Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Identity and Access Management untuk Amazon Application Recovery Controller (ARC)
AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengontrol siapa yang dapat *diautentikasi* (masuk) dan *diberi wewenang* (memiliki izin) untuk menggunakan sumber daya ARC. IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.
## Audiens
Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda berdasarkan peran Anda:
+ **Pengguna layanan** - minta izin dari administrator Anda jika Anda tidak dapat mengakses fitur (lihat [Memecahkan masalah identitas dan akses Amazon Application Recovery Controller (ARC)](security_iam_troubleshoot.md))
+ **Administrator layanan** - tentukan akses pengguna dan mengirimkan permintaan izin (lihat [Bagaimana kemampuan Amazon Application Recovery Controller (ARC) bekerja dengan IAM](security_iam_service-with-iam.md))
+ **Administrator IAM** - tulis kebijakan untuk mengelola akses (lihat [Contoh kebijakan berbasis identitas di Amazon Application Recovery Controller (ARC)](security_iam_id-based-policy-examples.md))
## Mengautentikasi dengan identitas
Otentikasi adalah cara Anda masuk AWS menggunakan kredensi identitas Anda. Anda harus diautentikasi sebagai Pengguna root akun AWS, pengguna IAM, atau dengan mengasumsikan peran IAM.
Anda dapat masuk sebagai identitas federasi menggunakan kredensyal dari sumber identitas seperti AWS IAM Identity Center (Pusat Identitas IAM), autentikasi masuk tunggal, atau kredensyal. Google/Facebook Untuk informasi selengkapnya tentang cara masuk, lihat [Cara masuk ke Akun AWS Anda](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dalam *Panduan Pengguna AWS Sign-In *.
Untuk akses terprogram, AWS sediakan SDK dan CLI untuk menandatangani permintaan secara kriptografis. Untuk informasi selengkapnya, lihat [AWS Signature Version 4 untuk permintaan API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dalam *Panduan Pengguna IAM*.
### Akun AWS pengguna root
Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang disebut *pengguna Akun AWS root* yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Untuk tugas yang memerlukan kredensial pengguna root, lihat [Tugas yang memerlukan kredensial pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dalam *Panduan Pengguna IAM*.
### Identitas terfederasi
Sebagai praktik terbaik, mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses Layanan AWS menggunakan kredensyal sementara.
*Identitas federasi* adalah pengguna dari direktori perusahaan Anda, penyedia identitas web, atau Directory Service yang mengakses Layanan AWS menggunakan kredensyal dari sumber identitas. Identitas terfederasi mengambil peran yang memberikan kredensial sementara.
Untuk manajemen akses terpusat, kami menyarankan AWS IAM Identity Center. Untuk informasi selengkapnya, lihat [Apa itu Pusat Identitas IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dalam *Panduan Pengguna AWS IAM Identity Center *.
### Pengguna dan grup IAM
*[Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* adalah identitas dengan izin khusus untuk satu orang atau aplikasi. Sebaiknya gunakan kredensial sementara alih-alih pengguna IAM dengan kredensial jangka panjang. Untuk informasi selengkapnya, lihat [Mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensyal sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) di Panduan Pengguna *IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) menentukan kumpulan pengguna IAM dan mempermudah pengelolaan izin untuk pengguna dalam jumlah besar. Untuk mempelajari selengkapnya, lihat [Kasus penggunaan untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dalam *Panduan Pengguna IAM*.
### Peran IAM
*[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* adalah identitas dengan izin khusus yang menyediakan kredensial sementara. Anda dapat mengambil peran dengan [beralih dari pengguna ke peran IAM (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) atau dengan memanggil operasi AWS CLI atau AWS API. Untuk informasi selengkapnya, lihat [Metode untuk mengambil peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dalam *Panduan Pengguna IAM*.
Peran IAM berguna untuk akses pengguna terfederasi, izin pengguna IAM sementara, akses lintas akun, akses lintas layanan, dan aplikasi yang berjalan di Amazon EC2. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.
## Mengelola akses menggunakan kebijakan
Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan menentukan izin saat dikaitkan dengan identitas atau sumber daya. AWS mengevaluasi kebijakan ini ketika kepala sekolah membuat permintaan. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang dokumen kebijakan JSON, lihat [Gambaran umum kebijakan JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dalam *Panduan Pengguna IAM*.
Menggunakan kebijakan, administrator menentukan siapa yang memiliki akses ke apa dengan mendefinisikan **principal** mana yang dapat melakukan **tindakan** pada **sumber daya** apa, dan dalam **kondisi** apa.
Secara default, pengguna dan peran tidak memiliki izin. Administrator IAM membuat kebijakan IAM dan menambahkannya ke peran, yang kemudian dapat diambil oleh pengguna. Kebijakan IAM mendefinisikan izin terlepas dari metode yang Anda gunakan untuk melakukan operasinya.
### Kebijakan berbasis identitas
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang Anda lampirkan ke identitas (pengguna, grup, atau peran). Kebijakan ini mengontrol tindakan apa yang bisa dilakukan oleh identitas tersebut, terhadap sumber daya yang mana, dan dalam kondisi apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Kebijakan berbasis identitas dapat berupa *kebijakan inline* (disematkan langsung ke dalam satu identitas) atau *kebijakan terkelola* (kebijakan mandiri yang dilampirkan pada banyak identitas). Untuk mempelajari cara memilih antara kebijakan terkelola dan kebijakan inline, lihat [Pilih antara kebijakan terkelola dan kebijakan inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dalam *Panduan Pengguna IAM*.
### Kebijakan berbasis sumber daya
Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contohnya termasuk *kebijakan kepercayaan peran IAM* dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya.
Kebijakan berbasis sumber daya merupakan kebijakan inline yang terletak di layanan tersebut. Anda tidak dapat menggunakan kebijakan AWS terkelola dari IAM dalam kebijakan berbasis sumber daya.
### Jenis-jenis kebijakan lain
AWS mendukung jenis kebijakan tambahan yang dapat menetapkan izin maksimum yang diberikan oleh jenis kebijakan yang lebih umum:
+ **Batasan izin** – Menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Untuk informasi selengkapnya, lihat [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dalam *Panduan Pengguna IAM*.
+ **Kebijakan kontrol layanan (SCPs)** — Tentukan izin maksimum untuk organisasi atau unit organisasi di AWS Organizations. Untuk informasi selengkapnya, lihat [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dalam *Panduan Pengguna AWS Organizations *.
+ **Kebijakan kontrol sumber daya (RCPs)** — Tetapkan izin maksimum yang tersedia untuk sumber daya di akun Anda. Untuk informasi selengkapnya, lihat [Kebijakan kontrol sumber daya (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) di *Panduan AWS Organizations Pengguna*.
+ **Kebijakan sesi** – Kebijakan lanjutan yang diteruskan sebagai parameter saat membuat sesi sementara untuk peran atau pengguna terfederasi. Untuk informasi selengkapnya, lihat [Kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dalam *Panduan Pengguna IAM*.
### Berbagai jenis kebijakan
Ketika beberapa jenis kebijakan berlaku pada suatu permintaan, izin yang dihasilkan lebih rumit untuk dipahami. Untuk mempelajari cara AWS menentukan apakah akan mengizinkan permintaan saat beberapa jenis kebijakan terlibat, lihat [Logika evaluasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) di *Panduan Pengguna IAM*.
# Bagaimana kemampuan Amazon Application Recovery Controller (ARC) bekerja dengan IAM
Untuk informasi tentang cara kerja masing-masing kemampuan Amazon Application Recovery Controller (ARC) dengan IAM, lihat topik berikut:
+ [IAM untuk pergeseran zona](security-iam-zonalshift.md)
+ [IAM untuk pergeseran otomatis zona](security-iam-zonalautoshift.md)
+ [IAM untuk kontrol perutean](security-iam-routing.md)
+ [IAM untuk pemeriksaan kesiapan](security-iam-readiness.md)
+ [IAM untuk sakelar Wilayah](security-iam-region-switch.md)
# Contoh kebijakan berbasis identitas di Amazon Application Recovery Controller (ARC)
Untuk melihat contoh kebijakan berbasis identitas untuk setiap kemampuan di Amazon Application Recovery Controller (ARC), lihat topik berikut di AWS Identity and Access Management bab-babnya untuk setiap kemampuan:
+ [Contoh kebijakan berbasis identitas untuk pergeseran otomatis zona di ARC](security-iam-zonalshift.md)
+ [Contoh kebijakan berbasis identitas untuk pergeseran zona di ARC](security-iam-zonalautoshift.md)
+ [Contoh kebijakan berbasis identitas untuk kontrol perutean di ARC](security-iam-routing.md)
+ [Contoh kebijakan berbasis identitas untuk pemeriksaan kesiapan di ARC](security-iam-readiness.md)
# AWS kebijakan terkelola untuk Amazon Application Recovery Controller (ARC)
Untuk informasi tentang kebijakan AWS terkelola untuk kemampuan ARC dengan kebijakan terkelola, termasuk kebijakan terkelola untuk peran terkait layanan, lihat topik berikut:
+ [Kebijakan terkelola untuk pergeseran otomatis zona](security-iam-awsmanpol-zonal-autoshift.md)
+ [Kebijakan terkelola untuk kontrol perutean](security-iam-awsmanpol-routing.md)
+ [Kebijakan terkelola untuk pemeriksaan kesiapan](security-iam-awsmanpol-readiness.md)
## Pembaruan kebijakan AWS terkelola untuk Amazon Application Recovery Controller (ARC)
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk kapabilitas di ARC sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman [riwayat Dokumen](doc-history.md) ARC.
| Ubah | Deskripsi | Date |
| --- | --- | --- |
| [AmazonApplicationRecoveryControllerRegionSwitchPlanExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonApplicationRecoveryControllerRegionSwitchPlanExecutionPolicy.html) – Kebijakan baru | Amazon Application Recovery Controller (ARC) merilis kebijakan terkelola baru yang memberikan izin untuk eksekusi dan evaluasi rencana peralihan Wilayah. Kebijakan ini menyediakan akses hanya-baca ke informasi paket peralihan Wilayah, status eksekusi, dan data CloudWatch pemantauan Amazon. Ini juga termasuk izin untuk mensimulasikan kebijakan utama IAM untuk evaluasi rencana. | 3 November 2025 |
| [AWSZonalAutoshiftPracticeRunSLRPolicy kebijakan terkelola](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSZonalAutoshiftPracticeRunSLRPolicy.html) - Kebijakan yang diperbarui | Menambahkan pernyataan kebijakan `AutoshiftPracticeCheckPermissions` dengan izin`autoscaling:DescribeAutoScalingGroups`,, `ec2:DescribeInstances``elasticloadbalancing:DescribeTargetHealth`, dan `elasticloadbalancing:DescribeTargetHealth` untuk mendukung pemeriksaan kapasitas seimbang. Untuk mempelajari selengkapnya, lihat [Bagaimana zonal autoshift dan praktek berjalan bekerja](arc-zonal-autoshift.how-it-works.md). | Juni 30, 2025 |
| [AWSServiceRoleForPercPracticePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSZonalAutoshiftPracticeRunSLRPolicy.html)— Kebijakan baru | ARC menambahkan peran terkait layanan baru untuk autoshift dan praktik berjalan. ARC menggunakan izin yang diaktifkan oleh peran terkait layanan untuk memantau CloudWatch alarm Amazon yang disediakan pelanggan dan Dasbor Health peristiwa pelanggan untuk menjalankan praktik, dan untuk memulai praktik berjalan. Untuk mempelajari lebih lanjut tentang peran baru terkait layanan, lihat. [Izin peran terkait layanan untuk AWSService RoleForZonalAutoshiftPracticeRun](using-service-linked-roles-zonal-autoshift.md#slr-permissions-slr2) | 30 November 2023 |
| [AmazonRoute53 RecoveryControlConfigReadOnlyAccess](security-iam-awsmanpol-routing.md#security-iam-awsmanpol-AmazonRoute53RecoveryControlConfigReadOnlyAccess) - Kebijakan yang diperbarui | Menambahkan izin untuk`GetResourcePolicy`, untuk mendukung pengembalian detail tentang kebijakan AWS Resource Access Manager sumber daya untuk sumber daya bersama. | 18 Oktober 2023 |
| [Route53 RecoveryReadinessServiceRolePolicy - Kebijakan](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Route53RecoveryReadinessServiceRolePolicy.html) yang diperbarui | ARC menambahkan izin baru untuk menanyakan informasi tentang instans Amazon EC2. ARC menggunakan izin berikut untuk mendukung polling instans Amazon EC2, untuk menjalankan pemeriksaan kesiapan dan menentukan status kesiapan instans. `ec2:DescribeVpnGateways` `ec2:DescribeCustomerGateways` | 17 Februari 2023 |
| [Route53 RecoveryReadinessServiceRolePolicy - Kebijakan](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Route53RecoveryReadinessServiceRolePolicy.html) yang diperbarui | ARC menambahkan izin baru untuk menanyakan informasi tentang fungsi Lambda. ARC menggunakan izin berikut untuk menanyakan informasi tentang fungsi Lambda untuk menjalankan pemeriksaan kesiapan dan menentukan status kesiapan untuk fungsi tersebut. `lambda:ListProvisionedConcurrencyConfigs` | 31 Agustus 2022 |
| [AmazonRoute53 RecoveryControlConfigFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRoute53RecoveryControlConfigFullAccess.html) - Kebijakan yang diperbarui | Menghapus izin Amazon Route 53 dari kebijakan dan menambahkan catatan yang mencantumkan izin opsional. | 26 Mei 2022 |
| [AmazonRoute53 RecoveryControlConfigFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRoute53RecoveryControlConfigFullAccess.html) - Kebijakan yang diperbarui | Menambahkan izin Amazon Route 53 yang diperlukan yang tidak diperlukan ke kebijakan. | 15 April 2022 |
| [AmazonRoute53 RecoveryClusterReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRoute53RecoveryClusterReadOnlyAccess.html) - Kebijakan yang diperbarui | ARC menambahkan izin baru,`route53-recovery-cluster:ListRoutingControls`, untuk memungkinkan daftar kontrol routing ARNs dengan ketersediaan tinggi. | 15 Maret 2022 |
| [AmazonRoute53 RecoveryControlConfigReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRoute53RecoveryControlConfigReadOnlyAccess.html) - Kebijakan yang diperbarui | ARC menambahkan izin baru,`route53-recovery-control-config:ListTagsForResources`, untuk mengizinkan tag daftar untuk sumber daya. | Desember 20, 2021 |
| [Route53 RecoveryReadinessServiceRolePolicy - Kebijakan](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Route53RecoveryReadinessServiceRolePolicy.html) yang diperbarui | ARC menambahkan izin baru untuk menanyakan informasi tentang Amazon API Gateway. ARC menggunakan izin,`apigateway:GET`, untuk menanyakan informasi tentang API Gateway untuk menjalankan pemeriksaan kesiapan dan menentukan status kesiapan. | 28 Oktober 2021 |
| [AmazonRoute53 RecoveryReadinessReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRoute53RecoveryReadinessReadOnlyAccess.html) - Ditambahkan izin baru | ARC menambahkan dua izin baru ke [AmazonRoute53 RecoveryReadinessReadOnlyAccess](security-iam-awsmanpol-readiness.md#security-iam-awsmanpol-AmazonRoute53RecoveryReadinessReadOnlyAccess): ARC menggunakan `route53-recovery-readiness:GetArchitectureRecommendations` dan `route53-recovery-readiness:GetCellReadinessSummary` mengizinkan akses hanya-baca ke tindakan ini untuk bekerja dengan kesiapan pemulihan. | Oktober 15, 2021 |
| [Route53 RecoveryReadinessServiceRolePolicy - Kebijakan](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Route53RecoveryReadinessServiceRolePolicy.html) yang diperbarui | ARC menambahkan izin baru untuk menanyakan informasi tentang fungsi Lambda. ARC menggunakan izin berikut untuk menanyakan informasi tentang fungsi Lambda untuk menjalankan pemeriksaan kesiapan dan menentukan status kesiapan untuk fungsi tersebut. `lambda:GetFunctionConcurrency` `lambda:GetFunctionConfiguration` `lambda:GetProvisionedConcurrencyConfig` `lambda:ListAliases` `lambda:ListVersionsByFunction` `lambda:ListEventSourceMappings` `lambda:ListFunctions` | Oktober 8, 2021 |
| [Route53 RecoveryReadinessServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Route53RecoveryReadinessServiceRolePolicy.html) - Ditambahkan kebijakan terkelola baru | ARC menambahkan kebijakan terkelola baru berikut: [AmazonRoute53 RecoveryReadinessFullAccess](security-iam-awsmanpol-readiness.md#security-iam-awsmanpol-AmazonRoute53RecoveryReadinessFullAccess) [AmazonRoute53 RecoveryReadinessReadOnlyAccess](security-iam-awsmanpol-readiness.md#security-iam-awsmanpol-AmazonRoute53RecoveryReadinessReadOnlyAccess) [AmazonRoute53 RecoveryClusterFullAccess](security-iam-awsmanpol-routing.md#security-iam-awsmanpol-AmazonRoute53RecoveryClusterFullAccess) [AmazonRoute53 RecoveryClusterReadOnlyAccess](security-iam-awsmanpol-routing.md#security-iam-awsmanpol-AmazonRoute53RecoveryClusterReadOnlyAccess) [AmazonRoute53 RecoveryControlConfigFullAccess](security-iam-awsmanpol-routing.md#security-iam-awsmanpol-AmazonRoute53RecoveryControlConfigFullAccess) [AmazonRoute53 RecoveryControlConfigReadOnlyAccess](security-iam-awsmanpol-routing.md#security-iam-awsmanpol-AmazonRoute53RecoveryControlConfigReadOnlyAccess) | 18 Agustus 2021 |
| ARC mulai melacak perubahan | ARC mulai melacak perubahan untuk kebijakan AWS terkelolanya. | 27 Juli 2021 |
# Memecahkan masalah identitas dan akses Amazon Application Recovery Controller (ARC)
Gunakan informasi berikut untuk membantu Anda mendiagnosis dan memperbaiki masalah umum yang mungkin Anda temui saat bekerja dengan Amazon Application Recovery Controller (ARC) dan IAM.
**Topics**
+ [Saya tidak berwenang untuk melakukan tindakan di ARC](#security_iam_troubleshoot-no-permissions)
+ [Saya tidak berwenang untuk melakukan iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Saya ingin mengizinkan orang di luar saya Akun AWS untuk mengakses sumber daya ARC saya](#security_iam_troubleshoot-cross-account-access)
## Saya tidak berwenang untuk melakukan tindakan di ARC
Jika Konsol Manajemen AWS memberitahu Anda bahwa Anda tidak berwenang untuk melakukan tindakan, maka Anda harus menghubungi administrator Anda untuk bantuan. Administrator Anda adalah orang yang memberi Anda kredensi Anda.
Contoh kesalahan berikut terjadi ketika pengguna IAM `mateojackson` mencoba menggunakan konsol untuk melihat detail tentang suatu sumber daya fiktif `my-example-widget`, tetapi tidak memiliki izin fiktif `route53-recovery-readiness:GetWidget`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: route53-recovery-readiness:GetWidget on resource: my-example-widget
```
Dalam hal ini, Mateo meminta administratornya untuk memperbarui kebijakannya agar dia dapat mengakses `my-example-widget` menggunakan `route53-recovery-readiness:GetWidget` tindakan.
## Saya tidak berwenang untuk melakukan iam: PassRole
Jika Anda menerima kesalahan bahwa Anda tidak berwenang untuk melakukan `iam:PassRole` tindakan, kebijakan Anda harus diperbarui agar Anda dapat meneruskan peran ke ARC.
Beberapa Layanan AWS memungkinkan Anda untuk meneruskan peran yang ada ke layanan tersebut alih-alih membuat peran layanan baru atau peran terkait layanan. Untuk melakukannya, Anda harus memiliki izin untuk meneruskan peran ke layanan.
Contoh kesalahan berikut terjadi ketika pengguna IAM bernama `marymajor` mencoba menggunakan konsol untuk melakukan tindakan di ARC. Namun, tindakan tersebut memerlukan layanan untuk mendapatkan izin yang diberikan oleh peran layanan. Mary tidak memiliki izin untuk meneruskan peran tersebut pada layanan.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dalam kasus ini, kebijakan Mary harus diperbarui agar dia mendapatkan izin untuk melakukan tindakan `iam:PassRole` tersebut.
Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.
## Saya ingin mengizinkan orang di luar saya Akun AWS untuk mengakses sumber daya ARC saya
Anda dapat membuat peran yang dapat digunakan pengguna di akun lain atau orang-orang di luar organisasi Anda untuk mengakses sumber daya Anda. Anda dapat menentukan siapa saja yang dipercaya untuk mengambil peran tersebut. Untuk layanan yang mendukung kebijakan berbasis sumber daya atau daftar kontrol akses (ACLs), Anda dapat menggunakan kebijakan tersebut untuk memberi orang akses ke sumber daya Anda.
Untuk mempelajari selengkapnya, periksa referensi berikut:
+ Untuk mengetahui apakah ARC mendukung fitur-fitur ini, lihat[Bagaimana kemampuan Amazon Application Recovery Controller (ARC) bekerja dengan IAM](security_iam_service-with-iam.md).
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda di seluruh sumber daya Akun AWS yang Anda miliki, lihat [Menyediakan akses ke pengguna IAM di pengguna lain Akun AWS yang Anda miliki](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) di *Panduan Pengguna IAM*.
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda kepada pihak ketiga Akun AWS, lihat [Menyediakan akses yang Akun AWS dimiliki oleh pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dalam *Panduan Pengguna IAM*.
+ Untuk mempelajari cara memberikan akses melalui federasi identitas, lihat [Menyediakan akses ke pengguna terautentikasi eksternal (federasi identitas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dalam *Panduan Pengguna IAM*.
+ *Untuk mempelajari perbedaan antara menggunakan peran dan kebijakan berbasis sumber daya untuk akses lintas akun, lihat [Akses sumber daya lintas akun di IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html).*
# Akses pergeseran zona Amazon Application Recovery Controller (ARC) menggunakan endpoint antarmuka ()AWS PrivateLink
Anda dapat menggunakan AWS PrivateLink untuk membuat koneksi pribadi antara pergeseran zona VPC dan Amazon Application Recovery Controller (ARC). Anda dapat mengakses ARC zonal shift seolah-olah berada di VPC Anda, tanpa menggunakan gateway internet, perangkat NAT, koneksi VPN, atau koneksi. Direct Connect Instans di VPC Anda tidak memerlukan alamat IP publik untuk mengakses ARC zonal shift.
Anda membuat koneksi pribadi ini dengan membuat *titik akhir antarmuka*, yang didukung oleh AWS PrivateLink. Kami membuat antarmuka jaringan endpoint di setiap subnet yang Anda aktifkan untuk titik akhir antarmuka. Ini adalah antarmuka jaringan yang dikelola pemohon yang berfungsi sebagai titik masuk untuk lalu lintas yang ditujukan untuk pergeseran zona ARC.
Untuk informasi selengkapnya, lihat [Akses Layanan AWS melalui AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) di *AWS PrivateLink Panduan*.
## Pertimbangan untuk pergeseran zona ARC
*Sebelum Anda menyiapkan titik akhir antarmuka untuk pergeseran zona ARC, tinjau [Pertimbangan dalam Panduan.](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints)AWS PrivateLink *
ARC zonal shift mendukung panggilan ke semua tindakan API-nya melalui titik akhir antarmuka.
## Buat titik akhir antarmuka untuk pergeseran zona ARC
Anda dapat membuat titik akhir antarmuka untuk pergeseran zona ARC menggunakan konsol VPC Amazon atau (). AWS Command Line Interface AWS CLI Untuk informasi selengkapnya, lihat [Membuat titik akhir antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) di *AWS PrivateLink Panduan*.
Buat endpoint antarmuka untuk ARC zonal shift menggunakan nama layanan berikut:
```
com.amazonaws.region.arc-zonal-shift
```
Jika Anda mengaktifkan DNS pribadi untuk titik akhir antarmuka, Anda dapat membuat permintaan API ke ARC zonal shift menggunakan nama DNS Regional default. Misalnya, `arc-zonal-shift.us-east-1.amazonaws.com`.
## Buat kebijakan titik akhir untuk titik akhir antarmuka Anda
Kebijakan endpoint adalah sumber daya IAM yang dapat Anda lampirkan ke titik akhir antarmuka. Kebijakan endpoint default memungkinkan akses penuh ke pergeseran zona ARC melalui titik akhir antarmuka. Untuk mengontrol akses yang diizinkan ke pergeseran zona ARC dari VPC Anda, lampirkan kebijakan titik akhir kustom ke titik akhir antarmuka.
kebijakan titik akhir mencantumkan informasi berikut:
+ Prinsipal yang dapat melakukan tindakan (Akun AWS, pengguna IAM, dan peran IAM).
+ Tindakan yang dapat dilakukan.
+ Sumber daya untuk melakukan tindakan.
Untuk informasi selengkapnya, lihat [Mengontrol akses ke layanan menggunakan kebijakan titik akhir](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) di *Panduan AWS PrivateLink *.
**Contoh: Kebijakan titik akhir VPC untuk tindakan pergeseran zona ARC**
Berikut ini adalah contoh kebijakan endpoint kustom. Saat Anda melampirkan kebijakan ini ke titik akhir antarmuka Anda, kebijakan ini memberikan akses ke tindakan pergeseran zona ARC yang terdaftar untuk semua prinsip di semua sumber daya.
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"arc-zonal-shift:ListManagedResources",
"arc-zonal-shift:StartZonalShift",
"arc-zonal-shift:CancelZonalShift"
],
"Resource":"*"
}
]
}
```
Itu juga `Resource` dapat dicantumkan sebagai`arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/1111111ecd42dc05`.