Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Federasi Direktori Aktif Anda dengan peran AMS AWS Identity and Access Management
<a name="federate-dir-with-sent-iam-roles"></a>

Tujuan menggabungkan direktori Anda dengan peran AMS IAM adalah untuk memungkinkan pengguna perusahaan menggunakan kredensi perusahaan mereka untuk berinteraksi dengan dan AWS APIs, Konsol Manajemen AWS dan oleh karena itu konsol AMS dan. APIs

# Contoh proses federasi
<a name="fed-process-ex"></a>

Contoh ini menggunakan Layanan Federasi Direktori Aktif (AD FS); Namun, teknologi apa pun yang mendukung AWS Identity and Access Management Federasi didukung. Untuk informasi selengkapnya tentang federasi IAM yang AWS didukung, lihat [Mitra IAM](https://aws.amazon.com/iam/partners/) dan [Penyedia Identitas dan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) Federasi. CSDM Anda akan membantu Anda melalui proses ini, yang melibatkan upaya bersama dengan tim AD dan AMS Anda.

Untuk informasi rinci tentang mengintegrasikan SAFL untuk akses API, lihat AWS blog ini, [Cara Menerapkan API Federasi dan Akses CLI Menggunakan SAFL](https://blogs.aws.amazon.com/security/post/Tx1LDN0UBGJJ26Q/How-to-Implement-Federated-API-and-CLI-Access-Using-SAML-2-0-and-AD-FS) 2.0 dan AD FS.

**catatan**  
Untuk contoh yang menginstal AMS CLI dan SALL, lihat. [Lampiran: Aturan klaim ActiveDirectory Federation Services (ADFS) dan pengaturan SAMP](apx-adfs-claim-rule-saml.md)

# Mengkonfigurasi federasi ke konsol AMS (SALZ)
<a name="fed-with-console"></a>

Peran IAM dan penyedia identitas SAMP (Entitas Tepercaya) yang dirinci dalam tabel berikut telah disediakan sebagai bagian dari orientasi akun Anda. Peran ini memungkinkan Anda untuk mengirimkan dan memantau RFCs, permintaan layanan, dan laporan insiden, serta mendapatkan informasi tentang Anda VPCs dan tumpukan.


****  

| Peran | Penyedia Identitas | Izin | 
| --- | --- | --- | 
| Pelanggan\$1 ReadOnly \$1Peran | SAML | Untuk akun AMS standar. Memungkinkan Anda mengirimkan RFCs untuk membuat perubahan pada infrastruktur yang dikelola AMS, serta membuat permintaan dan insiden layanan.  | 
| customer\$1managed\$1ad\$1user\$1role | SAML | Untuk akun Direktori Aktif Terkelola AMS. Memungkinkan Anda masuk ke Konsol AMS untuk membuat permintaan layanan dan insiden (tidak ada RFCs). | 

Untuk daftar lengkap peran yang tersedia di berbagai akun, lihat[Peran pengguna IAM di AMS](defaults-user-role.md).

Anggota tim orientasi mengunggah file metadata dari solusi federasi Anda ke penyedia identitas yang telah dikonfigurasi sebelumnya. Anda menggunakan penyedia identitas SAMP saat ingin membangun kepercayaan antara IDP (penyedia identitas) yang kompatibel dengan SAMP seperti Shibboleth atau Layanan Federasi Direktori Aktif, sehingga pengguna di organisasi Anda dapat mengakses sumber daya AWS. Penyedia identitas SAMP di IAM digunakan sebagai prinsip dalam kebijakan kepercayaan IAM dengan peran di atas.

Sementara solusi federasi lainnya memberikan instruksi integrasi untuk AWS, AMS memiliki instruksi terpisah. Menggunakan posting blog berikut, [Mengaktifkan Federasi ke AWS Menggunakan Windows Active Directory, AD FS, dan SAMP 2.0](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/), bersama dengan amandemen yang diberikan di bawah ini, akan memungkinkan pengguna perusahaan Anda mengakses beberapa akun AWS dari satu browser.

Setelah membuat kepercayaan pihak yang mengandalkan sesuai posting blog, konfigurasikan aturan klaim dengan cara berikut:
+ **NameId**: Ikuti posting blog.
+ **RoleSessionName**: Gunakan nilai-nilai berikut:
  + **Nama aturan klaim**: RoleSessionName
  + **Toko atribut**: Direktori Aktif
  + **Atribut LDAP**: SAM-Account-Name
  + **Jenis Klaim Keluar**: https://aws.amazon.com/SAML/ Atribut/ RoleSessionName
+ Dapatkan Grup Iklan: Ikuti posting blog.
+ Klaim peran: Ikuti posting blog, tetapi untuk aturan Kustom, gunakan ini:

  ```
  c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([^d]{12})-"]
   => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([^d]{12})-", 
   "arn:aws:iam::$1:saml-provider/customer-readonly-saml,arn:aws:iam::$1:role/"));
  ```

Saat menggunakan AD FS, Anda harus membuat grup keamanan Direktori Aktif untuk setiap peran dalam format yang ditampilkan dalam tabel berikut (customer\$1managed\$1ad\$1user\$1role hanya untuk akun AMS Managed AD):


****  

| Grup | Peran | 
| --- | --- | 
| AWS- [AccountNo] ReadOnly -Pelanggan\$1 \$1Peran | Pelanggan\$1 ReadOnly \$1Peran | 
| AWS- [AccountNo] -customer\$1managed\$1ad\$1user\$1role | customer\$1managed\$1ad\$1user\$1role | 

Untuk informasi lebih lanjut, lihat [Mengonfigurasi Pernyataan SAMP untuk Respons Otentikasi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html).

**Tip**  
Untuk membantu pemecahan masalah, unduh plugin pelacak SAMP untuk browser Anda.

# Mengirimkan permintaan federasi ke AMS
<a name="fed-with-console-submit"></a>

Jika ini adalah akun pertama Anda, bekerjalah dengan Arsitek and/or Cloud CSDM Anda untuk menyediakan file XMLmetadata untuk penyedia identitas Anda.

Jika Anda memasukkan akun tambahan atau Penyedia Identitas dan memiliki akses ke akun manajemen atau akun aplikasi yang diinginkan, ikuti langkah-langkah ini.

1. Buat permintaan layanan dari konsol AMS, berikan detail yang diperlukan untuk menambahkan penyedia identitas:
   + AccountId dari akun tempat penyedia identitas baru akan dibuat.
   + Nama penyedia identitas yang diinginkan, jika tidak disediakan, defaultnya adalah **saml pelanggan**; biasanya, ini harus sesuai dengan pengaturan yang dikonfigurasi di penyedia federasi Anda.
   + Untuk akun yang ada, sertakan apakah penyedia identitas baru harus disebarkan ke semua peran konsol yang ada atau berikan daftar peran yang harus mempercayai penyedia identitas baru.
   + Lampirkan file XHTML metadata yang diekspor dari agen federasi Anda ke permintaan layanan sebagai lampiran file.

1. Dari akun yang sama tempat Anda membuat permintaan layanan, buat RFC baru menggunakan CT-ID ct-1e1xtak34nx76 (Manajemen \$1 Lainnya \$1 Lainnya \$1 Buat) dengan informasi berikut.
   + Judul: “IDP SAMP onboard <Name>untuk Akun < >”AccountId.
   + AccountId dari akun tempat penyedia identitas akan dibuat.
   + Nama penyedia identitas.
   + Untuk Akun yang Ada: Apakah penyedia identitas harus disebarkan ke semua peran konsol yang ada, atau daftar peran yang harus mempercayai penyedia identitas baru.
   + ID kasus permintaan layanan dibuat pada Langkah 1, di mana file XMLmetadata dilampirkan.

# Verifikasi akses konsol
<a name="verify-console-access"></a>

Setelah Anda diatur dengan ADFS, dan memiliki URL AMS untuk digunakan untuk otentikasi, ikuti langkah-langkah ini.

Dengan konfigurasi Active Directory Federated Service (ADFS), Anda dapat mengikuti langkah-langkah berikut:

1. Buka jendela browser dan buka halaman masuk yang disediakan untuk Anda untuk akun Anda. **IdpInitiatedSignOn**Halaman ADFS untuk akun Anda terbuka. 

1. Pilih tombol radio di sebelah **Masuk ke salah satu situs berikut**. **Daftar pilih situs Masuk** menjadi aktif. 

1. **Pilih situs **signin.aws.amazon.com** dan klik Masuk.** Opsi untuk memasukkan kredensyal Anda terbuka.

1. **Masukkan kredensyal CORP Anda dan klik Masuk.** Konsol Manajemen AWS Terbuka.

1. Tempel ke bilah lokasi URL konsol AMS dan tekan **Enter**. Konsol AMS terbuka.

# Verifikasi akses API
<a name="verify-api-access"></a>

AMS menggunakan AWS API, dengan beberapa operasi khusus AMS yang dapat Anda baca di Referensi [API AMS](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/index.html).

AWS menyediakan beberapa SDKs yang dapat Anda akses di [Tools for Amazon Web Services](https://aws.amazon.com/tools/). Jika Anda tidak ingin menggunakan SDK, Anda dapat melakukan panggilan API langsung. Untuk informasi tentang autentikasi, lihat [Menandatangani Permintaan AWS API](https://docs.aws.amazon.com/general/latest/gr/signing_aws_api_requests.html). Jika Anda tidak menggunakan SDK, atau membuat permintaan HTTP API langsung, Anda dapat menggunakan AMS CLIs for Change Management (CM) dan SKMS. 

# Instal AMS CLIs
<a name="install-cli"></a>

Untuk contoh menginstal AWS Managed Services (AMS) CLI untuk digunakan dengan SALL, lihat. [Lampiran: Aturan klaim ActiveDirectory Federation Services (ADFS) dan pengaturan SAMP](apx-adfs-claim-rule-saml.md)

Jika Anda memerlukan akses sementara, untuk mendapatkan dan menginstal AWS Managed Services (AMS) SDKs, lihat [Akses konsol AMS Sementara](https://docs.aws.amazon.com/managedservices/latest/userguide/access-console-temp.html). 
**catatan**  
Anda harus memiliki kredensi administrator untuk prosedur ini.

AWS CLI adalah prasyarat untuk menggunakan AWS Managed Services (AMS) CLIs (Change Management and SKMS).

1. Untuk menginstal AWS CLI, lihat [Menginstal AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/installing.html), dan ikuti petunjuk yang sesuai. Perhatikan bahwa di bagian bawah halaman itu ada instruksi untuk menggunakan installer yang berbeda, [Linux](https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-linux.html), [MS Windows](https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-windows.html), [macOS](https://docs.aws.amazon.com/cli/latest/userguide/cli-install-macos.html), [Virtual Environment,](https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-virtualenv.html) [Bundled Installer (Linux, macOS,](https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-bundle.html) atau Unix).

   Setelah instalasi, jalankan `aws help` untuk memverifikasi instalasi.

1. Setelah AWS CLI diinstal, untuk menginstal atau memutakhirkan AMS CLI, unduh file zip yang dapat didistribusikan AMS AMS **CLI** atau **AMS SDK** dan unzip. Anda dapat mengakses distribusi AMS CLI melalui tautan [https://console.aws.amazon.com/managedservices/developerResources](https://console.aws.amazon.com/managedservices/developerResources) di navigasi kiri konsol AMS.

1. File README memberikan instruksi untuk instalasi apa pun.

   Buka:
   + CLI zip: Hanya menyediakan AMS CLI.
   + SDK zip: Menyediakan semua AMS APIs dan AMS CLI.

   Untuk **Windows**, jalankan installer yang sesuai (hanya 32 atau 64 bit sistem):
   + 32 Bit: **ManagedCloudAPI\$1x86.msi**
   + 64 Bit: **ManagedCloudAPI\$1x64.msi**

   Untuk **Mac/Linux**, jalankan file bernama: **AWSManagedServices\$1InstallCLI.sh** dengan menjalankan perintah ini:. `sh AWSManagedServices_InstallCLI.sh` **Perhatikan bahwa direktori **amscm** dan **amsskms** dan isinya harus berada di direktori yang sama dengan file.sh. AWSManagedServices\$1InstallCLI**

1. Jika kredensil perusahaan Anda digunakan melalui federasi dengan AWS (konfigurasi default AMS), Anda harus menginstal alat manajemen kredensi yang dapat mengakses layanan federasi Anda. Misalnya, Anda dapat menggunakan AWS Security Blog [Cara Menerapkan API Federasi dan Akses CLI Menggunakan SAFL 2.0 dan AD](https://blogs.aws.amazon.com/security/post/Tx1LDN0UBGJJ26Q/How-to-Implement-Federated-API-and-CLI-Access-Using-SAML-2-0-and-AD-FS) FS untuk bantuan mengonfigurasi alat manajemen kredensi Anda.

1. Setelah instalasi, jalankan `aws amscm help` dan `aws amsskms help` untuk melihat perintah dan opsi.
**catatan**  
AMS CLI harus diinstal agar perintah ini berfungsi. Untuk menginstal AMS API atau CLI, buka halaman **Sumber Daya Pengembang** konsol AMS. Untuk materi referensi tentang AMS CM API atau AMS SKMS API, lihat bagian Sumber Informasi AMS di Panduan Pengguna. Anda mungkin perlu menambahkan `--profile` opsi untuk otentikasi; misalnya,`aws amsskms ams-cli-command --profile SAML`. Anda mungkin juga perlu menambahkan `--region` opsi karena semua perintah AMS kehabisan us-east-1; misalnya. `aws amscm ams-cli-command --region=us-east-1`

# Menjadwalkan backup AMS di tingkat VPC
<a name="schedule-backups"></a>

Penjadwalan cadangan AWS Managed Services (AMS) di VPC, tempat instans target dialokasikan, dibuat selama orientasi akun dengan tag default dalam skema pembuatan VPC. Sistem cadangan menjadwalkan eksekusi snapshot tergantung pada Tag VPC itu. Modifikasi jadwal dapat dilakukan dengan membuat permintaan layanan. Untuk informasi selengkapnya, lihat [Tag VPC dan](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/vpc-tag-and-defaults.html) Default.

[Untuk default cadangan, lihat Memahami Default AMS](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/backup-defaults.html)