Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# AWS kebijakan terkelola untuk fungsi pekerjaan
<a name="access_policies_job-functions"></a>

Sebaiknya gunakan kebijakan yang [memberikan hak istimewa paling sedikit](best-practices.md#grant-least-privilege), atau hanya memberikan izin yang diperlukan untuk melakukan tugas. Cara paling aman untuk memberikan hak istimewa paling sedikit adalah dengan menulis kebijakan khusus hanya dengan izin yang diperlukan oleh tim Anda. Anda harus membuat proses untuk memungkinkan tim Anda meminta lebih banyak izin bila diperlukan. Dibutuhkan waktu dan keahlian untuk [membuat kebijakan yang dikelola pelanggan IAM](access_policies_create-console.md) yang hanya memberi tim Anda izin yang mereka butuhkan.

Untuk mulai menambahkan izin ke identitas IAM Anda (pengguna, grup pengguna, dan peran), Anda dapat menggunakannya. [AWS kebijakan terkelola](access_policies_managed-vs-inline.md#aws-managed-policies) AWS kebijakan terkelola mencakup kasus penggunaan umum dan tersedia di Anda Akun AWS. AWS kebijakan terkelola tidak memberikan izin hak istimewa paling sedikit. Anda harus mempertimbangkan risiko keamanan untuk memberikan izin kepada kepala sekolah Anda lebih banyak daripada yang mereka butuhkan untuk melakukan pekerjaan mereka.

Anda dapat melampirkan kebijakan AWS terkelola, termasuk fungsi pekerjaan, ke identitas IAM apa pun. Untuk beralih ke izin hak istimewa terkecil, Anda dapat menjalankan AWS Identity and Access Management dan Access Analyzer untuk memantau prinsipal dengan kebijakan terkelola. AWS Setelah mengetahui izin yang mereka gunakan, Anda dapat menulis kebijakan khusus atau membuat kebijakan hanya dengan izin yang diperlukan untuk tim Anda. Ini kurang aman, tetapi memberikan lebih banyak fleksibilitas saat Anda mempelajari bagaimana tim Anda menggunakan AWS.

AWS kebijakan terkelola untuk fungsi pekerjaan dirancang untuk menyelaraskan secara dekat dengan fungsi pekerjaan umum di industri TI. Anda dapat menggunakan kebijakan ini untuk memberikan izin yang diperlukan untuk melaksanakan tugas yang diharapkan dari seseorang dalam fungsi pekerjaan tertentu. Kebijakan ini mengonsolidasikan izin untuk banyak layanan ke dalam kebijakan tunggal yang lebih mudah digunakan daripada memiliki izin yang tersebar di banyak kebijakan.

**Menggunakan Peran untuk Menggabungkan Layanan**  
Beberapa kebijakan menggunakan peran layanan IAM untuk membantu Anda memanfaatkan fitur yang ditemukan di AWS layanan lain. Kebijakan ini memberikan akses ke`iam:passrole`, yang memungkinkan pengguna dengan kebijakan untuk meneruskan peran ke AWS layanan. Peran ini mendelegasikan izin IAM ke AWS layanan untuk melakukan tindakan atas nama Anda.

Anda harus membuat peran sesuai dengan kebutuhan Anda. Misalnya, kebijakan Administrator Jaringan memungkinkan pengguna dengan kebijakan untuk meneruskan peran bernama "flow-logs-vpc" ke CloudWatch layanan Amazon. CloudWatch menggunakan peran itu untuk mencatat dan menangkap lalu lintas IP yang VPCs dibuat oleh pengguna.

Untuk mengikuti praktik terbaik keamanan, kebijakan untuk fungsi pekerjaan mencakup filter yang membatasi nama peran valid yang dapat diberikan. Tindakan ini membantu menghindari memberikan izin yang tidak perlu. Jika pengguna Anda memang memerlukan peran layanan opsional, Anda harus membuat peran yang mengikuti konvensi penamaan yang ditetapkan dalam kebijakan. Kemudian, Anda memberikan izin untuk peran tersebut. Setelah selesai, pengguna dapat mengonfigurasi layanan untuk menggunakan peran, memberikan izin apa pun yang diberikan oleh peran.

Di bagian berikut, nama setiap kebijakan adalah tautan ke halaman perincian kebijakan di Konsol Manajemen AWS. Di sana Anda dapat melihat dokumen kebijakan dan meninjau izin yang diberikan.

## Fungsi pekerjaan administrator
<a name="jf_administrator"></a>

**AWS nama kebijakan terkelola: [AdministratorAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AdministratorAccess)**

**Kasus penggunaan:** Pengguna ini memiliki akses penuh dan dapat mendelegasikan izin untuk setiap layanan dan sumber daya di AWS.

**Pembaruan kebijakan:** AWS memelihara dan memperbarui kebijakan ini. Untuk riwayat perubahan kebijakan ini, lihat kebijakan di konsol IAM, lalu pilih tab **Versi kebijakan**. Untuk informasi selengkapnya tentang pembaruan kebijakan fungsi pekerjaan, lihat [Pembaruan kebijakan AWS terkelola untuk fungsi pekerjaan](#security-iam-awsmanpol-jobfunction-updates).

**Deskripsi kebijakan:** Kebijakan ini memberikan semua tindakan untuk semua AWS layanan dan untuk semua sumber daya di akun. Untuk informasi selengkapnya tentang kebijakan terkelola, lihat [AdministratorAccess](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AdministratorAccess.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

**catatan**  
Sebelum pengguna atau peran IAM dapat mengakses AWS Manajemen Penagihan dan Biaya konsol dengan izin dalam kebijakan ini, Anda harus terlebih dahulu mengaktifkan akses pengguna dan peran IAM. Untuk melakukannya, ikuti petunjuk di [Berikan akses ke konsol penagihan untuk mendelegasikan akses ke konsol](getting-started-account-iam.md) penagihan.

## Fungsi pekerjaan penagihan
<a name="jf_accounts-payable"></a>

**AWS nama kebijakan terkelola:** [Penagihan](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/Billing)

**Kasus penggunaan:** Pengguna ini perlu melihat informasi penagihan, menyiapkan pembayaran, dan mengotorisasi pembayaran. Pengguna dapat memantau biaya yang terakumulasi untuk seluruh AWS layanan.

**Pembaruan kebijakan:** AWS memelihara dan memperbarui kebijakan ini. Untuk riwayat perubahan kebijakan ini, lihat kebijakan di konsol IAM, lalu pilih tab **Versi kebijakan**. Untuk informasi selengkapnya tentang pembaruan kebijakan fungsi tugas, lihat [Pembaruan kebijakan AWS terkelola untuk fungsi pekerjaan](#security-iam-awsmanpol-jobfunction-updates).

**Deskripsi kebijakan:** Kebijakan ini memberikan izin penuh untuk mengelola penagihan, biaya, metode pembayaran, anggaran, dan laporan. Untuk contoh kebijakan manajemen biaya tambahan, lihat [contoh AWS Billing kebijakan](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html) di *Panduan AWS Manajemen Penagihan dan Biaya Pengguna*. Untuk informasi selengkapnya tentang kebijakan terkelola, lihat [Penagihan](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/Billing.html) di *Panduan Referensi Kebijakan AWS Terkelola*.

**catatan**  
Sebelum pengguna atau peran IAM dapat mengakses AWS Manajemen Penagihan dan Biaya konsol dengan izin dalam kebijakan ini, Anda harus terlebih dahulu mengaktifkan akses pengguna dan peran IAM. Untuk melakukannya, ikuti petunjuk di [Berikan akses ke konsol penagihan untuk mendelegasikan akses ke konsol](getting-started-account-iam.md) penagihan.

## Fungsi pekerjaan administrator basis data
<a name="jf_database-administrator"></a>

**AWS nama kebijakan terkelola: [DatabaseAdministrator](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/DatabaseAdministrator)**

**Kasus penggunaan:** Pengguna ini menyiapkan, mengonfigurasi, dan memelihara database di Cloud. AWS 

**Pembaruan kebijakan:** AWS memelihara dan memperbarui kebijakan ini. Untuk riwayat perubahan kebijakan ini, lihat kebijakan di konsol IAM, lalu pilih tab **Versi kebijakan**. Untuk informasi selengkapnya tentang pembaruan kebijakan fungsi tugas, lihat [Pembaruan kebijakan AWS terkelola untuk fungsi pekerjaan](#security-iam-awsmanpol-jobfunction-updates).

**Deskripsi kebijakan:** Kebijakan ini memberikan izin untuk membuat, mengonfigurasi, dan memelihara basis data. Ini termasuk akses ke layanan AWS database, seperti Amazon DynamoDB, Amazon Relational Database Service (RDS), dan Amazon Redshift. Lihat kebijakan untuk mengetahui daftar lengkap layanan basis data yang mendukung kebijakan ini. Untuk informasi selengkapnya tentang kebijakan terkelola, lihat [DatabaseAdministrator](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/DatabaseAdministrator.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

Kebijakan fungsi pekerjaan ini mendukung kemampuan untuk meneruskan peran ke AWS layanan. Kebijakan ini mengizinkan tindakan `iam:PassRole` hanya untuk peran yang disebutkan dalam tabel berikut. Untuk informasi lebih lanjut, lihat [Menciptakan peran dan memberlakukan kebijakan (konsol)](access_policies_job-functions_create-policies.md) dalam topik ini.


| Kasus penggunaan | Nama peran (\$1 adalah wildcard) | Jenis peran layanan untuk dipilih | Pilih kebijakan AWS terkelola ini | 
| --- | --- | --- | --- | 
| Memungkinkan pengguna memantau basis data RDS | [rds-monitoring-role](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html) | Peran Amazon RDS untuk Pemantauan yang Ditingkatkan | [Amazon RDSEnhanced MonitoringRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonRDSEnhancedMonitoringRole) | 
| Memungkinkan AWS Lambda untuk memantau database Anda dan mengakses database eksternal | [rdbms-lambda-access](https://aws.amazon.com/blogs/big-data/from-sql-to-microservices-integrating-aws-lambda-with-relational-databases) | Amazon EC2 | [AWSLambda\$1FullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSLambda_FullAccess) | 
| Izinkan Lambda mengunggah file ke Amazon S3 dan ke cluster Amazon Redshift dengan DynamoDB | [lambda\$1exec\$1role](https://aws.amazon.com/blogs/big-data/a-zero-administration-amazon-redshift-database-loader) | AWS Lambda | Membuat kebijakan pengelolaan baru sebagaimana yang ditentukan dalam [Blog Big Data AWS](https://aws.amazon.com/blogs/big-data/a-zero-administration-amazon-redshift-database-loader) | 
| Izinkan fungsi Lambda bertindak sebagai pemicu untuk tabel DynamoDB Anda | [lambda-dinamodb-\$1](https://docs.aws.amazon.com/lambda/latest/dg/with-ddb.html) | AWS Lambda | [AWSLambdaPeran Dynamo DBExecution](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSLambdaDynamoDBExecutionRole) | 
| Memungkinkan fungsi Lambda mengakses Amazon RDS dalam VPC | [lambda-vpc-execution-role](https://docs.aws.amazon.com/lambda/latest/dg/vpc-rds.html) | Membuat peran dengan kebijakan kepercayaan seperti yang didefinisikan dalam [Panduan AWS Lambda Pengembang](https://docs.aws.amazon.com/lambda/latest/dg/vpc-rds.html) | [AWSLambdaVPCAccessExecutionRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSLambdaVPCAccessExecutionRole) | 
| Izinkan AWS Data Pipeline untuk mengakses AWS sumber daya Anda | [DataPipelineDefaultRole](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) | Membuat peran dengan kebijakan kepercayaan seperti yang didefinisikan dalam [Panduan AWS Data Pipeline Pengembang](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) |  AWS Data Pipeline Dokumentasi mencantumkan izin yang diperlukan untuk kasus penggunaan ini. Lihat [peran IAM](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) untuk AWS Data Pipeline | 
| Izinkan aplikasi Anda berjalan di instans Amazon EC2 untuk mengakses sumber daya Anda AWS  | [DataPipelineDefaultResourceRole](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) | Membuat peran dengan kebijakan kepercayaan seperti yang didefinisikan dalam [Panduan AWS Data Pipeline Pengembang](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) | [Amazon EC2 RoleforDataPipelineRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEC2RoleforDataPipelineRole) | 

## Fungsi pekerjaan ilmuwan data
<a name="jf_data-scientist"></a>

**AWS nama kebijakan terkelola: [DataScientist](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/DataScientist)**

**Kasus penggunaan:** Pengguna ini menjalankan pekerjaan dan kueri Hadoop. Pengguna juga mengakses dan menganalisis informasi untuk analitik data dan kecerdasan bisnis.

**Pembaruan kebijakan:** AWS memelihara dan memperbarui kebijakan ini. Untuk riwayat perubahan kebijakan ini, lihat kebijakan di konsol IAM, lalu pilih tab **Versi kebijakan**. Untuk informasi selengkapnya tentang pembaruan kebijakan fungsi pekerjaan, lihat [Pembaruan kebijakan AWS terkelola untuk fungsi pekerjaan](#security-iam-awsmanpol-jobfunction-updates).

**Deskripsi kebijakan:** Kebijakan ini memberikan izin untuk membuat, mengelola, dan menjalankan kueri di klaster EMR Amazon dan melakukan analisis data dengan alat seperti Amazon. QuickSight Kebijakan tersebut mencakup akses ke layanan data scientist tambahan, seperti Amazon EC2 AWS Data Pipeline, Amazon Kinesis, Amazon Machine Learning, dan AI. SageMaker Lihat kebijakan untuk mengetahui daftar lengkap layanan ilmuwan data yang mendukung kebijakan ini. Untuk informasi selengkapnya tentang kebijakan terkelola, lihat [DataScientist](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/DataScientist.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

Kebijakan fungsi pekerjaan ini mendukung kemampuan untuk meneruskan peran ke AWS layanan. Satu pernyataan memungkinkan meneruskan peran apa pun ke SageMaker AI. Pernyataan lainnya mengizinkan tindakan `iam:PassRole` hanya untuk peran yang disebutkan dalam tabel berikut. Untuk informasi lebih lanjut, lihat [Menciptakan peran dan memberlakukan kebijakan (konsol)](access_policies_job-functions_create-policies.md) dalam topik ini.


| Kasus penggunaan | Nama peran (\$1 adalah wildcard) | Jenis peran layanan untuk dipilih | AWS kebijakan terkelola untuk memilih | 
| --- | --- | --- | --- | 
| Memungkinkan instans Amazon EC2 mengakses layanan dan sumber daya yang sesuai untuk klaster | [EMR- \$1 EC2 DefaultRole](https://docs.aws.amazon.com/emr/latest/DeveloperGuide/emr-iam-roles-defaultroles.html) | Amazon EMR for EC2  | [AmazonElasticMapReduceforEC2Peran](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonElasticMapReduceforEC2Role) | 
| Memungkinkan akses Amazon EMR untuk mengakses layanan dan sumber daya Amazon EC2 untuk klaster | [EMR\$1 DefaultRole](https://docs.aws.amazon.com/emr/latest/DeveloperGuide/emr-iam-roles-defaultroles.html) | Amazon EMR | [EMRServiceKebijakan Amazon\$1v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRServicePolicy_v2) | 
| Izinkan Kinesis Managed Service untuk Apache Flink untuk mengakses sumber data streaming | [kinesis-\$1](https://aws.amazon.com/blogs/big-data/a-zero-administration-amazon-redshift-database-loader) | Membuat peran dengan kebijakan kepercayaan sebagaimana yang ditentukan dalam [Blog Big Data AWS](https://aws.amazon.com/blogs/big-data/a-zero-administration-amazon-redshift-database-loader) | Lihat [Blog Big Data AWS](https://aws.amazon.com/blogs/big-data/a-zero-administration-amazon-redshift-database-loader) yang menguraikan empat kemungkinan opsi, bergantung pada kasus penggunaan Anda | 
| Izinkan AWS Data Pipeline untuk mengakses AWS sumber daya Anda | [DataPipelineDefaultRole](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) | Membuat peran dengan kebijakan kepercayaan seperti yang didefinisikan dalam [Panduan AWS Data Pipeline Pengembang](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) |  AWS Data Pipeline Dokumentasi mencantumkan izin yang diperlukan untuk kasus penggunaan ini. Lihat [peran IAM](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) untuk AWS Data Pipeline | 
| Izinkan aplikasi Anda berjalan di instans Amazon EC2 untuk mengakses sumber daya Anda AWS  | [DataPipelineDefaultResourceRole](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) | Membuat peran dengan kebijakan kepercayaan seperti yang didefinisikan dalam [Panduan AWS Data Pipeline Pengembang](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) | [Amazon EC2 RoleforDataPipelineRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEC2RoleforDataPipelineRole) | 

## Fungsi pekerjaan pengguna daya developer
<a name="jf_developer-power-user"></a>

**AWS nama kebijakan terkelola: [PowerUserAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/PowerUserAccess)**

**Kasus penggunaan:** Pengguna ini melakukan tugas pengembangan aplikasi dan dapat membuat dan mengonfigurasi sumber daya dan layanan yang mendukung pengembangan aplikasi AWS sadar.

**Pembaruan kebijakan:** AWS memelihara dan memperbarui kebijakan ini. Untuk riwayat perubahan kebijakan ini, lihat kebijakan di konsol IAM, lalu pilih tab **Versi kebijakan**. Untuk informasi selengkapnya tentang pembaruan kebijakan fungsi pekerjaan, lihat [Pembaruan kebijakan AWS terkelola untuk fungsi pekerjaan](#security-iam-awsmanpol-jobfunction-updates).

**Deskripsi kebijakan:** Pernyataan pertama kebijakan ini menggunakan [`NotAction`](reference_policies_elements_notaction.md)elemen untuk mengizinkan semua tindakan untuk semua AWS layanan dan untuk semua sumber daya kecuali AWS Identity and Access Management, AWS Organizations, dan AWS Account Management. Pernyataan kedua memberikan izin IAM untuk membuat peran tertaut layanan. Ini diwajibkan oleh beberapa layanan yang harus mengakses sumber daya di layanan lain, seperti bucket Amazon S3. Ini juga memberikan AWS Organizations izin untuk melihat informasi tentang organisasi pengguna, termasuk email akun manajemen dan batasan organisasi. Meskipun kebijakan ini membatasi IAM AWS Organizations, kebijakan ini memungkinkan pengguna untuk melakukan semua tindakan Pusat Identitas IAM jika Pusat Identitas IAM diaktifkan. Ini juga memberikan izin Manajemen Akun untuk melihat AWS Wilayah mana yang diaktifkan atau dinonaktifkan untuk akun tersebut.

## Fungsi pekerjaan administrator jaringan
<a name="jf_network-administrator"></a>

**AWS nama kebijakan terkelola: [NetworkAdministrator](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/NetworkAdministrator)**

**Kasus penggunaan:** Pengguna ini ditugaskan untuk menyiapkan dan memelihara sumber daya AWS jaringan.

**Pembaruan kebijakan:** AWS memelihara dan memperbarui kebijakan ini. Untuk riwayat perubahan kebijakan ini, lihat kebijakan di konsol IAM, lalu pilih tab **Versi kebijakan**. Untuk informasi selengkapnya tentang pembaruan kebijakan fungsi pekerjaan, lihat [Pembaruan kebijakan AWS terkelola untuk fungsi pekerjaan](#security-iam-awsmanpol-jobfunction-updates).

**Deskripsi kebijakan:** Kebijakan ini memberikan izin untuk membuat dan memelihara sumber daya jaringan di Auto Scaling, Amazon EC2 AWS Direct Connect,, Route 53, Amazon, Elastic CloudFront Load Balancing, Amazon SNS,, CloudWatch Log, AWS Elastic Beanstalk Amazon S3, IAM, dan Amazon CloudWatch Virtual Private Cloud. Untuk informasi selengkapnya tentang kebijakan terkelola, lihat [NetworkAdministrator](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/NetworkAdministrator.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

Fungsi pekerjaan ini membutuhkan kemampuan untuk meneruskan peran ke AWS layanan. Kebijakan ini memberikan `iam:GetRole` dan `iam:PassRole` hanya untuk peran yang ditentukan dalam tabel berikut. Untuk informasi lebih lanjut, lihat [Menciptakan peran dan memberlakukan kebijakan (konsol)](access_policies_job-functions_create-policies.md) dalam topik ini.


| Kasus penggunaan | Nama peran (\$1 adalah wildcard) | Jenis peran layanan untuk dipilih | AWS kebijakan terkelola untuk memilih | 
| --- | --- | --- | --- | 
| Memungkinkan Amazon VPC membuat dan mengelola CloudWatch log di Log atas nama pengguna untuk memantau lalu lintas IP yang masuk dan keluar dari VPC Anda | [aliran-log-\$1](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-iam) | Membuat peran dengan kebijakan kepercayaan sebagaimana yang ditetapkan dalam [Panduan Pengguna VPC Amazon](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-iam) | Kasus penggunaan ini tidak memiliki kebijakan AWS terkelola yang ada, tetapi dokumentasi mencantumkan izin yang diperlukan. Lihat [Panduan Pengguna VPC Amazon](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-iam). | 

## Akses hanya-baca
<a name="awsmp_readonlyaccess"></a>

**AWS nama kebijakan terkelola: [ReadOnlyAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/ReadOnlyAccess)**

**Kasus penggunaan:** Pengguna ini memerlukan akses hanya-baca ke setiap sumber daya dalam file. Akun AWS

**penting**  
Pengguna ini juga akan memiliki akses untuk membaca data dalam layanan penyimpanan seperti bucket Amazon S3 dan tabel Amazon DynamoDB.

**Pembaruan kebijakan:** AWS memelihara dan memperbarui kebijakan ini. Untuk riwayat perubahan kebijakan ini, lihat kebijakan di konsol IAM, lalu pilih tab **Versi kebijakan**. Untuk informasi selengkapnya tentang pembaruan kebijakan fungsi tugas, lihat [Pembaruan kebijakan AWS terkelola untuk fungsi pekerjaan](#security-iam-awsmanpol-jobfunction-updates).

**Deskripsi kebijakan:**Kebijakan ini memberikan izin untuk daftar, mendapatkan, menguraikan, dan sebaliknya melihat sumber daya dan atribut mereka. Ini tidak termasuk fungsi bermutasi seperti membuat atau menghapus. Kebijakan ini mencakup akses hanya-baca ke AWS layanan terkait keamanan, seperti dan. AWS Identity and Access Management AWS Manajemen Penagihan dan Biaya Lihat kebijakan untuk daftar lengkap layanan dan tindakan yang didukung kebijakan ini. Untuk informasi selengkapnya tentang kebijakan terkelola, lihat [ReadOnlyAccess](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/ReadOnlyAccess.html)di *Panduan Referensi Kebijakan AWS Terkelola*. Jika Anda memerlukan kebijakan serupa yang tidak memberikan akses untuk membaca data di layanan penyimpanan, lihat[Fungsi tugas pengguna hanya lihat](#jf_view-only-user).

## Tindakan layanan MCP akses penuh
<a name="jf_mcp-service-actions"></a>

**AWS nama kebijakan terkelola: [AWSMcpServiceActionsFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSMcpServiceActionsFullAccess)**

**Kasus penggunaan:** Pengguna ini memerlukan akses ke AWS layanan menggunakan server AWS MCP. Kebijakan ini tidak memberikan akses ke tindakan yang diambil oleh layanan MCP ke AWS layanan lain.

**Pembaruan kebijakan:** AWS memelihara dan memperbarui kebijakan ini. Untuk riwayat perubahan kebijakan ini, lihat kebijakan di konsol IAM, lalu pilih tab **Versi kebijakan**. Untuk informasi selengkapnya tentang pembaruan kebijakan fungsi pekerjaan, lihat [Pembaruan kebijakan AWS terkelola untuk fungsi pekerjaan](#security-iam-awsmanpol-jobfunction-updates).

**Deskripsi kebijakan:** Kebijakan ini memberikan izin untuk memanggil tindakan layanan AWS MCP apa pun. Anda dapat menggunakan ketika Anda tidak perlu menentukan izin per layanan AWS MCP. Itu tidak memberikan izin untuk tindakan yang diambil oleh layanan MCP ke AWS layanan lain, izin tersebut harus selalu diberikan secara terpisah dan sebagai tambahan untuk tindakan layanan MCP. Untuk informasi selengkapnya tentang kebijakan terkelola, lihat [AWSMcpServiceActionsFullAccess](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSMcpServiceActionsFullAccess.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

## Fungsi pekerjaan auditor keamanan
<a name="jf_security-auditor"></a>

**AWS nama kebijakan terkelola: [SecurityAudit](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/SecurityAudit)**

**Kasus penggunaan:** Pengguna ini memantau akun agar mematuhi persyaratan keamanan. Pengguna ini dapat mengakses catatan dan peristiwa untuk menginvestigasi kemungkinan adanya pelanggaran keamanan atau kemungkinan adanya aktivitas berbahaya.

**Pembaruan kebijakan:** AWS memelihara dan memperbarui kebijakan ini. Untuk riwayat perubahan kebijakan ini, lihat kebijakan di konsol IAM, lalu pilih tab **Versi kebijakan**. Untuk informasi selengkapnya tentang pembaruan kebijakan fungsi pekerjaan, lihat [Pembaruan kebijakan AWS terkelola untuk fungsi pekerjaan](#security-iam-awsmanpol-jobfunction-updates).

**Deskripsi kebijakan:** Kebijakan ini memberikan izin untuk melihat data konfigurasi untuk banyak AWS layanan dan meninjau log mereka. Untuk informasi selengkapnya tentang kebijakan terkelola, lihat [SecurityAudit](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/SecurityAudit.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

## Fungsi pekerjaan pengguna
<a name="jf_support-user"></a>

**AWS nama kebijakan terkelola: AWSSupport** [Akses](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSSupportAccess)

**Kasus penggunaan:** Pengguna ini menghubungi AWS Support, membuat kasus dukungan, dan melihat status kasus yang ada.

**Pembaruan kebijakan:** AWS memelihara dan memperbarui kebijakan ini. Untuk riwayat perubahan kebijakan ini, lihat kebijakan di konsol IAM, lalu pilih tab **Versi kebijakan**. Untuk informasi selengkapnya tentang pembaruan kebijakan fungsi pekerjaan, lihat [Pembaruan kebijakan AWS terkelola untuk fungsi pekerjaan](#security-iam-awsmanpol-jobfunction-updates).

**Deskripsi kebijakan:** Kebijakan ini memberikan izin untuk membuat dan memperbarui Dukungan kasus. Untuk informasi selengkapnya tentang kebijakan terkelola, lihat [AWSSupportAkses](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSSupportAccess.html) di *Panduan Referensi Kebijakan AWS Terkelola*.

## Fungsi pekerjaan administrator sistem
<a name="jf_system-administrator"></a>

**AWS nama kebijakan terkelola: [SystemAdministrator](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/SystemAdministrator)**

**Kasus penggunaan:** Pengguna ini mengatur dan memelihara sumber daya untuk operasi pengembangan.

**Pembaruan kebijakan:** AWS memelihara dan memperbarui kebijakan ini. Untuk riwayat perubahan kebijakan ini, lihat kebijakan di konsol IAM, lalu pilih tab **Versi kebijakan**. Untuk informasi selengkapnya tentang pembaruan kebijakan fungsi pekerjaan, lihat [Pembaruan kebijakan AWS terkelola untuk fungsi pekerjaan](#security-iam-awsmanpol-jobfunction-updates).

**Deskripsi kebijakan:** Kebijakan ini memberikan izin untuk membuat dan memelihara sumber daya di berbagai macam AWS layanan, termasuk, Amazon,,,, CloudWatch, AWS CloudTrail Amazon EC2 AWS CodeCommit AWS CodeDeploy, AWS Config, AWS Directory Service, Amazon RDS AWS Identity and Access Management AWS Key Management Service, AWS Lambda Route 53, Amazon S3, Amazon SES, Amazon SQS,, dan Amazon VPC. AWS Trusted Advisor Untuk informasi selengkapnya tentang kebijakan terkelola, lihat [SystemAdministrator](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/SystemAdministrator.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

Fungsi pekerjaan ini membutuhkan kemampuan untuk meneruskan peran ke AWS layanan. Kebijakan ini memberikan `iam:GetRole` dan `iam:PassRole` hanya untuk peran yang ditentukan dalam tabel berikut. Untuk informasi lebih lanjut, lihat [Menciptakan peran dan memberlakukan kebijakan (konsol)](access_policies_job-functions_create-policies.md) dalam topik ini. Untuk informasi selengkapnya tentang pembaruan kebijakan fungsi pekerjaan, lihat [Pembaruan kebijakan AWS terkelola untuk fungsi pekerjaan](#security-iam-awsmanpol-jobfunction-updates).


| Kasus penggunaan | Nama peran (\$1 adalah wildcard) | Jenis peran layanan untuk dipilih | AWS kebijakan terkelola untuk memilih | 
| --- | --- | --- | --- | 
| Memungkinkan aplikasi berjalan dalam instans EC2 di klaster Amazon ECS untuk mengakses Amazon ECS | [ecr-sysadmin-\$1](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/instance_IAM_role.html) | Peran Amazon EC2 untuk Layanan EC2 Container  | [EC2ContainerServiceforEC2Peran Amazon](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceforEC2Role) | 
| Memungkinkan pengguna untuk memantau basis data | [rds-monitoring-role](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html) | Peran Amazon RDS untuk Pemantauan yang Ditingkatkan | [Amazon RDSEnhanced MonitoringRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonRDSEnhancedMonitoringRole) | 
| Izinkan aplikasi yang berjalan di instans EC2 untuk mengakses AWS sumber daya. | [ec2-sysadmin-\$1](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html) | Amazon EC2 | Contoh kebijakan untuk peran yang memberikan akses ke bucket S3 seperti yang ditunjukkan dalam Panduan [Pengguna Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html); sesuaikan sesuai kebutuhan | 
| Izinkan Lambda membaca aliran DynamoDB dan menulis ke Log CloudWatch  | [lambda-sysadmin-\$1](https://docs.aws.amazon.com/lambda/latest/dg/with-ddb.html) | AWS Lambda | [AWSLambdaPeran Dynamo DBExecution](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSLambdaDynamoDBExecutionRole) | 

## Fungsi tugas pengguna hanya lihat
<a name="jf_view-only-user"></a>

**AWS nama kebijakan terkelola: [ViewOnlyAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/ViewOnlyAccess)**

**Kasus penggunaan:** Pengguna ini dapat melihat daftar AWS sumber daya dan metadata dasar di akun di seluruh layanan. Pengguna tidak dapat membaca konten sumber daya atau metadata yang melampaui kuota dan informasi daftar sumber daya.

**Pembaruan kebijakan:** AWS memelihara dan memperbarui kebijakan ini. Untuk riwayat perubahan kebijakan ini, lihat kebijakan di konsol IAM, lalu pilih tab **Versi kebijakan**. Untuk informasi selengkapnya tentang pembaruan kebijakan fungsi pekerjaan, lihat [Pembaruan kebijakan AWS terkelola untuk fungsi pekerjaan](#security-iam-awsmanpol-jobfunction-updates).

**Deskripsi kebijakan:** Kebijakan ini memberikan`List*`,,, `Describe*` `Get*``View*`, dan `Lookup*` akses ke sumber daya untuk AWS layanan. Untuk melihat tindakan apa yang tercakup dalam kebijakan ini untuk setiap layanan, lihat [ViewOnlyAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/ViewOnlyAccess). Untuk informasi selengkapnya tentang kebijakan terkelola, lihat [ViewOnlyAccess](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/ViewOnlyAccess.html)di *Panduan Referensi Kebijakan AWS Terkelola*.

## Pembaruan kebijakan AWS terkelola untuk fungsi pekerjaan
<a name="security-iam-awsmanpol-jobfunction-updates"></a>

Semua kebijakan ini dikelola oleh AWS dan terus diperbarui untuk menyertakan dukungan untuk layanan baru dan kemampuan baru saat ditambahkan oleh AWS layanan. Kebijakan ini tidak dapat dimodifikasi oleh pelanggan. Anda dapat membuat salinan kebijakan dan kemudian memodifikasi salinannya, tetapi salinan itu tidak diperbarui secara otomatis karena AWS memperkenalkan layanan baru dan operasi API.

Untuk kebijakan fungsi pekerjaan, Anda dapat melihat riwayat versi serta waktu dan tanggal setiap pembaruan di konsol IAM. Untuk melakukannya, gunakan tautan di halaman ini untuk melihat detail kebijakan. Lalu pilih tab **Versi kebijakan** untuk melihat versi. Halaman ini menunjukkan 25 versi terakhir dari sebuah kebijakan. Untuk melihat semua versi kebijakan, panggil [get-policy-version](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy-version.html) AWS CLI perintah atau operasi [GetPolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicyVersion.html)API.

**catatan**  
Anda dapat memiliki hingga lima versi kebijakan yang dikelola pelanggan, tetapi AWS mempertahankan riwayat versi lengkap kebijakan AWS terkelola.

# Menciptakan peran dan memberlakukan kebijakan (konsol)
<a name="access_policies_job-functions_create-policies"></a>

Beberapa kebijakan yang tercantum sebelumnya memberikan kemampuan untuk mengonfigurasi AWS layanan dengan peran yang memungkinkan layanan tersebut melakukan operasi atas nama Anda. Kebijakan fungsi pekerjaan menentukan nama peran yang tepat yang harus Anda gunakan atau setidaknya menyertakan awalan yang menentukan bagian pertama dari nama yang dapat digunakan. Untuk membuat salah satu peran ini, lakukan langkah-langkah dalam prosedur berikut.

**Untuk membuat peran untuk Layanan AWS (konsol IAM)**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi konsol IAM, pilih **Peran**, dan lalu pilih **Buat peran**.

1. Untuk **jenis entitas Tepercaya**, pilih **Layanan AWS**.

1. Untuk **kasus Layanan atau penggunaan**, pilih layanan, lalu pilih kasus penggunaan. Kasus penggunaan ditentukan oleh layanan untuk menyertakan kebijakan kepercayaan yang diperlukan layanan.

1. Pilih **Berikutnya**.

1. Untuk **kebijakan Izin**, opsi bergantung pada kasus penggunaan yang Anda pilih:
   + Jika layanan menentukan izin untuk peran tersebut, Anda tidak dapat memilih kebijakan izin.
   + Pilih dari serangkaian kebijakan izin terbatas.
   + Pilih dari semua kebijakan izin.
   + Pilih kebijakan tanpa izin, buat kebijakan setelah peran dibuat, lalu lampirkan kebijakan ke peran.

1. (Opsional) Tetapkan [batas izin](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html). Ini adalah fitur lanjutan yang tersedia untuk peran layanan, tetapi bukan peran tertaut layanan.

   1. Buka bagian **Setel batas izin**, lalu pilih **Gunakan batas izin untuk mengontrol izin peran maksimum**. 

      IAM menyertakan daftar kebijakan yang AWS dikelola dan dikelola pelanggan di akun Anda.

   1. Pilih kebijakan yang akan digunakan untuk batas izin.

1. Pilih **Berikutnya**.

1. Untuk **nama Peran**, opsi bergantung pada layanan:
   + Jika layanan menentukan nama peran, Anda tidak dapat mengedit nama peran.
   + Jika layanan mendefinisikan awalan untuk nama peran, Anda dapat memasukkan akhiran opsional.
   + Jika layanan tidak menentukan nama peran, Anda dapat memberi nama peran.
**penting**  
Saat Anda memberi nama peran, perhatikan hal berikut:  
Nama peran harus unik di dalam diri Anda Akun AWS, dan tidak dapat dibuat unik berdasarkan kasus.  
Misalnya, jangan membuat peran bernama keduanya **PRODROLE** dan**prodrole**. Ketika nama peran digunakan dalam kebijakan atau sebagai bagian dari ARN, nama peran tersebut peka huruf besar/kecil, namun ketika nama peran muncul kepada pelanggan di konsol, seperti selama proses masuk, nama peran tersebut tidak peka huruf besar/kecil.
Anda tidak dapat mengedit nama peran setelah dibuat karena entitas lain mungkin mereferensikan peran tersebut.

1. (Opsional) Untuk **Deskripsi**, masukkan deskripsi untuk peran tersebut.

1. **(Opsional) Untuk mengedit kasus penggunaan dan izin untuk peran, di **Langkah 1: Pilih entitas tepercaya** atau **Langkah 2: Tambahkan izin**, pilih Edit.**

1. (Opsional) Untuk membantu mengidentifikasi, mengatur, atau mencari peran, tambahkan tag sebagai pasangan nilai kunci. Untuk informasi selengkapnya tentang penggunaan tag di IAM, lihat [Tag untuk AWS Identity and Access Management sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) di *Panduan Pengguna IAM*.

1. Tinjau peran lalu pilih **Buat peran**.

## Contoh 1: Mengonfigurasi pengguna sebagai administrator basis data (konsol)
<a name="jf_example_1"></a>

Contoh ini menunjukkan langkah-langkah yang diperlukan untuk mengonfigurasi Alice, pengguna IAM, sebagai [Administrator Basis Data](access_policies_job-functions.md#jf_database-administrator). Anda menggunakan informasi di baris pertama tabel di bagian tersebut dan memungkinkan pengguna mengaktifkan pemantauan Amazon RDS. Anda melampirkan [DatabaseAdministrator](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/DatabaseAdministrator)kebijakan ke pengguna IAM Alice sehingga mereka dapat mengelola layanan database Amazon. Kebijakan itu juga memungkinkan Alice untuk meneruskan peran yang dipanggil `rds-monitoring-role` ke layanan Amazon RDS yang memungkinkan layanan untuk memantau database Amazon RDS atas nama mereka.

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Pilih **Kebijakan**, **database** ketik kotak pencarian, lalu tekan enter.

1. Pilih tombol radio untuk **DatabaseAdministrator**kebijakan, pilih **Tindakan**, lalu pilih **Lampirkan**.

1. Dalam daftar entitas, pilih **Alice** dan kemudian pilih **Lampirkan kebijakan**. Alice sekarang dapat mengelola database AWS . Namun, agar Alice dapat memantau basis data tersebut, Anda harus mengonfigurasi peran layanan.

1. Di panel navigasi konsol IAM, pilih **Peran**, dan lalu pilih **Buat peran**.

1. Pilih jenis peran **AWS Layanan**, lalu pilih **Amazon RDS.**

1. Pilih kasus penggunaan **Peran Amazon RDS untuk Pemantauan yang Ditingkatkan**.

1. Amazon RDS mendefinisikan izin untuk peran Anda. Pilih **Next: Review** (Berikutnya: Tinjauan) untuk melanjutkan.

1. Nama peran harus salah satu yang ditentukan oleh DatabaseAdministrator kebijakan yang dimiliki Alice sekarang. Salah satunya adalah **rds-monitoring-role**. Masukkan itu untuk **nama Peran**.

1. (Opsional) Untuk **Deskripsi peran**, masukkan deskripsi.

1. Setelah meninjau perinciannya, pilih **Buat peran**.

1. Sekarang Alice dapat mengaktifkan **RDS Enhanced Monitoring** dalam bagian **Pemantauan** di konsol Amazon RDS. Misalnya, mereka mungkin melakukan ini ketika mereka membuat instance DB, membuat replika baca, atau memodifikasi instance DB. Mereka harus memasukkan nama peran yang mereka buat (rds-monitoring-role) di kotak **Peran Pemantauan** saat mereka menyetel **Aktifkan Pemantauan yang Ditingkatkan** ke **Ya**. 

## Contoh 2: Mengonfigurasi pengguna sebagai administrator jaringan (konsol)
<a name="jf_example_2"></a>

Contoh ini menunjukkan langkah-langkah yang diperlukan untuk mengkonfigurasi Jorge, pengguna IAM, sebagai Administrator [Jaringan](access_policies_job-functions.md#jf_network-administrator). Ini menggunakan informasi dalam tabel di bagian itu untuk memungkinkan Jorge memantau lalu lintas IP yang pergi ke dan dari VPC. Ini juga memungkinkan Jorge untuk menangkap informasi itu di log di CloudWatch Log. Anda melampirkan [NetworkAdministrator](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/NetworkAdministrator)kebijakan ke pengguna IAM Jorge sehingga mereka dapat mengonfigurasi sumber daya AWS jaringan. Kebijakan itu juga memungkinkan Jorge untuk meneruskan peran yang namanya dimulai dengan `flow-logs*` Amazon EC2 saat Anda membuat log alur. Dalam skenario ini, tidak seperti Contoh 1, tidak ada jenis peran layanan yang ditentukan sebelumnya sehingga Anda harus melakukan beberapa langkah secara berbeda.

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Kebijakan** lalu masukkan **network** di kotak pencarian, lalu tekan enter.

1. Pilih tombol radio di sebelah **NetworkAdministrator**kebijakan, pilih **Tindakan**, lalu pilih **Lampirkan**.

1. Dalam daftar pengguna, pilih kotak centang di sebelah **Jorge**, lalu pilih **Lampirkan** kebijakan. Jorge sekarang dapat mengelola sumber daya AWS jaringan. Namun, untuk mengaktifkan pemantauan lalu lintas IP di VPC, Anda harus mengonfigurasi peran layanan.

1. Karena peran layanan yang perlu Anda buat tidak memiliki kebijakan yang dikelola sebelumnya, Anda harus membuatnya terlebih dahulu. Pada panel navigasi, pilih **Kebijakan**, lalu pilih **Buat kebijakan**.

1. Di bagian **Editor kebijakan**, pilih opsi **JSON** dan salin teks dari dokumen kebijakan JSON berikut. Tempel teks ini ke kotak teks **JSON**. 

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Action": [
           "logs:CreateLogGroup",
           "logs:CreateLogStream",
           "logs:PutLogEvents",
           "logs:DescribeLogGroups",
           "logs:DescribeLogStreams"
         ],
         "Effect": "Allow",
         "Resource": "*"
       }
     ]
   }
   ```

------

1.  Selesaikan peringatan keamanan, kesalahan, atau peringatan umum yang dihasilkan selama [validasi kebijakan](access_policies_policy-validator.md), lalu pilih **Berikutnya**. 
**catatan**  
Anda dapat beralih antara opsi editor **Visual** dan **JSON** kapan saja. Namun, jika Anda melakukan perubahan atau memilih **Berikutnya** di editor **Visual**, IAM dapat merestrukturisasi kebijakan Anda untuk mengoptimalkannya bagi editor visual. Untuk informasi selengkapnya, lihat [Restrukturisasi kebijakan](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Pada halaman **Tinjau dan buat**, ketik **vpc-flow-logs-policy-for-service-role** nama kebijakan. Tinjau **Izin yang ditentukan dalam kebijakan ini** untuk melihat izin yang diberikan oleh kebijakan Anda, lalu pilih **Buat kebijakan** untuk menyimpan pekerjaan Anda.

   Kebijakan baru muncul dalam daftar kebijakan terkelola dan siap diberlakukan.

1. Di panel navigasi konsol IAM, pilih **Peran**, dan lalu pilih **Buat peran**.

1. Pilih jenis peran **AWS Layanan**, lalu pilih **Amazon EC2**.

1. Pilih kasus penggunaan **Amazon EC2**.

1. Pada halaman **Lampirkan kebijakan izin**, pilih kebijakan yang Anda buat sebelumnya, **vpc-flow-logs-policy- for-service-role**, lalu pilih **Berikutnya: Tinjau**.

1. Nama peran harus diizinkan oleh NetworkAdministrator kebijakan yang dimiliki Jorge sekarang. Nama apa pun yang dimulai dengan `flow-logs-` diperbolehkan. Untuk contoh ini, masukkan **flow-logs-for-jorge** untuk **nama Peran**.

1. (Opsional) Untuk **Deskripsi peran**, masukkan deskripsi.

1. Setelah meninjau perinciannya, pilih **Buat peran**.

1. Sekarang, Anda dapat mengonfigurasi kebijakan kepercayaan yang diperlukan untuk skenario ini. Pada halaman **Peran**, pilih **flow-logs-for-jorge**peran (nama, bukan kotak centang). Pada halaman perincian peran baru Anda, pilih **Hubungan kepercayaan**, lalu pilih**Edit hubungan kepercayaan**.

1. Ubah baris "Layanan" agar dibaca sebagai berikut, menggantikan entri untuk `ec2.amazonaws.com`:

   ```
           "Service": "vpc-flow-logs.amazonaws.com"
   ```

1. Jorge sekarang dapat membuat log aliran untuk VPC atau subnet di konsol Amazon EC2. Saat Anda membuat log alur, tentukan **flow-logs-for-jorge**perannya. Peran tersebut memiliki izin untuk membuat data log dan menuliskan data ke log itu.