Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Keamanan di Rantai Pasokan AWS
Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang AWS dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.
Keamanan adalah tanggung jawab bersama antara Anda dan AWS. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) *menggambarkan ini sebagai keamanan cloud dan keamanan *di* cloud:*
+ **Keamanan cloud** — AWS bertanggung jawab untuk melindungi infrastruktur yang berjalan Layanan AWS di dalamnya AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Auditor pihak ketiga secara teratur menguji dan memverifikasi keefektifan keamanan kami sebagai bagian dari [program kepatuhan AWS](https://aws.amazon.com/compliance/programs/). Untuk mempelajari tentang program kepatuhan yang berlaku Rantai Pasokan AWS, lihat [AWS Layanan dalam Lingkup oleh AWS Layanan Program Kepatuhan](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Keamanan di cloud** — Layanan AWS Yang Anda gunakan menentukan tanggung jawab Anda. Anda juga bertanggung jawab atas faktor-faktor lain. termasuk sensitivitas data Anda, persyaratan Anda, dan hukum dan peraturan yang berlaku.
Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saat Anda menggunakannya Rantai Pasokan AWS. Topik berikut menunjukkan cara mengonfigurasi Rantai Pasokan AWS untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga belajar cara menggunakan Layanan AWS yang lain yang membantu Anda memantau dan mengamankan Rantai Pasokan AWS sumber daya Anda.
**Topics**
+ [Perlindungan data di Rantai Pasokan AWS](data-protection.md)
+ [Akses Rantai Pasokan AWS menggunakan endpoint antarmuka ()AWS PrivateLink](vpc-interface-endpoints.md)
+ [IAM untuk Rantai Pasokan AWS](security-iam.md)
+ [AWS kebijakan terkelola untuk Rantai Pasokan AWS](security-iam-awsmanpol.md)
+ [Validasi kepatuhan untuk Rantai Pasokan AWS](compliance-validation.md)
+ [Ketahanan di Rantai Pasokan AWS](disaster-recovery-resiliency.md)
+ [Penebangan dan Pemantauan Rantai Pasokan AWS](monitoring-overview.md)
+ [Mengelola Rantai Pasokan AWS acara menggunakan Amazon EventBridge](eventbridge-integration.md)
# Perlindungan data di Rantai Pasokan AWS
[Model tanggung jawab AWS bersama model](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data di Rantai Pasokan AWS. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam [Pertanyaan Umum Privasi Data](https://aws.amazon.com/compliance/data-privacy-faq/). Lihat informasi tentang perlindungan data di Eropa di pos blog [Model Tanggung Jawab Bersama dan GDPR AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) di *Blog Keamanan AWS *.
Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensyal dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
+ Gunakan autentikasi multi-faktor (MFA) pada setiap akun.
+ Gunakan SSL/TLS untuk berkomunikasi dengan AWS sumber daya. Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat [Bekerja dengan CloudTrail jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) di *AWS CloudTrail Panduan Pengguna*.
+ Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.
+ Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.
+ Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-3 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi selengkapnya tentang titik akhir FIPS yang tersedia di [Standar Pemrosesan Informasi Federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang **Nama**. Ini termasuk saat Anda bekerja dengan Rantai Pasokan AWS atau lainnya Layanan AWS menggunakan konsol, API AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.
## Data ditangani oleh Rantai Pasokan AWS
Untuk membatasi data yang dapat diakses oleh pengguna resmi dari instans Rantai AWS Pasokan tertentu, data yang disimpan dalam Rantai AWS Pasokan dipisahkan oleh ID AWS akun Anda dan ID instans Rantai AWS Pasokan Anda.
AWS Supply Chain menangani berbagai data rantai pasokan seperti, informasi pengguna, informasi yang diekstrak dari konektor data, dan detail inventaris.
## Preferensi memilih keluar
Kami dapat menggunakan dan menyimpan Konten Anda yang diproses oleh Rantai Pasokan AWS, sebagaimana tercantum dalam [Ketentuan Layanan AWS](https://aws.amazon.com/service-terms/). Jika ingin memilih untuk tidak menggunakan atau menyimpan konten, Anda dapat membuat kebijakan opt-out di AWS Organizations. Rantai Pasokan AWS Untuk informasi selengkapnya tentang membuat kebijakan opt-out, lihat sintaks dan contoh kebijakan [opt-out layanan AI](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out_syntax.html).
## Enkripsi saat diam
Data kontak yang diklasifikasikan sebagai PII, atau data yang mewakili konten pelanggan termasuk konten yang digunakan di Amazon Q dalam Rantai Pasokan AWS disimpan oleh Rantai Pasokan AWS, dienkripsi saat istirahat (yaitu, sebelum dimasukkan, disimpan, atau disimpan ke disk) dengan kunci yang terbatas waktu dan spesifik untuk instance. Rantai Pasokan AWS
Enkripsi sisi server Amazon S3 digunakan untuk mengenkripsi semua data konsol dan aplikasi web dengan kunci AWS Key Management Service data yang unik untuk setiap akun pelanggan. Untuk informasi tentang AWS KMS keys, lihat [Apa itu AWS Key Management Service?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) di Panduan AWS Key Management Service Pengembang.
**catatan**
Rantai Pasokan AWS fitur Perencanaan Pasokan dan Visibilitas N-Tier tidak mendukung enkripsi data-at-rest dengan KMS-CMK yang disediakan.
## Enkripsi saat bergerak
Data termasuk konten yang digunakan di Amazon Q yang Rantai Pasokan AWS dipertukarkan dengan Rantai AWS Pasokan dilindungi saat transit antara browser web pengguna dan Rantai AWS Pasokan menggunakan enkripsi TLS standar industri.
## Manajemen kunci
Rantai Pasokan AWS sebagian mendukung KMS-CMK.
Untuk informasi tentang memperbarui kunci AWS KMS Rantai Pasokan AWS, lihat. [Langkah 2: Buat sebuah instance](creating-instance.md)
## Privasi lalu lintas antar jaringan
**catatan**
Rantai Pasokan AWS tidak mendukung PrivateLink.
Titik akhir virtual private cloud (VPC) untuk Rantai Pasokan AWS adalah entitas logis dalam VPC yang memungkinkan konektivitas hanya untuk. Rantai Pasokan AWS Rutekan VPC meminta Rantai Pasokan AWS dan merutekan respons kembali ke VPC. Untuk informasi selengkapnya, lihat [Titik Akhir VPC di Panduan](https://docs.aws.amazon.com/vpc/latest/privatelink/concepts.html) Pengguna VPC.
## Bagaimana Rantai Pasokan AWS menggunakan hibah di AWS KMS
Rantai Pasokan AWS membutuhkan [hibah](/kms/latest/developerguide/grants.html) untuk menggunakan kunci yang dikelola pelanggan Anda.
Rantai Pasokan AWS membuat beberapa hibah menggunakan AWS KMS kunci yang dilewatkan selama **CreateInstance**operasi. Rantai Pasokan AWS membuat hibah atas nama Anda dengan mengirimkan [/kms/latest/APIReference/API_CreateGrant.html](/kms/latest/APIReference/API_CreateGrant.html)permintaan ke AWS KMS. Hibah AWS KMS digunakan untuk memberikan Rantai Pasokan AWS akses ke AWS KMS kunci di akun pelanggan.
**catatan**
Rantai Pasokan AWS menggunakan mekanisme otorisasi itu sendiri. Setelah pengguna ditambahkan Rantai Pasokan AWS, Anda tidak dapat menolak daftar pengguna yang sama menggunakan AWS KMS kebijakan.
Rantai Pasokan AWS menggunakan hibah untuk hal-hal berikut:
+ Untuk mengirim **GenerateDataKey**permintaan AWS KMS untuk [/forecast/latest/dg/data-protection.html#kms-grants](/forecast/latest/dg/data-protection.html#kms-grants) data yang disimpan dalam instance Anda.
+ Untuk mengirim permintaan **Dekripsi** untuk AWS KMS membaca data terenkripsi yang terkait dengan instance.
+ Untuk menambahkan *DescribeKey*, *CreateGrant*, dan *RetireGrant*izin agar data Anda tetap aman saat mengirimnya ke AWS layanan lain seperti Amazon Forecast.
Anda dapat mencabut akses ke hibah, atau menghapus akses layanan ke kunci yang dikelola pelanggan kapan saja. Jika Anda melakukannya, Rantai Pasokan AWS tidak akan dapat mengakses data apa pun yang dienkripsi oleh kunci yang dikelola pelanggan, yang memengaruhi operasi yang bergantung pada data tersebut.
### Memantau enkripsi Anda untuk Rantai Pasokan AWS
Contoh berikut adalah AWS CloudTrail peristiwa untuk`Encrypt`,`GenerateDataKey`, dan `Decrypt` untuk memantau operasi KMS yang dipanggil oleh Rantai Pasokan AWS untuk mengakses data yang dienkripsi oleh kunci yang dikelola pelanggan Anda:
------
#### [ Encrypt ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "scn.amazonaws.com"
},
"eventTime": "2024-03-06T22:39:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Encrypt",
"awsRegion": "us-east-1",
"sourceIPAddress": "172.12.34.56"
"userAgent": "Example/Desktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample"
},
"responseElements": null,
"requestID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
"eventID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
"readOnly": true,
"resources": [
{
"accountId": account ID,
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "112233445566",
"sharedEventID": "fdf9ee0f-e43f-4e43-beac-df69067edb8b",
"eventCategory": "Management"
}
```
------
#### [ GenerateDataKey ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "scn.amazonaws.com"
},
"eventTime": "2024-03-06T22:39:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "172.12.34.56"
"userAgent": "Example/Desktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:s3:arn": "arn:aws:s3:::test/rawEvent/bf6666c1-111-48aaca-b6b0-dsadsadsa3432423/noFlowName/scn.data.inboundorder/20240306_223934_536"
},
"keyId": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample",
"keySpec": "AES_222"
},
"responseElements": null,
"requestID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
"eventID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
"readOnly": true,
"resources": [
{
"accountId": account ID,
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "112233445566",
"sharedEventID": "fdf9ee0f-e43f-4e43-beac-df69067edb8b",
"eventCategory": "Management"
}
```
------
#### [ Decrypt ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "scn.amazonaws.com"
},
"eventTime": "2024-03-06T22:39:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-east-1",
"sourceIPAddress": "172.12.34.56"
"userAgent": "Example/Desktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample",
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
"eventID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
"readOnly": true,
"resources": [
{
"accountId": account ID,
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "112233445566",
"sharedEventID": "fdf9ee0f-e43f-4e43-beac-df69067edb8b",
"eventCategory": "Management"
}
```
------
# Akses Rantai Pasokan AWS menggunakan endpoint antarmuka ()AWS PrivateLink
Anda dapat menggunakan AWS PrivateLink untuk membuat koneksi pribadi antara VPC Anda dan. Rantai Pasokan AWS Anda dapat mengakses Rantai Pasokan AWS seolah-olah itu ada di VPC Anda, tanpa menggunakan gateway internet, perangkat NAT, koneksi VPN, atau koneksi. Direct Connect Instans di VPC Anda tidak memerlukan alamat IP publik untuk mengakses. Rantai Pasokan AWS
Anda membuat koneksi pribadi ini dengan membuat *titik akhir antarmuka*, yang didukung oleh AWS PrivateLink. Kami membuat antarmuka jaringan endpoint di setiap subnet yang Anda aktifkan untuk titik akhir antarmuka. Ini adalah antarmuka jaringan yang dikelola pemohon yang berfungsi sebagai titik masuk untuk lalu lintas yang ditakdirkan. Rantai Pasokan AWS
Untuk informasi selengkapnya, lihat [Akses Layanan AWS melalui AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) di *AWS PrivateLink Panduan*.
## Pertimbangan untuk Rantai Pasokan AWS
*Sebelum Anda menyiapkan titik akhir antarmuka Rantai Pasokan AWS, tinjau [Pertimbangan](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) dalam Panduan.AWS PrivateLink *
Rantai Pasokan AWS mendukung panggilan ke semua tindakan API-nya melalui titik akhir antarmuka.
## Buat titik akhir antarmuka untuk Rantai Pasokan AWS
Anda dapat membuat titik akhir antarmuka untuk Rantai Pasokan AWS menggunakan konsol VPC Amazon atau () AWS Command Line Interface .AWS CLI Untuk informasi selengkapnya, lihat [Membuat titik akhir antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) di *AWS PrivateLink Panduan*.
Buat titik akhir antarmuka untuk Rantai Pasokan AWS menggunakan nama layanan berikut:
```
com.amazonaws.region.scn
```
Jika Anda mengaktifkan DNS pribadi untuk titik akhir antarmuka, Anda dapat membuat permintaan API untuk Rantai Pasokan AWS menggunakan nama DNS Regional default. Misalnya, `scn.region.amazonaws.com`.
## Buat kebijakan titik akhir untuk titik akhir antarmuka Anda
Kebijakan endpoint adalah sumber daya IAM yang dapat Anda lampirkan ke titik akhir antarmuka. Kebijakan endpoint default memungkinkan akses penuh Rantai Pasokan AWS melalui titik akhir antarmuka. Untuk mengontrol akses yang diizinkan Rantai Pasokan AWS dari VPC Anda, lampirkan kebijakan titik akhir kustom ke titik akhir antarmuka.
kebijakan titik akhir mencantumkan informasi berikut:
+ Prinsipal yang dapat melakukan tindakan (Akun AWS, pengguna IAM, dan peran IAM)
+ Tindakan-tindakan yang dapat dilakukan
+ Sumber daya di mana tindakan dapat dilakukan
Untuk informasi selengkapnya, lihat [Mengontrol akses ke layanan menggunakan kebijakan titik akhir](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) di *Panduan AWS PrivateLink *.
**Contoh: Kebijakan titik akhir VPC untuk tindakan Rantai Pasokan AWS**
Berikut ini adalah contoh kebijakan endpoint kustom. Saat Anda melampirkan kebijakan ini ke titik akhir antarmuka Anda, kebijakan ini akan memberikan akses ke Rantai Pasokan AWS tindakan yang tercantum untuk semua prinsip di semua sumber daya.
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"scn:action-1",
"scn:action-2",
"scn:action-3"
],
"Resource":"*"
}
]
}
```
# IAM untuk Rantai Pasokan AWS
AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengontrol siapa yang dapat *diautentikasi* (masuk) dan *diberi wewenang* (memiliki izin) untuk menggunakan sumber daya. Rantai Pasokan AWS IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.
**Topics**
+ [Audiens](#security_iam_audience)
+ [Mengautentikasi dengan identitas](#security_iam_authentication)
+ [Mengelola akses menggunakan kebijakan](#security_iam_access-manage)
+ [Bagaimana Rantai Pasokan AWS bekerja dengan IAM](security_iam_service-with-iam.md)
+ [Contoh kebijakan berbasis identitas untuk Rantai Pasokan AWS](security_iam_id-based-policy-examples.md)
+ [Memecahkan masalah Rantai Pasokan AWS identitas dan akses](security_iam_troubleshoot.md)
## Audiens
Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda berdasarkan peran Anda:
+ **Pengguna layanan** - minta izin dari administrator Anda jika Anda tidak dapat mengakses fitur (lihat [Memecahkan masalah Rantai Pasokan AWS identitas dan akses](security_iam_troubleshoot.md))
+ **Administrator layanan** - tentukan akses pengguna dan mengirimkan permintaan izin (lihat [Bagaimana Rantai Pasokan AWS bekerja dengan IAM](security_iam_service-with-iam.md))
+ **Administrator IAM** - tulis kebijakan untuk mengelola akses (lihat [Contoh kebijakan berbasis identitas untuk Rantai Pasokan AWS](security_iam_id-based-policy-examples.md))
## Mengautentikasi dengan identitas
Otentikasi adalah cara Anda masuk AWS menggunakan kredensi identitas Anda. Anda harus diautentikasi sebagai Pengguna root akun AWS, pengguna IAM, atau dengan mengasumsikan peran IAM.
Anda dapat masuk sebagai identitas federasi menggunakan kredensional dari sumber identitas seperti AWS IAM Identity Center (Pusat Identitas IAM), otentikasi masuk tunggal, atau kredensional. Google/Facebook Untuk informasi selengkapnya tentang cara masuk, lihat [Cara masuk ke Akun AWS Anda](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dalam *Panduan Pengguna AWS Sign-In *.
Untuk akses terprogram, AWS sediakan SDK dan CLI untuk menandatangani permintaan secara kriptografis. Untuk informasi selengkapnya, lihat [AWS Signature Version 4 untuk permintaan API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dalam *Panduan Pengguna IAM*.
### Akun AWS pengguna root
Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang disebut *pengguna Akun AWS root* yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Untuk tugas yang memerlukan kredensial pengguna root, lihat [Tugas yang memerlukan kredensial pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dalam *Panduan Pengguna IAM*.
### Identitas terfederasi
Sebagai praktik terbaik, mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses Layanan AWS menggunakan kredensi sementara.
*Identitas federasi* adalah pengguna dari direktori perusahaan Anda, penyedia identitas web, atau Directory Service yang mengakses Layanan AWS menggunakan kredensi dari sumber identitas. Identitas terfederasi mengambil peran yang memberikan kredensial sementara.
Untuk manajemen akses terpusat, kami menyarankan AWS IAM Identity Center. Untuk informasi selengkapnya, lihat [Apa itu Pusat Identitas IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dalam *Panduan Pengguna AWS IAM Identity Center *.
### Pengguna dan grup IAM
*[Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* adalah identitas dengan izin khusus untuk satu orang atau aplikasi. Sebaiknya gunakan kredensial sementara alih-alih pengguna IAM dengan kredensial jangka panjang. Untuk informasi selengkapnya, lihat [Mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) di Panduan Pengguna *IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) menentukan kumpulan pengguna IAM dan mempermudah pengelolaan izin untuk pengguna dalam jumlah besar. Untuk mempelajari selengkapnya, lihat [Kasus penggunaan untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dalam *Panduan Pengguna IAM*.
### Peran IAM
*[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* adalah identitas dengan izin khusus yang menyediakan kredensial sementara. Anda dapat mengambil peran dengan [beralih dari pengguna ke peran IAM (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) atau dengan memanggil operasi AWS CLI atau AWS API. Untuk informasi selengkapnya, lihat [Metode untuk mengambil peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dalam *Panduan Pengguna IAM*.
Peran IAM berguna untuk akses pengguna terfederasi, izin pengguna IAM sementara, akses lintas akun, akses lintas layanan, dan aplikasi yang berjalan di Amazon EC2. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.
## Mengelola akses menggunakan kebijakan
Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan menentukan izin saat dikaitkan dengan identitas atau sumber daya. AWS mengevaluasi kebijakan ini ketika kepala sekolah membuat permintaan. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang dokumen kebijakan JSON, lihat [Gambaran umum kebijakan JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dalam *Panduan Pengguna IAM*.
Menggunakan kebijakan, administrator menentukan siapa yang memiliki akses ke apa dengan mendefinisikan **principal** mana yang dapat melakukan **tindakan** pada **sumber daya** apa, dan dalam **kondisi** apa.
Secara default, pengguna dan peran tidak memiliki izin. Administrator IAM membuat kebijakan IAM dan menambahkannya ke peran, yang kemudian dapat diambil oleh pengguna. Kebijakan IAM mendefinisikan izin terlepas dari metode yang Anda gunakan untuk melakukan operasinya.
### Kebijakan berbasis identitas
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang Anda lampirkan ke identitas (pengguna, grup, atau peran). Kebijakan ini mengontrol tindakan apa yang bisa dilakukan oleh identitas tersebut, terhadap sumber daya yang mana, dan dalam kondisi apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Kebijakan berbasis identitas dapat berupa *kebijakan inline* (disematkan langsung ke dalam satu identitas) atau *kebijakan terkelola* (kebijakan mandiri yang dilampirkan pada banyak identitas). Untuk mempelajari cara memilih antara kebijakan terkelola dan kebijakan inline, lihat [Pilih antara kebijakan terkelola dan kebijakan inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dalam *Panduan Pengguna IAM*.
### Kebijakan berbasis sumber daya
Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contohnya termasuk *kebijakan kepercayaan peran IAM* dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya.
Kebijakan berbasis sumber daya merupakan kebijakan inline yang terletak di layanan tersebut. Anda tidak dapat menggunakan kebijakan AWS terkelola dari IAM dalam kebijakan berbasis sumber daya.
### Jenis-jenis kebijakan lain
AWS mendukung jenis kebijakan tambahan yang dapat menetapkan izin maksimum yang diberikan oleh jenis kebijakan yang lebih umum:
+ **Batasan izin** – Menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Untuk informasi selengkapnya, lihat [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dalam *Panduan Pengguna IAM*.
+ **Kebijakan kontrol layanan (SCPs)** — Tentukan izin maksimum untuk organisasi atau unit organisasi di AWS Organizations. Untuk informasi selengkapnya, lihat [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dalam *Panduan Pengguna AWS Organizations *.
+ **Kebijakan kontrol sumber daya (RCPs)** — Tetapkan izin maksimum yang tersedia untuk sumber daya di akun Anda. Untuk informasi selengkapnya, lihat [Kebijakan kontrol sumber daya (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) di *Panduan AWS Organizations Pengguna*.
+ **Kebijakan sesi** – Kebijakan lanjutan yang diteruskan sebagai parameter saat membuat sesi sementara untuk peran atau pengguna terfederasi. Untuk informasi selengkapnya, lihat [Kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dalam *Panduan Pengguna IAM*.
### Berbagai jenis kebijakan
Ketika beberapa jenis kebijakan berlaku pada suatu permintaan, izin yang dihasilkan lebih rumit untuk dipahami. Untuk mempelajari cara AWS menentukan apakah akan mengizinkan permintaan saat beberapa jenis kebijakan terlibat, lihat [Logika evaluasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) di *Panduan Pengguna IAM*.
# Bagaimana Rantai Pasokan AWS bekerja dengan IAM
Sebelum Anda menggunakan IAM untuk mengelola akses Rantai Pasokan AWS, pelajari fitur IAM yang tersedia untuk digunakan. Rantai Pasokan AWS
**Fitur IAM yang dapat Anda gunakan Rantai Pasokan AWS**
| Fitur IAM | Rantai Pasokan AWS dukungan |
| --- | --- |
| [Kebijakan berbasis identitas](#security_iam_service-with-iam-id-based-policies) | Ya |
| [Kebijakan berbasis sumber daya](#security_iam_service-with-iam-resource-based-policies) | Tidak |
| [Tindakan kebijakan](#security_iam_service-with-iam-id-based-policies-actions) | Ya |
| [Sumber daya kebijakan](#security_iam_service-with-iam-id-based-policies-resources) | Ya |
| [Kunci kondisi kebijakan](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Ya |
| [Kredensial sementara](#security_iam_service-with-iam-roles-tempcreds) | Ya |
| [Sesi akses teruskan (FAS)](#security_iam_service-with-iam-principal-permissions) | Ya |
| [Peran layanan](#security_iam_service-with-iam-roles-service) | Ya |
| [Peran terkait layanan](#security_iam_service-with-iam-roles-service-linked) | Tidak |
Untuk mendapatkan tampilan tingkat tinggi tentang cara Rantai Pasokan AWS dan AWS layanan lain bekerja dengan sebagian besar fitur IAM, lihat [AWS layanan yang bekerja dengan IAM di Panduan Pengguna *IAM*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
## Kebijakan berbasis identitas untuk Rantai Pasokan AWS
**Mendukung kebijakan berbasis identitas**: Ya
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang dapat Anda lampirkan ke sebuah identitas, seperti pengguna IAM, grup pengguna IAM, atau peran IAM. Kebijakan ini mengontrol jenis tindakan yang dapat dilakukan oleh pengguna dan peran, di sumber daya mana, dan berdasarkan kondisi seperti apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan terkelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan secara spesifik apakah tindakan dan sumber daya diizinkan atau ditolak, serta kondisi yang menjadi dasar dikabulkan atau ditolaknya tindakan tersebut. Untuk mempelajari semua elemen yang dapat Anda gunakan dalam kebijakan JSON, lihat [Referensi elemen kebijakan JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dalam *Panduan Pengguna IAM*.
### Contoh kebijakan berbasis identitas untuk Rantai Pasokan AWS
Untuk melihat contoh kebijakan Rantai Pasokan AWS berbasis identitas, lihat. [Contoh kebijakan berbasis identitas untuk Rantai Pasokan AWS](security_iam_id-based-policy-examples.md)
## Kebijakan berbasis sumber daya dalam Rantai Pasokan AWS
**Mendukung kebijakan berbasis sumber daya:** Tidak
Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contoh kebijakan berbasis sumber daya adalah *kebijakan kepercayaan peran* IAM dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Untuk sumber daya tempat kebijakan dilampirkan, kebijakan menentukan tindakan apa yang dapat dilakukan oleh principal tertentu pada sumber daya tersebut dan dalam kondisi apa. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya. Prinsipal dapat mencakup akun, pengguna, peran, pengguna federasi, atau. Layanan AWS
Untuk mengaktifkan akses lintas akun, Anda dapat menentukan secara spesifik seluruh akun atau entitas IAM di akun lain sebagai principal dalam kebijakan berbasis sumber daya. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.
## Tindakan kebijakan untuk Rantai Pasokan AWS
**Mendukung tindakan kebijakan:** Ya
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen `Action` dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.
Tindakan kebijakan Rantai Pasokan AWS menggunakan awalan berikut sebelum tindakan:
```
scn
```
Untuk menetapkan secara spesifik beberapa tindakan dalam satu pernyataan, pisahkan tindakan tersebut dengan koma.
```
"Action": [
"scn:action1",
"scn:action2"
]
```
Untuk melihat contoh kebijakan Rantai Pasokan AWS berbasis identitas, lihat. [Contoh kebijakan berbasis identitas untuk Rantai Pasokan AWS](security_iam_id-based-policy-examples.md)
## Sumber daya kebijakan untuk Rantai Pasokan AWS
**Mendukung sumber daya kebijakan:** Ya
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen kebijakan JSON `Resource` menentukan objek yang menjadi target penerapan tindakan. Praktik terbaiknya, tentukan sumber daya menggunakan [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, gunakan wildcard (\$1) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.
```
"Resource": "*"
```
Untuk melihat contoh kebijakan Rantai Pasokan AWS berbasis identitas, lihat. [Contoh kebijakan berbasis identitas untuk Rantai Pasokan AWS](security_iam_id-based-policy-examples.md)
## Kunci kondisi kebijakan untuk Rantai Pasokan AWS
**Mendukung kunci kondisi kebijakan khusus layanan:** Yes
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **principal** dapat melakukan **tindakan** pada suatu **sumber daya**, dan dalam suatu **syarat**.
Elemen `Condition` menentukan ketika pernyataan dieksekusi berdasarkan kriteria yang ditetapkan. Anda dapat membuat ekspresi bersyarat yang menggunakan [operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.
Untuk melihat contoh kebijakan Rantai Pasokan AWS berbasis identitas, lihat. [Contoh kebijakan berbasis identitas untuk Rantai Pasokan AWS](security_iam_id-based-policy-examples.md)
## Menggunakan kredensi sementara dengan Rantai Pasokan AWS
**Mendukung kredensial sementara:** Ya
Kredensi sementara menyediakan akses jangka pendek ke AWS sumber daya dan secara otomatis dibuat saat Anda menggunakan federasi atau beralih peran. AWS merekomendasikan agar Anda secara dinamis menghasilkan kredensi sementara alih-alih menggunakan kunci akses jangka panjang. Untuk informasi selengkapnya, lihat [Kredensial keamanan sementara di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) dan [Layanan AWS yang berfungsi dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dalam *Panduan Pengguna IAM*.
## Teruskan sesi akses untuk Rantai Pasokan AWS
**Mendukung sesi akses terusan (FAS):** Ya
Sesi akses teruskan (FAS) menggunakan izin dari pemanggilan utama Layanan AWS, dikombinasikan dengan permintaan Layanan AWS untuk membuat permintaan ke layanan hilir. Untuk detail kebijakan ketika mengajukan permintaan FAS, lihat [Sesi akses terusan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Peran layanan untuk Rantai Pasokan AWS
**Mendukung peran layanan:** Ya
Peran layanan adalah [peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) yang diambil oleh sebuah layanan untuk melakukan tindakan atas nama Anda. Administrator IAM dapat membuat, mengubah, dan menghapus peran layanan dari dalam IAM. Untuk informasi selengkapnya, lihat [Buat sebuah peran untuk mendelegasikan izin ke Layanan AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dalam *Panduan pengguna IAM*.
**Awas**
Mengubah izin untuk peran layanan dapat merusak Rantai Pasokan AWS fungsionalitas. Edit peran layanan hanya jika Rantai Pasokan AWS memberikan panduan untuk melakukannya.
## Peran terkait layanan untuk Rantai Pasokan AWS
**Mendukung peran terkait layanan:** Tidak
Peran terkait layanan adalah jenis peran layanan yang ditautkan ke. Layanan AWS Layanan tersebut dapat menjalankan peran untuk melakukan tindakan atas nama Anda. Peran terkait layanan muncul di Anda Akun AWS dan dimiliki oleh layanan. Administrator IAM dapat melihat, tetapi tidak dapat mengedit izin untuk peran terkait layanan.
Untuk detail tentang membuat atau mengelola peran terkait layanan, lihat [Layanan AWS bahwa bekerja dengan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) IAM. Cari layanan dalam tabel yang memiliki `Yes` di kolom **Peran terkait layanan**. Pilih tautan **Ya** untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
# Contoh kebijakan berbasis identitas untuk Rantai Pasokan AWS
Secara default, pengguna dan peran tidak memiliki izin untuk membuat atau memodifikasi Rantai Pasokan AWS sumber daya. Mereka juga tidak dapat melakukan tugas dengan menggunakan AWS Management Console, AWS Command Line Interface (AWS CLI), atau AWS API. Untuk memberikan izin kepada pengguna untuk melakukan tindakan di sumber daya yang mereka perlukan, administrator IAM dapat membuat kebijakan IAM. Administrator kemudian akan dapat menambahkan kebijakan IAM ke peran, dan pengguna dapat mengambil peran.
Untuk mempelajari cara membuat kebijakan berbasis identitas IAM dengan menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat kebijakan IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html).
**Topics**
+ [Praktik terbaik kebijakan](#security_iam_service-with-iam-policy-best-practices)
## Praktik terbaik kebijakan
Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus Rantai Pasokan AWS sumber daya di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
+ **Mulailah dengan kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit — Untuk mulai memberikan izin** kepada pengguna dan beban kerja Anda, gunakan *kebijakan AWS terkelola* yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Anda Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola AWS pelanggan yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat [Kebijakan yang dikelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) atau [Kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dalam *Panduan Pengguna IAM*.
+ **Menerapkan izin dengan hak akses paling rendah** – Ketika Anda menetapkan izin dengan kebijakan IAM, hanya berikan izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai *izin dengan hak akses paling rendah*. Untuk informasi selengkapnya tentang cara menggunakan IAM untuk mengajukan izin, lihat [Kebijakan dan izin dalam IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan kondisi dalam kebijakan IAM untuk membatasi akses lebih lanjut** – Anda dapat menambahkan suatu kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Sebagai contoh, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakan SSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui yang spesifik Layanan AWS, seperti CloudFormation. Untuk informasi selengkapnya, lihat [Elemen kebijakan JSON IAM: Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk memastikan izin yang aman dan fungsional** – IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan tersebut mematuhi bahasa kebijakan IAM (JSON) dan praktik terbaik IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat [Validasi kebijakan dengan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dalam *Panduan Pengguna IAM*.
+ **Memerlukan otentikasi multi-faktor (MFA)** - Jika Anda memiliki skenario yang mengharuskan pengguna IAM atau pengguna root di Anda, Akun AWS aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA ketika operasi API dipanggil, tambahkan kondisi MFA pada kebijakan Anda. Untuk informasi selengkapnya, lihat [Amankan akses API dengan MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dalam *Panduan Pengguna IAM*.
Untuk informasi selengkapnya tentang praktik terbaik dalam IAM, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.
# Memecahkan masalah Rantai Pasokan AWS identitas dan akses
Gunakan informasi berikut untuk membantu Anda mendiagnosis dan memperbaiki masalah umum yang mungkin Anda temui saat bekerja dengan Rantai Pasokan AWS dan IAM.
**Topics**
+ [Saya tidak berwenang untuk melakukan tindakan di Rantai Pasokan AWS](#security_iam_troubleshoot-no-permissions)
+ [Saya tidak berwenang untuk melakukan iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Saya ingin mengizinkan orang di luar saya Akun AWS untuk mengakses Rantai Pasokan AWS sumber daya saya](#security_iam_troubleshoot-cross-account-access)
## Saya tidak berwenang untuk melakukan tindakan di Rantai Pasokan AWS
Jika Anda Konsol Manajemen AWS tidak berwenang untuk melakukan tindakan, maka Anda harus menghubungi administrator Anda untuk bantuan. Administrator Anda adalah orang yang memberikan nama pengguna dan kata sandi Anda.
Contoh kesalahan berikut terjadi ketika pengguna IAM `mateojackson` mencoba menggunakan konsol untuk melihat detail tentang suatu sumber daya `my-example-widget` rekaan, tetapi tidak memiliki izin `scn:GetWidget` rekaan.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: scn:GetWidget on resource: my-example-widget
```
Dalam hal ini, Mateo meminta administratornya untuk memperbarui kebijakannya untuk mengizinkan dia mengakses sumber daya `my-example-widget` menggunakan tindakan `scn:GetWidget`.
## Saya tidak berwenang untuk melakukan iam: PassRole
Jika Anda menerima kesalahan yang tidak diizinkan untuk melakukan `iam:PassRole` tindakan, kebijakan Anda harus diperbarui agar Anda dapat meneruskan peran Rantai Pasokan AWS.
Beberapa Layanan AWS memungkinkan Anda untuk meneruskan peran yang ada ke layanan tersebut alih-alih membuat peran layanan baru atau peran terkait layanan. Untuk melakukannya, Anda harus memiliki izin untuk meneruskan peran ke layanan.
Contoh kesalahan berikut terjadi ketika pengguna IAM bernama `marymajor` mencoba menggunakan konsol tersebut untuk melakukan tindakan di Rantai Pasokan AWS. Namun, tindakan tersebut memerlukan layanan untuk mendapatkan izin yang diberikan oleh peran layanan. Mary tidak memiliki izin untuk meneruskan peran tersebut pada layanan.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dalam kasus ini, kebijakan Mary harus diperbarui agar dia mendapatkan izin untuk melakukan tindakan `iam:PassRole` tersebut.
Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.
## Saya ingin mengizinkan orang di luar saya Akun AWS untuk mengakses Rantai Pasokan AWS sumber daya saya
Anda dapat membuat peran yang dapat digunakan pengguna di akun lain atau orang-orang di luar organisasi Anda untuk mengakses sumber daya Anda. Anda dapat menentukan siapa saja yang dipercaya untuk mengambil peran tersebut. Untuk layanan yang mendukung kebijakan berbasis sumber daya atau daftar kontrol akses (ACLs), Anda dapat menggunakan kebijakan tersebut untuk memberi orang akses ke sumber daya Anda.
Untuk mempelajari selengkapnya, periksa referensi berikut:
+ Untuk mempelajari apakah Rantai Pasokan AWS mendukung fitur-fitur ini, lihat[Bagaimana Rantai Pasokan AWS bekerja dengan IAM](security_iam_service-with-iam.md).
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda di seluruh sumber daya Akun AWS yang Anda miliki, lihat [Menyediakan akses ke pengguna IAM di pengguna lain Akun AWS yang Anda miliki](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) di *Panduan Pengguna IAM*.
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda kepada pihak ketiga Akun AWS, lihat [Menyediakan akses yang Akun AWS dimiliki oleh pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dalam *Panduan Pengguna IAM*.
+ Untuk mempelajari cara memberikan akses melalui federasi identitas, lihat [Menyediakan akses ke pengguna terautentikasi eksternal (federasi identitas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dalam *Panduan Pengguna IAM*.
+ *Untuk mempelajari perbedaan antara menggunakan peran dan kebijakan berbasis sumber daya untuk akses lintas akun, lihat [Akses sumber daya lintas akun di IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html).*
# AWS kebijakan terkelola untuk Rantai Pasokan AWS
Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.
Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan [kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) yang khusus untuk kasus penggunaan Anda.
Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.
Untuk informasi selengkapnya, lihat [Kebijakan terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.
## AWS kebijakan terkelola: AWSSupply ChainFederationAdminAccess
AWSSupplyChainFederationAdminAccess menyediakan akses pengguna Rantai Pasokan AWS federasi ke Rantai Pasokan AWS aplikasi, termasuk izin yang diperlukan untuk melakukan tindakan dalam aplikasi. Rantai Pasokan AWS Kebijakan ini memberikan izin administratif atas pengguna dan grup Pusat Identitas IAM dan dilampirkan ke peran yang dibuat oleh Rantai Pasokan AWS untuk Anda. Anda tidak boleh melampirkan AWSSupply ChainFederationAdminAccess kebijakan ke entitas IAM lainnya.
Meskipun kebijakan ini menyediakan semua akses Rantai Pasokan AWS melalui izin scn: \$1, Rantai Pasokan AWS peran tersebut menentukan izin Anda. Rantai Pasokan AWS Peran hanya menyertakan izin yang diperlukan, dan tidak memiliki izin ke admin. APIs
**Detail izin**
Kebijakan ini mencakup izin berikut:
+ `Chime`— Menyediakan akses untuk membuat atau menghapus pengguna di bawah Amazon Chime AppInstance; Menyediakan akses untuk mengelola saluran, anggota saluran, dan moderator; Menyediakan akses untuk mengirim pesan ke saluran. Operasi Chime dicakup ke instance aplikasi yang ditandai dengan "Id”. SCNInstance
+ `AWS IAM Identity Center (AWS SSO)`— Memberikan izin yang diperlukan untuk mengaitkan dan memisahkan profil pengguna, asosiasi daftar profil, daftar tugas aplikasi, menjelaskan aplikasi, menjelaskan contoh, dan mendapatkan konfigurasi penugasan aplikasi di IAM Identity Center.
+ `AppFlow`— Menyediakan akses untuk membuat, memperbarui, dan menghapus profil koneksi; Menyediakan akses untuk membuat, memperbarui, menghapus, memulai, dan menghentikan aliran; Menyediakan akses ke aliran tag dan untag dan menjelaskan catatan aliran.
+ `Amazon S3`— Menyediakan akses untuk daftar semua ember. Menyediakan GetBucketLocation, GetBucketPolicy,, PutObject, GetObject, dan ListBucket akses ke bucket dengan resource arn arn:aws:s3::: -\$1. aws-supply-chain-data
+ `SecretsManager`— Menyediakan akses untuk membuat rahasia dan memperbarui kebijakan rahasia.
+ `KMS`— Menyediakan AppFlow layanan Amazon akses ke daftar kunci dan alias kunci. Menyediakan DescribeKey, CreateGrant dan ListGrants izin untuk kunci KMS ditandai dengan key-value aws-suply-chain-access: true; Menyediakan akses untuk membuat rahasia dan memperbarui kebijakan rahasia.
Izin (*kms:ListKeys, kms:**, kms: ListAliases GenerateDataKey**, dan kms:Decrypt**)* tidak dibatasi untuk AppFlow Amazon dan izin ini dapat diberikan ke Kunci apa pun di akun Anda. AWS KMS
Untuk melihat izin kebijakan ini, lihat [AWSSupplyChainFederationAdminAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSSupplyChainFederationAdminAccess)di. Konsol Manajemen AWS
## Rantai Pasokan AWS pembaruan kebijakan AWS terkelola
Tabel berikut mencantumkan detail tentang pembaruan kebijakan AWS terkelola Rantai Pasokan AWS sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman Riwayat Rantai Pasokan AWS dokumen.
| Ubah | Deskripsi | Date |
| --- | --- | --- |
| [AWSSupplyChainFederationAdminAccess](#security-iam-awsmanpol-AWSSupplyChainFederationAdminAccess)— Kebijakan yang diperbarui | Rantai Pasokan AWS memperbarui kebijakan terkelola untuk memungkinkan pengguna federasi mengakses data di Pusat Identitas IAM yang dienkripsi dengan kunci KMS yang dikelola pelanggan (). CMKs | Oktober 30, 2025 |
| [AWSSupplyChainFederationAdminAccess](#security-iam-awsmanpol-AWSSupplyChainFederationAdminAccess)— Kebijakan yang diperbarui | Rantai Pasokan AWS memperbarui kebijakan terkelola untuk memungkinkan pengguna federasi mengakses`ListApplicationAssignments`,, `DescribeApplication``DescribeInstance`, dan `GetApplicationAssignmentConfiguration` operasi di Pusat Identitas IAM. | Desember 10, 2024 |
| [AWSSupplyChainFederationAdminAccess](#security-iam-awsmanpol-AWSSupplyChainFederationAdminAccess)— Kebijakan yang diperbarui | Rantai Pasokan AWS memperbarui kebijakan terkelola untuk memungkinkan pengguna federasi mengakses ListProfileAssociations operasi di Pusat Identitas IAM. | November 01, 2023 |
| [AWSSupplyChainFederationAdminAccess](#security-iam-awsmanpol-AWSSupplyChainFederationAdminAccess)— Kebijakan yang diperbarui | Rantai Pasokan AWS memperbarui kebijakan terkelola untuk memungkinkan pengguna federasi mengakses PutObject dan GetObject operasi pada bucket S3 khusus dengan resource arn arn:aws:s3: ::aws-supply- chain-data-\$1. | 21 September 2023 |
| [AWSSupplyChainFederationAdminAccess](#security-iam-awsmanpol-AWSSupplyChainFederationAdminAccess) – Kebijakan baru | Rantai Pasokan AWS menambahkan kebijakan baru untuk memungkinkan pengguna federasi mengakses Rantai Pasokan AWS aplikasi. Ini termasuk izin yang diperlukan untuk melakukan tindakan dalam Rantai Pasokan AWS aplikasi. | 01 Maret 2023 |
| Rantai Pasokan AWS mulai melacak perubahan | Rantai Pasokan AWS mulai melacak perubahan untuk kebijakan yang AWS dikelola. | 01 Maret 2023 |
# Validasi kepatuhan untuk Rantai Pasokan AWS
Auditor pihak ketiga menilai keamanan dan kepatuhan Rantai Pasokan AWS sebagai bagian dari beberapa program AWS kepatuhan. Program ini mencakup SOC, PCI, FedRAMP, HIPAA, dan lainnya.
Untuk daftar Layanan AWS yang termasuk dalam lingkup program kepatuhan tertentu, lihat [AWS Layanan dalam Lingkup oleh AWS Layanan Program Kepatuhan](https://aws.amazon.com/compliance/services-in-scope/) . Untuk informasi umum, lihat [Program AWS Kepatuhan Program AWS](https://aws.amazon.com/compliance/programs/) .
Anda dapat mengunduh laporan audit pihak ketiga dengan AWS Artifact. Untuk informasi selengkapnya, lihat [Mengunduh Laporan di AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Tanggung jawab kepatuhan Anda saat Anda menggunakan Rantai Pasokan AWS ditentukan oleh sensitivitas data Anda, tujuan kepatuhan perusahaan Anda, dan hukum dan peraturan yang berlaku. AWS menyediakan sumber daya berikut untuk membantu kepatuhan:
+ Panduan [Memulai Cepat Keamanan dan Kepatuhan Panduan Memulai](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) penerapan ini membahas pertimbangan arsitektur dan memberikan langkah-langkah yang harus diambil saat Anda menerapkan lingkungan dasar yang berfokus pada keamanan dan berfokus pada kepatuhan. AWS
+ [Arsitektur untuk Whitepaper Keamanan dan Kepatuhan HIPAA — Whitepaper](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html) ini menjelaskan bagaimana perusahaan dapat menggunakan untuk membuat aplikasi yang sesuai dengan HIPAA. AWS
+ [AWS Sumber Daya AWS](https://aws.amazon.com/compliance/resources/) — Kumpulan buku kerja dan panduan ini mungkin berlaku untuk industri dan lokasi Anda.
+ [Mengevaluasi Sumber Daya dengan Aturan](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) dalam *Panduan AWS Config Pengembang — Panduan* ini menilai seberapa baik konfigurasi sumber daya Anda mematuhi praktik internal, pedoman industri, dan peraturan.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Ini Layanan AWS memberikan pandangan komprehensif tentang keadaan keamanan Anda di dalam AWS untuk membantu Anda memeriksa kepatuhan Anda terhadap standar industri keamanan dan praktik terbaik.
# Ketahanan di Rantai Pasokan AWS
Infrastruktur AWS global dibangun di sekitar Wilayah AWS dan Availability Zones. Wilayah AWS menyediakan beberapa Availability Zone yang terpisah secara fisik dan terisolasi. Ini terhubung dengan latensi rendah, throughput tinggi, dan jaringan yang sangat redundan. Dengan Zona Ketersediaan, Anda dapat merancang serta mengoperasikan aplikasi dan basis data yang secara otomatis melakukan fail over di antara zona tanpa gangguan. Zona Ketersediaan memiliki ketersediaan dan toleransi kesalahan yang lebih baik, dan dapat diskalakan dibandingkan infrastruktur pusat data tunggal atau multi tradisional.
Untuk informasi selengkapnya tentang Wilayah AWS dan Availability Zone, lihat [Infrastruktur AWS Global](https://aws.amazon.com/about-aws/global-infrastructure/).
Selain infrastruktur AWS global, Rantai Pasokan AWS menawarkan beberapa fitur untuk membantu mendukung ketahanan data dan kebutuhan cadangan Anda.
# Penebangan dan Pemantauan Rantai Pasokan AWS
Logging dan Monitoring adalah bagian penting untuk menjaga keandalan, ketersediaan, dan kinerja Rantai AWS Pasokan dan AWS solusi Anda yang lain. AWS menyediakan alat AWS CloudTrail pemantauan untuk mengawasi Rantai AWS Pasokan, melaporkan ketika ada sesuatu yang salah, dan mengambil tindakan otomatis bila perlu.
**catatan**
APIs dipanggil hanya dari Rantai Pasokan AWS konsol yang ditangkap AWS CloudTrail.
*AWS CloudTrail* merekam panggilan API dan kejadian terkait yang dilakukan oleh atau atas Akun AWS Anda dan mengirimkan berkas log ke bucket Amazon S3 yang Anda tentukan. Anda dapat mengidentifikasi pengguna dan akun yang memanggil AWS, alamat IP asal panggilan dilakukan, dan waktu panggilan terjadi. Anda dapat melihat peristiwa Rantai AWS Pasokan di *scn.amazonaws.com*. Untuk informasi selengkapnya, silakan lihat [Panduan Pengguna AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
**catatan**
Perhatikan hal berikut dengan Rantai Pasokan AWS:
Ketika Anda mengundang pengguna yang tidak memiliki akses ke Rantai Pasokan AWS, pengguna ini tidak menerima informasi dalam pemberitahuan yang mereka terima dari aplikasi web. Pengguna yang diundang menerima pemberitahuan email dengan tautan ke aplikasi web. Mereka hanya dapat masuk dan melihat konten dalam pemberitahuan jika mereka memiliki izin pengguna yang diperlukan.
Semua pengguna dengan atau tanpa izin pengguna untuk Insight tertentu dapat melihat pesan obrolan Wawasan.
Sebagai admin aplikasi, ketika Anda menambahkan pengguna ke Rantai Pasokan AWS instance, mereka memiliki akses ke file AWS KMS key. Anda dapat mengelola izin pengguna untuk menambah atau menghapus pengguna. Untuk informasi selengkapnya tentang izin pengguna, lihat[Mengelola peran izin pengguna](adding-users-groups.md).
## Rantai Pasokan AWS peristiwa data di CloudTrail
**catatan**
Aplikasi web APIs yang tercantum di bawah [Rantai Pasokan AWS aplikasi web APIs](webappi.md) tercantum dalam peristiwa data di CloudTrail.
[Peristiwa data](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events) memberikan informasi tentang operasi sumber daya yang dilakukan pada atau di sumber daya (misalnya, membaca atau menulis ke objek Amazon S3). Ini juga dikenal sebagai operasi bidang data. Peristiwa data sering kali merupakan aktivitas bervolume tinggi. Secara default, CloudTrail tidak mencatat peristiwa data. **Riwayat CloudTrail peristiwa** tidak merekam peristiwa data.
Biaya tambahan berlaku untuk peristiwa data. Untuk informasi selengkapnya tentang CloudTrail harga, lihat [AWS CloudTrail Harga](https://aws.amazon.com/cloudtrail/pricing/).
Anda dapat mencatat peristiwa data untuk jenis Rantai Pasokan AWS sumber daya menggunakan CloudTrail konsol AWS CLI, atau operasi CloudTrail API.
+ Untuk mencatat peristiwa data menggunakan CloudTrail konsol, buat [penyimpanan data [jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html#creating-a-trail-in-the-console) atau peristiwa](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-cloudtrail.html) untuk mencatat peristiwa data, atau [perbarui penyimpanan data jejak atau peristiwa yang ada](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events-console) untuk mencatat peristiwa data.
1. Pilih **Peristiwa data** untuk mencatat peristiwa data.
1. Dari daftar **tipe peristiwa Data**, pilih jenis sumber daya yang ingin Anda log peristiwa data.
1. Pilih template pemilih log yang ingin Anda gunakan. Anda dapat mencatat semua peristiwa data untuk jenis sumber daya, mencatat semua `readOnly` peristiwa, mencatat semua `writeOnly` peristiwa, atau membuat templat pemilih log kustom untuk memfilter pada `readOnly``eventName`, dan `resources.ARN` bidang.
+ Untuk mencatat peristiwa data menggunakan AWS CLI, konfigurasikan `--advanced-event-selectors` parameter untuk mengatur `eventCategory` bidang sama dengan `Data` dan `resources.type` bidang sama dengan nilai tipe sumber daya. Anda dapat menambahkan kondisi untuk memfilter nilai`readOnly`,`eventName`, dan `resources.ARN` bidang.
+ Untuk mengonfigurasi jejak untuk mencatat peristiwa data, jalankan [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/put-event-selectors.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/put-event-selectors.html)perintah. Untuk informasi selengkapnya, lihat [Mencatat peristiwa data untuk jejak dengan. AWS CLI](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events-CLI-trail-examples)
+ Untuk mengonfigurasi penyimpanan data peristiwa untuk mencatat peristiwa data, jalankan [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/create-event-data-store.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/create-event-data-store.html)perintah untuk membuat penyimpanan data peristiwa baru untuk mencatat peristiwa data, atau jalankan [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/update-event-data-store.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/update-event-data-store.html)perintah untuk memperbarui penyimpanan data peristiwa yang ada. Untuk informasi selengkapnya, lihat [Mencatat peristiwa data untuk menyimpan data peristiwa dengan AWS CLI](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events-CLI-eds-examples).
\$1 Anda dapat mengonfigurasi pemilih acara lanjutan untuk memfilter pada`eventName`,`readOnly`, dan `resources.ARN` bidang untuk mencatat hanya peristiwa yang penting bagi Anda. Untuk informasi lebih lanjut tentang bidang ini, lihat [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html).
## Rantai Pasokan AWS acara manajemen di CloudTrail
[Acara manajemen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events) memberikan informasi tentang operasi manajemen yang dilakukan pada sumber daya di AWS akun Anda. Ini juga dikenal sebagai operasi bidang kontrol. Secara default, CloudTrail mencatat peristiwa manajemen.
AWS Supply Chain mencatat semua operasi bidang kontrol ke CloudTrail sebagai peristiwa manajemen.
# Rantai Pasokan AWS aplikasi web APIs
Yang APIs tercantum dalam bagian ini dipanggil oleh Rantai Pasokan AWS aplikasi atas nama pengguna federasi. Ini APIs tidak terlihat di CloudTrail log dan tidak ditangkap dalam dokumen *Referensi Otorisasi Layanan*, lihat [Rantai Pasokan AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssupplychain.html). Akses ke ini APIs dikendalikan oleh Rantai Pasokan AWS aplikasi berdasarkan izin peran pengguna federasi. Anda tidak boleh mencoba mengontrol akses ke ini APIs untuk mencegah ketidaksuburan aplikasi. Rantai Pasokan AWS
# Peran pengguna
APIs Berikut ini digunakan untuk mengelola pengguna, peran pengguna, pemberitahuan pengguna, dan pesan obrolan di Rantai Pasokan AWS.
```
scn:AddMembersToResourceBasedChat
scn:AssignGalaxyRoleToUser
scn:AssociateUser
scn:BatchGetUsers
scn:BatchMarkNotificationAsDelivered
scn:CreateRole
scn:DeleteRole
scn:DescribeChatForUser
scn:GetAccessDetailConfig
scn:GetChatPreferencesForUser
scn:GetMessagingSessionConnectionDetails
scn:GetNotificationsPreference
scn:GetOrCreateChimeUser
scn:GetOrCreateResourceBasedChat
scn:GetOrCreateUserBasedChat
scn:GetOrganizationInfo
scn:GetResourceBasedChatArn
scn:GetUserDetails
scn:ListChatMembers
scn:ListChatMessages
scn:ListChatModerators
scn:ListChats
scn:ListRoles
scn:ListUserNotifications
scn:ListUsersWithRole
scn:MarkNotificationAsDelivered
scn:MarkNotificationAsRead
scn:RemoveMemberFromResourceBasedChat
scn:RemoveUser
scn:SearchChimeUsers
scn:SearchUsers
scn:SendChatMessage
scn:SetNotificationsPreference
scn:UpdateChatPreferencesForUser
scn:UpdateChatReadMarker
scn:UpdateOrganizationInfo
scn:UpdateRole
scn:UpdateUser
```
# Danau data
APIs Berikut ini digunakan untuk membuat dan mengelola aliran data dan koneksi di danau data.
```
scn:CreateConnection
scn:CreateDataflow
scn:CreateDeleteDataByPartitionJob
scn:CreateExtractFlows
scn:CreatePresignedUrl
scn:CreateSampleParsingJob
scn:CreateSapODataConnection
scn:CreateUpdateDatasetSchemaJob
scn:DeleteConnection
scn:DeleteDataflow
scn:DeleteExtractFlows
scn:DeleteSapODataConnection
scn:describeDatasetGroup
scn:DescribeDataset
scn:DescribeJob
scn:GetConnection
scn:GetCreateExtractFlowsStatus
scn:GetDataflow
scn:ListConnections
scn:ListCustomerFiles
scn:ListDataflows
scn:ListDataflowStats
scn:ListDatasets
scn:UpdateConnection
scn:UpdateDataflow
scn:UpdateExtractFlow
```
# Wawasan
APIs Berikut ini digunakan oleh aplikasi Insights untuk mengelola filter, daftar pantauan, dan melihat perubahan inventaris.
```
scn:AddModeratorToResourceBasedChat
scn:ComputePostRebalancedQuantities
scn:ComputePostRebalancedQuantitiesV1
scn:CreateInsightFilter
scn:CreateInsightSubscription
scn:DeleteInsightFilter
scn:DeleteInsightSubscription
scn:GetInsightLineItem
scn:GetInsightSubscription
scn:GetInstanceAttribute
scn:GetInstanceRequiredDatasetAvailabilityStatus
scn:GetKpiData
scn:GetModelEndpointStatus
scn:GetPIVForProduct
scn:GetPIVForSite
scn:GetPIVForSiteAndProduct
scn:GetPIVForSitesAndProducts
scn:GetProducts
scn:GetProductSummaryAggregates
scn:GetSites
scn:GetSiteSummaryAggregates
scn:IsUserAuthorizedForInsightLineItem
scn:ListCustomAttributeValues
scn:ListGeographiesAsGalaxyAdmin
scn:ListInsightFilters
scn:ListInsightLineItems
scn:ListInsightSubscriptions
scn:ListInventoryQuantityAggregates
scn:ListInventoryRisksBySiteAndProduct
scn:ListInventorySummariesBySite
scn:ListPIVProductsBySite
scn:ListProductHierarchiesAsGalaxyAdmin
scn:ListProducts
scn:ListProductsAsGalaxyAdmin
scn:ListSites
scn:ListUsers
scn:PotentiallyComputeThenListRebalancingOptionsForInsightLineItem
scn:RegisterInstanceAttribute
scn:UpdateInsightFilter
scn:UpdateInsightLineItemStatus
scn:UpdateInsightSubscription
scn:UpdateRebalancingOptionStatus
scn:UpdateRebalancingOptionStatusV1
```
# Perencanaan Permintaan
APIs Berikut ini digunakan Rantai Pasokan AWS untuk membuat dan mengelola prakiraan, rencana permintaan, atau buku kerja.
```
scn:AssociateDatasetWithWorkbook
scn:CreateBaselineForecast
scn:CreateDemandPlan
scn:CreateDemandPlanningCycle
scn:CreateDemandPlanningDatasetExportJob
scn:CreateDerivedForecast
scn:CreateWorkbook
scn:DeleteDemandForecastConfig
scn:DeleteDemandPlanningCycle
scn:DeleteDerivedForecast
scn:DeleteWorkbook
scn:DescribeBaselineForecast
scn:DescribeDemandPlanningCycleAccuracyJob
scn:DescribeDerivedForecast
scn:DescribePlanningCycle
scn:DescribeWorkbook
scn:DisassociatePlanningCycle
scn:GetDemandForecastConfig
scn:GetDemandPlan
scn:GetDemandPlanningCycle
scn:GetDemandPlanningCycleAccuracy
scn:GetDemandPlanningDatasetJob
scn:ListDemandPlans
scn:ListDerivedForecasts
scn:ListForecastingJobs
scn:ListPlanningCycles
scn:ListWorkbooks
scn:PublishDemandPlan
scn:PutDemandForecastConfig
scn:StartDemandPlanningCycleAccuracyJob
scn:StartForecastingJob
scn:UpdateDemandPlan
scn:UpdateDemandPlanningCycleMetadata
scn:UpdateWorkbook
```
# Perencanaan Pasokan
APIs Berikut ini digunakan Rantai Pasokan AWS untuk membuat dan mengelola rencana pasokan.
```
scn:CreateReplenishmentPipeline
scn:GetReplenishmentPipeline
scn:UpdateReplenishmentPipeline
scn:ListReplenishmentPipelinesByInstance
scn:GetInstanceReplenishmentConfig
scn:CreateBacktest
scn:CreateReplenishmentReviewInstanceConfig
scn:GetReplenishmentReviewInstanceConfig
scn:ListReplenishmentVendors
scn:GetExceptionsSupplyInsightsStatistics
scn:GetPorSupplyInsightsStatistics
scn:GetPlanToPOConversionAnalytics
scn:GetPurchasePlanStatistics
scn:ListPlanExceptions
scn:ListPurchaseOrderRequestLines
scn:UpdatePurchaseOrderRequestLines
scn:ListBomPurchasePlans
scn:ListBomProductionPlans
scn:ListBomTransferPlans
scn:ListBomInsights
scn:ListBomProcesses
scn:ExportBomPlans
scn:GetBomPlanSummary
scn:GetDashboardAnalytics
scn:GetPurchaseOrderRequestExplanation
scn:ListBomSupplyPlan
scn:GetBomPlanRecordDetails
scn:GetBomPlanSummaryAnalytics
scn:ListBomPurchaseOrders
scn:ListBomTransferOrders
scn:ListBomProductionOrders
scn:ExportAllExplodedBoms
scn:ExportBillOfMaterials
scn:ExportInventoryPolicy
scn:ExportProductionProcess
scn:ExportSourcingRule
scn:ExportTransportationLane
scn:ExportVendorLeadTime
scn:ImportBillOfMaterials
scn:ImportInventoryPolicy
scn:ImportProductionProcess
scn:ImportSourcingRule
scn:ImportTransportationLane
scn:ImportVendorLeadTime
```
# Amazon Q di Rantai Pasokan AWS
Berikut ini APIs digunakan di Amazon Q in Rantai Pasokan AWS.
```
scn:GetQMessage
scn:ListQMessages
scn:PutQMessageFeedback
scn:SendQMessage
scn:GetQEnablementStatus
scn:UpdateQEnablementStatus
```
# Mengelola Rantai Pasokan AWS acara menggunakan Amazon EventBridge
Dengan menggunakan EventBridge, Anda dapat mengotomatiskan layanan lain untuk merespons perubahan status eksekusi Alur Kerja Step Functions Standar.
Amazon EventBridge adalah layanan tanpa server yang menggunakan peristiwa untuk menghubungkan komponen aplikasi bersama-sama, sehingga memudahkan Anda untuk membangun aplikasi berbasis peristiwa yang dapat diskalakan. Arsitektur berbasis peristiwa adalah gaya membangun sistem perangkat lunak yang digabungkan secara longgar yang bekerja sama dengan memancarkan dan menanggapi peristiwa. Peristiwa mewakili perubahan dalam sumber daya atau lingkungan.
Begini cara kerjanya:
Seperti banyak AWS layanan, Rantai Pasokan AWS menghasilkan dan mengirim acara ke bus acara EventBridge default. (Bus acara default secara otomatis disediakan di setiap AWS akun.) Bus acara adalah router yang menerima acara dan mengirimkannya ke nol atau lebih tujuan, atau *target*. Aturan yang Anda tentukan untuk bus acara mengevaluasi peristiwa saat mereka tiba. Setiap aturan memeriksa apakah suatu peristiwa cocok dengan *pola acara* aturan. Jika acara tidak cocok, bus acara mengirimkan acara ke target yang ditentukan.
![\[AWS layanan mengirim acara ke bus acara EventBridge default. Jika acara cocok dengan pola acara aturan, EventBridge kirimkan acara ke target yang ditentukan untuk aturan tersebut.\]](http://docs.aws.amazon.com/id_id/aws-supply-chain/latest/adminguide/images/eventbridge-integration-how-it-works.png)
**Topics**
+ [Rantai Pasokan AWS acara](#supported-events)
+ [Menyampaikan Rantai Pasokan AWS acara menggunakan EventBridge aturan](#eventbridge-using-events-rules)
+ [Rantai Pasokan AWS referensi detail acara](events-detail-reference.md)
## Rantai Pasokan AWS acara
Rantai Pasokan AWS mengirimkan peristiwa berikut ke bus EventBridge acara default secara otomatis. Peristiwa yang cocok dengan pola acara aturan dikirimkan ke target yang ditentukan [berdasarkan](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-service-event.html#eb-service-event-delivery-level). Acara mungkin dikirim rusak.
Untuk informasi selengkapnya, lihat [EventBridge peristiwa](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html) di *Panduan Amazon EventBridge Pengguna.*
| Jenis detail acara | Deskripsi |
| --- | --- |
| [Perubahan Status Integrasi Data Rantai Pasokan AWS](events-detail-reference.md#event-detail-event-name-1-no-caps-or-spaces) | Menampilkan status untuk setiap file yang dicerna ke dalam Rantai Pasokan AWS. |
## Menyampaikan Rantai Pasokan AWS acara menggunakan EventBridge aturan
Agar bus acara EventBridge default mengirim Rantai Pasokan AWS acara ke target, Anda harus membuat aturan. Setiap aturan berisi pola acara, yang EventBridge cocok dengan setiap acara yang diterima di bus acara. Jika data peristiwa cocok dengan pola peristiwa yang ditentukan, EventBridge mengirimkan peristiwa itu ke target aturan.
Untuk petunjuk komprehensif tentang cara membuat aturan bus acara, lihat [Membuat aturan yang bereaksi terhadap peristiwa](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) di *Panduan EventBridge Pengguna*.
### Membuat pola acara yang cocok dengan Rantai Pasokan AWS acara
Setiap pola acara adalah objek JSON yang berisi:
+ `source`Atribut yang mengidentifikasi layanan yang mengirim acara. Untuk Rantai Pasokan AWS acara, sumbernya adalah`aws.supplychain`.
+ (Opsional): `detail-type` Atribut yang berisi array jenis acara yang cocok.
+ (Opsional): `detail` Atribut yang berisi data acara lain yang cocok.
Misalnya, pola acara berikut cocok dengan semua `AWS Supply Chain Data Integration Status Change` peristiwa dari Rantai Pasokan AWS:
```
{
"source": ["aws.supplychain"],
"detail-type": ["AWS Supply Chain Data Integration Status Change"]
}
```
Untuk informasi selengkapnya tentang penulisan pola acara, lihat [Pola acara](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html) di *Panduan EventBridge Pengguna*.
# Rantai Pasokan AWS referensi detail acara
Semua peristiwa dari AWS layanan memiliki seperangkat bidang umum yang berisi metadata tentang acara tersebut, seperti AWS layanan yang merupakan sumber acara, waktu acara dibuat, akun dan wilayah tempat acara berlangsung, dan lainnya. Untuk definisi bidang umum ini, lihat [Referensi struktur acara](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events-structure.html) di *Panduan Amazon EventBridge Pengguna*.
Selain itu, setiap acara memiliki `detail` bidang yang berisi data khusus untuk peristiwa tertentu. Referensi di bawah ini mendefinisikan bidang detail untuk berbagai Rantai Pasokan AWS acara.
Saat menggunakan EventBridge untuk memilih dan mengelola Rantai Pasokan AWS acara, penting untuk mengingat hal berikut:
+ `source`Bidang untuk semua acara dari Rantai Pasokan AWS diatur ke`aws.supplychain`.
+ `detail-type`Bidang menentukan jenis acara.
Misalnya, `AWS Supply Chain Data Integration Status Change`.
+ `detail`Bidang berisi data yang spesifik untuk peristiwa tertentu.
Untuk informasi tentang membuat pola peristiwa yang memungkinkan aturan untuk mencocokkan Rantai Pasokan AWS peristiwa, lihat [Pola acara](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html) di *Panduan Amazon EventBridge Pengguna*.
Untuk informasi selengkapnya tentang peristiwa dan cara EventBridge memprosesnya, lihat [Amazon EventBridge peristiwa](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html) di *Panduan Amazon EventBridge Pengguna*.
## Perubahan Status Integrasi Data Rantai Pasokan AWS
Di bawah ini adalah contoh untuk `AWS Supply Chain Data Integration Status Change event` acara tersebut.
```
{
"version": "0",
"id": "instanceID",
"detail-type": "AWS Supply Chain Data Integration Status Change",
"source": "aws.supplychain",
"account": "acccountID",
"time": "2024-03-30T12:26:13Z",
"region": "us-east-1",
"resources": [],
"detail": {
"version": "1.0",
"instanceId": "instanceID",
"flowArn": "arn:aws:scn:region:acccountID:instance/instanceID/data-integration-flows/flowname",
"flowExecutionId": "flowExecutionId",
"status": "IN_PROGRESS",
"startTime": "2024-03-30T12:26:13Z",
"endTime": "",
"message": "",
"sourceType": "S3",
"sourceInfo": {
"s3Source": {
"bucketName": "aws-supply-chain-data-instanceID",
"key": "flowname"
}
}
}
}
```
`endTime`hanya tersedia jika *statusnya* gagal atau sukses.