Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Menggunakan peran untuk membuat dan mengelola jalur CloudTrail organisasi dan penyimpanan data acara organisasi CloudTrail Danau di CloudTrail
<a name="using-service-linked-roles-create-slr-for-org-trails"></a>

AWS CloudTrail menggunakan AWS Identity and Access Management peran [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke. CloudTrail Peran terkait layanan telah ditentukan sebelumnya oleh CloudTrail dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.

Peran terkait layanan membuat pengaturan CloudTrail lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. CloudTrail mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya CloudTrail dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas IAM lainnya.

Anda dapat menghapus peran tertaut layanan hanya setelah menghapus sumber daya terkait terlebih dahulu. Ini melindungi CloudTrail sumber daya Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.

Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, silakan lihat [layanan AWS yang bisa digunakan dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan carilah layanan yang memiliki opsi **Ya** di kolom **Peran terkait layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.

## Izin peran terkait layanan untuk CloudTrail
<a name="service-linked-role-permissions-create-slr-for-org-trails"></a>

CloudTrail menggunakan peran terkait layanan bernama **AWSServiceRoleForCloudTrail**— Peran terkait layanan ini digunakan untuk mendukung jejak organisasi dan penyimpanan data acara organisasi.

Peran AWSService RoleForCloudTrail terkait layanan mempercayai layanan berikut untuk mengambil peran:
+ `cloudtrail.amazonaws.com`

Kebijakan izin peran bernama CloudTrailServiceRolePolicy memungkinkan CloudTrail untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
+ Tindakan pada semua CloudTrail sumber daya:
  + `All`
+ Tindakan pada semua AWS Organizations sumber daya:
  + `organizations:DescribeAccount`
  + `organizations:DescribeOrganization`
  + `organizations:ListAccounts`
  + `organizations:ListAWSServiceAccessForOrganization`
+ Tindakan pada semua sumber daya Organizations untuk prinsipal CloudTrail layanan untuk mencantumkan administrator yang didelegasikan untuk organisasi: 
  + `organizations:ListDelegatedAdministrators` 
+ Tindakan untuk [menonaktifkan federasi Danau](query-disable-federation.md) pada penyimpanan data acara organisasi:
  + `glue:DeleteTable`
  + `lakeformation:DeRegisterResource`

Anda harus mengonfigurasi izin agar pengguna, grup, atau peran Anda membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat [Izin peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.

Untuk informasi selengkapnya tentang kebijakan terkelola yang terkait dengan AWSServiceRoleForCloudTrail, lihat[AWS kebijakan terkelola untuk AWS CloudTrail](security-iam-awsmanpol.md).

## Membuat peran terkait layanan untuk CloudTrail
<a name="create-service-linked-role-create-slr-for-org-trails"></a>

Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda membuat jejak organisasi atau penyimpanan data peristiwa organisasi, atau menambahkan administrator yang didelegasikan di CloudTrail konsol, di Konsol Manajemen AWS, atau AWS API AWS CLI, akan CloudTrail membuat peran terkait layanan untuk Anda. 

Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda membuat jejak organisasi atau penyimpanan data peristiwa organisasi, atau menambahkan administrator yang didelegasikan di CloudTrail konsol, akan CloudTrail membuat peran terkait layanan untuk Anda lagi. 

## Mengedit peran terkait layanan untuk CloudTrail
<a name="edit-service-linked-role-create-slr-for-org-trails"></a>

CloudTrail tidak memungkinkan Anda untuk mengedit peran AWSService RoleForCloudTrail terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin merujuk peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.

## Menghapus peran terkait layanan untuk CloudTrail
<a name="delete-service-linked-role-create-slr-for-org-trails"></a>

Anda tidak perlu menghapus AWSService RoleForCloudTrail peran secara manual. Jika Akun AWS dihapus dari organisasi Organizations, AWSServiceRoleForCloudTrail peran tersebut secara otomatis dihapus dari itu Akun AWS. Anda tidak dapat melepaskan atau menghapus kebijakan dari peran AWSServiceRoleForCloudTrail terkait layanan di akun manajemen organisasi tanpa menghapus akun dari organisasi.

Anda juga dapat menggunakan konsol IAM, AWS CLI atau AWS API untuk menghapus peran terkait layanan secara manual. Untuk melakukan ini, Anda harus membersihkan sumber daya peran terkait layanan sebelum menghapusnya secara manual. 

**catatan**  
Jika CloudTrail layanan menggunakan peran saat Anda mencoba menghapus sumber daya, penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.

Untuk menghapus sumber daya yang digunakan oleh AWSServiceRoleForCloudTrail peran, Anda dapat melakukan salah satu hal berikut:
+ Hapus Akun AWS dari organisasi di Organizations.
+ Perbarui jejak sehingga tidak lagi menjadi jejak organisasi. Untuk informasi selengkapnya, lihat [Memperbarui jejak dengan CloudTrail konsol](cloudtrail-update-a-trail-console.md).
+ Perbarui penyimpanan data acara sehingga tidak lagi menjadi penyimpanan data acara organisasi. Untuk informasi selengkapnya, lihat [Perbarui penyimpanan data acara dengan konsol](query-event-data-store-update.md).
+ Hapus jejak. Untuk informasi selengkapnya, lihat [Menghapus jejak dengan konsol CloudTrail](cloudtrail-delete-trails-console.md).
+ Hapus penyimpanan data acara. Untuk informasi selengkapnya, lihat [Hapus penyimpanan data acara dengan konsol](query-event-data-store-delete.md).

**Untuk menghapus peran tertaut layanan secara manual menggunakan IAM**

Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran AWSServiceRoleForCloudTrail terkait layanan. Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dalam *Panduan Pengguna IAM*.