourceTag/key-name`, `aws:RequestTag/key-name`, atau `aws:TagKeys`. Untuk informasi selengkapnya tentang penandaan sumber daya X-Ray, lihat [Menandai aturan dan grup pengambilan sampel X-Ray](xray-tagging.md).
Untuk melihat contoh kebijakan berbasis identitas untuk membatasi akses ke sumber daya berdasarkan tag pada sumber daya tersebut, lihat [Mengelola akses ke grup X-Ray dan aturan pengambilan sampel berdasarkan tanda](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-manage-sampling-tags).
## Menjalankan aplikasi Anda secara lokal
Aplikasi Anda mengirimkan data pelacakan ke daemon X-Ray. Daemon mem-buffer dokumen segmen dan mengunggahnya ke layanan X-Ray dalam batch. Daemon memerlukan izin tulis untuk mengunggah data pelacakan dan telemetri ke layanan X-Ray.
Saat Anda [menjalankan daemon secara lokal](xray-daemon-local.md), buat peran IAM, ambil [peran dan simpan kredensi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html) sementara dalam variabel lingkungan, atau dalam file bernama `credentials` dalam folder bernama di folder pengguna Anda. `.aws` Lihat [menggunakan kredensil keamanan sementara dengan AWS CLI](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html#using-temp-creds-sdk-cli) untuk informasi selengkapnya.
**Example \$1/.aws/credentials**
```
[default]
aws_access_key_id={access key ID}
aws_secret_access_key={access key}
aws_session_token={AWS session token}
```
Jika Anda sudah mengonfigurasi kredensil untuk digunakan dengan AWS SDK atau AWS CLI, daemon dapat menggunakannya. Jika beberapa profil tersedia, daemon menggunakan profil default.
## Menjalankan aplikasi Anda di AWS
Saat menjalankan aplikasi AWS, gunakan peran untuk memberikan izin ke instans Amazon EC2 atau fungsi Lambda yang menjalankan daemon.
+ **Amazon Elastic Compute Cloud (Amazon EC2)** – Buat IAM role dan lampirkan ke instans EC2 sebagai [profil instans](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html).
+ **Amazon Elastic Container Service (Amazon ECS)** – Buat IAM role dan lampirkan ke instans kontainer sebagai [IAM role instans kontainer](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/instance_IAM_role.html).
+ **AWS Elastic Beanstalk (Elastic Beanstalk) — Elastic** [Beanstalk menyertakan izin X-Ray di profil instans defaultnya.](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/concepts-roles.html#concepts-roles-instance) Anda dapat menggunakan profil instans default, atau menambahkan izin tulis ke profil instans kustom.
+ **AWS Lambda (Lambda)** — Tambahkan izin tulis ke peran eksekusi fungsi Anda.
**Cara membuat peran untuk digunakan dengan X-Ray**
1. Buka [konsol IAM](https://console.aws.amazon.com/iam/home).
1. Pilih **Peran**.
1. Pilih **Buat Peran Baru**.
1. Untuk **Nama peran**, ketik **xray-application**. Pilih **Langkah Selanjutnya.**
1. Untuk **Tipe Peran**, pilih **Amazon EC2**.
1. Lampirkan kebijakan terkelola berikut untuk memberikan akses aplikasi Anda ke Layanan AWS:
+ **AWSXRayDaemonWriteAccess**— Memberikan izin daemon X-Ray untuk mengunggah data jejak.
Jika aplikasi Anda menggunakan AWS SDK untuk mengakses layanan lain, tambahkan kebijakan yang memberikan akses ke layanan tersebut.
1. Pilih **Langkah Selanjutnya**.
1. Pilih **Buat Peran**.
## Izin pengguna untuk enkripsi
X-Ray mengenkripsi semua data pelacakan dan secara default, dan Anda dapat [mengonfigurasinya untuk menggunakan kunci yang Anda kelola](xray-console-encryption.md). Jika Anda memilih kunci yang dikelola AWS Key Management Service pelanggan, Anda perlu memastikan bahwa kebijakan akses kunci memungkinkan Anda memberikan izin kepada X-Ray untuk menggunakannya untuk mengenkripsi. Pengguna lain di akun Anda juga memerlukan akses ke kunci untuk melihat data pelacakan terenkripsi di konsol X-Ray.
Untuk kunci yang dikelola pelanggan, konfigurasikan kunci Anda dengan kebijakan akses yang memungkinkan tindakan berikut:
+ Pengguna yang mengonfigurasi kunci dalam X-Ray memiliki izin untuk memanggil `kms:CreateGrant` dan `kms:DescribeKey`.
+ Pengguna yang dapat mengakses data pelacakan terenkripsi memiliki izin untuk memanggil `kms:Decrypt`.
Saat Anda menambahkan pengguna ke grup **Pengguna kunci** di bagian konfigurasi kunci dari konsol IAM, mereka memiliki izin untuk kedua operasi ini. Izin hanya perlu disetel pada kebijakan utama, sehingga Anda tidak memerlukan AWS KMS izin apa pun pada pengguna, grup, atau peran Anda. Untuk informasi selengkapnya, lihat [Menggunakan Kebijakan Utama di Panduan AWS KMS Pengembang](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html).
Untuk enkripsi default, atau jika Anda memilih CMK AWS terkelola (`aws/xray`), izin didasarkan pada siapa yang memiliki akses ke APIs X-Ray. Siapa saja yang memiliki akses ke [https://docs.aws.amazon.com/xray/latest/api/API_PutEncryptionConfig.html](https://docs.aws.amazon.com/xray/latest/api/API_PutEncryptionConfig.html), termasuk dalam `AWSXrayFullAccess`, dapat mengubah konfigurasi enkripsi. Untuk mencegah pengguna mengubah kunci enkripsi, jangan beri mereka izin untuk menggunakan [https://docs.aws.amazon.com/xray/latest/api/API_PutEncryptionConfig.html](https://docs.aws.amazon.com/xray/latest/api/API_PutEncryptionConfig.html).
# AWS X-Ray contoh kebijakan berbasis identitas
Secara default, pengguna dan peran tidak memiliki izin untuk membuat atau memodifikasi sumber daya X-Ray. Mereka juga tidak dapat melakukan tugas menggunakan Konsol Manajemen AWS, AWS CLI, atau AWS API. Administrator harus membuat kebijakan IAM yang memberikan izin kepada pengguna dan peran untuk melakukan operasi API tertentu pada sumber daya tertentu yang mereka butuhkan. Administrator kemudian harus melampirkan kebijakan tersebut ke pengguna atau grup yang memerlukan izin tersebut.
Untuk mempelajari cara membuat kebijakan berbasis identitas IAM menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat Kebijakan pada Tab JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) dalam *Panduan Pengguna IAM*.
**Topics**
+ [Praktik terbaik kebijakan](#security_iam_service-with-iam-policy-best-practices)
+ [Menggunakan konsol X-Ray](#security_iam_id-based-policy-examples-console)
+ [Izinkan para pengguna untuk melihat izin mereka sendiri](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Mengelola akses ke grup X-Ray dan aturan pengambilan sampel berdasarkan tanda](#security_iam_id-based-policy-examples-manage-sampling-tags)
+ [Kebijakan terkelola IAM untuk X-Ray](#xray-permissions-managedpolicies)
+ [Pembaruan X-Ray ke kebijakan AWS terkelola](#xray-permissions-managedpolicies-history)
+ [Menentukan sumber daya dalam kebijakan IAM](#xray-permissions-resources)
## Praktik terbaik kebijakan
Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus sumber daya X-Ray di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
+ **Mulailah dengan kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit — Untuk mulai memberikan izin** kepada pengguna dan beban kerja Anda, gunakan *kebijakan AWS terkelola* yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Anda Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola AWS pelanggan yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat [Kebijakan yang dikelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) atau [Kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dalam *Panduan Pengguna IAM*.
+ **Menerapkan izin dengan hak akses paling rendah** – Ketika Anda menetapkan izin dengan kebijakan IAM, hanya berikan izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai *izin dengan hak akses paling rendah*. Untuk informasi selengkapnya tentang cara menggunakan IAM untuk mengajukan izin, lihat [Kebijakan dan izin dalam IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan kondisi dalam kebijakan IAM untuk membatasi akses lebih lanjut** – Anda dapat menambahkan suatu kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Sebagai contoh, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakan SSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui yang spesifik Layanan AWS, seperti CloudFormation. Untuk informasi selengkapnya, lihat [Elemen kebijakan JSON IAM: Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk memastikan izin yang aman dan fungsional** – IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan tersebut mematuhi bahasa kebijakan IAM (JSON) dan praktik terbaik IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat [Validasi kebijakan dengan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dalam *Panduan Pengguna IAM*.
+ **Memerlukan otentikasi multi-faktor (MFA)** - Jika Anda memiliki skenario yang mengharuskan pengguna IAM atau pengguna root di Anda, Akun AWS aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA ketika operasi API dipanggil, tambahkan kondisi MFA pada kebijakan Anda. Untuk informasi selengkapnya, lihat [Amankan akses API dengan MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dalam *Panduan Pengguna IAM*.
Untuk informasi selengkapnya tentang praktik terbaik dalam IAM, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.
## Menggunakan konsol X-Ray
Untuk mengakses AWS X-Ray konsol, Anda harus memiliki set izin minimum. Izin ini harus memungkinkan Anda untuk membuat daftar dan melihat detail tentang sumber daya X-Ray di Anda Akun AWS. Jika Anda membuat kebijakan berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana mestinya untuk entitas (pengguna atau peran) dengan kebijakan tersebut.
Untuk memastikan bahwa entitas tersebut masih dapat menggunakan konsol X-Ray, lampirkan kebijakan `AWSXRayReadOnlyAccess` AWS terkelola ke entitas. Kebijakan ini dijelaskan secara lebih rinci dalam [kebijakan yang dikelola IAM untuk X-Ray](#xray-permissions-managedpolicies). Untuk informasi selengkapnya, lihat [Menambahkan Izin ke Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*.
Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau AWS API. Sebagai alternatif, hanya izinkan akses ke tindakan yang cocok dengan operasi API yang sedang Anda coba lakukan.
## Izinkan para pengguna untuk melihat izin mereka sendiri
Contoh ini menunjukkan cara membuat kebijakan yang mengizinkan pengguna IAM melihat kebijakan inline dan terkelola yang dilampirkan ke identitas pengguna mereka. Kebijakan ini mencakup izin untuk menyelesaikan tindakan ini di konsol atau menggunakan API atau secara terprogram. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Mengelola akses ke grup X-Ray dan aturan pengambilan sampel berdasarkan tanda
Anda dapat menggunakan syarat dalam kebijakan berbasis identitas Anda untuk mengontrol akses ke grup X-Ray dan aturan pengambilan sampel berdasarkan tanda. Contoh kebijakan berikut dapat digunakan untuk menolak peran pengguna izin untuk membuat, menghapus, atau memperbarui grup dengan tag `stage:prod` atau`stage:preprod`. Untuk informasi selengkapnya tentang penandaan aturan dan grup pengambilan sampel X-Ray, lihat [Menandai aturan dan grup pengambilan sampel X-Ray](xray-tagging.md).
Untuk menolak pembuatan aturan pengambilan sampel, gunakan `aws:RequestTag` untuk menunjukkan tanda yang tidak dapat dilewatkan sebagai bagian dari permintaan pembuatan. Untuk menolak pembaruan atau penghapusan aturan pengambilan sampel, gunakan `aws:ResourceTag` untuk menolak tindakan berdasarkan tanda pada sumber daya tersebut.
Anda dapat melampirkan kebijakan ini (atau menggabungkannya ke dalam satu kebijakan, lalu melampirkan kebijakan) ke pengguna di akun Anda. Bagi pengguna untuk membuat perubahan ke grup atau aturan pengambilan sampel, grup atau aturan pengambilan sampel tidak boleh ditandai `stage=prepod` atau `stage=prod`. Kunci tanda syarat `Stage` cocok dengan kedua `Stage` dan `stage` karena nama kunci syarat tidak terpengaruh huruf besar/kecil. Untuk informasi selengkapnya tentang blok syarat, lihat [Elemen Kebijakan JSON IAM: Syarat](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
Pengguna dengan peran yang memiliki kebijakan berikut terlampir tidak dapat menambahkan tanda `role:admin` ke sumber daya, dan tidak dapat menghapus tanda dari sumber daya yang `role:admin` terkait dengan hal tersebut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllXRay",
"Effect": "Allow",
"Action": "xray:*",
"Resource": "*"
},
{
"Sid": "DenyRequestTagAdmin",
"Effect": "Deny",
"Action": "xray:TagResource",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/role": "admin"
}
}
},
{
"Sid": "DenyResourceTagAdmin",
"Effect": "Deny",
"Action": "xray:UntagResource",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/role": "admin"
}
}
}
]
}
```
------
## Kebijakan terkelola IAM untuk X-Ray
Untuk membuat pemberian izin mudah, IAM mendukung **kebijakan terkelola** untuk setiap layanan. Layanan dapat memperbarui kebijakan terkelola ini dengan izin baru saat merilis yang baru APIs. AWS X-Ray menyediakan kebijakan terkelola untuk kasus penggunaan hanya baca, tulis, dan administrator.
+ `AWSXrayReadOnlyAccess`— Baca izin untuk menggunakan konsol X-Ray, AWS CLI, atau AWS SDK untuk mendapatkan data jejak, peta jejak, wawasan, dan konfigurasi X-Ray dari X-Ray API. [Termasuk Observability Access Manager (OAM) `oam:ListSinks` dan `oam:ListAttachedSinks` izin untuk memungkinkan konsol melihat jejak yang dibagikan dari akun sumber sebagai bagian dari CloudWatch pengamatan lintas akun.](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) Tindakan `BatchGetTraceSummaryById` dan `GetDistinctTraceGraphs` API tidak dimaksudkan untuk dipanggil oleh kode Anda, dan tidak termasuk dalam AWS CLI dan AWS SDKs.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:GetSamplingRules",
"xray:GetSamplingTargets",
"xray:GetSamplingStatisticSummaries",
"xray:BatchGetTraces",
"xray:BatchGetTraceSummaryById",
"xray:GetDistinctTraceGraphs",
"xray:GetServiceGraph",
"xray:GetTraceGraph",
"xray:GetTraceSummaries",
"xray:GetGroups",
"xray:GetGroup",
"xray:ListTagsForResource",
"xray:ListResourcePolicies",
"xray:GetTimeSeriesServiceStatistics",
"xray:GetInsightSummaries",
"xray:GetInsight",
"xray:GetInsightEvents",
"xray:GetInsightImpactGraph",
"oam:ListSinks"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"oam:ListAttachedLinks"
],
"Resource": "arn:aws:oam:*:*:sink/*"
}
}
```
+ `AWSXRayDaemonWriteAccess`— Tulis izin untuk menggunakan daemon X-Ray, AWS CLI, atau AWS SDK untuk mengunggah dokumen segmen dan telemetri ke X-Ray API. Memuat izin baca untuk mendapatkan [aturan pengambilan sampel](xray-console-sampling.md) dan melaporkan hasil pengambilan sampel.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:PutTraceSegments",
"xray:PutTelemetryRecords",
"xray:GetSamplingRules",
"xray:GetSamplingTargets",
"xray:GetSamplingStatisticSummaries"
],
"Resource": [
"*"
]
}
]
}
```
------
+ `AWSXrayCrossAccountSharingConfiguration`— Memberikan izin untuk membuat, mengelola, dan melihat tautan Pengelola Akses Pengamatan untuk berbagi sumber daya X-Ray antar akun. Digunakan untuk mengaktifkan [observabilitas CloudWatch lintas akun](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) antara akun sumber dan pemantauan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:Link",
"oam:ListLinks"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"oam:DeleteLink",
"oam:GetLink",
"oam:TagResource"
],
"Resource": "arn:aws:oam:*:*:link/*"
},
{
"Effect": "Allow",
"Action": [
"oam:CreateLink",
"oam:UpdateLink"
],
"Resource": [
"arn:aws:oam:*:*:link/*",
"arn:aws:oam:*:*:sink/*"
]
}
]
}
```
------
+ `AWSXrayFullAccess`— Izin untuk menggunakan semua X-Ray APIs, termasuk izin baca, izin tulis, dan izin untuk mengonfigurasi pengaturan kunci enkripsi dan aturan pengambilan sampel. [Termasuk Observability Access Manager (OAM) `oam:ListSinks` dan `oam:ListAttachedSinks` izin untuk memungkinkan konsol melihat jejak yang dibagikan dari akun sumber sebagai bagian dari CloudWatch pengamatan lintas akun.](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:*",
"oam:ListSinks"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"oam:ListAttachedLinks"
],
"Resource": "arn:aws:oam:*:*:sink/*"
}
]
}
```
------
**Untuk menambahkan kebijakan terkelola ke pengguna IAM, grup IAM, atau IAM role.**
1. Buka [konsol IAM](https://console.aws.amazon.com/iam/home).
1. Buka peran yang terkait dengan profil instans, pengguna IAM, atau grup IAM.
1. Di **Izin**, lampirkan kebijakan terkelola.
## Pembaruan X-Ray ke kebijakan AWS terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk X-Ray sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman [riwayat Dokumen](document-history.md) X-Ray.
| Ubah | Deskripsi | Date |
| --- | --- | --- |
| [IAM mengelola kebijakan untuk X-Ray](#xray-permissions-managedpolicies) - Ditambahkan baru`AWSXrayCrossAccountSharingConfiguration`, dan diperbarui `AWSXrayReadOnlyAccess` dan `AWSXrayFullAccess` kebijakan. | [X-Ray menambahkan izin Observability Access Manager (OAM) `oam:ListSinks` dan kebijakan ini `oam:ListAttachedSinks` untuk memungkinkan konsol melihat jejak yang dibagikan dari akun sumber sebagai bagian dari CloudWatch pengamatan lintas akun.](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) | 27 November 2022 |
| [Kebijakan terkelola IAM untuk X-Ray](#xray-permissions-managedpolicies) - Pembaruan ke `AWSXrayReadOnlyAccess` kebijakan. | X-Ray menambahkan aksi API,`ListResourcePolicies`. | 15 November 2022 |
| [Menggunakan konsol X-Ray](#security_iam_id-based-policy-examples-console) — Perbarui ke `AWSXrayReadOnlyAccess` kebijakan | X-Ray menambahkan dua tindakan API baru, `BatchGetTraceSummaryById` dan`GetDistinctTraceGraphs`. Tindakan ini tidak dimaksudkan untuk dipanggil oleh kode Anda. Oleh karena itu, tindakan API ini tidak termasuk dalam AWS CLI dan AWS SDKs. | 11 November 2022 |
## Menentukan sumber daya dalam kebijakan IAM
Anda dapat mengontrol akses ke sumber daya menggunakan kebijakan IAM. Untuk tindakan yang mendukung sumber daya tingkat izin, Anda menggunakan Amazon Resource Name (ARN) untuk mengidentifikasi sumber daya yang diberlakukan oleh kebijakan tersebut.
Semua tindakan X-Ray dapat digunakan dalam kebijakan IAM untuk memberikan atau menolak izin pengguna untuk menggunakan tindakan tersebut. Namun, tidak semua [tindakan X-Ray](https://docs.aws.amazon.com/xray/latest/api/API_Operations.html) mendukung izin tingkat sumber daya, yang memungkinkan Anda untuk menentukan sumber daya tempat tindakan dapat dilakukan.
Untuk tindakan yang tidak mendukung izin tingkat sumber daya, Anda harus menggunakan "`*`" sebagai sumber daya.
Tindakan X-Ray berikut mendukung izin tingkat sumber daya:
+ `CreateGroup`
+ `GetGroup`
+ `UpdateGroup`
+ `DeleteGroup`
+ `CreateSamplingRule`
+ `UpdateSamplingRule`
+ `DeleteSamplingRule`
Berikut ini adalah contoh kebijakan izin berbasis identitas untuk tindakan `CreateGroup`. Contoh ini menunjukkan penggunaan ARN yang berkaitan dengan nama Grup `local-users` dengan ID unik sebagai wildcard. ID unik terbuat ketika grup dibuat, sehingga tidak dapat diprediksi di kebijakan sebelumnya. Saat menggunakan `GetGroup`, `UpdateGroup`, atau `DeleteGroup`, Anda dapat menentukan ini sebagai wildcard atau ARN yang tepat, termasuk ID.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:CreateGroup"
],
"Resource": [
"arn:aws:xray:eu-west-1:123456789012:group/local-users/*"
]
}
]
}
```
------
Berikut ini adalah contoh kebijakan izin berbasis identitas untuk tindakan `CreateSamplingRule`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:CreateSamplingRule"
],
"Resource": [
"arn:aws:xray:eu-west-1:123456789012:sampling-rule/base-scorekeep"
]
}
]
}
```
------
**catatan**
ARN dari aturan pengambilan sampel ditentukan berdasarkan namanya. Tidak seperti grup ARNs, aturan pengambilan sampel tidak memiliki ID yang dihasilkan secara unik.
# Memecahkan masalah AWS X-Ray identitas dan akses
Gunakan informasi berikut untuk membantu Anda mendiagnosis dan memperbaiki masalah umum yang mungkin Anda temukan saat bekerja dengan X-Ray dan IAM.
**Topics**
+ [Saya tidak diotorisasi untuk melakukan tindakan di X-Ray](#security_iam_troubleshoot-no-permissions)
+ [Saya tidak berwenang untuk melakukan iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Saya seorang administrator dan ingin mengizinkan orang lain mengakses X-Ray](#security_iam_troubleshoot-admin-delegate)
+ [Saya ingin mengizinkan orang-orang di luar saya Akun AWS untuk mengakses sumber daya X-Ray saya](#security_iam_troubleshoot-cross-account-access)
## Saya tidak diotorisasi untuk melakukan tindakan di X-Ray
Jika Konsol Manajemen AWS memberitahu Anda bahwa Anda tidak berwenang untuk melakukan tindakan, maka Anda harus menghubungi administrator Anda untuk bantuan. Administrator Anda adalah orang yang memberi Anda kredensial masuk.
Contoh kesalahan berikut terjadi ketika `mateojackson` pengguna mencoba menggunakan konsol untuk melihat detail tentang aturan pengambilan sampel tetapi tidak memiliki `xray:GetSamplingRules` izin.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: xray:GetSamplingRules on resource: arn:${Partition}:xray:${Region}:${Account}:sampling-rule/${SamplingRuleName}
```
Dalam hal ini, Mateo meminta administratornya untuk memperbarui kebijakannya agar dia dapat mengakses sumber daya aturan pengambilan sampel menggunakan tindakan `xray:GetSamplingRules`.
## Saya tidak berwenang untuk melakukan iam: PassRole
Jika Anda menerima kesalahan bahwa Anda tidak berwenang untuk melakukan `iam:PassRole` tindakan, kebijakan Anda harus diperbarui untuk memungkinkan Anda meneruskan peran ke X-Ray.
Beberapa Layanan AWS memungkinkan Anda untuk meneruskan peran yang ada ke layanan tersebut alih-alih membuat peran layanan baru atau peran terkait layanan. Untuk melakukannya, Anda harus memiliki izin untuk meneruskan peran ke layanan.
Contoh kesalahan berikut terjadi saat pengguna IAM bernama `marymajor` mencoba menggunakan konsol tersebut untuk melakukan tindakan di X-Ray. Namun, tindakan tersebut memerlukan layanan untuk mendapatkan izin yang diberikan oleh peran layanan. Mary tidak memiliki izin untuk meneruskan peran tersebut pada layanan.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dalam kasus ini, kebijakan Mary harus diperbarui agar dia mendapatkan izin untuk melakukan tindakan `iam:PassRole` tersebut.
Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.
## Saya seorang administrator dan ingin mengizinkan orang lain mengakses X-Ray
Untuk memungkinkan orang lain mengakses X-Ray, Anda harus memberikan izin kepada orang atau aplikasi yang membutuhkan akses. Jika Anda menggunakan AWS IAM Identity Center untuk mengelola orang dan aplikasi, Anda menetapkan set izin kepada pengguna atau grup untuk menentukan tingkat akses mereka. Set izin secara otomatis membuat dan menetapkan kebijakan IAM ke peran IAM yang terkait dengan orang atau aplikasi. Untuk informasi selengkapnya, lihat [Set izin](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) di *Panduan AWS IAM Identity Center Pengguna*.
Jika Anda tidak menggunakan IAM Identity Center, Anda harus membuat entitas IAM (pengguna atau peran) untuk orang atau aplikasi yang membutuhkan akses. Anda kemudian harus melampirkan kebijakan ke entitas yang memberi izin yang tepat di X-Ray. Setelah izin diberikan, berikan kredensialnya kepada pengguna atau pengembang aplikasi. Mereka akan menggunakan kredensi tersebut untuk mengakses. AWS*Untuk mempelajari selengkapnya tentang membuat pengguna, grup, kebijakan, dan izin IAM, lihat [Identitas dan Kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) [dan izin di IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html).*
## Saya ingin mengizinkan orang-orang di luar saya Akun AWS untuk mengakses sumber daya X-Ray saya
Anda dapat membuat peran yang dapat digunakan pengguna di akun lain atau orang-orang di luar organisasi Anda untuk mengakses sumber daya Anda. Anda dapat menentukan siapa saja yang dipercaya untuk mengambil peran tersebut. Untuk layanan yang mendukung kebijakan berbasis sumber daya atau daftar kontrol akses (ACLs), Anda dapat menggunakan kebijakan tersebut untuk memberi orang akses ke sumber daya Anda.
Untuk mempelajari selengkapnya, periksa referensi berikut:
+ Untuk mempelajari apakah X-Ray mendukung fitur-fitur ini, lihat [Bagaimana AWS X-Ray bekerja dengan IAM](security_iam_service-with-iam.md).
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda di seluruh sumber daya Akun AWS yang Anda miliki, lihat [Menyediakan akses ke pengguna IAM di pengguna lain Akun AWS yang Anda miliki](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) di *Panduan Pengguna IAM*.
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda kepada pihak ketiga Akun AWS, lihat [Menyediakan akses yang Akun AWS dimiliki oleh pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dalam *Panduan Pengguna IAM*.
+ Untuk mempelajari cara memberikan akses melalui federasi identitas, lihat [Menyediakan akses ke pengguna terautentikasi eksternal (federasi identitas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dalam *Panduan Pengguna IAM*.
+ *Untuk mempelajari perbedaan antara menggunakan peran dan kebijakan berbasis sumber daya untuk akses lintas akun, lihat [Akses sumber daya lintas akun di IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html).*
# Penebangan dan pemantauan di AWS X-Ray
Pemantauan adalah bagian penting dalam menjaga keandalan, ketersediaan, dan performa solusi AWS Anda. Anda harus mengumpulkan data pemantauan dari semua bagian AWS solusi Anda sehingga Anda dapat lebih mudah men-debug kegagalan multi-titik jika terjadi. AWS menyediakan beberapa alat untuk memantau sumber daya X-Ray Anda dan menanggapi potensi insiden:
**AWS CloudTrail Log**
AWS X-Ray terintegrasi dengan AWS CloudTrail untuk merekam tindakan API yang dibuat oleh pengguna, peran, atau AWS layanan di X-Ray. Anda dapat menggunakan CloudTrail untuk memantau permintaan X-Ray API secara real time dan menyimpan log di Amazon S3, Amazon CloudWatch Log, dan Amazon Events. CloudWatch Untuk informasi selengkapnya, lihat [Mencatat panggilan X-Ray API dengan AWS CloudTrail](xray-api-cloudtrail.md).
**AWS Config Melacak**
AWS X-Ray terintegrasi dengan AWS Config untuk merekam perubahan konfigurasi yang dibuat pada sumber daya enkripsi X-Ray Anda. Anda dapat menggunakan AWS Config inventaris sumber daya enkripsi X-Ray, mengaudit riwayat konfigurasi X-Ray, dan mengirim pemberitahuan berdasarkan perubahan sumber daya. Untuk informasi selengkapnya, lihat [Melacak perubahan konfigurasi enkripsi X-Ray AWS Config](xray-api-config.md).
** CloudWatch Pemantauan Amazon**
Anda dapat menggunakan X-Ray SDK for Java untuk mempublikasikan metrik CloudWatch Amazon tanpa sampel dari segmen X-Ray yang dikumpulkan. Metrik ini berasal dari waktu mulai dan berakhir segmen, serta tanda status error, kesalahan, dan bendera status throttled. Gunakan metrik pelacakan ini untuk mengekspos percobaan ulang dan masalah ketergantungan dalam subsegmen. Untuk informasi selengkapnya, lihat [AWS X-Ray metrik untuk X-Ray SDK for Java](xray-sdk-java.md#xray-sdk-java-monitoring).
# Validasi kepatuhan untuk AWS X-Ray
Untuk mempelajari apakah an Layanan AWS berada dalam lingkup program kepatuhan tertentu, lihat [Layanan AWS di Lingkup oleh Program Kepatuhan Layanan AWS](https://aws.amazon.com/compliance/services-in-scope/) dan pilih program kepatuhan yang Anda minati. Untuk informasi umum, lihat [Program AWS Kepatuhan Program AWS](https://aws.amazon.com/compliance/programs/) .
Anda dapat mengunduh laporan audit pihak ketiga menggunakan AWS Artifact. Untuk informasi selengkapnya, lihat [Mengunduh Laporan di AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS ditentukan oleh sensitivitas data Anda, tujuan kepatuhan perusahaan Anda, dan hukum dan peraturan yang berlaku. Untuk informasi selengkapnya tentang tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS, lihat [Dokumentasi AWS Keamanan](https://docs.aws.amazon.com/security/).
# Ketahanan di AWS X-Ray
Infrastruktur AWS global dibangun di sekitar Wilayah AWS dan Availability Zones. Wilayah AWS menyediakan beberapa Availability Zone yang terpisah secara fisik dan terisolasi, yang terhubung dengan latensi rendah, throughput tinggi, dan jaringan yang sangat redundan. Dengan Zona Ketersediaan, Anda dapat merancang dan mengoperasikan aplikasi dan basis data yang secara otomatis melakukan failover di antara Zona Ketersediaan tanpa gangguan. Zona Ketersediaan memiliki ketersediaan dan toleransi kesalahan yang lebih baik, dan dapat diskalakan dibandingkan infrastruktur biasa yang terdiri dari satu atau beberapa pusat data.
Untuk informasi selengkapnya tentang Wilayah AWS dan Availability Zone, lihat [Infrastruktur AWS Global](https://aws.amazon.com/about-aws/global-infrastructure/).
# Keamanan infrastruktur di AWS X-Ray
Sebagai layanan terkelola, AWS X-Ray dilindungi oleh keamanan jaringan AWS global. Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat [Keamanan AWS Cloud](https://aws.amazon.com/security/). Untuk mendesain AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat [Perlindungan Infrastruktur dalam Kerangka Kerja](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) yang * AWS Diarsiteksikan dengan Baik Pilar Keamanan*.
Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses X-Ray melalui jaringan. Klien harus mendukung hal-hal berikut:
+ Keamanan Lapisan Pengangkutan (TLS). Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Sandi cocok dengan sistem kerahasiaan maju sempurna (perfect forward secrecy, PFS) seperti DHE (Ephemeral Diffie-Hellman) atau ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.
# Menggunakan AWS X-Ray dengan titik akhir VPC
Jika Anda menggunakan Amazon Virtual Private Cloud (Amazon VPC) untuk meng-host AWS sumber daya Anda, Anda dapat membuat koneksi pribadi antara VPC dan X-Ray. Ini memungkinkan sumber daya di Amazon VPC Anda untuk berkomunikasi dengan layanan X-Ray tanpa melalui internet publik.
Amazon VPC adalah Layanan AWS yang dapat Anda gunakan untuk meluncurkan AWS sumber daya di jaringan virtual yang Anda tentukan. Dengan VPC, Anda memiliki kendali terhadap pengaturan jaringan, seperti rentang alamat IP, subnet, tabel rute, dan gateway jaringan. Untuk menghubungkan VPC Anda ke X-Ray, Anda menentukan [antarmuka VPC endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html). Titik akhir menyediakan konektivitas yang andal dan dapat diskalakan ke X-Ray tanpa memerlukan gateway internet, instans terjemahan alamat jaringan (NAT), atau koneksi VPN. Untuk informasi selengkapnya, lihat [Apa yang dimaksud dengan Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/) dalam *Panduan Pengguna Amazon VPC*.
Endpoint VPC antarmuka didukung oleh AWS PrivateLink, sebuah AWS teknologi yang memungkinkan komunikasi pribadi antara Layanan AWS dengan menggunakan antarmuka network elastis dengan alamat IP pribadi. Untuk informasi selengkapnya, lihat [Baru — AWS PrivateLink untuk](https://aws.amazon.com/blogs/aws/new-aws-privatelink-endpoints-kinesis-ec2-systems-manager-and-elb-apis-in-your-vpc/) posting Layanan AWS blog dan [Memulai](https://docs.aws.amazon.com/vpc/latest/userguide/GetStarted.html) di *Panduan Pengguna Amazon VPC*.
Untuk memastikan Anda dapat membuat titik akhir VPC untuk X-Ray pada pilihan Wilayah AWS Anda, lihat. [Wilayah yang Didukung](#xray-vpc-availability)
## Membuat VPC endpoint untuk X-Ray
Untuk mulai menggunakan X-Ray dengan VPC Anda, buat VPC endpoint antarmuka untuk X-Ray.
1. Buka konsol Amazon VPC di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Navigasi ke **Titik akhir** dalam panel navigasi dan pilih **Buat Titik akhir**.
1. Cari dan pilih nama AWS X-Ray layanan:`com.amazonaws.region.xray`.
![\[Pilih layanan.\]](http://docs.aws.amazon.com/id_id/xray/latest/devguide/images/xray-vpc-select-service.png)
1. Pilih VPC yang Anda inginkan lalu pilih subnet di VPC Anda untuk menggunakan titik akhir antarmuka. Antarmuka jaringan titik akhir dibuat di subnet yang dipilih. Anda dapat menentukan lebih dari satu subnet di Availability Zone yang berbeda (sebagaimana didiukung oleh layanan) untuk membantu memastikan bahwa titik akhir antarmuka Anda tahan terhadap kegagalan Availability Zone. Jika Anda melakukannya, antarmuka jaringan antarmuka dibuat di setiap subnet yang Anda tentukan..
![\[Pilih VPC dan subnet.\]](http://docs.aws.amazon.com/id_id/xray/latest/devguide/images/xray-vpc-select-vpc.png)
1. (Opsional) DNS Privat diaktifkan secara default untuk titik akhir, sehingga Anda dapat membuat permintaan ke X-Ray menggunakan nama host DNS default-nya. Anda dapat memilih untuk menonaktifkannya.
1. Tentukan grup keamanan yang akan dikaitkan dengan antarmuka jaringan titik akhir.
![\[Pilih grup keamanan.\]](http://docs.aws.amazon.com/id_id/xray/latest/devguide/images/xray-vpc-select-secgroup.png)
1. (Opsional) Tentukan kebijakan khusus untuk mengendalikan izin untuk mengakses layanan X-Ray. Secara default, akses penuh diizinkan.
## Mengendalikan akses ke X-Ray VPC Endpoint Anda
Kebijakan VPC endpoint adalah kebijakan sumber daya IAM yang Anda lampirkan ke titik akhir ketika membuat atau mengubah titik akhir. Jika Anda tidak melampirkan kebijakan ketika membuat titik akhir, Amazon VPC melampirkan kebijakan default untuk Anda sehingga memungkinkan akses penuh ke layanan. Kebijakan titik akhir tidak membatalkan atau mengganti kebijakan pengguna IAM atau kebijakan khusus layanan. Ini adalah kebijakan terpisah untuk mengendalikan akses dari titik akhir ke layanan tertentu. Kebijakan titik akhir harus ditulis dalam format JSON. Untuk informasi selengkapnya, lihat [Mengendalikan Akses ke Layanan dengan VPC Endpoint](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) dalam *Panduan Pengguna Amazon VPC*.
Kebijakan VPC endpoint memungkinkan Anda mengontrol izin untuk berbagai tindakan X-Ray. Misalnya, Anda dapat membuat kebijakan untuk mengizinkan saja PutTraceSegment dan menolak semua tindakan lainnya. Ini membatasi beban kerja dan layanan di VPC untuk hanya mengirim data pelacakan ke X-Ray dan menolak tindakan lain seperti mengambil data, mengubah konfigurasi enkripsi, atau membuat/memperbarui grup.
Berikut ini adalah contoh kebijakan titik akhir untuk X-Ray. Kebijakan ini mengizinkan pengguna yang terhubung ke X-Ray melalui VPC untuk mengirim data segmen ke X-Ray, dan juga mencegah mereka melakukan tindakan X-Ray lainnya.
```
{"Statement": [
{"Sid": "Allow PutTraceSegments",
"Principal": "*",
"Action": [
"xray:PutTraceSegments"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
**Untuk mengedit kebijakan VPC endpoint untuk X-Ray**
1. Buka konsol Amazon VPC di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Di panel navigasi, pilih **Titik akhir**.
1. Jika Anda belum membuat titik akhir untuk X-Ray, ikuti langkah-langkah di [Membuat VPC endpoint untuk X-Ray](#create-VPC-endpoint-for-xray).
1. Pilih **com.amazonaws. ***region***.xray endpoint, lalu pilih tab Policy.**
1. Pilih **Edit Kebijakan**, lalu lakukan perubahan.
## Wilayah yang Didukung
X-Ray saat ini mendukung titik akhir VPC sebagai berikut: Wilayah AWS
+ AS Timur (Ohio)
+ AS Timur (Virginia Utara)
+ AS Barat (California Utara)
+ AS Barat (Oregon)
+ Afrika (Cape Town)
+ Asia Pasifik (Hong Kong)
+ Asia Pasifik (Mumbai)
+ Asia Pasifik (Osaka)
+ Asia Pasifik (Seoul)
+ Asia Pasifik (Singapura)
+ Asia Pasifik (Sydney)
+ Asia Pasifik (Tokyo)
+ Kanada (Pusat)
+ Eropa (Frankfurt)
+ Eropa (Irlandia)
+ Eropa (London)
+ Eropa (Milan)
+ Eropa (Paris)
+ Eropa (Stockholm)
+ Timur Tengah (Bahrain)
+ Amerika Selatan (Sao Paulo)
+ AWS GovCloud (AS-Timur)
+ AWS GovCloud (AS-Barat)
# Pencegahan "confused deputy" lintas layanan
Masalah "confused deputy" adalah masalah keamanan di mana entitas yang tidak memiliki izin untuk melakukan tindakan dapat memengaruhi entitas yang memiliki hak akses lebih tinggi untuk melakukan tindakan. Pada tahun AWS, peniruan lintas layanan dapat mengakibatkan masalah wakil yang membingungkan. Peniruan identitas lintas layanan dapat terjadi ketika satu layanan (*layanan yang dipanggil*) memanggil layanan lain (*layanan yang dipanggil*). Layanan pemanggilan dapat dimanipulasi menggunakan izinnya untuk bertindak pada sumber daya pelanggan lain dengan cara yang seharusnya tidak dilakukannya kecuali bila memiliki izin untuk mengakses. Untuk mencegah hal ini, AWS menyediakan alat yang membantu Anda melindungi data untuk semua layanan dengan principal layanan yang telah diberi akses ke sumber daya di akun Anda.
Sebaiknya gunakan kunci konteks kondisi [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn),, dan [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgpaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgpaths)global dalam kebijakan sumber daya untuk membatasi izin yang diberikan xraylong kepada layanan lain ke sumber daya. Gunakan `aws:SourceArn` untuk mengaitkan hanya satu sumber daya dengan akses lintas layanan. Gunakan `aws:SourceAccount` untuk membiarkan sumber daya apa pun di akun itu dikaitkan dengan penggunaan lintas layanan. Gunakan `aws:SourceOrgID` untuk memungkinkan sumber daya apa pun dari akun apa pun dalam suatu organisasi dikaitkan dengan penggunaan lintas layanan. Gunakan `aws:SourceOrgPaths` untuk mengaitkan sumber daya apa pun dari akun dalam AWS Organizations jalur dengan penggunaan lintas layanan. Untuk informasi selengkapnya tentang menggunakan dan memahami jalur, lihat [Memahami jalur AWS Organizations entitas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data-orgs.html#access_policies_access-advisor-viewing-orgs-entity-path).
Cara paling efektif untuk melindungi dari masalah "confused deputy" adalah dengan menggunakan kunci konteks kondisi global `aws:SourceArn` dengan ARN lengkap sumber daya. Jika Anda tidak mengetahui ARN lengkap sumber daya atau jika Anda menentukan beberapa sumber daya, gunakan kunci kondisi konteks global `aws:SourceArn` dengan karakter wildcard (`*`) untuk bagian ARN yang tidak diketahui. Misalnya, `arn:aws:servicename:*:123456789012:*`.
Jika `aws:SourceArn` nilainya tidak berisi ID akun, seperti ARN bucket Amazon S3, Anda harus menggunakan keduanya `aws:SourceAccount` dan `aws:SourceArn` untuk membatasi izin.
Untuk melindungi dari masalah wakil yang membingungkan dalam skala besar, gunakan kunci konteks kondisi `aws:SourceOrgID` atau `aws:SourceOrgPaths` global dengan ID organisasi atau jalur organisasi sumber daya dalam kebijakan berbasis sumber daya Anda. Kebijakan yang menyertakan `aws:SourceOrgID` atau `aws:SourceOrgPaths` kunci akan secara otomatis menyertakan akun yang benar dan Anda tidak perlu memperbarui kebijakan secara manual saat menambahkan, menghapus, atau memindahkan akun di organisasi Anda.
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci konteks kondisi `aws:SourceAccount` global `aws:SourceArn` dan di xray untuk mencegah masalah wakil yang membingungkan.
```
{
"Sid": "BlockCrossAccountUnlessSameSource",
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": "123456789012",
"aws:SourceAccount": "123456789012"
},
"ArnNotLike": {
"aws:SourceArn": "arn:*:*:*:123456789012:*"
}
}
}
```