**Bantu tingkatkan halaman ini** 

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Untuk berkontribusi pada panduan pengguna ini, pilih **Edit halaman ini pada GitHub** tautan yang terletak di panel kanan setiap halaman.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Bagaimana cara Amazon EKS bekerja sama dengan IAM
<a name="security-iam-service-with-iam"></a>

Sebelum Anda menggunakan IAM untuk mengelola akses ke Amazon EKS, Anda harus memahami fitur-fitur IAM apa yang tersedia untuk digunakan dengan Amazon EKS. Untuk mendapatkan tampilan tingkat tinggi tentang cara Amazon EKS dan AWS layanan lainnya bekerja dengan IAM, lihat [AWS layanan yang bekerja dengan IAM di Panduan Pengguna *IAM*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).

**Topics**
+ [Kebijakan berbasis identitas Amazon EKS](#security-iam-service-with-iam-id-based-policies)
+ [kebijakan berbasis sumber daya Amazon EKS](#security-iam-service-with-iam-resource-based-policies)
+ [Otorisasi berdasarkan tanda Amazon EKS](#security-iam-service-with-iam-tags)
+ [IAM role Amazon EKS](#security-iam-service-with-iam-roles)

## Kebijakan berbasis identitas Amazon EKS
<a name="security-iam-service-with-iam-id-based-policies"></a>

Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan apakah tindakan dan sumber daya diizinkan atau ditolak, serta persyaratan terkait diizinkan atau ditolak-nya tindakan tersebut. Amazon EKS mendukung tindakan, sumber daya, dan kunci syarat tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam kebijakan JSON, lihat [Referensi elemen kebijakan IAM JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dalam *Panduan Pengguna IAM*.

### Tindakan
<a name="security-iam-service-with-iam-id-based-policies-actions"></a>

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.

Elemen `Action` dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Tindakan kebijakan biasanya memiliki nama yang sama dengan operasi AWS API terkait. Ada beberapa pengecualian, seperti *tindakan khusus izin yang* tidak memiliki operasi API yang cocok. Ada juga beberapa operasi yang memerlukan beberapa tindakan dalam suatu kebijakan. Tindakan tambahan ini disebut *tindakan dependen*.

Sertakan tindakan dalam kebijakan untuk memberikan izin pelaksanaan operasi yang terkait.

Tindakan kebijakan di Amazon EKS menggunakan prefiks berikut sebelum tindakan: `eks:`. Misalnya, untuk memberikan izin kepada seseorang agar mendapatkan informasi deskriptif tentang klaster Amazon EKS, Anda menyertakan tindakan `DescribeCluster` dalam kebijakan mereka. Pernyataan kebijakan harus memuat elemen `Action` atau `NotAction`.

Untuk menetapkan beberapa tindakan dalam satu pernyataan, pisahkan dengan koma seperti berikut:

```
"Action": ["eks:action1", "eks:action2"]
```

Anda dapat menentukan beberapa tindakan menggunakan wildcard (\$1). Sebagai contoh, untuk menentukan semua tindakan yang dimulai dengan kata `Describe`, sertakan tindakan berikut:

```
"Action": "eks:Describe*"
```

*Untuk melihat daftar tindakan Amazon EKS, lihat [Tindakan yang ditentukan oleh Amazon Elastic Kubernetes Service di Referensi Otorisasi Layanan.](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelastickubernetesservice.html#amazonelastickubernetesservice-actions-as-permissions)*

### Sumber daya
<a name="security-iam-service-with-iam-id-based-policies-resources"></a>

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.

Elemen kebijakan JSON `Resource` menentukan objek yang menjadi target penerapan tindakan. Pernyataan harus menyertakan elemen `Resource` atau `NotResource`. Praktik terbaiknya, tentukan sumber daya menggunakan [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Anda dapat melakukan ini untuk tindakan yang mendukung jenis sumber daya tertentu, yang dikenal sebagai *izin tingkat sumber daya*.

Untuk tindakan yang tidak mendukung izin tingkat sumber daya, seperti operasi daftar, gunakan wildcard (\$1) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.

```
"Resource": "*"
```

Sumber daya cluster Amazon EKS memiliki ARN berikut.

```
 arn:aws: eks:region-code:account-id:cluster/cluster-name
```

Untuk informasi selengkapnya tentang format ARNs, lihat [Amazon resource names (ARNs) dan ruang nama AWS layanan](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).

Misalnya, untuk menentukan cluster dengan nama *my-cluster* dalam pernyataan Anda, gunakan ARN berikut:

```
"Resource": "arn:aws: eks:region-code:111122223333:cluster/my-cluster"
```

Untuk menentukan semua cluster milik akun dan AWS Wilayah tertentu, gunakan wildcard (\$1):

```
"Resource": "arn:aws: eks:region-code:111122223333:cluster/*"
```

Beberapa tindakan Amazon EKS, seperti untuk membuat sumber daya, tidak dapat dilakukan pada sumber daya tertentu. Dalam kasus tersebut, Anda harus menggunakan wildcard (\$1).

```
"Resource": "*"
```

*Untuk melihat daftar jenis sumber daya Amazon EKS dan jenisnya ARNs, lihat Sumber [daya yang ditentukan oleh Amazon Elastic Kubernetes Service dalam Referensi Otorisasi](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelastickubernetesservice.html#amazonelastickubernetesservice-resources-for-iam-policies) Layanan.* Untuk mempelajari tindakan mana yang dapat Anda tentukan ARN dari setiap resource, lihat [Tindakan yang ditentukan oleh Amazon Elastic Kubernetes Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelastickubernetesservice.html#amazonelastickubernetesservice-actions-as-permissions).

### Kunci syarat
<a name="security-iam-service-with-iam-id-based-policies-conditionkeys"></a>

Amazon EKS menentukan set kunci syaratnya sendiri dan juga mendukung penggunaan beberapa kunci syarat global. Untuk melihat semua kunci kondisi AWS global, lihat [Kunci Konteks Kondisi AWS Global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.

Anda dapat mengatur kunci syarat ketika mengaitkan penyedia OpenID Connect ke klaster Anda. Untuk informasi selengkapnya, lihat [Contoh kebijakan IAM](authenticate-oidc-identity-provider.md#oidc-identity-provider-iam-policy).

Semua tindakan Amazon EC2 mendukung kunci syarat `aws:RequestedRegion` dan `ec2:Region`. Untuk informasi selengkapnya, lihat [Contoh: Membatasi Akses ke AWS Wilayah Tertentu](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-region).

*Untuk daftar kunci kondisi Amazon EKS, lihat [Ketentuan yang ditentukan oleh Amazon Elastic Kubernetes Service di Referensi Otorisasi Layanan.](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelastickubernetesservice.html#amazonelastickubernetesservice-policy-keys)* Untuk mempelajari tindakan dan sumber daya yang dapat digunakan untuk menggunakan kunci kondisi, lihat [Tindakan yang ditentukan oleh Amazon Elastic Kubernetes Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelastickubernetesservice.html#amazonelastickubernetesservice-actions-as-permissions).

### Contoh
<a name="security-iam-service-with-iam-id-based-policies-examples"></a>

Untuk melihat contoh kebijakan berbasis identitas Amazon EKS, lihat [Contoh kebijakan berbasis identitas Amazon EKS](security-iam-id-based-policy-examples.md).

Saat Anda membuat klaster Amazon EKS, [prinsipal IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-principal) yang membuat klaster secara otomatis diberikan `system:masters` izin dalam konfigurasi kontrol akses berbasis peran (RBAC) klaster di bidang kontrol Amazon EKS. Prinsipal ini tidak muncul dalam konfigurasi yang terlihat, jadi pastikan untuk melacak prinsipal mana yang awalnya membuat cluster. Untuk memberikan prinsipal IAM tambahan kemampuan untuk berinteraksi dengan klaster Anda, edit bagian `aws-auth ConfigMap` dalam Kubernetes dan buat Kubernetes `rolebinding` atau `clusterrolebinding` dengan nama yang Anda tentukan di dalamnya. `group` `aws-auth ConfigMap`

Untuk informasi lebih lanjut tentang bekerja dengan ConfigMap, lihat[Berikan akses kepada pengguna dan peran IAM ke Kubernetes APIs](grant-k8s-access.md).

## kebijakan berbasis sumber daya Amazon EKS
<a name="security-iam-service-with-iam-resource-based-policies"></a>

Amazon EKS tidak mendukung kebijakan berbasis sumber daya.

## Otorisasi berdasarkan tanda Amazon EKS
<a name="security-iam-service-with-iam-tags"></a>

Anda dapat melampirkan tanda ke sumber daya Amazon EKS atau meneruskan tanda dalam sebuah permintaan ke Amazon EKS. Untuk mengendalikan akses berdasarkan tanda, Anda dapat memberikan informasi tentang tanda di [elemen syarat](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) kebijakan menggunakan kunci kondisi `aws:ResourceTag/key-name `, `aws:RequestTag/key-name `, atau `aws:TagKeys`. Untuk informasi selengkapnya tentang penandaan sumber daya Amazon EKS, lihat [Mengatur sumber daya Amazon EKS dengan tag](eks-using-tags.md). Untuk informasi selengkapnya tentang tindakan yang dapat Anda gunakan dengan tag dalam kunci kondisi, lihat [Tindakan yang ditentukan oleh Amazon EKS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelastickubernetesservice.html#amazonelastickubernetesservice-actions-as-permissions) di [Referensi Otorisasi Layanan](https://docs.aws.amazon.com/service-authorization/latest/reference/reference.html).

## IAM role Amazon EKS
<a name="security-iam-service-with-iam-roles"></a>

[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) adalah entitas dalam AWS akun Anda yang memiliki izin tertentu.

### Menggunakan kredensial sementara dengan Amazon EKS
<a name="security-iam-service-with-iam-roles-tempcreds"></a>

Anda dapat menggunakan kredensial sementara untuk masuk dengan gabungan, menjalankan IAM role, atau menjalankan peran lintas akun. Anda memperoleh kredensi keamanan sementara dengan memanggil operasi AWS STS API seperti [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)atau. [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)

Amazon EKS mendukung penggunaan kredensial sementara.

### Peran terkait layanan
<a name="security-iam-service-with-iam-roles-service-linked"></a>

 [Peran terkait AWS layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-service-linked-role) memungkinkan layanan mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran tertaut layanan muncul di akun IAM Anda dan dimiliki oleh layanan tersebut. Administrator dapat melihat tetapi tidak dapat mengedit izin untuk peran terkait layanan.

Amazon EKS mendukung peran tertaut-layanan. Untuk informasi selengkapnya tentang cara membuat atau mengelola peran tertaut layanan Amazon EKS, lihat [Menggunakan peran tertaut layanan untuk Amazon EKS](using-service-linked-roles.md).

### Peran layanan
<a name="security-iam-service-with-iam-roles-service"></a>

Fitur ini memungkinkan layanan untuk menerima [peran layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-service-role) atas nama Anda. Peran ini mengizinkan layanan untuk mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran layanan muncul di akun IAM Anda dan dimiliki oleh akun tersebut. Ini berarti administrator IAM dapat mengubah izin untuk peran ini. Namun, hal itu dapat merusak fungsionalitas layanan.

Amazon EKS mendukung peran layanan. Untuk informasi selengkapnya, lihat [IAM role klaster Amazon EKS](cluster-iam-role.md) dan [IAM role simpul Amazon EKS](create-node-role.md).

### Memilih IAM role di Amazon EKS
<a name="security-iam-service-with-iam-roles-choose"></a>

Saat Anda membuat sumber daya kluster di Amazon EKS, Anda harus memilih peran untuk memungkinkan Amazon EKS mengakses beberapa AWS sumber daya lain atas nama Anda. Jika sebelumnya Anda telah membuat peran layanan, maka Amazon EKS akan memberi Anda daftar peran untuk dipilih. Penting untuk memilih peran yang memiliki kebijakan terkelola Amazon EKS yang melekat padanya. Lihat informasi yang lebih lengkap di [Periksa apakah peran klaster sudah ada](cluster-iam-role.md#check-service-role) dan [Periksa apakah peran simpul sudah ada](create-node-role.md#check-worker-node-role).