Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Kebijakan otorisasi di AWS Organizations
Kebijakan otorisasi AWS Organizations memungkinkan Anda mengonfigurasi dan mengelola akses untuk prinsipal dan sumber daya secara terpusat di akun anggota Anda. Bagaimana kebijakan tersebut memengaruhi unit organisasi (OUs) dan akun tempat Anda menerapkannya tergantung pada jenis kebijakan otorisasi yang Anda terapkan.
Ada dua jenis kebijakan otorisasi dalam AWS Organizations: kebijakan kontrol layanan (SCPs) dan kebijakan kontrol sumber daya (RCPs).
**Topics**
+ [Perbedaan antara SCPs dan RCPs](#understanding-scps-and-rcps)
+ [Menggunakan SCPs dan RCPs](#when-to-use-scps-and-rcps)
+ [Kebijakan kontrol layanan](orgs_manage_policies_scps.md)
+ [Kebijakan kontrol sumber daya](orgs_manage_policies_rcps.md)
## Perbedaan antara SCPs dan RCPs
SCPs adalah kontrol prinsip-sentris. SCPs buat pagar pembatas izin, atau tetapkan batas, pada izin maksimum yang tersedia untuk kepala sekolah di akun anggota Anda. Anda dapat menggunakan SCP saat ingin menerapkan kontrol akses yang konsisten secara terpusat pada prinsipal di organisasi Anda. Ini dapat mencakup menentukan layanan mana yang dapat diakses oleh pengguna IAM dan peran IAM Anda, sumber daya mana yang dapat mereka akses, atau kondisi di mana mereka dapat membuat permintaan (misalnya, dari wilayah atau jaringan tertentu).
RCPs adalah kontrol yang berpusat pada sumber daya. RCPs buat pagar pembatas izin, atau tetapkan batas, pada izin maksimum yang tersedia untuk sumber daya di akun anggota Anda. Anda dapat menggunakan RCP saat ingin menerapkan kontrol akses yang konsisten secara terpusat di seluruh sumber daya di organisasi Anda. Ini dapat membatasi akses ke sumber daya Anda sehingga hanya dapat diakses oleh identitas milik organisasi Anda, atau menentukan kondisi di mana identitas eksternal organisasi Anda dapat mengakses sumber daya Anda.
Beberapa kontrol dapat diterapkan dengan cara yang sama melalui SCPs dan RCPs. Misalnya, Anda mungkin ingin [mencegah pengguna mengunggah objek yang tidak dienkripsi ke S3](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_s3.html#example-s3-1) yang dapat ditulis sebagai SCP untuk menerapkan kontrol pada tindakan yang dapat dilakukan oleh kepala sekolah Anda pada bucket S3 Anda. Kontrol ini juga dapat ditulis sebagai RCP untuk memerlukan enkripsi setiap kali ada objek utama yang mengunggah ke bucket S3 Anda. Opsi kedua mungkin lebih disukai jika bucket Anda mengizinkan kepala sekolah di luar organisasi Anda, seperti vendor pihak ketiga, untuk mengunggah objek ke bucket S3 Anda. Namun, beberapa kontrol hanya dapat diimplementasikan dalam RCP, dan beberapa kontrol hanya dapat diimplementasikan dalam SCP. Untuk informasi selengkapnya, lihat [Kasus penggunaan umum untuk SCPs dan RCPs](#scps-rcps-general-use-cases).
## Menggunakan SCPs dan RCPs
SCPs dan RCPs merupakan kontrol independen. Anda dapat memilih untuk mengaktifkan saja SCPs atau RCPs, atau menggunakan kedua jenis kebijakan secara bersamaan. Dengan menggunakan keduanya SCPs dan RCPs, Anda dapat membuat [perimeter data](https://aws.amazon.com/identity/data-perimeters-on-aws/) di sekitar identitas dan sumber daya Anda.
SCPs memberikan kemampuan untuk mengontrol sumber daya mana yang dapat diakses identitas Anda. Misalnya, Anda mungkin ingin mengizinkan identitas Anda mengakses sumber daya di AWS organisasi Anda. Namun, Anda mungkin ingin mencegah identitas Anda mengakses sumber daya di luar organisasi Anda. Anda dapat menerapkan kontrol ini menggunakan SCPs.
RCPs memberikan kemampuan untuk mengontrol identitas mana yang dapat mengakses sumber daya Anda. Misalnya, Anda mungkin ingin mengizinkan identitas di organisasi Anda untuk dapat mengakses sumber daya di organisasi Anda. Namun, Anda mungkin ingin mencegah identitas eksternal organisasi Anda mengakses sumber daya Anda. Anda dapat menerapkan kontrol ini menggunakan RCPs. RCPs memberikan kemampuan untuk memengaruhi izin efektif untuk kepala sekolah di luar organisasi Anda yang mengakses sumber daya Anda. SCPs hanya dapat memengaruhi izin efektif untuk prinsipal dalam organisasi Anda. AWS
### Kasus penggunaan umum untuk SCPs dan RCPs
Tabel berikut merinci kasus penggunaan umum untuk menggunakan SCP dan RCPs
****
| | **Dampak** |
| --- |--- |
| **Kasus penggunaan** | **Jenis kebijakan** | **Identitas Anda** | **Identitas eksternal** | **Sumber Daya Anda** | **Sumber daya eksternal (target permintaan)** |
| --- |--- |--- |--- |--- |--- |
| Batasi layanan atau tindakan yang dapat digunakan identitas Anda | SCP | X | | X | X |
| Batasi sumber daya yang dapat diakses identitas Anda | SCP | X | | X | X |
| Menegakkan persyaratan tentang bagaimana identitas Anda dapat mengakses sumber daya | SCP | X | | X | X |
| Batasi identitas mana yang dapat mengakses sumber daya Anda | RCP | X | X | X | |
| Lindungi sumber daya sensitif di organisasi Anda | RCP | X | X | X | |
| Menegakkan persyaratan tentang bagaimana sumber daya Anda dapat diakses | RCP | X | X | X | |
# Kebijakan kontrol layanan (SCPs)
Kebijakan kontrol layanan (SCPs) adalah jenis kebijakan organisasi yang dapat Anda gunakan untuk mengelola izin di organisasi Anda. SCPs menawarkan kontrol pusat atas izin maksimum yang tersedia untuk pengguna IAM dan peran IAM di organisasi Anda. SCPs membantu Anda memastikan akun Anda tetap berada dalam pedoman kontrol akses organisasi Anda. SCPshanya tersedia di organisasi yang memiliki [semua fitur yang diaktifkan](orgs_manage_org_support-all-features.md). SCPs tidak tersedia jika organisasi Anda hanya mengaktifkan fitur penagihan gabungan. Untuk petunjuk tentang mengaktifkan SCPs, lihat[Mengaktifkan jenis kebijakan](enable-policy-type.md).
SCPs jangan memberikan izin kepada pengguna IAM dan peran IAM di organisasi Anda. Tidak ada izin yang diberikan oleh SCP. SCP mendefinisikan pagar pembatas izin, atau menetapkan batasan, pada tindakan yang dapat dilakukan oleh pengguna IAM dan peran IAM di organisasi Anda. Untuk memberikan izin, administrator harus melampirkan kebijakan untuk mengontrol akses, seperti kebijakan berbasis identitas yang dilampirkan ke pengguna IAM dan peran IAM, serta kebijakan berbasis sumber daya yang dilampirkan ke sumber daya di akun Anda. *Untuk informasi selengkapnya, lihat Kebijakan [berbasis identitas dan kebijakan berbasis sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) di Panduan Pengguna IAM.*
[Izin efektif](#scp-effects-on-permissions) adalah persimpangan logis antara apa yang diizinkan oleh SCP dan [kebijakan kontrol sumber daya (RCPs) dan apa yang diizinkan oleh kebijakan](orgs_manage_policies_rcps.md) berbasis identitas dan berbasis sumber daya.
**SCPs tidak memengaruhi pengguna atau peran di akun manajemen**
SCPs tidak memengaruhi pengguna atau peran di akun manajemen. SCP tersebut hanya mempengaruhi akun anggota di organisasi Anda. Ini juga berarti bahwa SCPs berlaku untuk akun anggota yang ditunjuk sebagai administrator yang didelegasikan.
****Topik di halaman ini****
+ [Pengujian efek SCPs](#scp-warning-testing-effect)
+ [Ukuran maksimal SCPs](#scp-size-limit)
+ [Melampirkan SCPs ke berbagai tingkatan dalam organisasi](#scp-about-inheritance)
+ [Efek SCP pada izin](#scp-effects-on-permissions)
+ [Menggunakan data akses untuk meningkatkan SCPs](#data-from-iam)
+ [Tugas dan entitas yang tidak dibatasi oleh SCPs](#not-restricted-by-scp)
+ [Evaluasi SCP](orgs_manage_policies_scps_evaluation.md)
+ [Sintaksis SCP](orgs_manage_policies_scps_syntax.md)
+ [Contoh kebijakan kontrol layanan](orgs_manage_policies_scps_examples.md)
+ [Memecahkan masalah kebijakan kontrol layanan () SCPs dengan AWS Organizations](org_troubleshoot_policies.md)
## Pengujian efek SCPs
AWS sangat menyarankan agar Anda tidak melampirkan SCPs ke akar organisasi Anda tanpa menguji secara menyeluruh dampak kebijakan terhadap akun. Sebaliknya, buat OU yang dapat Anda gunakan sebagai tempat untuk memindahkan akun Anda ke sana satu per satu, atau setidaknya dalam jumlah kecil, untuk memastikan bahwa Anda tidak mengunci pengguna dari layanan utama dengan tidak sengaja. Salah satu cara untuk menentukan apakah layanan digunakan oleh akun adalah dengan memeriksa [layanan data terakhir yang diakses di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html). Cara lain adalah dengan [AWS CloudTrail menggunakan log penggunaan layanan di tingkat API](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/how-cloudtrail-works.html).
**catatan**
Anda tidak boleh menghapus AWSAccess kebijakan **Lengkap** kecuali Anda memodifikasi atau menggantinya dengan kebijakan terpisah dengan tindakan yang diizinkan, jika tidak semua AWS tindakan dari akun anggota akan gagal.
## Ukuran maksimal SCPs
Semua karakter dalam hitungan SCP Anda terhadap [ukuran maksimum](orgs_reference_limits.md#min-max-values)-nya. Contoh dalam panduan ini menunjukkan SCPs format dengan ruang putih ekstra untuk meningkatkan keterbacaannya. Namun, untuk menghemat ruang jika ukuran kebijakan Anda mendekati ukuran maksimum, maka Anda dapat menghapus spasi kosong, seperti spasi karakter dan baris putus yang berada di luar tanda kutip.
**Tip**
Gunakan editor visual untuk membangun SCP Anda. Ia secara otomatis menghilangkan spasi kosong.
## Melampirkan SCPs ke berbagai tingkatan dalam organisasi
Untuk penjelasan rinci tentang cara SCPs kerja, lihat[Evaluasi SCP](orgs_manage_policies_scps_evaluation.md).
## Efek SCP pada izin
SCPs mirip dengan kebijakan AWS Identity and Access Management izin dan menggunakan sintaks yang hampir sama. Namun, SCP tidak pernah memberikan izin. Sebagai gantinya, SCPs adalah kontrol akses yang menentukan izin maksimum yang tersedia untuk pengguna IAM dan peran IAM di organisasi Anda. Untuk informasi selengkapnya, lihat: [Logika evaluasi Kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) di *Panduan Pengguna IAM*.
+ SCPs ***hanya mempengaruhi pengguna IAM dan peran*** yang dikelola oleh akun yang merupakan bagian dari organisasi. SCPs tidak mempengaruhi kebijakan berbasis sumber daya secara langsung. Mereka juga tidak memengaruhi pengguna atau peran dari akun di luar organisasi. Sebagai contoh, pertimbangkan bucket Amazon S3 yang dimiliki oleh akun A dalam sebuah organisasi. Kebijakan bucket (kebijakan berbasis sumber daya) memberikan akses ke pengguna dari akun B di luar organisasi. Akun A memiliki SCP terlampir. SCP itu tidak berlaku untuk pengguna luar di akun B. SCP hanya berlaku untuk pengguna yang dikelola oleh akun A dalam organisasi itu.
+ SCP membatasi izin untuk pengguna dan peran IAM dalam akun anggota, termasuk pengguna akun anggota. Setiap akun hanya memiliki izin yang diizinkan oleh ***setiap*** induk di atasnya. Jika izin diblokir pada tingkat manapun yang ada di atas akun, baik secara implisit (dengan tidak disertakan dalam pernyataan kebijakan `Allow`) atau secara eksplisit (dengan dimasukkan dalam `Deny`), pengguna atau peran dalam akun yang terpengaruh tidak dapat menggunakan izin tersebut, meskipun administrator akun melampirkan kebijakan IAM `AdministratorAccess` dengan izin \$1/\$1 untuk pengguna.
+ SCPs hanya mempengaruhi akun ***anggota*** dalam organisasi. Mereka tidak berpengaruh pada pengguna atau peran dalam akun pengelolaan. Ini juga berarti bahwa SCPs berlaku untuk akun anggota yang ditunjuk sebagai administrator yang didelegasikan. Untuk informasi selengkapnya, lihat [Praktik terbaik untuk akun manajemen](orgs_best-practices_mgmt-acct.md).
+ Pengguna dan peran masih harus diberikan izin dengan kebijakan izin IAM yang sesuai. Pengguna tanpa kebijakan izin IAM tidak memiliki akses, bahkan jika yang berlaku SCPs mengizinkan semua layanan dan semua tindakan.
+ Jika pengguna atau peran memiliki kebijakan izin IAM yang memberikan akses ke tindakan yang juga diizinkan oleh yang berlaku SCPs, pengguna atau peran dapat melakukan tindakan tersebut.
+ Jika pengguna atau peran memiliki kebijakan izin IAM yang memberikan akses ke tindakan yang tidak diizinkan atau ditolak secara eksplisit oleh yang berlaku SCPs, pengguna atau peran tidak dapat melakukan tindakan tersebut.
+ SCPs mempengaruhi semua pengguna dan peran dalam akun terlampir, ***termasuk pengguna root***. Satu-satunya pengecualian adalah yang diterangkan dalam [Tugas dan entitas yang tidak dibatasi oleh SCPs](#not-restricted-by-scp).
+ SCPs ***tidak*** mempengaruhi peran terkait layanan apa pun. Peran terkait layanan memungkinkan orang lain Layanan AWS untuk berintegrasi dengan AWS Organizations dan tidak dapat dibatasi oleh. SCPs
+ Saat Anda menonaktifkan jenis kebijakan SCP di root, semua SCPs secara otomatis terlepas dari semua AWS Organizations entitas di root tersebut. AWS Organizations entitas termasuk unit organisasi, organisasi, dan akun. Jika Anda mengaktifkan kembali SCPs di root, root tersebut hanya akan kembali ke `FullAWSAccess` kebijakan default yang secara otomatis dilampirkan ke semua entitas di root. Lampiran apa pun SCPs ke AWS Organizations entitas dari sebelumnya SCPs telah dinonaktifkan akan hilang dan tidak dapat dipulihkan secara otomatis, meskipun Anda dapat memasangnya kembali secara manual.
+ Jika batas izin (fitur IAM lanjutan) dan SCP ada, maka batas tersebut, SCP, dan kebijakan berbasis identitas semuanya harus mengizinkan tindakan.
## Menggunakan data akses untuk meningkatkan SCPs
Saat masuk dengan kredensil akun manajemen, Anda dapat melihat [data layanan yang terakhir diakses](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html) untuk AWS Organizations entitas atau kebijakan di **AWS Organizations**bagian konsol IAM. Anda juga dapat menggunakan AWS Command Line Interface (AWS CLI) atau AWS API di IAM untuk mengambil data layanan yang terakhir diakses. Data ini mencakup informasi tentang layanan yang memungkinkan pengguna IAM dan peran dalam AWS Organizations akun terakhir mencoba untuk mengakses dan kapan. [Anda dapat menggunakan informasi ini untuk mengidentifikasi izin yang tidak digunakan sehingga Anda dapat menyempurnakan Anda agar lebih SCPs mematuhi prinsip hak istimewa yang paling sedikit.](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
Misalnya, Anda mungkin memiliki [daftar penolakan SCP](orgs_manage_policies_scps_evaluation.md#how_scps_deny) yang melarang akses ke tiga. Layanan AWS Semua layanan yang tidak tercantum di pernyataan `Deny` SCP diperbolehkan. Layanan data yang terakhir diakses di IAM memberi tahu Anda mana yang Layanan AWS diizinkan oleh SCP tetapi tidak pernah digunakan. Dengan informasi tersebut, Anda dapat memperbarui SCP untuk menolak akses ke layanan yang tidak Anda butuhkan.
Untuk informasi selengkapnya, lihat topik berikut di *Panduan Pengguna IAM*:
+ [Melihat Layanan Organizations Data Terakhir yang Diakses untuk Organizations](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data-orgs.html)
+ [Menggunakan Data untuk Memperbaiki Izin untuk Unit Organisasi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-example-scenarios.html#access_policies_access-advisor-reduce-permissions-orgs)
## Tugas dan entitas yang tidak dibatasi oleh SCPs
Anda ***tidak dapat*** menggunakan SCPs untuk membatasi tugas-tugas berikut:
+ Setiap tindakan yang dilakukan oleh akun pengelolaan
+ Tindakan apa pun yang dilakukan menggunakan izin yang dilampirkan pada peran yang terkait layanan
+ Mendaftar untuk paket support Korporasi sebagai pengguna akar
+ Menyediakan fungsionalitas penandatangan tepercaya untuk konten CloudFront pribadi
+ Konfigurasikan DNS terbalik untuk server email Amazon Lightsail dan instans Amazon EC2 sebagai pengguna root
+ Tugas pada beberapa layanan AWS terkait:
+ Alexa Top Sites
+ Alexa Web Information Service
+ Amazon Mechanical Turk
+ API Pemasaran Produk Amazon
# Evaluasi SCP
**catatan**
Informasi di bagian ini ***tidak*** berlaku untuk jenis kebijakan manajemen, termasuk kebijakan cadangan, kebijakan tag, kebijakan aplikasi obrolan, atau kebijakan opt-out layanan AI. Untuk informasi selengkapnya, lihat [Memahami warisan kebijakan manajemen](orgs_manage_policies_inheritance_mgmt.md).
Karena Anda dapat melampirkan beberapa kebijakan kontrol layanan (SCPs) pada tingkat yang berbeda AWS Organizations, memahami bagaimana SCPs dievaluasi dapat membantu Anda menulis SCPs yang menghasilkan hasil yang tepat.
**Topics**
+ [Bagaimana SCPs bekerja dengan Izinkan](#how_scps_allow)
+ [Bagaimana SCPs bekerja dengan Deny](#how_scps_deny)
+ [Strategi untuk menggunakan SCPs](#strategy_using_scps)
## Bagaimana SCPs bekerja dengan Izinkan
Agar izin **diizinkan** untuk akun tertentu, harus ada **`Allow`pernyataan eksplisit** di setiap tingkat dari root melalui setiap OU di jalur langsung ke akun (termasuk akun target itu sendiri). Inilah sebabnya mengapa ketika Anda mengaktifkan SCPs, AWS Organizations melampirkan kebijakan SCP AWS terkelola bernama [Full AWSAccess](https://console.aws.amazon.com/organizations/v2/home/policies/service-control-policy/p-FullAWSAccess) yang memungkinkan semua layanan dan tindakan. Jika kebijakan ini dihapus dan tidak diganti pada tingkat organisasi mana pun, semua OUs dan akun di bawah tingkat itu akan diblokir untuk mengambil tindakan apa pun.
Sebagai contoh, mari kita telusuri skenario yang ditunjukkan pada gambar 1 dan 2. Agar izin atau layanan diizinkan di Akun B, SCP yang mengizinkan izin atau layanan harus dilampirkan ke Root, OU Produksi, dan Akun B itu sendiri.
Evaluasi SCP mengikuti deny-by-default model, yang berarti bahwa izin apa pun yang tidak diizinkan secara eksplisit di dalamnya ditolak. SCPs Jika pernyataan izin tidak ada SCPs di salah satu tingkat seperti Root, Produksi OU atau Akun B, akses ditolak.
![\[Contoh struktur organisasi dengan pernyataan Izinkan yang dilampirkan di Root, Production OU dan Account B\]](http://docs.aws.amazon.com/id_id/organizations/latest/userguide/images/scp_allow_1.png)
*Gambar 1: Contoh struktur organisasi dengan `Allow` pernyataan terlampir di Root, Production OU dan Account B*
![\[Contoh struktur organisasi dengan pernyataan Izinkan hilang di Production OU dan dampaknya pada Akun B\]](http://docs.aws.amazon.com/id_id/organizations/latest/userguide/images/scp_allow_2.png)
*Gambar 2: Contoh struktur organisasi dengan `Allow` pernyataan yang hilang di Produksi OU dan dampaknya pada Akun B*
## Bagaimana SCPs bekerja dengan Deny
Agar izin **ditolak** untuk akun tertentu, **SCP apa pun** dari root melalui setiap OU di jalur langsung ke akun (termasuk akun target itu sendiri) dapat menolak izin itu.
Sebagai contoh, katakanlah ada SCP yang melekat pada OU Produksi yang memiliki `Deny` pernyataan eksplisit yang ditentukan untuk layanan tertentu. Ada juga SCP lain yang dilampirkan ke Root dan Akun B yang secara eksplisit memungkinkan akses ke layanan yang sama, seperti yang ditunjukkan pada Gambar 3. Akibatnya, baik Akun A dan Akun B akan ditolak akses ke layanan karena kebijakan penolakan yang dilampirkan ke tingkat mana pun dalam organisasi dievaluasi untuk semua akun anggota OUs dan di bawahnya.
![\[Contoh struktur organisasi dengan pernyataan Deny yang dilampirkan di Production OU dan dampaknya pada Akun B\]](http://docs.aws.amazon.com/id_id/organizations/latest/userguide/images/scp_deny_1.png)
*Gambar 3: Contoh struktur organisasi dengan `Deny` pernyataan terlampir di Produksi OU dan dampaknya pada Akun B*
## Strategi untuk menggunakan SCPs
Saat menulis, SCPs Anda dapat menggunakan kombinasi `Allow` dan `Deny` pernyataan untuk memungkinkan tindakan dan layanan yang dimaksudkan dalam organisasi Anda. `Deny`pernyataan adalah cara yang ampuh untuk menerapkan pembatasan yang seharusnya benar untuk bagian yang lebih luas dari organisasi Anda atau OUs karena ketika mereka diterapkan di root atau tingkat OU mereka mempengaruhi semua akun di bawahnya.
**Tip**
Anda dapat menggunakan [layanan data yang diakses terakhir](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html) di [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) untuk memperbarui Anda SCPs untuk membatasi akses hanya Layanan AWS yang Anda butuhkan. Untuk informasi selengkapnya, lihat: [Melihat Data Layanan Organizations Terakhir Diakses untuk Organizations](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data-orgs.html) di *Panduan Pengguna IAM.*
AWS Organizations melampirkan SCP AWS terkelola bernama [https://console.aws.amazon.com/organizations/v2/home/policies/service-control-policy/p-FullAWSAccess](https://console.aws.amazon.com/organizations/v2/home/policies/service-control-policy/p-FullAWSAccess) ke setiap root, OU, dan akun saat dibuat. Kebijakan ini mengizinkan semua layanan dan tindakan. Anda dapat mengganti **Full AWSAccess** dengan kebijakan yang hanya mengizinkan satu set layanan sehingga yang baru tidak Layanan AWS diizinkan kecuali secara eksplisit diizinkan dengan memperbarui. SCPs Misalnya, jika organisasi Anda hanya ingin mengizinkan penggunaan subset layanan di lingkungan Anda, Anda dapat menggunakan `Allow` pernyataan untuk hanya mengizinkan layanan tertentu. Anda dapat memilih untuk mengganti **Full AWSAccess** di tingkat root atau di setiap level. Jika Anda melampirkan SCP daftar izin khusus layanan di root, SCP otomatis berlaku untuk semua OUs dan akun di bawahnya—artinya kebijakan tingkat root tunggal menentukan daftar izin layanan efektif di seluruh organisasi seperti yang ditunjukkan dalam skenario 7. Atau, Anda dapat menghapus dan mengganti **Penuh AWSAccess** di setiap OU dan akun, memungkinkan Anda untuk menerapkan daftar izin layanan yang lebih terperinci yang berbeda antara unit organisasi atau akun individu.
Catatan: Hanya mengandalkan pernyataan allow dan deny-by-default model implisit dapat menyebabkan akses yang tidak diinginkan, karena pernyataan Izinkan yang lebih luas atau tumpang tindih dapat mengesampingkan pernyataan yang lebih ketat.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:*",
"cloudwatch:*",
"organizations:*"
],
"Resource": "*"
}
]
}
```
------
Kebijakan yang menggabungkan dua pernyataan mungkin terlihat seperti contoh berikut, yang mencegah akun anggota meninggalkan organisasi dan memungkinkan penggunaan AWS layanan yang diinginkan. Administrator organisasi dapat melepaskan kebijakan **Lengkap** dan melampirkan AWSAccess kebijakan ini sebagai gantinya.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:*",
"cloudwatch:*",
"organizations:*"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action":"organizations:LeaveOrganization",
"Resource": "*"
}
]
}
```
------
Untuk menunjukkan bagaimana beberapa kebijakan kontrol layanan (SCPs) dapat diterapkan dalam AWS Organisasi, pertimbangkan struktur dan skenario organisasi berikut.
### Skenario 1: Dampak kebijakan Penyangkalan
Skenario ini menunjukkan bagaimana kebijakan penolakan di tingkat yang lebih tinggi dalam organisasi memengaruhi semua akun di bawah ini. Ketika Sandbox OU memiliki kebijakan “ AWS Akses penuh” dan “Tolak akses S3”, dan Akun B memiliki kebijakan “Tolak akses EC2", hasilnya adalah Akun B tidak dapat mengakses S3 (dari penolakan tingkat OU) dan EC2 (dari penolakan tingkat akunnya). Akun A tidak memiliki akses S3 (dari penolakan tingkat OU).
![\[Skenario 1: Dampak kebijakan Penyangkalan\]](http://docs.aws.amazon.com/id_id/organizations/latest/userguide/images/scp_scenario_1.png)
### Skenario 2: Izinkan kebijakan harus ada di setiap level
Skenario ini menunjukkan cara kerja kebijakan izinkan di SCP. Agar layanan dapat diakses, harus ada izin eksplisit di setiap tingkat dari root hingga akun. Di sini, karena Sandbox OU memiliki kebijakan “Izinkan akses EC2”, yang hanya secara eksplisit mengizinkan akses layanan EC2, Akun A dan B hanya akan memiliki akses EC2.
![\[Skenario 2: Izinkan kebijakan harus ada di setiap level\]](http://docs.aws.amazon.com/id_id/organizations/latest/userguide/images/scp_scenario_2.png)
### Skenario 3: Dampak hilangnya pernyataan Izinkan di tingkat root
Kehilangan pernyataan “Izinkan” di tingkat root di SCP adalah kesalahan konfigurasi kritis yang secara efektif akan memblokir semua akses ke AWS layanan dan tindakan untuk semua akun anggota di organisasi Anda.
![\[Skenario 3: Dampak hilangnya pernyataan Izinkan di tingkat root\]](http://docs.aws.amazon.com/id_id/organizations/latest/userguide/images/scp_scenario_3.png)
### Skenario 4: Pernyataan Layered Deny dan izin yang dihasilkan
Skenario ini menunjukkan struktur OU dalam dua tingkat. Baik Root dan Beban Kerja OU memiliki “ AWS Akses penuh”, Uji OU memiliki “ AWS Akses penuh” dengan “Tolak akses EC2", dan OU Produksi memiliki “ AWS Akses penuh”. Akibatnya, Akun D memiliki semua akses layanan kecuali EC2 dan Akun E dan F memiliki semua akses layanan.
![\[Skenario 4: Pernyataan Layered Deny dan izin yang dihasilkan\]](http://docs.aws.amazon.com/id_id/organizations/latest/userguide/images/scp_scenario_4.png)
### Skenario 5: Izinkan kebijakan di tingkat OU untuk membatasi akses layanan
Skenario ini menunjukkan bagaimana kebijakan izin dapat digunakan untuk membatasi akses ke layanan tertentu. Uji OU memiliki kebijakan “Izinkan akses EC2”, yang berarti hanya layanan EC2 yang diizinkan untuk Akun D. Produksi OU mempertahankan “ AWS Akses penuh”, sehingga Akun E dan F memiliki akses ke semua layanan. Ini menunjukkan bagaimana kebijakan izin yang lebih ketat dapat diterapkan di tingkat OU sambil mempertahankan izin yang lebih luas di tingkat root.
![\[Skenario 5: Izinkan kebijakan di tingkat OU untuk membatasi akses layanan\]](http://docs.aws.amazon.com/id_id/organizations/latest/userguide/images/scp_scenario_5.png)
### Skenario 6: Penolakan tingkat root memengaruhi semua akun terlepas dari izin tingkat yang lebih rendah
Skenario ini menunjukkan bahwa kebijakan penolakan di tingkat akar mempengaruhi semua akun dalam organisasi, terlepas dari kebijakan izinkan di tingkat yang lebih rendah. Root memiliki kebijakan “ AWS Akses penuh” dan “Tolak akses S3”. Meskipun Test OU memiliki kebijakan “Izinkan akses S3”, penolakan S3 tingkat root lebih diutamakan. Akun D tidak memiliki akses layanan karena Test OU hanya mengizinkan akses S3, tetapi S3 ditolak di tingkat root. Akun E dan F dapat mengakses layanan lain kecuali untuk S3 karena penolakan eksplisit di tingkat root.
![\[Skenario 6: Penolakan tingkat root memengaruhi semua akun terlepas dari izin tingkat yang lebih rendah\]](http://docs.aws.amazon.com/id_id/organizations/latest/userguide/images/scp_scenario_6.png)
### Skenario 7: Kustom tingkat root mengizinkan kebijakan untuk membatasi akses tingkat OU
Skenario ini menunjukkan bagaimana SCPs dengan layanan eksplisit mengizinkan fungsi daftar ketika diterapkan pada tingkat root dalam file. AWS Organizations Pada tingkat root organisasi, dua “Izinkan Layanan” khusus SCPs dilampirkan yang secara eksplisit mengizinkan akses ke serangkaian AWS layanan terbatas - SCP\$11 memungkinkan IAM dan Amazon EC2, SCP\$12 memungkinkan Amazon S3 dan Amazon. CloudWatch Pada tingkat unit organisasi (OU), AWSAccess kebijakan Lengkap default tetap dilampirkan. Namun, karena perilaku persimpangan, akun A dan B di bawah OU ini hanya dapat mengakses layanan yang diizinkan secara eksplisit oleh SCP tingkat root. Kebijakan root yang lebih ketat diutamakan, secara efektif membatasi akses hanya ke IAM, EC2, S3, dan CloudWatch layanan, terlepas dari izin yang lebih luas yang diberikan pada tingkat organisasi yang lebih rendah.
![\[Skenario 7: Kustom tingkat root mengizinkan kebijakan untuk membatasi akses tingkat OU\]](http://docs.aws.amazon.com/id_id/organizations/latest/userguide/images/scp_scenario_7.png)
# Sintaksis SCP
Kebijakan kontrol layanan (SCPs) menggunakan sintaks serupa dengan kebijakan izin AWS Identity and Access Management (IAM) dan kebijakan [berbasis sumber daya (seperti kebijakan bucket](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based) Amazon S3). Untuk informasi selengkapnya tentang kebijakan IAM dan sintaksisnya, lihat [Gambaran Umum Kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dalam *Panduan Pengguna IAM*.
SCP adalah file plaintext yang terstruktur sesuai dengan aturan [JSON](http://json.org). Ia menggunakan elemen-elemen yang dijelaskan dalam topik ini.
**catatan**
Semua karakter dalam hitungan SCP Anda terhadap [ukuran maksimum](orgs_reference_limits.md#min-max-values)-nya. Contoh dalam panduan ini menunjukkan SCPs format dengan ruang putih ekstra untuk meningkatkan keterbacaannya. Namun, untuk menghemat ruang jika ukuran kebijakan Anda mendekati ukuran maksimum, maka Anda dapat menghapus spasi kosong, seperti spasi karakter dan baris putus yang berada di luar tanda kutip.
Untuk informasi umum tentang SCPs, lihat[Kebijakan kontrol layanan (SCPs)](orgs_manage_policies_scps.md).
## Ringkasan elemen
Tabel berikut merangkum elemen kebijakan yang dapat Anda gunakan. SCPs Beberapa elemen kebijakan hanya tersedia dalam tindakan penolakan SCPs itu. Kolom **Efek yang didukung** mencantumkan jenis efek yang dapat Anda gunakan dengan setiap elemen kebijakan SCPs.
| Elemen | Tujuan | Efek didukung |
| --- | --- | --- |
| [Tindakan](#scp-syntax-action) | Menentukan AWS layanan dan tindakan yang SCP memungkinkan atau menyangkal. | `Allow`, `Deny` |
| [Efek](#scp-syntax-effect) | Menentukan apakah pernyataan SCP [mengizinkan](orgs_manage_policies_scps_evaluation.md#how_scps_allow) atau [menolak](orgs_manage_policies_scps_evaluation.md#how_scps_deny) akses ke pengguna dan peran IAM dalam akun. | `Allow`, `Deny` |
| [Pernyataan](#scp-syntax-statement) | Berfungsi sebagai kontainer untuk elemen kebijakan. Anda dapat memiliki beberapa pernyataan di SCPs. | `Allow`, `Deny` |
| [ID Pernyataan (Sid)](#scp-syntax-sid) | (Opsional) Menyediakan nama yang ramah untuk pernyataan tersebut. | `Allow`, `Deny` |
| [Versi](#scp-syntax-version) | Menentukan aturan sintaksis bahasa yang digunakan untuk memproses kebijakan. | `Allow`, `Deny` |
| [Kondisi](#scp-syntax-condition) | Menentukan syarat ketika pernyataan ini berlaku. | `Allow,``Deny` |
| [NotAction](#scp-syntax-action) | Menentukan AWS layanan dan tindakan yang dikecualikan dari SCP. Digunakan sebagai pengganti dari elemen `Action`. | `Allow,``Deny` |
| [Sumber Daya](#scp-syntax-resource) | Menentukan AWS sumber daya yang berlaku SCP. | `Allow,``Deny` |
| [NotResource](#scp-syntax-resource) | Menentukan AWS sumber daya yang dikecualikan dari SCP. Digunakan sebagai pengganti dari elemen Resource. | `Allow`, `Deny` |
Bagian berikut memberikan informasi lebih lanjut dan contoh bagaimana elemen kebijakan digunakan SCPs.
**Topics**
+ [Ringkasan elemen](#scp-elements-table)
+ [Elemen `Action` dan `NotAction`](#scp-syntax-action)
+ [Elemen `Condition`](#scp-syntax-condition)
+ [Elemen `Effect`](#scp-syntax-effect)
+ [`Resource`dan `NotResource` elemen](#scp-syntax-resource)
+ [Elemen `Statement`](#scp-syntax-statement)
+ [Elemen ID pernyataan (`Sid`)](#scp-syntax-sid)
+ [Elemen `Version`](#scp-syntax-version)
+ [Elemen yang Tidak Didukung](#scp-syntax-unsupported)
## Elemen `Action` dan `NotAction`
Nilai untuk `NotAction` elemen `Action` or adalah daftar (array JSON) string yang mengidentifikasi AWS layanan dan tindakan yang diizinkan atau ditolak oleh pernyataan.
Setiap string terdiri dari singkatan untuk layanan (seperti "s3", "ec2", "iam", atau "organisasi"), dalam semua huruf kecil, diikuti oleh titik dua dan kemudian tindakan dari layanan tersebut. Tindakan dan tindakan tidak peka huruf besar/kecil. Umumnya, mereka semua dimasukkan dengan setiap kata dimulai dengan huruf besar dan sisanya huruf kecil. Sebagai contoh: `"s3:ListAllMyBuckets"`.
Anda juga dapat menggunakan karakter wildcard seperti asterisk (\$1) atau tanda tanya (?) dalam SCP:
+ Gunakan tanda bintang (\$1) sebagai wildcard untuk mencocokkan beberapa tindakan yang berbagi bagian dari nama. Nilai `"s3:*"` artinya semua tindakan dalam layanan Amazon S3. Nilai `"ec2:Describe*"` cocok hanya dengan tindakan EC2 yang dimulai dengan "Describe".
+ Gunakan tanda tanya (?) wildcard untuk mencocokkan satu karakter.
Untuk daftar semua layanan dan tindakan yang mereka dukung dalam kebijakan izin IAM AWS Organizations SCPs dan IAM, lihat [Tindakan, Sumber Daya, dan Kunci Kondisi untuk AWS Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_actionsconditions.html) di *Panduan Pengguna IAM*.
*Untuk informasi selengkapnya, lihat [IAM JSON Policy Elements: Action](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_action.html) dan [IAM JSON Policy Elements: NotAction](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html) di Panduan Pengguna IAM.*
### Contoh elemen `Action`
Contoh berikut menunjukkan SCP dengan pernyataan yang memungkinkan administrator akun untuk mendelegasikan menjelaskan, mulai, berhenti, dan mengakhiri izin untuk instans EC2 di akun. Ini adalah contoh [daftar izinkan](orgs_manage_policies_scps_evaluation.md#how_scps_allow), dan berguna ketika kebijakan `Allow *` default ***tidak*** dilampirkan sehingga, secara default, izin secara implisit ditolak. Jika kebijakan `Allow *` default masih dilampirkan pada akar, OU, atau akun yang dilampiri dengan kebijakan berikut, kebijakan tidak berpengaruh.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances", "ec2:DescribeImages", "ec2:DescribeKeyPairs",
"ec2:DescribeSecurityGroups", "ec2:DescribeAvailabilityZones", "ec2:RunInstances",
"ec2:TerminateInstances", "ec2:StopInstances", "ec2:StartInstances"
],
"Resource": "*"
}
}
```
------
Contoh berikut menunjukkan bagaimana Anda dapat [menolak akses](orgs_manage_policies_scps_evaluation.md#how_scps_deny) ke layanan yang Anda ingin tidak gunakan di akun terlampir. Ia mengasumsikan bahwa SCP `"Allow *"` default masih dilampirkan pada semua OU dan akar. Kebijakan contoh ini mencegah administrator akun di akun terlampir mendelegasikan izin untuk layanan IAM, Amazon EC2, dan Amazon RDS. Setiap tindakan dari layanan lain dapat didelegasikan selama tidak ada kebijakan terlampir lain yang menolaknya.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": [ "iam:*", "ec2:*", "rds:*" ],
"Resource": "*"
}
}
```
------
### Contoh elemen `NotAction`
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan `NotAction` elemen untuk mengecualikan AWS layanan dari efek kebijakan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "LimitActionsInRegion",
"Effect": "Deny",
"NotAction": "iam:*",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:RequestedRegion": "us-west-1"
}
}
}
]
}
```
------
Dengan pernyataan ini, akun yang terpengaruh dibatasi untuk mengambil tindakan dalam yang ditentukan Wilayah AWS, kecuali saat menggunakan tindakan IAM.
## Elemen `Condition`
Anda dapat menentukan `Condition` elemen dalam mengizinkan dan menolak pernyataan dalam SCP.
Contoh berikut menunjukkan bagaimana menggunakan elemen kondisi dengan pernyataan allow dalam SCP untuk mengizinkan prinsipal tertentu untuk mengakses layanan. AWS
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AllowServicesForSpecificPrincipal",
"Effect":"Allow",
"Action":[
"ec2:*",
"s3:*",
"rds:*",
"lambda:*",
"cloudformation:*",
"iam:*",
"cloudwatch:*"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"aws:PrincipalArn":[
"arn:aws:iam::123456789012:role/specific-role"
]
}
}
}
]
}
```
Contoh berikut menunjukkan cara menggunakan elemen kondisi dengan pernyataan penolakan dalam SCP untuk membatasi akses ke operasi apa pun di luar `eu-central-1` dan `eu-west-1` Wilayah, kecuali untuk tindakan dalam layanan yang ditentukan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyAllOutsideEU",
"Effect": "Deny",
"NotAction": [
"cloudfront:*",
"iam:*",
"route53:*",
"support:*"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:RequestedRegion": [
"eu-central-1",
"eu-west-1"
]
}
}
}
]
}
```
------
Untuk informasi selengkapnya, lihat [Elemen kebijakan IAM JSON: Syarat](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
## Elemen `Effect`
Setiap pernyataan harus berisi satu elemen `Effect`. Nilai dapat berupa `Allow` atau `Deny`, salah satu. Ia mempengaruhi setiap tindakan yang tercantum dalam pernyataan yang sama.
Untuk informasi selengkapnya, lihat [Elemen Kebijakan IAM JSON: Efek](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_effect.html) dalam *Panduan Pengguna IAM*.
### `"Effect": "Allow"`
Contoh berikut menunjukkan SCP dengan pernyataan yang berisi elemen `Effect` dengan nilai `Allow` yang mengizinkan pengguna akun untuk melakukan tindakan untuk layanan Amazon S3. Contoh ini berguna dalam sebuah organisasi yang menggunakan [strategi daftar izinkan](orgs_manage_policies_scps_evaluation.md#how_scps_allow) (dimana kebijakan `FullAWSAccess` default-nya telah dilepaskan sehingga izin secara implisit ditolak secara default). Hasilnya adalah bahwa pernyataan [mengizinkan](orgs_manage_policies_scps_evaluation.md#how_scps_allow) izin Amazon S3 untuk akun terlampir:
```
{
"Statement": {
"Effect": "Allow",
"Action": "s3:*",
"Resource": "*"
}
}
```
Meskipun pernyataan ini menggunakan nilai kata kunci `Allow` yang sama sebagai kebijakan izin IAM, dalam SCP ia tidak benar-benar memberikan izin pengguna untuk melakukan apa pun. Sebagai gantinya, SCPs bertindak sebagai filter yang menentukan izin maksimum untuk akun di organisasi, unit organisasi (OU), atau akun. Dalam contoh sebelumnya, bahkan jika pengguna di akun memiliki kebijakan terkelola `AdministratorAccess` terlampir, SCP ini membatasi ***Semua*** pengguna di akun yang terpengaruh hanya ke tindakan Amazon S3.
### `"Effect": "Deny"`
Dalam pernyataan di mana `Effect` elemen memiliki nilai`Deny`, Anda juga dapat membatasi akses ke sumber daya tertentu atau menentukan kondisi kapan SCPs berlaku.
Berikut ini menunjukkan contoh bagaimana menggunakan kunci syarat dalam pernyataan tolak.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"StringNotEquals": {
"ec2:InstanceType": "t2.micro"
}
}
}
}
```
------
Pernyataan ini di SCP menetapkan pagar untuk mencegah akun terpengaruh (di mana SCP dilampirkan ke akun itu sendiri atau akar organisasi atau OU yang berisi akun), dari meluncurkan instans Amazon EC2 jika instans Amazon EC2 tidak diatur ke `t2.micro`. Bahkan jika kebijakan IAM yang memungkinkan tindakan ini dilampirkan ke akun, pagar yang dibuat oleh SCP akan mencegahnya.
## `Resource`dan `NotResource` elemen
Dalam pernyataan di mana elemen `Effect` memiliki nilai `Allow`, Anda dapat menentukan hanya "\$1" di elemen `Resource` dari sebuah SCP. Anda tidak dapat menentukan sumber daya individu Amazon Resource Names (ARNs).
Anda dapat menggunakan karakter wildcard seperti tanda bintang (\$1) atau tanda tanya (?) dalam elemen sumber daya:
+ Gunakan tanda bintang (\$1) sebagai wildcard untuk mencocokkan beberapa tindakan yang berbagi bagian dari nama.
+ Gunakan tanda tanya (?) wildcard untuk mencocokkan satu karakter.
Dalam pernyataan di mana `Effect` elemen memiliki nilai`Deny`, Anda *dapat* menentukan individu ARNs, seperti yang ditunjukkan pada contoh berikut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyAccessToAdminRole",
"Effect": "Deny",
"Action": [
"iam:AttachRolePolicy",
"iam:DeleteRole",
"iam:DeleteRolePermissionsBoundary",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy",
"iam:PutRolePermissionsBoundary",
"iam:PutRolePolicy",
"iam:UpdateAssumeRolePolicy",
"iam:UpdateRole",
"iam:UpdateRoleDescription"
],
"Resource": [
"arn:aws:iam::*:role/role-to-deny"
]
}
]
}
```
------
SCP ini membatasi pengguna dan peran IAM dalam akun yang terpengaruh dari membuat perubahan ke IAM role administratif umum yang dibuat di semua akun di organisasi Anda.
Contoh berikut menunjukkan cara menggunakan `NotResource` elemen untuk mengecualikan model Amazon Bedrock tertentu dari pengaruh kebijakan.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"Statement1",
"Effect":"Deny",
"Action":[
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"NotResource":[
"arn:aws:bedrock:*::foundation-model/model-to-permit"
]
}
]
}
```
Untuk informasi selengkapnya, lihat [Elemen kebijakan IAM JSON: Sumber Daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) dalam *Panduan Pengguna IAM*.
## Elemen `Statement`
SCP terdiri dari satu atau beberapa elemen `Statement`. Anda hanya dapat memiliki satu kata kunci `Statement` dalam kebijakan, tetapi nilai dapat berupa array JSON dari pernyataan (diapit oleh karakter [ ]).
Contoh berikut menunjukkan pernyataan tunggal yang terdiri dari satu elemen `Effect`, `Action`, dan `Resource`.
```
"Statement": {
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}
```
Contoh berikut mencakup dua pernyataan sebagai daftar array dalam satu elemen `Statement`. Pernyataan pertama mengizinkan semua tindakan, sedangkan yang kedua menolak tindakan EC2. Hasilnya adalah bahwa administrator di akun dapat mendelegasikan izin *kecuali* izin dari Amazon Elastic Compute Cloud (Amazon EC2).
```
"Statement": [
{
"Effect": "Allow",
"Action": "*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "ec2:*",
"Resource": "*"
}
]
```
Untuk informasi selengkapnya, lihat [Elemen kebijakan IAM JSON: Pernyataan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_statement.html) dalam *Panduan Pengguna IAM*.
## Elemen ID pernyataan (`Sid`)
`Sid` adalah pengidentifikasi opsional yang Anda berikan untuk pernyataan kebijakan. Anda dapat menetapkan nilai `Sid` untuk setiap pernyataan dalam rangkaian pernyataan. Dalam contoh berikut, SCP menunjukkan sampel `Sid`.
```
{
"Statement": {
"Sid": "AllowsAllActions",
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}
}
```
Untuk informasi selengkapnya, lihat [Elemen Kebijakan IAM JSON: Id](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_id.html) dalam *Panduan Pengguna IAM*.
## Elemen `Version`
Setiap SCP harus menyertakan elemen `Version` dengan nilai `"2012-10-17"`. Ini adalah nilai versi yang sama sebagai versi terbaru dari kebijakan izin IAM.
Untuk informasi selengkapnya, lihat [Elemen Kebijakan IAM JSON: Versi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_version.html) dalam *Panduan Pengguna IAM*.
## Elemen yang Tidak Didukung
Elemen berikut tidak didukung di SCPs:
+ `NotPrincipal`
+ `Principal`
# Contoh kebijakan kontrol layanan
Contoh [kebijakan kontrol layanan (SCPs)](orgs_manage_policies_scps.md) yang ditampilkan dalam topik ini hanya untuk tujuan informasi.
**Sebelum menggunakan contoh-contoh ini**
Sebelum Anda menggunakan contoh ini SCPs di organisasi Anda, pertimbangkan hal berikut:
[Kebijakan kontrol layanan (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dimaksudkan untuk digunakan sebagai pagar pembatas berbutir kasar, dan tidak secara langsung memberikan akses. Administrator harus tetap melampirkan [kebijakan berbasis identitas atau sumber daya ke prinsipal IAM atau sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) di akun Anda untuk benar-benar memberikan izin. Izin efektif adalah persimpangan logis antara kebijakan kontrol policy/Resource kontrol Layanan dan kebijakan identitas atau kebijakan kontrol policy/Resource kontrol Layanan dan kebijakan sumber daya. [Anda bisa mendapatkan detail lebih lanjut tentang efek SCP pada izin di sini.](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#scp-effects-on-permissions)
[Kebijakan kontrol layanan (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html), ketika dilampirkan ke organisasi, unit organisasi, atau akun menawarkan kontrol pusat atas izin maksimum yang tersedia untuk semua akun di organisasi, unit organisasi, atau akun Anda. Karena SCP dapat diterapkan di berbagai tingkatan dalam suatu organisasi, memahami bagaimana [SCPs dievaluasi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_evaluation.html) dapat membantu Anda menulis SCPs yang menghasilkan hasil yang tepat.
Kebijakan kontrol layanan dalam repositori ini ditampilkan sebagai contoh. Anda tidak boleh melampirkan SCPs tanpa menguji secara menyeluruh dampak kebijakan terhadap akun. Setelah Anda memiliki kebijakan siap yang ingin Anda terapkan, kami sarankan pengujian di organisasi terpisah atau OU yang dapat mewakili lingkungan produksi Anda. Setelah diuji, Anda harus menerapkan perubahan ke yang lebih spesifik OUs dan kemudian perlahan-lahan menyebarkan perubahan ke yang lebih luas dan lebih luas dari waktu ke waktu. OUs
Contoh SCP dalam repositori ini menggunakan [strategi daftar tolak](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_evaluation.html#strategy_using_scps), yang berarti Anda juga memerlukan kebijakan [Lengkap](https://console.aws.amazon.com/organizations/?#/policies/p-FullAWSAccess) atau AWSAccess kebijakan lain yang memungkinkan akses yang dilampirkan ke entitas organisasi Anda untuk mengizinkan tindakan. Anda juga perlu memberikan izin yang sesuai kepada kepala sekolah Anda dengan menggunakan kebijakan berbasis identitas atau sumber daya.
**Tip**
Anda dapat menggunakan [layanan data yang diakses terakhir](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html) di [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) untuk memperbarui Anda SCPs untuk membatasi akses hanya Layanan AWS yang Anda butuhkan. Untuk informasi selengkapnya, lihat: [Melihat Data Layanan Organizations Terakhir Diakses untuk Organizations](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data-orgs.html) di *Panduan Pengguna IAM.*
## GitHub repositori
+ [Contoh kebijakan kontrol layanan](https://github.com/aws-samples/service-control-policy-examples) - GitHub Repositori ini berisi contoh kebijakan untuk memulai atau mematangkan penggunaan Anda AWS SCPs
# Memecahkan masalah kebijakan kontrol layanan () SCPs dengan AWS Organizations
Gunakan informasi di sini untuk membantu Anda mendiagnosis dan memperbaiki kesalahan umum yang ditemukan dalam kebijakan kontrol layanan (SCPs).
Kebijakan kontrol layanan (SCPs) AWS Organizations mirip dengan kebijakan IAM dan berbagi sintaks umum. Sintaks ini dimulai dengan aturan [JavaScript Object Notation](http://www.json.org) (JSON). JSON menggambarkan *objek* dengan nama dan nilai pasangan yang membentuk objek tersebut. [Tata bahasa kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies-grammar.html) dibangun di atasnya dengan mendefinisikan nama dan nilai apa yang memiliki arti, dan dipahami oleh, Layanan AWS yang menggunakan kebijakan untuk memberikan izin.
AWS Organizations menggunakan subset dari sintaks dan tata bahasa IAM. Lihat perinciannya di [Sintaksis SCP](orgs_manage_policies_scps_syntax.md).
**Topics**
+ [Lebih dari satu objek kebijakan](#morethanonepolicyblock)
+ [Lebih dari satu elemen pernyataan](#morethanonestatement)
+ [Dokumen kebijakan melebihi ukuran maksimum](#scptoolong)
## Lebih dari satu objek kebijakan
SCP harus terdiri dari satu dan hanya satu objek JSON. Anda menunjukkan sebuah objek dengan menempatkan rungkup \$1 \$1 di sekitarnya. Meskipun Anda dapat membuatkan nest untuk objek lain di dalam objek JSON dengan menyematkan rungkup \$1 \$1 tambahan di dalam pasangan bagian luar, kebijakan hanya dapat berisi satu pasang rungkup \$1 \$1 terluar. Contoh berikut ***tidak benar*** karena berisi dua objek di tingkat atas (dipanggil masuk*red*):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:Describe*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "s3:*",
"Resource": "*"
}
]
}
```
------
Namun demikian, Anda dapat memenuhi maksud dari contoh sebelumnya dengan menggunakan tata bahasa kebijakan yang benar. Alih-alih memasukkan dua objek kebijakan lengkap, masing-masing dengan elemen `Statement` sendiri, Anda dapat menggabungkan kedua blok menjadi satu elemen `Statement`. Elemen `Statement` memiliki susunan dua objek sebagai nilainya, seperti yang ditunjukkan dalam contoh berikut:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:Describe*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "s3:*",
"Resource": "*"
}
]
}
```
Contoh ini tidak dapat dikompresi lebih lanjut menjadi sebuah `Statement` dengan satu elemen karena kedua elemen memiliki efek yang berbeda. Umumnya, Anda dapat menggabungkan pernyataan hanya ketika elemen `Effect` dan `Resource` dalam setiap pernyataan identik.
## Lebih dari satu elemen pernyataan
Kesalahan ini pada awalnya mungkin tampak seperti variasi pada kesalahan di bagian sebelumnya. Namun demikian, secara sintaksis ini adalah jenis kesalahan yang berbeda. Dalam contoh berikut, hanya ada satu objek kebijakan yang ditandai dengan sepasang rungkup \$1 \$1 di tingkat atas. Namun, objek tersebut berisi dua elemen `Statement` di dalamnya.
SCP harus berisi hanya satu elemen `Statement`, yang terdiri atas nama (`Statement`) yang muncul di sebelah kiri titik dua, diikuti dengan nilainya di sebelah kanan. Nilai dari elemen `Statement` harus berupa objek, yang ditandai dengan rungkup \$1 \$1, yang berisi satu elemen `Effect`, satu elemen `Action`, dan satu elemen `Resource`. Contoh berikut ini ***salah*** karena berisi dua elemen `Statement` dalam objek kebijakan:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:Describe*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "s3:*",
"Resource": "*"
}
]
}
```
------
Karena objek nilai dapat berupa array berbagai objek nilai, maka Anda dapat memecahkan masalah ini dengan menggabungkan kedua elemen `Statement` ke dalam satu elemen dengan objek array, seperti ditunjukkan dalam contoh berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:Describe*",
"Resource":"*"
},
{
"Effect": "Deny",
"Action": "s3:*",
"Resource": "*"
}
]
}
```
------
Nilai dari elemen `Statement` merupakan himpunan objek. Array dalam contoh ini terdiri dari dua objek, yang masing-masing merupakan nilai yang benar untuk elemen `Statement`. Setiap objek di himpunan dipisahkan dengan koma.
## Dokumen kebijakan melebihi ukuran maksimum
Ukuran maksimum dokumen SCP adalah 5.120 karakter. Ukuran maksimum ini mencakup semua karakter, termasuk spasi kosong. Untuk mengurangi ukuran SCP Anda, Anda dapat menghapus semua karakter spasi kosong (seperti spasi dan baris putus) yang berada di luar tanda kutip.
**catatan**
Jika Anda menyimpan kebijakan dengan menggunakan Konsol Manajemen AWS, spasi putih ekstra antara elemen JSON dan di luar tanda kutip akan dihapus dan tidak dihitung. Jika Anda menyimpan kebijakan menggunakan operasi SDK atau operasi AWS CLI, kebijakan akan disimpan persis seperti yang Anda berikan dan tidak terjadi penghapusan karakter secara otomatis.
# Kebijakan kontrol sumber daya (RCPs)
**catatan**
**Kebijakan kontrol layanan (SCPs) dan kebijakan kontrol sumber daya (RCPs)**
Gunakan SCP saat Anda perlu membatasi izin prinsipal IAM dalam akun anggota organisasi Anda.
Gunakan RCP saat Anda perlu membatasi prinsipal IAM yang berada di luar akun organisasi Anda yang membuat permintaan untuk mengakses sumber daya dalam akun anggota organisasi Anda.
Untuk informasi lebih lanjut, lihat [Memahami SCPs dan RCPs](orgs_manage_policies_authorization_policies.md).
Kebijakan kontrol sumber daya (RCPs) adalah jenis kebijakan organisasi yang dapat Anda gunakan untuk mengelola izin di organisasi Anda. RCPs menawarkan kontrol pusat atas izin maksimum yang tersedia untuk sumber daya di organisasi Anda. RCPs membantu Anda memastikan sumber daya di akun Anda tetap berada dalam pedoman kontrol akses organisasi Anda. RCPs hanya tersedia di organisasi yang memiliki [semua fitur yang diaktifkan](orgs_manage_org_support-all-features.md). RCPs tidak tersedia jika organisasi Anda hanya mengaktifkan fitur penagihan gabungan. Untuk petunjuk tentang mengaktifkan RCPs, lihat[Mengaktifkan jenis kebijakan](enable-policy-type.md).
RCPs saja tidak cukup dalam memberikan izin ke sumber daya di organisasi Anda. Tidak ada izin yang diberikan oleh RCP. RCP mendefinisikan pagar pembatas izin, atau menetapkan batasan, pada tindakan yang dapat diambil identitas terhadap sumber daya di organisasi Anda. Administrator harus tetap melampirkan kebijakan berbasis identitas ke pengguna atau peran IAM, atau kebijakan berbasis sumber daya ke sumber daya di akun Anda untuk benar-benar memberikan izin. *Untuk informasi selengkapnya, lihat Kebijakan [berbasis identitas dan kebijakan berbasis sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) di Panduan Pengguna IAM.*
[Izin efektif](#rcp-effects-on-permissions) adalah persimpangan logis antara apa yang diizinkan oleh [kebijakan kontrol layanan (SCPs) RCPs dan apa yang diizinkan oleh kebijakan](orgs_manage_policies_scps.md) berbasis identitas dan sumber daya.
**RCPs tidak memengaruhi sumber daya di akun manajemen**
RCPs tidak memengaruhi sumber daya di akun manajemen. Mereka hanya memengaruhi sumber daya di akun anggota dalam organisasi Anda. Ini juga berarti bahwa RCPs berlaku untuk akun anggota yang ditunjuk sebagai administrator yang didelegasikan.
****Topik di halaman ini****
+ [Daftar dukungan Layanan AWS itu RCPs](#rcp-supported-services)
+ [Pengujian efek RCPs](#rcp-warning-testing-effect)
+ [Ukuran maksimal RCPs](#rcp-size-limit)
+ [Melampirkan RCPs ke berbagai tingkatan dalam organisasi](#rcp-about-inheritance)
+ [Efek RCP pada izin](#rcp-effects-on-permissions)
+ [Sumber daya dan entitas yang tidak dibatasi oleh RCPs](#actions-not-restricted-by-rcps)
+ [Evaluasi RCP](orgs_manage_policies_rcps_evaluation.md)
+ [Sintaks RCP](orgs_manage_policies_rcps_syntax.md)
+ [Contoh kebijakan pengendalian sumber daya](orgs_manage_policies_rcps_examples.md)
## Daftar dukungan Layanan AWS itu RCPs
RCPs berlaku untuk tindakan sebagai berikut Layanan AWS:
+ [Amazon S3](https://docs.aws.amazon.com/s3)
+ [AWS Security Token Service](https://docs.aws.amazon.com/iam)
+ [AWS Key Management Service](https://docs.aws.amazon.com/kms)
+ [Amazon SQS](https://docs.aws.amazon.com/sqs)
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager)
+ [Amazon Cognito](https://docs.aws.amazon.com/cognito)
+ [ CloudWatch Log Amazon](https://docs.aws.amazon.com/cloudwatch)
+ [Amazon DynamoDB](https://docs.aws.amazon.com/dynamodb)
+ [Amazon Elastic Container Registry](https://docs.aws.amazon.com/ecr)
+ [Amazon Tanpa OpenSearch Server](https://docs.aws.amazon.com/opensearch-service)
## Pengujian efek RCPs
AWS sangat menyarankan agar Anda tidak melampirkan RCPs ke akar organisasi Anda tanpa menguji secara menyeluruh dampak kebijakan terhadap sumber daya di akun Anda. Anda dapat mulai dengan melampirkan RCPs ke akun pengujian individual, memindahkannya ke OUs tingkat yang lebih rendah dalam hierarki, dan kemudian naik melalui struktur organisasi sesuai kebutuhan. Salah satu cara untuk menentukan dampak adalah dengan meninjau AWS CloudTrail log untuk kesalahan Access Denied.
## Ukuran maksimal RCPs
Semua karakter dalam RCP Anda dihitung terhadap [ukuran maksimumnya](orgs_reference_limits.md#min-max-values). Contoh dalam panduan ini menunjukkan RCPs format dengan ruang putih ekstra untuk meningkatkan keterbacaannya. Namun, untuk menghemat ruang jika ukuran kebijakan Anda mendekati ukuran maksimum, maka Anda dapat menghapus spasi kosong, seperti spasi karakter dan baris putus yang berada di luar tanda kutip.
**Tip**
Gunakan editor visual untuk membangun RCP Anda. Ia secara otomatis menghilangkan spasi kosong.
## Melampirkan RCPs ke berbagai tingkatan dalam organisasi
Anda dapat melampirkan RCPs langsung ke akun individu OUs,, atau root organisasi. Untuk penjelasan rinci tentang cara RCPs kerja, lihat[Evaluasi RCP](orgs_manage_policies_rcps_evaluation.md).
## Efek RCP pada izin
RCPs adalah jenis kebijakan AWS Identity and Access Management (IAM). Mereka paling erat kaitannya dengan kebijakan [berbasis sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html). Namun, RCP tidak pernah memberikan izin. Sebagai gantinya, RCPs adalah kontrol akses yang menentukan izin maksimum yang tersedia untuk sumber daya di organisasi Anda. Untuk informasi selengkapnya, lihat [Logika evaluasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) di *Panduan Pengguna IAM*.
+ RCPs berlaku untuk sumber daya untuk subset. Layanan AWS Untuk informasi selengkapnya, lihat [Daftar dukungan Layanan AWS itu RCPs](#rcp-supported-services).
+ RCPs ***hanya mempengaruhi sumber daya*** yang dikelola oleh akun yang merupakan bagian dari organisasi yang telah melampirkan RCPs. Mereka tidak memengaruhi sumber daya dari akun di luar organisasi. Misalnya, pertimbangkan bucket Amazon S3 yang dimiliki oleh Akun A di suatu organisasi. Kebijakan bucket (kebijakan berbasis sumber daya) memberikan akses ke pengguna dari Akun B di luar organisasi. Akun A memiliki RCP terlampir. RCP tersebut berlaku untuk bucket S3 di Akun A bahkan ketika diakses oleh pengguna dari Akun B. Namun, RCP tersebut tidak berlaku untuk sumber daya di Akun B saat diakses oleh pengguna di Akun A.
+ RCP membatasi izin untuk sumber daya di akun anggota. Sumber daya apa pun di akun hanya memiliki izin yang diizinkan oleh ***setiap*** orang tua di atasnya. Jika izin diblokir pada tingkat mana pun di atas akun, sumber daya di akun yang terpengaruh tidak memiliki izin tersebut, meskipun pemilik sumber daya melampirkan kebijakan berbasis sumber daya yang memungkinkan akses penuh ke pengguna mana pun.
+ RCPs berlaku untuk sumber daya yang diotorisasi sebagai bagian dari permintaan operasi. Sumber daya ini dapat ditemukan di kolom “Jenis sumber daya” dari tabel Tindakan di [Referensi Otorisasi Layanan](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html#actions_table). Jika sumber daya ditentukan dalam kolom “Jenis sumber daya”, maka akun utama panggilan diterapkan. RCPs Misalnya, `s3:GetObject` mengotorisasi sumber daya objek. Setiap kali `GetObject` permintaan dibuat, RCP yang berlaku akan berlaku untuk menentukan apakah prinsipal yang meminta dapat memanggil operasi. `GetObject` *RCP yang berlaku* adalah RCP yang telah dilampirkan ke akun, ke unit organisasi (OU), atau ke akar organisasi yang memiliki sumber daya yang diakses.
+ RCPs hanya mempengaruhi sumber daya di akun ***anggota*** dalam organisasi. Mereka tidak berpengaruh pada sumber daya di akun manajemen. Ini juga berarti bahwa RCPs berlaku untuk akun anggota yang ditunjuk sebagai administrator yang didelegasikan. Untuk informasi selengkapnya, lihat [Praktik terbaik untuk akun manajemen](orgs_best-practices_mgmt-acct.md).
+ Ketika prinsipal membuat permintaan untuk mengakses sumber daya dalam akun yang memiliki RCP terlampir (sumber daya dengan RCP yang berlaku), RCP disertakan dalam logika evaluasi kebijakan untuk menentukan apakah prinsipal diizinkan atau ditolak aksesnya.
+ RCPs berdampak pada izin efektif dari kepala sekolah yang mencoba mengakses sumber daya di akun anggota dengan RCP yang berlaku, terlepas dari apakah prinsipal milik organisasi yang sama atau tidak. Ini termasuk pengguna root. Pengecualian adalah ketika prinsipal adalah peran terkait layanan karena RCPs tidak berlaku untuk panggilan yang dibuat oleh peran terkait layanan. Peran terkait layanan memungkinkan Layanan AWS untuk melakukan tindakan yang diperlukan atas nama Anda dan tidak dapat dibatasi oleh. RCPs
+ Pengguna dan peran masih harus diberikan izin dengan kebijakan izin IAM yang sesuai, termasuk kebijakan berbasis identitas dan sumber daya. Pengguna atau peran tanpa kebijakan izin IAM tidak memiliki akses, bahkan jika RCP yang berlaku mengizinkan semua layanan, semua tindakan, dan semua sumber daya.
## Sumber daya dan entitas yang tidak dibatasi oleh RCPs
Anda ***tidak dapat*** menggunakan RCPs untuk membatasi hal-hal berikut:
+ Tindakan apa pun pada sumber daya di akun manajemen.
+ RCPs tidak memengaruhi izin efektif dari peran terkait layanan apa pun. Peran terkait layanan adalah jenis peran IAM unik yang ditautkan langsung ke AWS layanan dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda. Izin peran terkait layanan tidak dapat dibatasi oleh. RCPs RCPs juga tidak memengaruhi kemampuan AWS layanan untuk mengambil peran terkait layanan; yaitu, kebijakan kepercayaan peran terkait layanan juga tidak terpengaruh oleh. RCPs
+ RCPs tidak berlaku [Kunci yang dikelola AWS untuk AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk). Kunci yang dikelola AWS dibuat, dikelola, dan digunakan atas nama Anda oleh Layanan AWS. Anda tidak dapat mengubah atau mengelola izin mereka.
+ RCPs jangan memengaruhi izin berikut:
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/organizations/latest/userguide/orgs_manage_policies_rcps.html)
# Evaluasi RCP
**catatan**
Informasi di bagian ini ***tidak*** berlaku untuk jenis kebijakan manajemen, termasuk kebijakan cadangan, kebijakan tag, kebijakan aplikasi obrolan, atau kebijakan opt-out layanan AI. Untuk informasi selengkapnya, lihat [Memahami warisan kebijakan manajemen](orgs_manage_policies_inheritance_mgmt.md).
Karena Anda dapat melampirkan beberapa kebijakan kontrol sumber daya (RCPs) pada tingkat yang berbeda AWS Organizations, memahami bagaimana RCPs dievaluasi dapat membantu Anda menulis RCPs yang menghasilkan hasil yang tepat.
## Strategi untuk menggunakan RCPs
`RCPFullAWSAccess`Kebijakan tersebut adalah kebijakan yang AWS dikelola. Ini secara otomatis dilampirkan ke root organisasi, setiap OU, dan setiap akun di organisasi Anda, ketika Anda mengaktifkan kebijakan kontrol sumber daya (RCPs). Anda tidak dapat melepaskan kebijakan ini. RCP default ini memungkinkan semua prinsipal dan akses tindakan untuk melewati evaluasi RCP, yang berarti sampai Anda mulai membuat dan melampirkan RCPs, semua izin IAM Anda yang ada terus beroperasi seperti yang mereka lakukan. Kebijakan AWS terkelola ini tidak memberikan akses.
Anda dapat menggunakan `Deny` pernyataan untuk memblokir akses ke sumber daya di organisasi Anda. Agar izin **ditolak** untuk sumber daya di akun tertentu, **RCP apa pun** dari root melalui setiap OU di jalur langsung ke akun (termasuk akun target itu sendiri) dapat menolak izin itu.
`Deny`pernyataan adalah cara yang ampuh untuk menerapkan pembatasan yang harus benar untuk bagian yang lebih luas dari organisasi Anda. Misalnya, Anda dapat melampirkan kebijakan untuk membantu mencegah identitas eksternal organisasi Anda mengakses tingkat akar sumber daya Anda, dan itu akan efektif untuk semua akun di organisasi. AWS sangat menyarankan agar Anda tidak melampirkan RCPs ke akar organisasi Anda tanpa menguji secara menyeluruh dampak kebijakan terhadap sumber daya di akun Anda. Untuk informasi selengkapnya, lihat [Pengujian efek RCPs](orgs_manage_policies_rcps.md#rcp-warning-testing-effect).
Pada Gambar 1, ada RCP yang melekat pada OU Produksi yang memiliki `Deny` pernyataan eksplisit yang ditentukan untuk layanan tertentu. Akibatnya, baik Akun A dan Akun B akan ditolak akses ke layanan karena kebijakan penolakan yang dilampirkan ke tingkat mana pun dalam organisasi dievaluasi untuk semua akun anggota OUs dan di bawahnya.
![\[Contoh struktur organisasi dengan pernyataan Deny yang dilampirkan di Production OU dan dampaknya pada Akun A dan Akun B\]](http://docs.aws.amazon.com/id_id/organizations/latest/userguide/images/rcp_deny_1.png)
*Gambar 1: Contoh struktur organisasi dengan `Deny` pernyataan terlampir di Produksi OU dan dampaknya pada Akun A dan Akun B*
# Sintaks RCP
Kebijakan kontrol sumber daya (RCPs) menggunakan sintaks serupa dengan yang digunakan oleh kebijakan berbasis [sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based). Untuk informasi selengkapnya tentang kebijakan IAM dan sintaksisnya, lihat [Gambaran Umum Kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dalam *Panduan Pengguna IAM*.
RCP disusun sesuai dengan aturan [JSON](http://json.org). Ia menggunakan elemen-elemen yang dijelaskan dalam topik ini.
**catatan**
Semua karakter dalam RCP Anda dihitung terhadap [ukuran maksimumnya](orgs_reference_limits.md#min-max-values). Contoh dalam panduan ini menunjukkan RCPs format dengan ruang putih ekstra untuk meningkatkan keterbacaannya. Namun, untuk menghemat ruang jika ukuran kebijakan Anda mendekati ukuran maksimum, maka Anda dapat menghapus spasi kosong, seperti spasi karakter dan baris putus yang berada di luar tanda kutip.
Untuk informasi umum tentang RCPs, lihat[Kebijakan kontrol sumber daya (RCPs)](orgs_manage_policies_rcps.md).
## Ringkasan elemen
Tabel berikut merangkum elemen kebijakan yang dapat Anda gunakan. RCPs
**catatan**
**Efek `Allow` hanya didukung untuk `RCPFullAWSAccess` kebijakan**
`Allow`Efeknya hanya didukung untuk `RCPFullAWSAccess` kebijakan. Kebijakan ini secara otomatis dilampirkan ke root organisasi, setiap OU, dan setiap akun di organisasi Anda, saat Anda mengaktifkan kebijakan kontrol sumber daya (RCPs). Anda tidak dapat melepaskan kebijakan ini. RCP default ini memungkinkan semua prinsipal dan akses tindakan untuk melewati evaluasi RCP, yang berarti sampai Anda mulai membuat dan melampirkan RCPs, semua izin IAM Anda yang ada terus beroperasi seperti yang mereka lakukan. Ini tidak memberikan akses.
| Elemen | Tujuan |
| --- | --- |
| [Versi](#rcp-syntax-version) | Menentukan aturan sintaksis bahasa yang digunakan untuk memproses kebijakan. |
| [Pernyataan](#rcp-syntax-statement) | Berfungsi sebagai kontainer untuk elemen kebijakan. Anda dapat memiliki beberapa pernyataan di RCPs. |
| [ID Pernyataan (Sid)](#rcp-syntax-sid) | (Opsional) Menyediakan nama yang ramah untuk pernyataan tersebut. |
| [Efek](#rcp-syntax-effect) | Mendefinisikan apakah pernyataan RCP menolak akses ke sumber daya dalam akun. |
| [Kepala Sekolah](#rcp-syntax-principal) | Menentukan prinsipal yang diizinkan atau ditolak akses ke sumber daya dalam akun. |
| [Tindakan](#rcp-syntax-action) | Menentukan AWS layanan dan tindakan yang RCP memungkinkan atau menyangkal. |
| [Sumber Daya](#rcp-syntax-resource) | Menentukan AWS sumber daya yang RCP berlaku untuk. |
| [NotResource](#rcp-syntax-resource) | Menentukan AWS sumber daya yang dikecualikan dari RCP. Digunakan sebagai pengganti dari elemen `Resource`. |
| [Kondisi](#rcp-syntax-condition) | Menentukan syarat ketika pernyataan ini berlaku. |
**Topics**
+ [Ringkasan elemen](#rcp-elements-table)
+ [Elemen `Version`](#rcp-syntax-version)
+ [Elemen `Statement`](#rcp-syntax-statement)
+ [Elemen ID pernyataan (`Sid`)](#rcp-syntax-sid)
+ [Elemen `Effect`](#rcp-syntax-effect)
+ [Elemen `Principal`](#rcp-syntax-principal)
+ [Elemen `Action`](#rcp-syntax-action)
+ [Elemen `Resource` dan `NotResource`](#rcp-syntax-resource)
+ [Elemen `Condition`](#rcp-syntax-condition)
+ [Elemen yang Tidak Didukung](#rcp-syntax-unsupported)
## Elemen `Version`
Setiap RCP harus menyertakan `Version` elemen dengan nilai**"2012-10-17"**. Ini adalah nilai versi yang sama sebagai versi terbaru dari kebijakan izin IAM.
Untuk informasi selengkapnya, lihat [Elemen Kebijakan IAM JSON: Versi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_version.html) dalam *Panduan Pengguna IAM*.
## Elemen `Statement`
RCP terdiri dari satu atau lebih `Statement` elemen. Anda hanya dapat memiliki satu kata kunci `Statement` dalam kebijakan, tetapi nilai dapat berupa array JSON dari pernyataan (diapit oleh karakter [ ]).
Contoh berikut menunjukkan pernyataan tunggal yang terdiri dari tunggal`Effect`,`Principal`,`Action`, dan `Resource` elemen.
```
{
"Statement": {
"Effect": "Deny",
"Principal": "*",
"Action": "s3:PutBucketPublicAccessBlock",
"Resource": "*"
}
}
```
Untuk informasi selengkapnya, lihat [Elemen kebijakan IAM JSON: Pernyataan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_statement.html) dalam *Panduan Pengguna IAM*.
## Elemen ID pernyataan (`Sid`)
`Sid` adalah pengidentifikasi opsional yang Anda berikan untuk pernyataan kebijakan. Anda dapat menetapkan nilai `Sid` untuk setiap pernyataan dalam rangkaian pernyataan. Contoh berikut RCP menunjukkan `Sid` pernyataan sampel.
```
{
"Statement": {
"Sid": "DenyBPAConfigurations",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:PutBucketPublicAccessBlock",
"Resource": "*"
}
}
```
Untuk informasi selengkapnya, lihat [IAM JSON Policy Elements: Sid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_sid.html) di Panduan Pengguna *IAM*.
## Elemen `Effect`
Setiap pernyataan harus berisi satu elemen `Effect`. Menggunakan nilai `Deny` dalam `Effect` elemen, Anda dapat membatasi akses ke sumber daya tertentu atau menentukan kondisi kapan RCPs berlaku. Untuk RCPs itu Anda buat, nilainya harus`Deny`. Untuk informasi selengkapnya, lihat [Evaluasi RCP](orgs_manage_policies_rcps_evaluation.md) dan [Elemen Kebijakan IAM JSON: Efek](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_effect.html) dalam Panduan Pengguna *IAM*.
## Elemen `Principal`
Setiap pernyataan harus mengandung `Principal` elemen. Anda hanya dapat menentukan “`*`” dalam `Principal` elemen RCP. Gunakan `Conditions` elemen untuk membatasi prinsipal tertentu.
Untuk informasi selengkapnya, lihat [IAM JSON Policy Elements: Principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam Panduan Pengguna *IAM*.
## Elemen `Action`
Setiap pernyataan harus mengandung `Action` elemen.
Nilai untuk `Action` elemen adalah string atau daftar (array JSON) string yang mengidentifikasi AWS layanan dan tindakan yang diizinkan atau ditolak oleh pernyataan.
Setiap string terdiri dari singkatan untuk layanan (seperti “s3", “sqs”, atau “sts”), dalam semua huruf kecil, diikuti oleh titik dua dan kemudian tindakan dari layanan itu. Umumnya, mereka semua dimasukkan dengan setiap kata dimulai dengan huruf besar dan sisanya huruf kecil. Sebagai contoh: `"s3:ListAllMyBuckets"`.
Anda juga dapat menggunakan karakter wildcard seperti asterisk (\$1) atau tanda tanya (?) dalam RCP:
+ Gunakan tanda bintang (\$1) sebagai wildcard untuk mencocokkan beberapa tindakan yang berbagi bagian dari nama. Nilai `"s3:*"` artinya semua tindakan dalam layanan Amazon S3. Nilai hanya `"sts:Get*"` cocok dengan AWS STS tindakan yang dimulai dengan “Dapatkan”.
+ Gunakan tanda tanya (?) wildcard untuk mencocokkan satu karakter.
**catatan**
**Wildcard (\$1) dan tanda tanya (?) dapat digunakan di mana saja dalam nama tindakan**
Anda tidak dapat menggunakan “\$1” dalam elemen Tindakan RCP yang dikelola pelanggan dan harus menentukan singkatan untuk layanan (seperti “s3", “sqs”, atau “sts”) yang ingin Anda batasi aksesnya.
Untuk daftar layanan yang mendukung RCPs, lihat[Daftar dukungan Layanan AWS itu RCPs](orgs_manage_policies_rcps.md#rcp-supported-services). Untuk daftar tindakan yang Layanan AWS didukung, lihat [Tindakan, Sumber Daya, dan Kunci Kondisi untuk AWS Layanan](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html.html) di *Referensi Otorisasi Layanan*.
Untuk informasi selengkapnya, lihat [Elemen kebijakan IAM JSON: Tindakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_action.html) dalam *Panduan Pengguna IAM*.
## Elemen `Resource` dan `NotResource`
Setiap pernyataan harus mengandung `NotResource` elemen `Resource` atau.
Anda dapat menggunakan karakter wildcard seperti tanda bintang (\$1) atau tanda tanya (?) dalam elemen sumber daya:
+ Gunakan tanda bintang (\$1) sebagai wildcard untuk mencocokkan beberapa sumber daya yang berbagi bagian dari nama.
+ Gunakan tanda tanya (?) wildcard untuk mencocokkan satu karakter.
*Untuk informasi selengkapnya, lihat [IAM JSON Policy Elements: Resource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) dan lihat [IAM JSON Policy Elements: NotResource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notresource.html) di Panduan Pengguna IAM.*
## Elemen `Condition`
Anda dapat menentukan `Condition` elemen dalam pernyataan penolakan dalam RCP.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:SecureTransport": "false"
}
}
}
]
}
```
------
RCP ini menolak akses ke operasi dan sumber daya Amazon S3 kecuali permintaan terjadi melalui transportasi aman (permintaan dikirim melalui TLS).
Untuk informasi selengkapnya, lihat [Elemen kebijakan IAM JSON: Syarat](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
## Elemen yang Tidak Didukung
Elemen-elemen berikut tidak didukung di RCPs:
+ `NotPrincipal`
+ `NotAction`
# Contoh kebijakan pengendalian sumber daya
Contoh [kebijakan kontrol sumber daya (RCPs)](orgs_manage_policies_rcps.md) yang ditampilkan dalam topik ini hanya untuk tujuan informasi.
**Sebelum menggunakan contoh-contoh ini**
Sebelum Anda menggunakan contoh ini RCPs di organisasi Anda, pertimbangkan hal berikut:
[Resource control policies (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) dimaksudkan untuk digunakan sebagai kontrol pencegahan kasar, dan mereka tidak memberikan akses. Anda tetap harus melampirkan [kebijakan berbasis identitas atau sumber daya ke prinsipal atau sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) IAM di akun Anda untuk benar-benar memberikan izin. Izin efektif adalah persimpangan logis antara kebijakan identitas SCP/RCP dan kebijakan SCP/RCP dan sumber daya. [Anda bisa mendapatkan detail lebih lanjut tentang efek RCP pada izin di sini.](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html#rcp-effects-on-permissions)
Kebijakan kontrol sumber daya dalam repositori ini ditampilkan sebagai contoh. Anda tidak boleh melampirkan RCPs tanpa menguji secara menyeluruh dampak kebijakan terhadap sumber daya di akun Anda. Setelah Anda memiliki kebijakan siap yang ingin Anda terapkan, kami sarankan pengujian di organisasi terpisah atau OU yang dapat mewakili lingkungan produksi Anda. Setelah diuji, Anda harus menerapkan perubahan untuk menguji OUs dan kemudian secara progresif menerapkan perubahan ke set yang lebih luas dari waktu ke waktu. OUs
[RCPFullAWSAccess](https://console.aws.amazon.com/organizations/v2/home/policies/resource-control-policy/p-RCPFullAWSAccess)Kebijakan ini secara otomatis dilampirkan ke root organisasi, setiap OU, dan setiap akun di organisasi Anda, saat Anda mengaktifkan kebijakan kontrol sumber daya (RCPs). RCP default ini memungkinkan semua prinsipal dan tindakan akses untuk melewati evaluasi RCP. Anda dapat menggunakan pernyataan Deny untuk membatasi akses ke sumber daya di organisasi Anda. Anda juga perlu memberikan izin yang sesuai kepada kepala sekolah Anda dengan menggunakan kebijakan berbasis identitas atau sumber daya.
[Kebijakan kontrol sumber daya (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html), ketika dilampirkan ke root organisasi, unit organisasi, atau akun menawarkan kontrol pusat atas izin maksimum yang tersedia untuk sumber daya di organisasi, unit organisasi, atau akun Anda. Karena RCP dapat diterapkan di berbagai tingkatan dalam suatu organisasi, memahami bagaimana [RCPs dievaluasi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps_evaluation.html) dapat membantu Anda menulis RCPs yang menghasilkan hasil yang diharapkan.
Contoh kebijakan di bagian ini menunjukkan implementasi dan penggunaan RCPs. Contoh-contoh tersebut ***tidak*** dimaksudkan untuk ditafsirkan sebagai rekomendasi AWS resmi atau praktik terbaik untuk diimplementasikan persis seperti yang ditunjukkan. Merupakan tanggung jawab Anda untuk secara hati-hati menguji kebijakan apa pun untuk kesesuaiannya untuk menyelesaikan persyaratan bisnis lingkungan Anda. Kebijakan pengendalian sumber daya berbasis penolakan dapat secara tidak sengaja membatasi atau memblokir penggunaan AWS layanan Anda kecuali Anda menambahkan pengecualian yang diperlukan ke kebijakan.
**Tip**
Sebelum menerapkan RCPs, selain meninjau [AWS CloudTrail log](https://aws.amazon.com/cloudtrail/), menilai [temuan akses eksternal IAM Access Analyzer dapat membantu memahami sumber daya mana yang saat ini bersifat publik atau dibagikan secara eksternal](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-findings-view.html#access-analyzer-findings-view-external).
## GitHub repositori
+ [Contoh kebijakan kontrol sumber daya](https://github.com/aws-samples/resource-control-policy-examples) - GitHub Repositori ini berisi contoh kebijakan untuk memulai atau mematangkan penggunaan Anda AWS RCPs