

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Kelola akses ke sumber daya
<a name="access-control-manage-access-intro"></a>

*Kebijakan izin* menjelaskan siapa yang memiliki akses ke suatu objek. Bagian berikut menjelaskan opsi yang tersedia untuk membuat kebijakan izin.

**catatan**  
Bagian ini membahas penggunaan IAM dalam konteks AWS Control Tower. Bagian ini tidak memberikan informasi yang mendetail tentang layanan IAM. Untuk dokumentasi IAM lengkap, lihat [Apa yang Dimaksud dengan IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) dalam *Panduan Pengguna IAM*. Untuk informasi tentang sintaksis dan deskripsi kebijakan IAM, lihat [Referensi Kebijakan IAM AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) dalam *Panduan Pengguna IAM*.

Kebijakan yang melekat pada identitas IAM disebut sebagai kebijakan *berbasis identitas* (kebijakan IAM). Kebijakan yang dilampirkan pada sumber daya disebut sebagai kebijakan *berbasis-sumber daya*.

**catatan**  
 AWS Control Tower hanya mendukung kebijakan berbasis identitas (kebijakan IAM). 

**Topics**
+ [Tentang kebijakan berbasis identitas (kebijakan IAM)](#access-control-manage-access-intro-iam-policies)
+ [Buat peran dan tetapkan izin](assign-permissions.md)
+ [Kebijakan berbasis sumber daya](#access-control-manage-access-intro-resource-policies)

## Tentang kebijakan berbasis identitas (kebijakan IAM)
<a name="access-control-manage-access-intro-iam-policies"></a>

Anda dapat melampirkan kebijakan ke identitas IAM Anda. Misalnya, Anda dapat melakukan hal berikut:
+ **Lampirkan kebijakan izin ke pengguna atau grup di akun Anda** — Untuk memberikan izin pengguna untuk membuat sumber daya AWS Control Tower, seperti menyiapkan landing zone, Anda dapat melampirkan kebijakan izin ke pengguna atau grup tempat pengguna tersebut berada.
+  **Melampirkan kebijakan izin pada peran (memberikan izin lintas akun)** – Anda dapat melampirkan kebijakan izin berbasis identitas ke peran IAM untuk memberikan izin lintas akun. Misalnya, administrator untuk satu AWS akun (*Akun A*) dapat membuat peran yang memberikan izin lintas akun ke akun lain ( AWS *Akun B*), atau administrator dapat membuat peran yang memberikan izin ke layanan lain. AWS 

  1. Administrator Akun A membuat peran IAM dan melampirkan kebijakan izin ke peran yang memberikan izin untuk mengelola sumber daya di Akun A.

  1. Administrator Akun A melampirkan kebijakan kepercayaan ke peran tersebut. Kebijakan mengidentifikasi Akun B sebagai kepala sekolah yang dapat mengambil peran.

  1. Sebagai prinsipal, administrator Akun B dapat memberikan izin kepada pengguna di Akun B untuk mengambil peran tersebut. Dengan mengasumsikan peran tersebut, pengguna di Akun B dapat membuat atau mendapatkan akses ke sumber daya di Akun A.

  1. Untuk memberikan AWS layanan kemampuan (izin) untuk mengambil peran, prinsipal yang Anda tentukan dalam kebijakan kepercayaan dapat berupa AWS layanan.

# Buat peran dan tetapkan izin
<a name="assign-permissions"></a>

Peran dan izin memberi Anda akses ke sumber daya, di AWS Control Tower, dan di AWS layanan lainnya, termasuk akses terprogram ke sumber daya.

Untuk memberikan akses dan menambahkan izin bagi pengguna, grup, atau peran Anda:
+ Pengguna dan grup di AWS IAM Identity Center:

  Buat rangkaian izin. Ikuti instruksi di [Buat rangkaian izin](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) dalam *Panduan Pengguna AWS IAM Identity Center *.
+ Pengguna yang dikelola di IAM melalui penyedia identitas:

  Buat peran untuk federasi identitas. Ikuti instruksi dalam [Buat peran untuk penyedia identitas pihak ketiga (federasi)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dalam *Panduan Pengguna IAM*.
+ Pengguna IAM:
  + Buat peran yang dapat diambil pengguna Anda. Ikuti instruksi dalam [Buat peran untuk pengguna IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dalam *Panduan Pengguna IAM*.
  + (Tidak disarankan) Lampirkan kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk dalam [Menambahkan izin ke pengguna (konsol)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*.

Untuk informasi selengkapnya tentang penggunaan IAM untuk mendelegasikan izin, lihat [Manajemen Akses](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) dalam *Panduan Pengguna IAM*.

**catatan**  
Saat menyiapkan zona landing zone AWS Control Tower, Anda memerlukan pengguna atau peran dengan kebijakan **AdministratorAccess**terkelola. (arn:aws:iam: :aws:policy/) AdministratorAccess

**Untuk membuat peran untuk Layanan AWS (konsol IAM)**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi konsol IAM, pilih **Peran**, dan lalu pilih **Buat peran**.

1. Untuk **jenis entitas Tepercaya**, pilih **Layanan AWS**.

1. Untuk **kasus Layanan atau penggunaan**, pilih layanan, lalu pilih kasus penggunaan. Kasus penggunaan ditentukan oleh layanan untuk menyertakan kebijakan kepercayaan yang diperlukan layanan.

1. Pilih **Berikutnya**.

1. Untuk **kebijakan Izin**, opsi bergantung pada kasus penggunaan yang Anda pilih:
   + Jika layanan menentukan izin untuk peran tersebut, Anda tidak dapat memilih kebijakan izin.
   + Pilih dari serangkaian kebijakan izin terbatas.
   + Pilih dari semua kebijakan izin.
   + Pilih kebijakan tanpa izin, buat kebijakan setelah peran dibuat, lalu lampirkan kebijakan ke peran.

1. (Opsional) Tetapkan [batas izin](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html). Ini adalah fitur lanjutan yang tersedia untuk peran layanan, tetapi bukan peran tertaut layanan.

   1. Buka bagian **Setel batas izin**, lalu pilih **Gunakan batas izin untuk mengontrol izin peran maksimum**. 

      IAM menyertakan daftar kebijakan yang AWS dikelola dan dikelola pelanggan di akun Anda.

   1. Pilih kebijakan yang akan digunakan untuk batas izin.

1. Pilih **Berikutnya**.

1. Untuk **nama Peran**, opsi bergantung pada layanan:
   + Jika layanan menentukan nama peran, Anda tidak dapat mengedit nama peran.
   + Jika layanan mendefinisikan awalan untuk nama peran, Anda dapat memasukkan akhiran opsional.
   + Jika layanan tidak menentukan nama peran, Anda dapat memberi nama peran.
**penting**  
Saat Anda memberi nama peran, perhatikan hal berikut:  
Nama peran harus unik di dalam diri Anda Akun AWS, dan tidak dapat dibuat unik berdasarkan kasus.  
Misalnya, jangan membuat peran bernama keduanya **PRODROLE** dan**prodrole**. Ketika nama peran digunakan dalam kebijakan atau sebagai bagian dari ARN, nama peran tersebut peka huruf besar/kecil, namun ketika nama peran muncul kepada pelanggan di konsol, seperti selama proses masuk, nama peran tersebut tidak peka huruf besar/kecil.
Anda tidak dapat mengedit nama peran setelah dibuat karena entitas lain mungkin mereferensikan peran tersebut.

1. (Opsional) Untuk **Deskripsi**, masukkan deskripsi untuk peran tersebut.

1. **(Opsional) Untuk mengedit kasus penggunaan dan izin untuk peran, di **Langkah 1: Pilih entitas tepercaya** atau **Langkah 2: Tambahkan izin**, pilih Edit.**

1. (Opsional) Untuk membantu mengidentifikasi, mengatur, atau mencari peran, tambahkan tag sebagai pasangan nilai kunci. Untuk informasi selengkapnya tentang penggunaan tag di IAM, lihat [Tag untuk AWS Identity and Access Management sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) di *Panduan Pengguna IAM*.

1. Tinjau peran lalu pilih **Buat peran**.

**Cara menggunakan editor kebijakan JSON untuk membuat kebijakan**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Pada panel navigasi di sebelah kiri, pilih **Kebijakan**. 

   Jika ini pertama kalinya Anda memilih **Kebijakan**, akan muncul halaman **Selamat Datang di Kebijakan Terkelola**. Pilih **Memulai**.

1. Di bagian atas halaman, pilih **Buat kebijakan**.

1. Di bagian **Editor kebijakan**, pilih opsi **JSON**.

1. Masukkan atau tempel dokumen kebijakan JSON. Untuk detail bahasa kebijakan IAM, lihat [Referensi kebijakan JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html).

1. Selesaikan peringatan keamanan, kesalahan, atau peringatan umum yang dihasilkan selama [validasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html), lalu pilih **Berikutnya**. 
**catatan**  
Anda dapat beralih antara opsi editor **Visual** dan **JSON** kapan saja. Namun, jika Anda melakukan perubahan atau memilih **Berikutnya** di editor **Visual**, IAM dapat merestrukturisasi kebijakan Anda untuk mengoptimalkannya bagi editor visual. Untuk informasi selengkapnya, lihat [Restrukturisasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) dalam *Panduan Pengguna IAM*.

1. (Opsional) Saat membuat atau mengedit kebijakan Konsol Manajemen AWS, Anda dapat membuat templat kebijakan JSON atau YAMAL yang dapat Anda gunakan dalam CloudFormation templat.

   Untuk melakukannya, di **editor Kebijakan** pilih **Tindakan**, lalu pilih **Buat CloudFormation templat**. Untuk mempelajari selengkapnya CloudFormation, lihat [referensi jenis AWS Identity and Access Management sumber daya](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) di *Panduan AWS CloudFormation Pengguna*.

1. Setelah selesai menambahkan izin ke kebijakan, pilih **Berikutnya**.

1. Pada halaman **Tinjau dan buat**, masukkan **Nama kebijakan** dan **Deskripsi** (opsional) untuk kebijakan yang Anda buat. Tinjau **Izin yang ditentukan dalam kebijakan ini** untuk melihat izin yang diberikan oleh kebijakan Anda.

1. (Opsional) Tambahkan metadata ke kebijakan dengan melampirkan tanda sebagai pasangan nilai kunci. Untuk informasi selengkapnya tentang penggunaan tag di IAM, lihat [Tag untuk AWS Identity and Access Management sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) di *Panduan Pengguna IAM*.

1. Pilih **Buat kebijakan** untuk menyimpan kebijakan baru Anda.

**Untuk menggunakan editor visual dalam pembuatan kebijakan**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Pada panel navigasi di sebelah kiri, pilih **Kebijakan**. 

   Jika ini pertama kalinya Anda memilih **Kebijakan**, akan muncul halaman **Selamat Datang di Kebijakan Terkelola**. Pilih **Memulai**.

1. Pilih **Buat kebijakan**.

1. Di bagian **Editor kebijakan**, temukan bagian **Pilih layanan**, lalu pilih Layanan AWS. Anda bisa menggunakan kotak pencarian di bagian atas untuk membatasi hasil pada daftar layanan. Anda bisa memilih hanya satu layanan pada blok izin editor visual. Untuk memberikan akses ke lebih dari satu layanan, tambahkan beberapa blok izin dengan memilih **Tambahkan lebih banyak izin**.

1. Di **Tindakan yang diizinkan**, pilih tindakan yang akan ditambahkan ke kebijakan. Anda bisa memilih tindakan dengan cara berikut:
   + Pilih kotak centang untuk semua tindakan.
   + Pilih **Tambahkan tindakan** untuk memasukkan nama tindakan tertentu. Anda dapat menggunakan karakter wildcard (`*`) untuk menentukan beberapa tindakan.
   + Pilih satu grup **Tingkat akses** untuk memilih semua tindakan untuk tingkat akses tersebut (misalnya, **Baca**, **Tulis**, atau **Daftar**).
   + Perluas setiap grup **Tingkat akses** untuk memilih tindakan individu.

   Secara default, kebijakan yang Anda buat mengizinkan tindakan yang Anda pilih. Sebaliknya, untuk menolak tindakan terpilih, pilih **Beralih ke menolak izin**. Karena [IAM menolak secara default](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html), kami merekomendasikan sebagai praktik terbaik keamanan agar Anda mengizinkan hanya tindakan dan sumber daya yang diperlukan pengguna saja. Buat pernyataan JSON untuk menolak izin hanya jika Anda ingin mengganti izin secara terpisah yang diizinkan oleh pernyataan atau kebijakan lain. Kami sarankan Anda membatasi jumlah izin penolakan seminim mungkin karena dapat meningkatkan kesulitan izin pemecahan masalah.

1. Untuk **Sumber Daya**, bila layanan dan tindakan yang Anda pilih di langkah sebelumnya tidak mendukung pilihan [sumber daya tertentu](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html#access_controlling-resources), semua sumber daya diperbolehkan dan Anda tidak bisa mengedit bagian ini. 

   Jika Anda memilih satu atau lebih tindakan yang mendukung[izin tingkat sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html#access_controlling-resources), maka editor visual akan mendaftar sumber daya tersebut. Kemudian Anda bisa memperluas **Sumber Daya** untuk menentukan sumber daya bagi kebijakan Anda. 

   Anda dapat menentukan sumber daya dengan cara berikut:
   + Pilih **Tambahkan ARNs** untuk menentukan sumber daya berdasarkan Nama Sumber Daya Amazon (ARN) mereka. Anda dapat menggunakan editor atau daftar ARNs ARN visual secara manual. Untuk informasi selengkapnya tentang sintaks ARN, lihat [Amazon Resource Names (ARNs) di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) Pengguna *IAM*. Untuk informasi tentang penggunaan ARNs dalam `Resource` elemen kebijakan, lihat [elemen kebijakan IAM JSON: Sumber daya dalam Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) Pengguna *IAM*.
   + Pilih **Apa saja di akun ini di** samping sumber daya untuk memberikan izin ke sumber daya apa pun dari jenis itu.
   + Pilih **Semua** untuk memilih semua sumber daya untuk layanan ini. 

1. (Opsional) Pilih **Ketentuan permintaan - *opsional*** untuk menambahkan kondisi ke kebijakan yang Anda buat. Kondisi membatasi efek dari pernyataan kebijakan JSON. Misalnya, Anda dapat menentukan bahwa pengguna diizinkan melakukan tindakan pada sumber daya hanya ketika permintaan pengguna tersebut terjadi di rentang waktu tertentu. Anda juga dapat menggunakan kondisi yang umum digunakan untuk membatasi apakah pengguna harus diautentikasi dengan menggunakan perangkat otentikasi multi-faktor (MFA). Atau Anda bisa meminta agar permintaan yang berasal dari rentang alamat IP tertentu. Untuk daftar semua kunci konteks yang dapat Anda gunakan dalam kondisi kebijakan, lihat [Tindakan, sumber daya, dan kunci kondisi untuk AWS layanan](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) di *Referensi Otorisasi Layanan*.

   Anda bisa memilih kondisi dengan cara berikut:
   + Gunakan kotak centang untuk memilih kondisi yang biasa dipakai.
   + Pilih **Tambahkan kondisi lain** untuk menentukan kondisi lain. Pilih **Condition Key**, **Qualifier**, dan **Operator** kondisi, lalu masukkan **Nilai**. Untuk menambahkan lebih dari satu nilai, pilih **Tambah**. Anda dapat mempertimbangkan nilai-nilai sebagai terhubung oleh `OR` operator logis. Setelah selesai, pilih **Tambahkan kondisi**.

   Untuk menambahkan lebih dari satu kondisi, pilih **Tambahkan kondisi lain** lagi. Ulangi seperlunya. Setiap kondisi berlaku hanya untuk blok izin editor visual yang satu ini. Semua kondisi haruslah benar agar blok izin dapat dianggap cocok. Dengan kata lain, pertimbangkan kondisi yang akan dihubungkan oleh `AND` operator logis.

   Untuk informasi selengkapnya tentang elemen **Kondisi**, lihat [elemen kebijakan IAM JSON: Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam Panduan Pengguna *IAM*.

1. Untuk menambahkan lebih banyak blok izin, pilih **Tambahkan izin lainnya**. Untuk setiap blok, ulangi langkah 2 sampai 5.
**catatan**  
Anda dapat beralih antara opsi editor **Visual** dan **JSON** kapan saja. Namun, jika Anda melakukan perubahan atau memilih **Berikutnya** di editor **Visual**, IAM dapat merestrukturisasi kebijakan Anda untuk mengoptimalkannya bagi editor visual. Untuk informasi selengkapnya, lihat [Restrukturisasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) dalam *Panduan Pengguna IAM*.

1. (Opsional) Saat membuat atau mengedit kebijakan Konsol Manajemen AWS, Anda dapat membuat templat kebijakan JSON atau YAMAL yang dapat Anda gunakan dalam CloudFormation templat.

   Untuk melakukannya, di **editor Kebijakan** pilih **Tindakan**, lalu pilih **Buat CloudFormation templat**. Untuk mempelajari selengkapnya CloudFormation, lihat [referensi jenis AWS Identity and Access Management sumber daya](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) di *Panduan AWS CloudFormation Pengguna*.

1. Setelah selesai menambahkan izin ke kebijakan, pilih **Berikutnya**.

1. Pada halaman **Tinjau dan buat**, masukkan **Nama kebijakan** dan **Deskripsi** (opsional) untuk kebijakan yang Anda buat. Tinjau **Izin yang ditentukan dalam kebijakan ini** untuk memastikan bahwa Anda telah memberikan izin yang dimaksud. 

1. (Opsional) Tambahkan metadata ke kebijakan dengan melampirkan tanda sebagai pasangan nilai kunci. Untuk informasi selengkapnya tentang penggunaan tag di IAM, lihat [Tag untuk AWS Identity and Access Management sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) di *Panduan Pengguna IAM*.

1. Pilih **Buat kebijakan** untuk menyimpan kebijakan baru Anda.

**Untuk memberikan akses terprogram**

Pengguna membutuhkan akses terprogram jika mereka ingin berinteraksi dengan AWS luar. Konsol Manajemen AWS Cara untuk memberikan akses terprogram tergantung pada jenis pengguna yang mengakses AWS.

Untuk memberi pengguna akses programatis, pilih salah satu opsi berikut.


****  

| Pengguna mana yang membutuhkan akses programatis? | Untuk | Oleh | 
| --- | --- | --- | 
| IAM | (Disarankan) Gunakan kredenal konsol sebagai kredensil sementara untuk menandatangani permintaan terprogram ke,, atau. AWS CLI AWS SDKs AWS APIs |  Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/controltower/latest/userguide/assign-permissions.html)  | 
|  Identitas tenaga kerja (Pengguna yang dikelola di Pusat Identitas IAM)  | Gunakan kredensi sementara untuk menandatangani permintaan terprogram ke AWS CLI,, AWS SDKs atau. AWS APIs |  Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/controltower/latest/userguide/assign-permissions.html)  | 
| IAM | Gunakan kredensi sementara untuk menandatangani permintaan terprogram ke AWS CLI,, AWS SDKs atau. AWS APIs | Mengikuti petunjuk dalam [Menggunakan kredensil sementara dengan AWS sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) di Panduan Pengguna IAM. | 
| IAM | (Tidak direkomendasikan)Gunakan kredensi jangka panjang untuk menandatangani permintaan terprogram ke AWS CLI,, AWS SDKs atau. AWS APIs |  Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/controltower/latest/userguide/assign-permissions.html)  | 

## Melindungi dari penyerang
<a name="protect"></a>

Untuk informasi selengkapnya tentang cara membantu melindungi dari penyerang saat Anda memberikan izin kepada prinsipal AWS layanan lain, lihat [Ketentuan opsional untuk](https://docs.aws.amazon.com//controltower/latest/userguide/conditions-for-role-trust.html) hubungan kepercayaan peran Anda. Dengan menambahkan kondisi tertentu ke kebijakan Anda, Anda dapat membantu mencegah jenis serangan tertentu, yang dikenal sebagai serangan *wakil bingung*, yang terjadi jika entitas memaksa entitas yang lebih istimewa untuk melakukan tindakan, seperti dengan peniruan identitas lintas layanan. Untuk informasi umum tentang kondisi kebijakan, lihat juga[Menentukan kondisi dalam kebijakan](access-control-overview.md#specifying-conditions).

Untuk informasi selengkapnya tentang penggunaan kebijakan berbasis identitas dengan AWS Control Tower, lihat. [Menggunakan kebijakan berbasis identitas (kebijakan IAM) untuk AWS Control Tower](access-control-managing-permissions.md) Untuk informasi lebih lanjut tentang pengguna, grup, peran, dan izin, lihat [Identitas (Pengguna, Grup, dan Peran)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) dalam *Panduan Pengguna IAM*. 

## Kebijakan berbasis sumber daya
<a name="access-control-manage-access-intro-resource-policies"></a>

Layanan lain, seperti Amazon S3, juga mendukung kebijakan izin berbasis sumber daya. Misalnya, Anda dapat melampirkan kebijakan ke bucket S3 untuk mengelola izin akses ke bucket tersebut. AWS Control Tower tidak mendukung kebijakan berbasis sumber daya.