Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Kebijakan kontrol sumber daya (RCPs)
**catatan**
**Kebijakan kontrol layanan (SCPs) dan kebijakan kontrol sumber daya (RCPs)**
Gunakan SCP saat Anda perlu membatasi izin prinsipal IAM dalam akun anggota organisasi Anda.
Gunakan RCP saat Anda perlu membatasi prinsipal IAM yang berada di luar akun organisasi Anda yang membuat permintaan untuk mengakses sumber daya dalam akun anggota organisasi Anda.
Untuk informasi lebih lanjut, lihat [Memahami SCPs dan RCPs](orgs_manage_policies_authorization_policies.md).
Kebijakan kontrol sumber daya (RCPs) adalah jenis kebijakan organisasi yang dapat Anda gunakan untuk mengelola izin di organisasi Anda. RCPs menawarkan kontrol pusat atas izin maksimum yang tersedia untuk sumber daya di organisasi Anda. RCPs membantu Anda memastikan sumber daya di akun Anda tetap berada dalam pedoman kontrol akses organisasi Anda. RCPs hanya tersedia di organisasi yang memiliki [semua fitur yang diaktifkan](orgs_manage_org_support-all-features.md). RCPs tidak tersedia jika organisasi Anda hanya mengaktifkan fitur penagihan gabungan. Untuk petunjuk tentang mengaktifkan RCPs, lihat[Mengaktifkan jenis kebijakan](enable-policy-type.md).
RCPs saja tidak cukup dalam memberikan izin ke sumber daya di organisasi Anda. Tidak ada izin yang diberikan oleh RCP. RCP mendefinisikan pagar pembatas izin, atau menetapkan batasan, pada tindakan yang dapat diambil identitas terhadap sumber daya di organisasi Anda. Administrator harus tetap melampirkan kebijakan berbasis identitas ke pengguna atau peran IAM, atau kebijakan berbasis sumber daya ke sumber daya di akun Anda untuk benar-benar memberikan izin. *Untuk informasi selengkapnya, lihat Kebijakan [berbasis identitas dan kebijakan berbasis sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) di Panduan Pengguna IAM.*
[Izin efektif](#rcp-effects-on-permissions) adalah persimpangan logis antara apa yang diizinkan oleh [kebijakan kontrol layanan (SCPs) RCPs dan apa yang diizinkan oleh kebijakan](orgs_manage_policies_scps.md) berbasis identitas dan sumber daya.
**RCPs tidak memengaruhi sumber daya di akun manajemen**
RCPs tidak memengaruhi sumber daya di akun manajemen. Mereka hanya memengaruhi sumber daya di akun anggota dalam organisasi Anda. Ini juga berarti bahwa RCPs berlaku untuk akun anggota yang ditunjuk sebagai administrator yang didelegasikan.
****Topik di halaman ini****
+ [Daftar dukungan Layanan AWS itu RCPs](#rcp-supported-services)
+ [Pengujian efek RCPs](#rcp-warning-testing-effect)
+ [Ukuran maksimal RCPs](#rcp-size-limit)
+ [Melampirkan RCPs ke berbagai tingkatan dalam organisasi](#rcp-about-inheritance)
+ [Efek RCP pada izin](#rcp-effects-on-permissions)
+ [Sumber daya dan entitas yang tidak dibatasi oleh RCPs](#actions-not-restricted-by-rcps)
+ [Evaluasi RCP](orgs_manage_policies_rcps_evaluation.md)
+ [Sintaks RCP](orgs_manage_policies_rcps_syntax.md)
+ [Contoh kebijakan pengendalian sumber daya](orgs_manage_policies_rcps_examples.md)
## Daftar dukungan Layanan AWS itu RCPs
RCPs berlaku untuk tindakan sebagai berikut Layanan AWS:
+ [Amazon S3](https://docs.aws.amazon.com/s3)
+ [AWS Security Token Service](https://docs.aws.amazon.com/iam)
+ [AWS Key Management Service](https://docs.aws.amazon.com/kms)
+ [Amazon SQS](https://docs.aws.amazon.com/sqs)
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager)
+ [Amazon Cognito](https://docs.aws.amazon.com/cognito)
+ [ CloudWatch Log Amazon](https://docs.aws.amazon.com/cloudwatch)
+ [Amazon DynamoDB](https://docs.aws.amazon.com/dynamodb)
+ [Amazon Elastic Container Registry](https://docs.aws.amazon.com/ecr)
+ [Amazon Tanpa OpenSearch Server](https://docs.aws.amazon.com/opensearch-service)
## Pengujian efek RCPs
AWS sangat menyarankan agar Anda tidak melampirkan RCPs ke akar organisasi Anda tanpa menguji secara menyeluruh dampak kebijakan terhadap sumber daya di akun Anda. Anda dapat mulai dengan melampirkan RCPs ke akun pengujian individual, memindahkannya ke OUs tingkat yang lebih rendah dalam hierarki, dan kemudian naik melalui struktur organisasi sesuai kebutuhan. Salah satu cara untuk menentukan dampak adalah dengan meninjau AWS CloudTrail log untuk kesalahan Access Denied.
## Ukuran maksimal RCPs
Semua karakter dalam RCP Anda dihitung terhadap [ukuran maksimumnya](orgs_reference_limits.md#min-max-values). Contoh dalam panduan ini menunjukkan RCPs format dengan ruang putih ekstra untuk meningkatkan keterbacaannya. Namun, untuk menghemat ruang jika ukuran kebijakan Anda mendekati ukuran maksimum, maka Anda dapat menghapus spasi kosong, seperti spasi karakter dan baris putus yang berada di luar tanda kutip.
**Tip**
Gunakan editor visual untuk membangun RCP Anda. Ia secara otomatis menghilangkan spasi kosong.
## Melampirkan RCPs ke berbagai tingkatan dalam organisasi
Anda dapat melampirkan RCPs langsung ke akun individu OUs,, atau root organisasi. Untuk penjelasan rinci tentang cara RCPs kerja, lihat[Evaluasi RCP](orgs_manage_policies_rcps_evaluation.md).
## Efek RCP pada izin
RCPs adalah jenis kebijakan AWS Identity and Access Management (IAM). Mereka paling erat kaitannya dengan kebijakan [berbasis sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html). Namun, RCP tidak pernah memberikan izin. Sebagai gantinya, RCPs adalah kontrol akses yang menentukan izin maksimum yang tersedia untuk sumber daya di organisasi Anda. Untuk informasi selengkapnya, lihat [Logika evaluasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) di *Panduan Pengguna IAM*.
+ RCPs berlaku untuk sumber daya untuk subset. Layanan AWS Untuk informasi selengkapnya, lihat [Daftar dukungan Layanan AWS itu RCPs](#rcp-supported-services).
+ RCPs ***hanya mempengaruhi sumber daya*** yang dikelola oleh akun yang merupakan bagian dari organisasi yang telah melampirkan RCPs. Mereka tidak memengaruhi sumber daya dari akun di luar organisasi. Misalnya, pertimbangkan bucket Amazon S3 yang dimiliki oleh Akun A di suatu organisasi. Kebijakan bucket (kebijakan berbasis sumber daya) memberikan akses ke pengguna dari Akun B di luar organisasi. Akun A memiliki RCP terlampir. RCP tersebut berlaku untuk bucket S3 di Akun A bahkan ketika diakses oleh pengguna dari Akun B. Namun, RCP tersebut tidak berlaku untuk sumber daya di Akun B saat diakses oleh pengguna di Akun A.
+ RCP membatasi izin untuk sumber daya di akun anggota. Sumber daya apa pun di akun hanya memiliki izin yang diizinkan oleh ***setiap*** orang tua di atasnya. Jika izin diblokir pada tingkat mana pun di atas akun, sumber daya di akun yang terpengaruh tidak memiliki izin tersebut, meskipun pemilik sumber daya melampirkan kebijakan berbasis sumber daya yang memungkinkan akses penuh ke pengguna mana pun.
+ RCPs berlaku untuk sumber daya yang diotorisasi sebagai bagian dari permintaan operasi. Sumber daya ini dapat ditemukan di kolom “Jenis sumber daya” dari tabel Tindakan di [Referensi Otorisasi Layanan](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html#actions_table). Jika sumber daya ditentukan dalam kolom “Jenis sumber daya”, maka akun utama panggilan diterapkan. RCPs Misalnya, `s3:GetObject` mengotorisasi sumber daya objek. Setiap kali `GetObject` permintaan dibuat, RCP yang berlaku akan berlaku untuk menentukan apakah prinsipal yang meminta dapat memanggil operasi. `GetObject` *RCP yang berlaku* adalah RCP yang telah dilampirkan ke akun, ke unit organisasi (OU), atau ke akar organisasi yang memiliki sumber daya yang diakses.
+ RCPs hanya mempengaruhi sumber daya di akun ***anggota*** dalam organisasi. Mereka tidak berpengaruh pada sumber daya di akun manajemen. Ini juga berarti bahwa RCPs berlaku untuk akun anggota yang ditunjuk sebagai administrator yang didelegasikan. Untuk informasi selengkapnya, lihat [Praktik terbaik untuk akun manajemen](orgs_best-practices_mgmt-acct.md).
+ Ketika prinsipal membuat permintaan untuk mengakses sumber daya dalam akun yang memiliki RCP terlampir (sumber daya dengan RCP yang berlaku), RCP disertakan dalam logika evaluasi kebijakan untuk menentukan apakah prinsipal diizinkan atau ditolak aksesnya.
+ RCPs berdampak pada izin efektif dari kepala sekolah yang mencoba mengakses sumber daya di akun anggota dengan RCP yang berlaku, terlepas dari apakah prinsipal milik organisasi yang sama atau tidak. Ini termasuk pengguna root. Pengecualian adalah ketika prinsipal adalah peran terkait layanan karena RCPs tidak berlaku untuk panggilan yang dibuat oleh peran terkait layanan. Peran terkait layanan memungkinkan Layanan AWS untuk melakukan tindakan yang diperlukan atas nama Anda dan tidak dapat dibatasi oleh. RCPs
+ Pengguna dan peran masih harus diberikan izin dengan kebijakan izin IAM yang sesuai, termasuk kebijakan berbasis identitas dan sumber daya. Pengguna atau peran tanpa kebijakan izin IAM tidak memiliki akses, bahkan jika RCP yang berlaku mengizinkan semua layanan, semua tindakan, dan semua sumber daya.
## Sumber daya dan entitas yang tidak dibatasi oleh RCPs
Anda ***tidak dapat*** menggunakan RCPs untuk membatasi hal-hal berikut:
+ Tindakan apa pun pada sumber daya di akun manajemen.
+ RCPs tidak memengaruhi izin efektif dari peran terkait layanan apa pun. Peran terkait layanan adalah jenis peran IAM unik yang ditautkan langsung ke AWS layanan dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda. Izin peran terkait layanan tidak dapat dibatasi oleh. RCPs RCPs juga tidak memengaruhi kemampuan AWS layanan untuk mengambil peran terkait layanan; yaitu, kebijakan kepercayaan peran terkait layanan juga tidak terpengaruh oleh. RCPs
+ RCPs tidak berlaku [Kunci yang dikelola AWS untuk AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk). Kunci yang dikelola AWS dibuat, dikelola, dan digunakan atas nama Anda oleh Layanan AWS. Anda tidak dapat mengubah atau mengelola izin mereka.
+ RCPs jangan memengaruhi izin berikut:
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/organizations/latest/userguide/orgs_manage_policies_rcps.html)
# Evaluasi RCP
**catatan**
Informasi di bagian ini ***tidak*** berlaku untuk jenis kebijakan manajemen, termasuk kebijakan cadangan, kebijakan tag, kebijakan aplikasi obrolan, atau kebijakan opt-out layanan AI. Untuk informasi selengkapnya, lihat [Memahami warisan kebijakan manajemen](orgs_manage_policies_inheritance_mgmt.md).
Karena Anda dapat melampirkan beberapa kebijakan kontrol sumber daya (RCPs) pada tingkat yang berbeda AWS Organizations, memahami bagaimana RCPs dievaluasi dapat membantu Anda menulis RCPs yang menghasilkan hasil yang tepat.
## Strategi untuk menggunakan RCPs
`RCPFullAWSAccess`Kebijakan tersebut adalah kebijakan yang AWS dikelola. Ini secara otomatis dilampirkan ke root organisasi, setiap OU, dan setiap akun di organisasi Anda, ketika Anda mengaktifkan kebijakan kontrol sumber daya (RCPs). Anda tidak dapat melepaskan kebijakan ini. RCP default ini memungkinkan semua prinsipal dan akses tindakan untuk melewati evaluasi RCP, yang berarti sampai Anda mulai membuat dan melampirkan RCPs, semua izin IAM Anda yang ada terus beroperasi seperti yang mereka lakukan. Kebijakan AWS terkelola ini tidak memberikan akses.
Anda dapat menggunakan `Deny` pernyataan untuk memblokir akses ke sumber daya di organisasi Anda. Agar izin **ditolak** untuk sumber daya di akun tertentu, **RCP apa pun** dari root melalui setiap OU di jalur langsung ke akun (termasuk akun target itu sendiri) dapat menolak izin itu.
`Deny`pernyataan adalah cara yang ampuh untuk menerapkan pembatasan yang harus benar untuk bagian yang lebih luas dari organisasi Anda. Misalnya, Anda dapat melampirkan kebijakan untuk membantu mencegah identitas eksternal organisasi Anda mengakses tingkat akar sumber daya Anda, dan itu akan efektif untuk semua akun di organisasi. AWS sangat menyarankan agar Anda tidak melampirkan RCPs ke akar organisasi Anda tanpa menguji secara menyeluruh dampak kebijakan terhadap sumber daya di akun Anda. Untuk informasi selengkapnya, lihat [Pengujian efek RCPs](orgs_manage_policies_rcps.md#rcp-warning-testing-effect).
Pada Gambar 1, ada RCP yang melekat pada OU Produksi yang memiliki `Deny` pernyataan eksplisit yang ditentukan untuk layanan tertentu. Akibatnya, baik Akun A dan Akun B akan ditolak akses ke layanan karena kebijakan penolakan yang dilampirkan ke tingkat mana pun dalam organisasi dievaluasi untuk semua akun anggota OUs dan di bawahnya.
![\[Contoh struktur organisasi dengan pernyataan Deny yang dilampirkan di Production OU dan dampaknya pada Akun A dan Akun B\]](http://docs.aws.amazon.com/id_id/organizations/latest/userguide/images/rcp_deny_1.png)
*Gambar 1: Contoh struktur organisasi dengan `Deny` pernyataan terlampir di Produksi OU dan dampaknya pada Akun A dan Akun B*
# Sintaks RCP
Kebijakan kontrol sumber daya (RCPs) menggunakan sintaks serupa dengan yang digunakan oleh kebijakan berbasis [sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based). Untuk informasi selengkapnya tentang kebijakan IAM dan sintaksisnya, lihat [Gambaran Umum Kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dalam *Panduan Pengguna IAM*.
RCP disusun sesuai dengan aturan [JSON](http://json.org). Ia menggunakan elemen-elemen yang dijelaskan dalam topik ini.
**catatan**
Semua karakter dalam RCP Anda dihitung terhadap [ukuran maksimumnya](orgs_reference_limits.md#min-max-values). Contoh dalam panduan ini menunjukkan RCPs format dengan ruang putih ekstra untuk meningkatkan keterbacaannya. Namun, untuk menghemat ruang jika ukuran kebijakan Anda mendekati ukuran maksimum, maka Anda dapat menghapus spasi kosong, seperti spasi karakter dan baris putus yang berada di luar tanda kutip.
Untuk informasi umum tentang RCPs, lihat[Kebijakan kontrol sumber daya (RCPs)](orgs_manage_policies_rcps.md).
## Ringkasan elemen
Tabel berikut merangkum elemen kebijakan yang dapat Anda gunakan. RCPs
**catatan**
**Efek `Allow` hanya didukung untuk `RCPFullAWSAccess` kebijakan**
`Allow`Efeknya hanya didukung untuk `RCPFullAWSAccess` kebijakan. Kebijakan ini secara otomatis dilampirkan ke root organisasi, setiap OU, dan setiap akun di organisasi Anda, saat Anda mengaktifkan kebijakan kontrol sumber daya (RCPs). Anda tidak dapat melepaskan kebijakan ini. RCP default ini memungkinkan semua prinsipal dan akses tindakan untuk melewati evaluasi RCP, yang berarti sampai Anda mulai membuat dan melampirkan RCPs, semua izin IAM Anda yang ada terus beroperasi seperti yang mereka lakukan. Ini tidak memberikan akses.
| Elemen | Tujuan |
| --- | --- |
| [Versi](#rcp-syntax-version) | Menentukan aturan sintaksis bahasa yang digunakan untuk memproses kebijakan. |
| [Pernyataan](#rcp-syntax-statement) | Berfungsi sebagai kontainer untuk elemen kebijakan. Anda dapat memiliki beberapa pernyataan di RCPs. |
| [ID Pernyataan (Sid)](#rcp-syntax-sid) | (Opsional) Menyediakan nama yang ramah untuk pernyataan tersebut. |
| [Efek](#rcp-syntax-effect) | Mendefinisikan apakah pernyataan RCP menolak akses ke sumber daya dalam akun. |
| [Kepala Sekolah](#rcp-syntax-principal) | Menentukan prinsipal yang diizinkan atau ditolak akses ke sumber daya dalam akun. |
| [Tindakan](#rcp-syntax-action) | Menentukan AWS layanan dan tindakan yang RCP memungkinkan atau menyangkal. |
| [Sumber Daya](#rcp-syntax-resource) | Menentukan AWS sumber daya yang RCP berlaku untuk. |
| [NotResource](#rcp-syntax-resource) | Menentukan AWS sumber daya yang dikecualikan dari RCP. Digunakan sebagai pengganti dari elemen `Resource`. |
| [Kondisi](#rcp-syntax-condition) | Menentukan syarat ketika pernyataan ini berlaku. |
**Topics**
+ [Ringkasan elemen](#rcp-elements-table)
+ [Elemen `Version`](#rcp-syntax-version)
+ [Elemen `Statement`](#rcp-syntax-statement)
+ [Elemen ID pernyataan (`Sid`)](#rcp-syntax-sid)
+ [Elemen `Effect`](#rcp-syntax-effect)
+ [Elemen `Principal`](#rcp-syntax-principal)
+ [Elemen `Action`](#rcp-syntax-action)
+ [Elemen `Resource` dan `NotResource`](#rcp-syntax-resource)
+ [Elemen `Condition`](#rcp-syntax-condition)
+ [Elemen yang Tidak Didukung](#rcp-syntax-unsupported)
## Elemen `Version`
Setiap RCP harus menyertakan `Version` elemen dengan nilai**"2012-10-17"**. Ini adalah nilai versi yang sama sebagai versi terbaru dari kebijakan izin IAM.
Untuk informasi selengkapnya, lihat [Elemen Kebijakan IAM JSON: Versi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_version.html) dalam *Panduan Pengguna IAM*.
## Elemen `Statement`
RCP terdiri dari satu atau lebih `Statement` elemen. Anda hanya dapat memiliki satu kata kunci `Statement` dalam kebijakan, tetapi nilai dapat berupa array JSON dari pernyataan (diapit oleh karakter [ ]).
Contoh berikut menunjukkan pernyataan tunggal yang terdiri dari tunggal`Effect`,`Principal`,`Action`, dan `Resource` elemen.
```
{
"Statement": {
"Effect": "Deny",
"Principal": "*",
"Action": "s3:PutBucketPublicAccessBlock",
"Resource": "*"
}
}
```
Untuk informasi selengkapnya, lihat [Elemen kebijakan IAM JSON: Pernyataan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_statement.html) dalam *Panduan Pengguna IAM*.
## Elemen ID pernyataan (`Sid`)
`Sid` adalah pengidentifikasi opsional yang Anda berikan untuk pernyataan kebijakan. Anda dapat menetapkan nilai `Sid` untuk setiap pernyataan dalam rangkaian pernyataan. Contoh berikut RCP menunjukkan `Sid` pernyataan sampel.
```
{
"Statement": {
"Sid": "DenyBPAConfigurations",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:PutBucketPublicAccessBlock",
"Resource": "*"
}
}
```
Untuk informasi selengkapnya, lihat [IAM JSON Policy Elements: Sid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_sid.html) di Panduan Pengguna *IAM*.
## Elemen `Effect`
Setiap pernyataan harus berisi satu elemen `Effect`. Menggunakan nilai `Deny` dalam `Effect` elemen, Anda dapat membatasi akses ke sumber daya tertentu atau menentukan kondisi kapan RCPs berlaku. Untuk RCPs itu Anda buat, nilainya harus`Deny`. Untuk informasi selengkapnya, lihat [Evaluasi RCP](orgs_manage_policies_rcps_evaluation.md) dan [Elemen Kebijakan IAM JSON: Efek](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_effect.html) dalam Panduan Pengguna *IAM*.
## Elemen `Principal`
Setiap pernyataan harus mengandung `Principal` elemen. Anda hanya dapat menentukan “`*`” dalam `Principal` elemen RCP. Gunakan `Conditions` elemen untuk membatasi prinsipal tertentu.
Untuk informasi selengkapnya, lihat [IAM JSON Policy Elements: Principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam Panduan Pengguna *IAM*.
## Elemen `Action`
Setiap pernyataan harus mengandung `Action` elemen.
Nilai untuk `Action` elemen adalah string atau daftar (array JSON) string yang mengidentifikasi AWS layanan dan tindakan yang diizinkan atau ditolak oleh pernyataan.
Setiap string terdiri dari singkatan untuk layanan (seperti “s3", “sqs”, atau “sts”), dalam semua huruf kecil, diikuti oleh titik dua dan kemudian tindakan dari layanan itu. Umumnya, mereka semua dimasukkan dengan setiap kata dimulai dengan huruf besar dan sisanya huruf kecil. Sebagai contoh: `"s3:ListAllMyBuckets"`.
Anda juga dapat menggunakan karakter wildcard seperti asterisk (\$1) atau tanda tanya (?) dalam RCP:
+ Gunakan tanda bintang (\$1) sebagai wildcard untuk mencocokkan beberapa tindakan yang berbagi bagian dari nama. Nilai `"s3:*"` artinya semua tindakan dalam layanan Amazon S3. Nilai hanya `"sts:Get*"` cocok dengan AWS STS tindakan yang dimulai dengan “Dapatkan”.
+ Gunakan tanda tanya (?) wildcard untuk mencocokkan satu karakter.
**catatan**
**Wildcard (\$1) dan tanda tanya (?) dapat digunakan di mana saja dalam nama tindakan**
Anda tidak dapat menggunakan “\$1” dalam elemen Tindakan RCP yang dikelola pelanggan dan harus menentukan singkatan untuk layanan (seperti “s3", “sqs”, atau “sts”) yang ingin Anda batasi aksesnya.
Untuk daftar layanan yang mendukung RCPs, lihat[Daftar dukungan Layanan AWS itu RCPs](orgs_manage_policies_rcps.md#rcp-supported-services). Untuk daftar tindakan yang Layanan AWS didukung, lihat [Tindakan, Sumber Daya, dan Kunci Kondisi untuk AWS Layanan](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html.html) di *Referensi Otorisasi Layanan*.
Untuk informasi selengkapnya, lihat [Elemen kebijakan IAM JSON: Tindakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_action.html) dalam *Panduan Pengguna IAM*.
## Elemen `Resource` dan `NotResource`
Setiap pernyataan harus mengandung `NotResource` elemen `Resource` atau.
Anda dapat menggunakan karakter wildcard seperti tanda bintang (\$1) atau tanda tanya (?) dalam elemen sumber daya:
+ Gunakan tanda bintang (\$1) sebagai wildcard untuk mencocokkan beberapa sumber daya yang berbagi bagian dari nama.
+ Gunakan tanda tanya (?) wildcard untuk mencocokkan satu karakter.
*Untuk informasi selengkapnya, lihat [IAM JSON Policy Elements: Resource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) dan lihat [IAM JSON Policy Elements: NotResource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notresource.html) di Panduan Pengguna IAM.*
## Elemen `Condition`
Anda dapat menentukan `Condition` elemen dalam pernyataan penolakan dalam RCP.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:SecureTransport": "false"
}
}
}
]
}
```
------
RCP ini menolak akses ke operasi dan sumber daya Amazon S3 kecuali permintaan terjadi melalui transportasi aman (permintaan dikirim melalui TLS).
Untuk informasi selengkapnya, lihat [Elemen kebijakan IAM JSON: Syarat](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
## Elemen yang Tidak Didukung
Elemen-elemen berikut tidak didukung di RCPs:
+ `NotPrincipal`
+ `NotAction`
# Contoh kebijakan pengendalian sumber daya
Contoh [kebijakan kontrol sumber daya (RCPs)](orgs_manage_policies_rcps.md) yang ditampilkan dalam topik ini hanya untuk tujuan informasi.
**Sebelum menggunakan contoh-contoh ini**
Sebelum Anda menggunakan contoh ini RCPs di organisasi Anda, pertimbangkan hal berikut:
[Resource control policies (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) dimaksudkan untuk digunakan sebagai kontrol pencegahan kasar, dan mereka tidak memberikan akses. Anda tetap harus melampirkan [kebijakan berbasis identitas atau sumber daya ke prinsipal atau sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) IAM di akun Anda untuk benar-benar memberikan izin. Izin efektif adalah persimpangan logis antara kebijakan identitas SCP/RCP dan kebijakan SCP/RCP dan sumber daya. [Anda bisa mendapatkan detail lebih lanjut tentang efek RCP pada izin di sini.](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html#rcp-effects-on-permissions)
Kebijakan kontrol sumber daya dalam repositori ini ditampilkan sebagai contoh. Anda tidak boleh melampirkan RCPs tanpa menguji secara menyeluruh dampak kebijakan terhadap sumber daya di akun Anda. Setelah Anda memiliki kebijakan siap yang ingin Anda terapkan, kami sarankan pengujian di organisasi terpisah atau OU yang dapat mewakili lingkungan produksi Anda. Setelah diuji, Anda harus menerapkan perubahan untuk menguji OUs dan kemudian secara progresif menerapkan perubahan ke set yang lebih luas dari waktu ke waktu. OUs
[RCPFullAWSAccess](https://console.aws.amazon.com/organizations/v2/home/policies/resource-control-policy/p-RCPFullAWSAccess)Kebijakan ini secara otomatis dilampirkan ke root organisasi, setiap OU, dan setiap akun di organisasi Anda, saat Anda mengaktifkan kebijakan kontrol sumber daya (RCPs). RCP default ini memungkinkan semua prinsipal dan tindakan akses untuk melewati evaluasi RCP. Anda dapat menggunakan pernyataan Deny untuk membatasi akses ke sumber daya di organisasi Anda. Anda juga perlu memberikan izin yang sesuai kepada kepala sekolah Anda dengan menggunakan kebijakan berbasis identitas atau sumber daya.
[Kebijakan kontrol sumber daya (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html), ketika dilampirkan ke root organisasi, unit organisasi, atau akun menawarkan kontrol pusat atas izin maksimum yang tersedia untuk sumber daya di organisasi, unit organisasi, atau akun Anda. Karena RCP dapat diterapkan di berbagai tingkatan dalam suatu organisasi, memahami bagaimana [RCPs dievaluasi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps_evaluation.html) dapat membantu Anda menulis RCPs yang menghasilkan hasil yang diharapkan.
Contoh kebijakan di bagian ini menunjukkan implementasi dan penggunaan RCPs. Contoh-contoh tersebut ***tidak*** dimaksudkan untuk ditafsirkan sebagai rekomendasi AWS resmi atau praktik terbaik untuk diimplementasikan persis seperti yang ditunjukkan. Merupakan tanggung jawab Anda untuk secara hati-hati menguji kebijakan apa pun untuk kesesuaiannya untuk menyelesaikan persyaratan bisnis lingkungan Anda. Kebijakan pengendalian sumber daya berbasis penolakan dapat secara tidak sengaja membatasi atau memblokir penggunaan AWS layanan Anda kecuali Anda menambahkan pengecualian yang diperlukan ke kebijakan.
**Tip**
Sebelum menerapkan RCPs, selain meninjau [AWS CloudTrail log](https://aws.amazon.com/cloudtrail/), menilai [temuan akses eksternal IAM Access Analyzer dapat membantu memahami sumber daya mana yang saat ini bersifat publik atau dibagikan secara eksternal](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-findings-view.html#access-analyzer-findings-view-external).
## GitHub repositori
+ [Contoh kebijakan kontrol sumber daya](https://github.com/aws-samples/resource-control-policy-examples) - GitHub Repositori ini berisi contoh kebijakan untuk memulai atau mematangkan penggunaan Anda AWS RCPs