Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Menciptakan peran dan memberlakukan kebijakan (konsol)
<a name="access_policies_job-functions_create-policies"></a>

Beberapa kebijakan yang tercantum sebelumnya memberikan kemampuan untuk mengonfigurasi AWS layanan dengan peran yang memungkinkan layanan tersebut melakukan operasi atas nama Anda. Kebijakan fungsi pekerjaan menentukan nama peran yang tepat yang harus Anda gunakan atau setidaknya menyertakan awalan yang menentukan bagian pertama dari nama yang dapat digunakan. Untuk membuat salah satu peran ini, lakukan langkah-langkah dalam prosedur berikut.

**Untuk membuat peran untuk Layanan AWS (konsol IAM)**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi konsol IAM, pilih **Peran**, dan lalu pilih **Buat peran**.

1. Untuk **jenis entitas Tepercaya**, pilih **Layanan AWS**.

1. Untuk **kasus Layanan atau penggunaan**, pilih layanan, lalu pilih kasus penggunaan. Kasus penggunaan ditentukan oleh layanan untuk menyertakan kebijakan kepercayaan yang diperlukan layanan.

1. Pilih **Berikutnya**.

1. Untuk **kebijakan Izin**, opsi bergantung pada kasus penggunaan yang Anda pilih:
   + Jika layanan menentukan izin untuk peran tersebut, Anda tidak dapat memilih kebijakan izin.
   + Pilih dari serangkaian kebijakan izin terbatas.
   + Pilih dari semua kebijakan izin.
   + Pilih kebijakan tanpa izin, buat kebijakan setelah peran dibuat, lalu lampirkan kebijakan ke peran.

1. (Opsional) Tetapkan [batas izin](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html). Ini adalah fitur lanjutan yang tersedia untuk peran layanan, tetapi bukan peran tertaut layanan.

   1. Buka bagian **Setel batas izin**, lalu pilih **Gunakan batas izin untuk mengontrol izin peran maksimum**. 

      IAM menyertakan daftar kebijakan yang AWS dikelola dan dikelola pelanggan di akun Anda.

   1. Pilih kebijakan yang akan digunakan untuk batas izin.

1. Pilih **Berikutnya**.

1. Untuk **nama Peran**, opsi bergantung pada layanan:
   + Jika layanan menentukan nama peran, Anda tidak dapat mengedit nama peran.
   + Jika layanan mendefinisikan awalan untuk nama peran, Anda dapat memasukkan akhiran opsional.
   + Jika layanan tidak menentukan nama peran, Anda dapat memberi nama peran.
**penting**  
Saat Anda memberi nama peran, perhatikan hal berikut:  
Nama peran harus unik di dalam diri Anda Akun AWS, dan tidak dapat dibuat unik berdasarkan kasus.  
Misalnya, jangan membuat peran bernama keduanya **PRODROLE** dan**prodrole**. Ketika nama peran digunakan dalam kebijakan atau sebagai bagian dari ARN, nama peran tersebut peka huruf besar/kecil, namun ketika nama peran muncul kepada pelanggan di konsol, seperti selama proses masuk, nama peran tersebut tidak peka huruf besar/kecil.
Anda tidak dapat mengedit nama peran setelah dibuat karena entitas lain mungkin mereferensikan peran tersebut.

1. (Opsional) Untuk **Deskripsi**, masukkan deskripsi untuk peran tersebut.

1. **(Opsional) Untuk mengedit kasus penggunaan dan izin untuk peran, di **Langkah 1: Pilih entitas tepercaya** atau **Langkah 2: Tambahkan izin**, pilih Edit.**

1. (Opsional) Untuk membantu mengidentifikasi, mengatur, atau mencari peran, tambahkan tag sebagai pasangan nilai kunci. Untuk informasi selengkapnya tentang penggunaan tag di IAM, lihat [Tag untuk AWS Identity and Access Management sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) di *Panduan Pengguna IAM*.

1. Tinjau peran lalu pilih **Buat peran**.

## Contoh 1: Mengonfigurasi pengguna sebagai administrator basis data (konsol)
<a name="jf_example_1"></a>

Contoh ini menunjukkan langkah-langkah yang diperlukan untuk mengonfigurasi Alice, pengguna IAM, sebagai [Administrator Basis Data](access_policies_job-functions.md#jf_database-administrator). Anda menggunakan informasi di baris pertama tabel di bagian tersebut dan memungkinkan pengguna mengaktifkan pemantauan Amazon RDS. Anda melampirkan [DatabaseAdministrator](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/DatabaseAdministrator)kebijakan ke pengguna IAM Alice sehingga mereka dapat mengelola layanan database Amazon. Kebijakan itu juga memungkinkan Alice untuk meneruskan peran yang dipanggil `rds-monitoring-role` ke layanan Amazon RDS yang memungkinkan layanan untuk memantau database Amazon RDS atas nama mereka.

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Pilih **Kebijakan**, **database** ketik kotak pencarian, lalu tekan enter.

1. Pilih tombol radio untuk **DatabaseAdministrator**kebijakan, pilih **Tindakan**, lalu pilih **Lampirkan**.

1. Dalam daftar entitas, pilih **Alice** dan kemudian pilih **Lampirkan kebijakan**. Alice sekarang dapat mengelola database AWS . Namun, agar Alice dapat memantau basis data tersebut, Anda harus mengonfigurasi peran layanan.

1. Di panel navigasi konsol IAM, pilih **Peran**, dan lalu pilih **Buat peran**.

1. Pilih jenis peran **AWS Layanan**, lalu pilih **Amazon RDS.**

1. Pilih kasus penggunaan **Peran Amazon RDS untuk Pemantauan yang Ditingkatkan**.

1. Amazon RDS mendefinisikan izin untuk peran Anda. Pilih **Next: Review** (Berikutnya: Tinjauan) untuk melanjutkan.

1. Nama peran harus salah satu yang ditentukan oleh DatabaseAdministrator kebijakan yang dimiliki Alice sekarang. Salah satunya adalah **rds-monitoring-role**. Masukkan itu untuk **nama Peran**.

1. (Opsional) Untuk **Deskripsi peran**, masukkan deskripsi.

1. Setelah meninjau perinciannya, pilih **Buat peran**.

1. Sekarang Alice dapat mengaktifkan **RDS Enhanced Monitoring** dalam bagian **Pemantauan** di konsol Amazon RDS. Misalnya, mereka mungkin melakukan ini ketika mereka membuat instance DB, membuat replika baca, atau memodifikasi instance DB. Mereka harus memasukkan nama peran yang mereka buat (rds-monitoring-role) di kotak **Peran Pemantauan** saat mereka menyetel **Aktifkan Pemantauan yang Ditingkatkan** ke **Ya**. 

## Contoh 2: Mengonfigurasi pengguna sebagai administrator jaringan (konsol)
<a name="jf_example_2"></a>

Contoh ini menunjukkan langkah-langkah yang diperlukan untuk mengkonfigurasi Jorge, pengguna IAM, sebagai Administrator [Jaringan](access_policies_job-functions.md#jf_network-administrator). Ini menggunakan informasi dalam tabel di bagian itu untuk memungkinkan Jorge memantau lalu lintas IP yang pergi ke dan dari VPC. Ini juga memungkinkan Jorge untuk menangkap informasi itu di log di CloudWatch Log. Anda melampirkan [NetworkAdministrator](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/NetworkAdministrator)kebijakan ke pengguna IAM Jorge sehingga mereka dapat mengonfigurasi sumber daya AWS jaringan. Kebijakan itu juga memungkinkan Jorge untuk meneruskan peran yang namanya dimulai dengan `flow-logs*` Amazon EC2 saat Anda membuat log alur. Dalam skenario ini, tidak seperti Contoh 1, tidak ada jenis peran layanan yang ditentukan sebelumnya sehingga Anda harus melakukan beberapa langkah secara berbeda.

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Kebijakan** lalu masukkan **network** di kotak pencarian, lalu tekan enter.

1. Pilih tombol radio di sebelah **NetworkAdministrator**kebijakan, pilih **Tindakan**, lalu pilih **Lampirkan**.

1. Dalam daftar pengguna, pilih kotak centang di sebelah **Jorge**, lalu pilih **Lampirkan** kebijakan. Jorge sekarang dapat mengelola sumber daya AWS jaringan. Namun, untuk mengaktifkan pemantauan lalu lintas IP di VPC, Anda harus mengonfigurasi peran layanan.

1. Karena peran layanan yang perlu Anda buat tidak memiliki kebijakan yang dikelola sebelumnya, Anda harus membuatnya terlebih dahulu. Pada panel navigasi, pilih **Kebijakan**, lalu pilih **Buat kebijakan**.

1. Di bagian **Editor kebijakan**, pilih opsi **JSON** dan salin teks dari dokumen kebijakan JSON berikut. Tempel teks ini ke kotak teks **JSON**. 

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Action": [
           "logs:CreateLogGroup",
           "logs:CreateLogStream",
           "logs:PutLogEvents",
           "logs:DescribeLogGroups",
           "logs:DescribeLogStreams"
         ],
         "Effect": "Allow",
         "Resource": "*"
       }
     ]
   }
   ```

------

1.  Selesaikan peringatan keamanan, kesalahan, atau peringatan umum yang dihasilkan selama [validasi kebijakan](access_policies_policy-validator.md), lalu pilih **Berikutnya**. 
**catatan**  
Anda dapat beralih antara opsi editor **Visual** dan **JSON** kapan saja. Namun, jika Anda melakukan perubahan atau memilih **Berikutnya** di editor **Visual**, IAM dapat merestrukturisasi kebijakan Anda untuk mengoptimalkannya bagi editor visual. Untuk informasi selengkapnya, lihat [Restrukturisasi kebijakan](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Pada halaman **Tinjau dan buat**, ketik **vpc-flow-logs-policy-for-service-role** nama kebijakan. Tinjau **Izin yang ditentukan dalam kebijakan ini** untuk melihat izin yang diberikan oleh kebijakan Anda, lalu pilih **Buat kebijakan** untuk menyimpan pekerjaan Anda.

   Kebijakan baru muncul dalam daftar kebijakan terkelola dan siap diberlakukan.

1. Di panel navigasi konsol IAM, pilih **Peran**, dan lalu pilih **Buat peran**.

1. Pilih jenis peran **AWS Layanan**, lalu pilih **Amazon EC2**.

1. Pilih kasus penggunaan **Amazon EC2**.

1. Pada halaman **Lampirkan kebijakan izin**, pilih kebijakan yang Anda buat sebelumnya, **vpc-flow-logs-policy- for-service-role**, lalu pilih **Berikutnya: Tinjau**.

1. Nama peran harus diizinkan oleh NetworkAdministrator kebijakan yang dimiliki Jorge sekarang. Nama apa pun yang dimulai dengan `flow-logs-` diperbolehkan. Untuk contoh ini, masukkan **flow-logs-for-jorge** untuk **nama Peran**.

1. (Opsional) Untuk **Deskripsi peran**, masukkan deskripsi.

1. Setelah meninjau perinciannya, pilih **Buat peran**.

1. Sekarang, Anda dapat mengonfigurasi kebijakan kepercayaan yang diperlukan untuk skenario ini. Pada halaman **Peran**, pilih **flow-logs-for-jorge**peran (nama, bukan kotak centang). Pada halaman perincian peran baru Anda, pilih **Hubungan kepercayaan**, lalu pilih**Edit hubungan kepercayaan**.

1. Ubah baris "Layanan" agar dibaca sebagai berikut, menggantikan entri untuk `ec2.amazonaws.com`:

   ```
           "Service": "vpc-flow-logs.amazonaws.com"
   ```

1. Jorge sekarang dapat membuat log aliran untuk VPC atau subnet di konsol Amazon EC2. Saat Anda membuat log alur, tentukan **flow-logs-for-jorge**perannya. Peran tersebut memiliki izin untuk membuat data log dan menuliskan data ke log itu.