Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Identity and Access Management untuk AWS Resilience Hub
<a name="security-iam"></a>





AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengontrol siapa yang dapat *diautentikasi* (masuk) dan *diberi wewenang* (memiliki izin) untuk menggunakan AWS sumber daya Resilience Hub. IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.

**Topics**
+ [Audiens](#security_iam_audience)
+ [Mengautentikasi dengan identitas](#security_iam_authentication)
+ [Mengelola akses menggunakan kebijakan](#security_iam_access-manage)
+ [Bagaimana AWS Resilience Hub bekerja dengan IAM](security_iam_service-with-iam.md)
+ [Menyiapkan izin dan peran IAM](setting-up-permissions.md)
+ [Memecahkan masalah identitas dan AWS akses Resilience Hub](security_iam_troubleshoot.md)
+ [AWS Resilience Hub referensi izin akses](security-iam-resilience-hub-permissions.md)
+ [AWS kebijakan terkelola untuk AWS Resilience Hub](security-iam-awsmanpol.md)
+ [AWS Resilience Hub personas dan referensi izin IAM](security-iam-resilience-hub-personas.md)
+ [Mengimpor file status Terraform ke AWS Resilience Hub](security-iam-resilience-hub-terraform-secondary.md)
+ [Mengaktifkan AWS Resilience Hub akses ke klaster Amazon Elastic Kubernetes Service](enabling-eks-in-arh.md)
+ [Mengaktifkan AWS Resilience Hub untuk mempublikasikan ke topik Amazon Simple Notification Service](enabling-sns-in-arh.md)
+ [Membatasi izin untuk menyertakan atau mengecualikan rekomendasi AWS Resilience Hub](include-exclude-limit-permissions.md)

## Audiens
<a name="security_iam_audience"></a>

Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda berdasarkan peran Anda:
+ **Pengguna layanan** - minta izin dari administrator Anda jika Anda tidak dapat mengakses fitur (lihat [Memecahkan masalah identitas dan AWS akses Resilience Hub](security_iam_troubleshoot.md))
+ **Administrator layanan** - tentukan akses pengguna dan mengirimkan permintaan izin (lihat [Bagaimana AWS Resilience Hub bekerja dengan IAM](security_iam_service-with-iam.md))
+ **Administrator IAM** - tulis kebijakan untuk mengelola akses (lihat [Contoh kebijakan berbasis identitas untuk Resilience Hub AWS](security_iam_id-based-policy-examples.md))

## Mengautentikasi dengan identitas
<a name="security_iam_authentication"></a>

Otentikasi adalah cara Anda masuk AWS menggunakan kredensi identitas Anda. Anda harus diautentikasi sebagai Pengguna root akun AWS, pengguna IAM, atau dengan mengasumsikan peran IAM.

Anda dapat masuk sebagai identitas federasi menggunakan kredensyal dari sumber identitas seperti AWS IAM Identity Center (Pusat Identitas IAM), autentikasi masuk tunggal, atau kredensyal. Google/Facebook Untuk informasi selengkapnya tentang cara masuk, lihat [Cara masuk ke Akun AWS Anda](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dalam *Panduan Pengguna AWS Sign-In *.

Untuk akses terprogram, AWS sediakan SDK dan CLI untuk menandatangani permintaan secara kriptografis. Untuk informasi selengkapnya, lihat [AWS Signature Version 4 untuk permintaan API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dalam *Panduan Pengguna IAM*.

### Akun AWS pengguna root
<a name="security_iam_authentication-rootuser"></a>

 Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang disebut *pengguna Akun AWS root* yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Untuk tugas yang memerlukan kredensial pengguna root, lihat [Tugas yang memerlukan kredensial pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dalam *Panduan Pengguna IAM*. 

### Identitas terfederasi
<a name="security_iam_authentication-federated"></a>

Sebagai praktik terbaik, mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses Layanan AWS menggunakan kredensi sementara.

*Identitas federasi* adalah pengguna dari direktori perusahaan Anda, penyedia identitas web, atau Directory Service yang mengakses Layanan AWS menggunakan kredensyal dari sumber identitas. Identitas terfederasi mengambil peran yang memberikan kredensial sementara.

Untuk manajemen akses terpusat, kami menyarankan AWS IAM Identity Center. Untuk informasi selengkapnya, lihat [Apa itu Pusat Identitas IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dalam *Panduan Pengguna AWS IAM Identity Center *.

### Pengguna dan grup IAM
<a name="security_iam_authentication-iamuser"></a>

*[Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* adalah identitas dengan izin khusus untuk satu orang atau aplikasi. Sebaiknya gunakan kredensial sementara alih-alih pengguna IAM dengan kredensial jangka panjang. Untuk informasi selengkapnya, lihat [Mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensyal sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) di Panduan Pengguna *IAM*.

[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) menentukan kumpulan pengguna IAM dan mempermudah pengelolaan izin untuk pengguna dalam jumlah besar. Untuk mempelajari selengkapnya, lihat [Kasus penggunaan untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dalam *Panduan Pengguna IAM*.

### Peran IAM
<a name="security_iam_authentication-iamrole"></a>

*[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* adalah identitas dengan izin khusus yang menyediakan kredensial sementara. Anda dapat mengambil peran dengan [beralih dari pengguna ke peran IAM (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) atau dengan memanggil operasi AWS CLI atau AWS API. Untuk informasi selengkapnya, lihat [Metode untuk mengambil peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dalam *Panduan Pengguna IAM*.

Peran IAM berguna untuk akses pengguna terfederasi, izin pengguna IAM sementara, akses lintas akun, akses lintas layanan, dan aplikasi yang berjalan di Amazon EC2. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.

## Mengelola akses menggunakan kebijakan
<a name="security_iam_access-manage"></a>

Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan menentukan izin saat dikaitkan dengan identitas atau sumber daya. AWS mengevaluasi kebijakan ini ketika kepala sekolah membuat permintaan. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang dokumen kebijakan JSON, lihat [Gambaran umum kebijakan JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dalam *Panduan Pengguna IAM*.

Menggunakan kebijakan, administrator menentukan siapa yang memiliki akses ke apa dengan mendefinisikan **principal** mana yang dapat melakukan **tindakan** pada **sumber daya** apa, dan dalam **kondisi** apa.

Secara default, pengguna dan peran tidak memiliki izin. Administrator IAM membuat kebijakan IAM dan menambahkannya ke peran, yang kemudian dapat diambil oleh pengguna. Kebijakan IAM mendefinisikan izin terlepas dari metode yang Anda gunakan untuk melakukan operasinya.

### Kebijakan berbasis identitas
<a name="security_iam_access-manage-id-based-policies"></a>

Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang Anda lampirkan ke identitas (pengguna, grup, atau peran). Kebijakan ini mengontrol tindakan apa yang bisa dilakukan oleh identitas tersebut, terhadap sumber daya yang mana, dan dalam kondisi apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.

Kebijakan berbasis identitas dapat berupa *kebijakan inline* (disematkan langsung ke dalam satu identitas) atau *kebijakan terkelola* (kebijakan mandiri yang dilampirkan pada banyak identitas). Untuk mempelajari cara memilih antara kebijakan terkelola dan kebijakan inline, lihat [Pilih antara kebijakan terkelola dan kebijakan inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dalam *Panduan Pengguna IAM*.

### Kebijakan berbasis sumber daya
<a name="security_iam_access-manage-resource-based-policies"></a>

Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contohnya termasuk *kebijakan kepercayaan peran IAM* dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya.

Kebijakan berbasis sumber daya merupakan kebijakan inline yang terletak di layanan tersebut. Anda tidak dapat menggunakan kebijakan AWS terkelola dari IAM dalam kebijakan berbasis sumber daya.

### Jenis-jenis kebijakan lain
<a name="security_iam_access-manage-other-policies"></a>

AWS mendukung jenis kebijakan tambahan yang dapat menetapkan izin maksimum yang diberikan oleh jenis kebijakan yang lebih umum:
+ **Batasan izin** – Menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Untuk informasi selengkapnya, lihat [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dalam *Panduan Pengguna IAM*.
+ **Kebijakan kontrol layanan (SCPs)** — Tentukan izin maksimum untuk organisasi atau unit organisasi di AWS Organizations. Untuk informasi selengkapnya, lihat [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dalam *Panduan Pengguna AWS Organizations *.
+ **Kebijakan kontrol sumber daya (RCPs)** — Tetapkan izin maksimum yang tersedia untuk sumber daya di akun Anda. Untuk informasi selengkapnya, lihat [Kebijakan kontrol sumber daya (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) di *Panduan AWS Organizations Pengguna*.
+ **Kebijakan sesi** – Kebijakan lanjutan yang diteruskan sebagai parameter saat membuat sesi sementara untuk peran atau pengguna terfederasi. Untuk informasi selengkapnya, lihat [Kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dalam *Panduan Pengguna IAM*.

### Berbagai jenis kebijakan
<a name="security_iam_access-manage-multiple-policies"></a>

Ketika beberapa jenis kebijakan berlaku pada suatu permintaan, izin yang dihasilkan lebih rumit untuk dipahami. Untuk mempelajari cara AWS menentukan apakah akan mengizinkan permintaan saat beberapa jenis kebijakan terlibat, lihat [Logika evaluasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) di *Panduan Pengguna IAM*.

# Bagaimana AWS Resilience Hub bekerja dengan IAM
<a name="security_iam_service-with-iam"></a>

Sebelum Anda menggunakan IAM untuk mengelola akses ke AWS Resilience Hub, pelajari fitur IAM yang tersedia untuk digunakan dengan Resilience Hub. AWS 






**Fitur IAM yang dapat Anda gunakan dengan AWS Resilience Hub**  

| Fitur IAM | AWS Dukungan Resilience Hub | 
| --- | --- | 
|  [Kebijakan berbasis identitas](#security_iam_service-with-iam-id-based-policies)  |   Ya  | 
|  [Kebijakan berbasis sumber daya](#security_iam_service-with-iam-resource-based-policies)  |   Tidak   | 
|  [Tindakan kebijakan](#security_iam_service-with-iam-id-based-policies-actions)  |   Ya  | 
|  [Sumber daya kebijakan](#security_iam_service-with-iam-id-based-policies-resources)  |   Ya  | 
|  [kunci-kunci persyaratan kebijakan (spesifik layanan)](#security_iam_service-with-iam-id-based-policies-conditionkeys)  |   Ya  | 
|  [ACLs](#security_iam_service-with-iam-acls)  |   Tidak   | 
|  [ABAC (tanda dalam kebijakan)](#security_iam_service-with-iam-tags)  |   Parsial  | 
|  [Kredensial sementara](#security_iam_service-with-iam-roles-tempcreds)  |   Ya  | 
|  [Sesi akses teruskan (FAS)](#security_iam_service-with-iam-principal-permissions)  |   Ya  | 
|  [Peran layanan](#security_iam_service-with-iam-roles-service)  |   Ya  | 

*Untuk mendapatkan tampilan tingkat tinggi tentang cara kerja AWS Resilience Hub dan AWS layanan lainnya dengan sebagian besar fitur IAM, lihat [AWS layanan yang bekerja dengan IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*

## Kebijakan berbasis identitas untuk Resilience Hub AWS
<a name="security_iam_service-with-iam-id-based-policies"></a>

**Mendukung kebijakan berbasis identitas**: Ya

Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang dapat Anda lampirkan ke sebuah identitas, seperti pengguna IAM, grup pengguna IAM, atau peran IAM. Kebijakan ini mengontrol jenis tindakan yang dapat dilakukan oleh pengguna dan peran, di sumber daya mana, dan berdasarkan kondisi seperti apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan terkelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.

Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan secara spesifik apakah tindakan dan sumber daya diizinkan atau ditolak, serta kondisi yang menjadi dasar dikabulkan atau ditolaknya tindakan tersebut. Untuk mempelajari semua elemen yang dapat Anda gunakan dalam kebijakan JSON, lihat [Referensi elemen kebijakan JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dalam *Panduan Pengguna IAM*.

### Contoh kebijakan berbasis identitas untuk Resilience Hub AWS
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>



Untuk melihat contoh kebijakan berbasis identitas AWS Resilience Hub, lihat. [Contoh kebijakan berbasis identitas untuk Resilience Hub AWS](security_iam_id-based-policy-examples.md)

## Kebijakan berbasis sumber daya dalam Resilience Hub AWS
<a name="security_iam_service-with-iam-resource-based-policies"></a>

**Mendukung kebijakan berbasis sumber daya:** Tidak 

Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contoh kebijakan berbasis sumber daya adalah *kebijakan kepercayaan peran* IAM dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Untuk sumber daya tempat kebijakan dilampirkan, kebijakan menentukan tindakan apa yang dapat dilakukan oleh principal tertentu pada sumber daya tersebut dan dalam kondisi apa. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya. Prinsipal dapat mencakup akun, pengguna, peran, pengguna federasi, atau. Layanan AWS

Untuk mengaktifkan akses lintas akun, Anda dapat menentukan secara spesifik seluruh akun atau entitas IAM di akun lain sebagai principal dalam kebijakan berbasis sumber daya. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.

## Tindakan kebijakan untuk AWS Resilience Hub
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

**Mendukung tindakan kebijakan:** Ya

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.

Elemen `Action` dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.



*Untuk melihat daftar tindakan AWS Resilience Hub, lihat [Tindakan yang ditentukan oleh AWS Resilience Hub di Referensi](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions) Otorisasi Layanan.*

Tindakan kebijakan di AWS Resilience Hub menggunakan awalan berikut sebelum tindakan:

```
resiliencehub
```

Untuk menetapkan secara spesifik beberapa tindakan dalam satu pernyataan, pisahkan tindakan tersebut dengan koma.

```
"Action": [
      "resiliencehub:action1",
      "resiliencehub:action2"
         ]
```





Untuk melihat contoh kebijakan berbasis identitas AWS Resilience Hub, lihat. [Contoh kebijakan berbasis identitas untuk Resilience Hub AWS](security_iam_id-based-policy-examples.md)

## Sumber daya kebijakan untuk AWS Resilience Hub
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

**Mendukung sumber daya kebijakan:** Ya

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.

Elemen kebijakan JSON `Resource` menentukan objek yang menjadi target penerapan tindakan. Praktik terbaiknya, tentukan sumber daya menggunakan [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, gunakan wildcard (\$1) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.

```
"Resource": "*"
```

*Untuk melihat daftar jenis sumber daya AWS Resilience Hub dan jenisnya ARNs, lihat Sumber Daya yang [ditentukan oleh AWS Resilience Hub di Referensi](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-resources-for-iam-policies) Otorisasi Layanan.* Untuk mempelajari tindakan mana yang dapat Anda tentukan ARN dari setiap sumber daya, lihat [Tindakan yang ditentukan oleh AWS Resilience](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions) Hub.





Untuk melihat contoh kebijakan berbasis identitas AWS Resilience Hub, lihat. [Contoh kebijakan berbasis identitas untuk Resilience Hub AWS](security_iam_id-based-policy-examples.md)

## Kunci kondisi kebijakan untuk AWS Resilience Hub
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

**Mendukung kunci kondisi kebijakan khusus layanan:** Yes

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **principal** dapat melakukan **tindakan** pada suatu **sumber daya**, dan dalam suatu **syarat**.

Elemen `Condition` menentukan ketika pernyataan dieksekusi berdasarkan kriteria yang ditetapkan. Anda dapat membuat ekspresi bersyarat yang menggunakan [operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.

*Untuk melihat daftar kunci kondisi AWS Resilience Hub, lihat Kunci kondisi [untuk AWS Resilience Hub di Referensi](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-policy-keys) Otorisasi Layanan.* Untuk mempelajari tindakan dan sumber daya yang dapat Anda gunakan kunci kondisi, lihat [Tindakan yang ditentukan oleh AWS Resilience Hub](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions).

Untuk melihat contoh kebijakan berbasis identitas AWS Resilience Hub, lihat. [Contoh kebijakan berbasis identitas untuk Resilience Hub AWS](security_iam_id-based-policy-examples.md)

## ACLs di AWS Resilience Hub
<a name="security_iam_service-with-iam-acls"></a>

**Mendukung ACLs:** Tidak 

Access control lists (ACLs) mengontrol prinsipal mana (anggota akun, pengguna, atau peran) yang memiliki izin untuk mengakses sumber daya. ACLs mirip dengan kebijakan berbasis sumber daya, meskipun mereka tidak menggunakan format dokumen kebijakan JSON.

## ABAC dengan AWS Resilience Hub
<a name="security_iam_service-with-iam-tags"></a>

**Mendukung ABAC (tag dalam kebijakan): Sebagian**

Kontrol akses berbasis atribut (ABAC) adalah strategi otorisasi yang menentukan izin berdasarkan atribut tanda. Anda dapat melampirkan tag ke entitas dan AWS sumber daya IAM, lalu merancang kebijakan ABAC untuk mengizinkan operasi saat tag prinsipal cocok dengan tag pada sumber daya.

Untuk mengendalikan akses berdasarkan tanda, berikan informasi tentang tanda di [elemen kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dari kebijakan menggunakan kunci kondisi `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, atau `aws:TagKeys`.

Jika sebuah layanan mendukung ketiga kunci kondisi untuk setiap jenis sumber daya, nilainya adalah **Ya** untuk layanan tersebut. Jika suatu layanan mendukung ketiga kunci kondisi untuk hanya beberapa jenis sumber daya, nilainya adalah **Parsial**.

Untuk informasi selengkapnya tentang ABAC, lihat [Tentukan izin dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dalam *Panduan Pengguna IAM.* Untuk melihat tutorial yang menguraikan langkah-langkah pengaturan ABAC, lihat [Menggunakan kontrol akses berbasis atribut (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) dalam *Panduan Pengguna IAM*.

## Menggunakan kredensil sementara dengan AWS Resilience Hub
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

**Mendukung kredensial sementara:** Ya

Kredensi sementara menyediakan akses jangka pendek ke AWS sumber daya dan secara otomatis dibuat saat Anda menggunakan federasi atau beralih peran. AWS merekomendasikan agar Anda secara dinamis menghasilkan kredensyal sementara alih-alih menggunakan kunci akses jangka panjang. Untuk informasi selengkapnya, lihat [Kredensial keamanan sementara di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) dan [Layanan AWS yang berfungsi dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dalam *Panduan Pengguna IAM*.

## Teruskan sesi akses untuk AWS Resilience Hub
<a name="security_iam_service-with-iam-principal-permissions"></a>

**Mendukung sesi akses terusan (FAS):** Ya

 Sesi akses teruskan (FAS) menggunakan izin dari pemanggilan utama Layanan AWS, dikombinasikan dengan permintaan Layanan AWS untuk membuat permintaan ke layanan hilir. Untuk detail kebijakan ketika mengajukan permintaan FAS, lihat [Sesi akses terusan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 

## Peran layanan untuk AWS Resilience Hub
<a name="security_iam_service-with-iam-roles-service"></a>

**Mendukung peran layanan:** Ya

 Peran layanan adalah [peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) yang diambil oleh sebuah layanan untuk melakukan tindakan atas nama Anda. Administrator IAM dapat membuat, mengubah, dan menghapus peran layanan dari dalam IAM. Untuk informasi selengkapnya, lihat [Buat sebuah peran untuk mendelegasikan izin ke Layanan AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dalam *Panduan pengguna IAM*. 

**Awas**  
Mengubah izin untuk peran layanan dapat merusak fungsionalitas AWS Resilience Hub. Edit peran layanan hanya jika AWS Resilience Hub memberikan panduan untuk melakukannya.

# Contoh kebijakan berbasis identitas untuk Resilience Hub AWS
<a name="security_iam_id-based-policy-examples"></a>

Secara default, pengguna dan peran tidak memiliki izin untuk membuat atau memodifikasi sumber AWS daya Resilience Hub. Untuk memberikan izin kepada pengguna untuk melakukan tindakan di sumber daya yang mereka perlukan, administrator IAM dapat membuat kebijakan IAM.

*Untuk mempelajari cara membuat kebijakan berbasis identitas IAM dengan menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat kebijakan IAM (konsol) di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html).*

*Untuk detail tentang tindakan dan jenis sumber daya yang ditentukan oleh AWS Resilience Hub, termasuk format ARNs untuk setiap jenis sumber daya, lihat [Kunci tindakan, sumber daya, dan kondisi untuk AWS Resilience Hub](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html) di Referensi Otorisasi Layanan.*

**Topics**
+ [Praktik terbaik kebijakan](#security_iam_service-with-iam-policy-best-practices)
+ [Menggunakan konsol AWS Resilience Hub](#security_iam_id-based-policy-examples-console)
+ [Mengizinkan pengguna melihat izin mereka sendiri](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Daftar AWS Resilience Hub aplikasi yang tersedia](#security-iam-policy-examples-list-apps)
+ [Memulai penilaian aplikasi](#security-iam-policy-examples-start-app-assessment)
+ [Menghapus penilaian aplikasi](#security-iam-policy-examples-delete-app-assessment)
+ [Membuat template rekomendasi untuk aplikasi tertentu](#security-iam-policy-examples-create-app-reco-template)
+ [Menghapus template rekomendasi untuk aplikasi tertentu](#security-iam-policy-examples-delete-app-reco-template)
+ [Memperbarui aplikasi dengan kebijakan ketahanan tertentu](#security-iam-policy-examples-update-app-resiliency-policy)

## Praktik terbaik kebijakan
<a name="security_iam_service-with-iam-policy-best-practices"></a>

Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus sumber AWS daya Resilience Hub di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
+ **Mulailah dengan kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit — Untuk mulai memberikan izin** kepada pengguna dan beban kerja Anda, gunakan *kebijakan AWS terkelola* yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Anda Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola AWS pelanggan yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat [Kebijakan yang dikelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) atau [Kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dalam *Panduan Pengguna IAM*.
+ **Menerapkan izin dengan hak akses paling rendah** – Ketika Anda menetapkan izin dengan kebijakan IAM, hanya berikan izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai *izin dengan hak akses paling rendah*. Untuk informasi selengkapnya tentang cara menggunakan IAM untuk mengajukan izin, lihat [Kebijakan dan izin dalam IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan kondisi dalam kebijakan IAM untuk membatasi akses lebih lanjut** – Anda dapat menambahkan suatu kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Sebagai contoh, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakan SSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui yang spesifik Layanan AWS, seperti CloudFormation. Untuk informasi selengkapnya, lihat [Elemen kebijakan JSON IAM: Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk memastikan izin yang aman dan fungsional** – IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan tersebut mematuhi bahasa kebijakan IAM (JSON) dan praktik terbaik IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat [Validasi kebijakan dengan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dalam *Panduan Pengguna IAM*.
+ **Memerlukan otentikasi multi-faktor (MFA)** - Jika Anda memiliki skenario yang mengharuskan pengguna IAM atau pengguna root di Anda, Akun AWS aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA ketika operasi API dipanggil, tambahkan kondisi MFA pada kebijakan Anda. Untuk informasi selengkapnya, lihat [Amankan akses API dengan MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dalam *Panduan Pengguna IAM*.

Untuk informasi selengkapnya tentang praktik terbaik dalam IAM, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.

## Menggunakan konsol AWS Resilience Hub
<a name="security_iam_id-based-policy-examples-console"></a>

Untuk mengakses konsol AWS Resilience Hub, Anda harus memiliki set izin minimum. Izin ini harus memungkinkan Anda untuk membuat daftar dan melihat detail tentang sumber daya AWS Resilience Hub di Anda. Akun AWS Jika Anda membuat kebijakan berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana mestinya untuk entitas (pengguna atau peran) dengan kebijakan tersebut.

Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau AWS API. Sebagai gantinya, izinkan akses hanya ke tindakan yang sesuai dengan operasi API yang coba mereka lakukan.

Untuk memastikan bahwa pengguna dan peran masih dapat menggunakan konsol AWS Resilience Hub, lampirkan juga AWS Resilience Hub `ConsoleAccess` atau kebijakan `ReadOnly` AWS terkelola ke entitas. Untuk informasi selengkapnya, lihat [Menambah izin untuk pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*.

Kebijakan berikut memberi pengguna izin untuk mencantumkan dan melihat semua sumber daya di AWS Resilience Hub konsol, tetapi tidak untuk membuat, memperbarui, atau menghapusnya.

------
#### [ JSON ]

****  

```
{
     "Version":"2012-10-17",		 	 	 
     "Statement": [
         {
             "Effect": "Allow",
             "Action": [
                 "resiliencehub:List*",
                 "resiliencehub:Describe*"
             ],
             "Resource": "*"
         }
     ]
 }
```

------

## Mengizinkan pengguna melihat izin mereka sendiri
<a name="security_iam_id-based-policy-examples-view-own-permissions"></a>

Contoh ini menunjukkan cara membuat kebijakan yang mengizinkan pengguna IAM melihat kebijakan inline dan terkelola yang dilampirkan ke identitas pengguna mereka. Kebijakan ini mencakup izin untuk menyelesaikan tindakan ini di konsol atau menggunakan API atau secara terprogram. AWS CLI AWS 

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```

## Daftar AWS Resilience Hub aplikasi yang tersedia
<a name="security-iam-policy-examples-list-apps"></a>

Kebijakan berikut memberi pengguna izin untuk membuat daftar AWS Resilience Hub aplikasi yang tersedia.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PolicyExample",
      "Effect": "Allow",
      "Action": [
          "resiliencehub:ListApps"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}
```

------

## Memulai penilaian aplikasi
<a name="security-iam-policy-examples-start-app-assessment"></a>

Kebijakan berikut memberi pengguna izin untuk memulai penilaian untuk AWS Resilience Hub aplikasi tertentu.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PolicyExample",
      "Effect": "Allow",
      "Action": [
          "resiliencehub:StartAppAssessment"
      ],
      "Resource": [
        "arn:aws:resiliencehub:*:*:app/appId"
      ]
    }
  ]
}
```

------

## Menghapus penilaian aplikasi
<a name="security-iam-policy-examples-delete-app-assessment"></a>

Kebijakan berikut memberi pengguna izin untuk menghapus penilaian untuk AWS Resilience Hub aplikasi tertentu.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PolicyExample",
      "Effect": "Allow",
      "Action": [
          "resiliencehub:DeleteAppAssessment"
      ],
      "Resource": [
        "arn:aws:resiliencehub:*:*:app/appId"
      ]
    }
  ]
}
```

------

## Membuat template rekomendasi untuk aplikasi tertentu
<a name="security-iam-policy-examples-create-app-reco-template"></a>

Kebijakan berikut memberi pengguna izin untuk membuat templat rekomendasi untuk AWS Resilience Hub aplikasi tertentu.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PolicyExample",
      "Effect": "Allow",
      "Action": [
          "resiliencehub:CreateRecommendationTemplate"
      ],
      "Resource": [
        "arn:aws:resiliencehub:*:*:app/appId"
      ]
    }
  ]
}
```

------

## Menghapus template rekomendasi untuk aplikasi tertentu
<a name="security-iam-policy-examples-delete-app-reco-template"></a>

Kebijakan berikut memberi pengguna izin untuk menghapus templat rekomendasi untuk AWS Resilience Hub aplikasi tertentu.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PolicyExample",
      "Effect": "Allow",
      "Action": [
          "resiliencehub:DeleteRecommendationTemplate"
      ],
      "Resource": [
        "arn:aws:resiliencehub:*:*:app/appId"
      ]
    }
  ]
}
```

------

## Memperbarui aplikasi dengan kebijakan ketahanan tertentu
<a name="security-iam-policy-examples-update-app-resiliency-policy"></a>

Kebijakan berikut memberi pengguna izin untuk memperbarui AWS Resilience Hub aplikasi dengan kebijakan ketahanan tertentu.

# Menyiapkan izin dan peran IAM
<a name="setting-up-permissions"></a>

AWS Resilience Hub memungkinkan Anda mengonfigurasi peran IAM yang ingin Anda gunakan saat menjalankan penilaian untuk aplikasi Anda. Ada beberapa cara untuk mengonfigurasi AWS Resilience Hub untuk mendapatkan akses hanya-baca ke sumber daya aplikasi Anda. Namun, AWS Resilience Hub merekomendasikan cara-cara berikut:
+ **Akses berbasis peran** — Peran ini didefinisikan dan digunakan dalam akun saat ini. AWS Resilience Hub akan mengambil peran ini untuk mengakses sumber daya aplikasi Anda.

  Untuk menyediakan akses berbasis peran, peran harus mencakup yang berikut: 
  + Izin baca-saja untuk membaca sumber daya Anda (AWS Resilience Hub menyarankan Anda untuk menggunakan kebijakan `AWSResilienceHubAsssessmentExecutionPolicy` terkelola).
  + Kebijakan kepercayaan untuk mengambil peran ini, yang memungkinkan Principal AWS Resilience Hub Layanan untuk mengambil peran ini. Jika Anda tidak memiliki peran seperti itu dikonfigurasi di akun Anda, AWS Resilience Hub akan menampilkan petunjuk untuk membuat peran itu. Untuk informasi selengkapnya, lihat [Izin penyiapan](setup-permissions.md).
**catatan**  
Jika Anda hanya memberikan nama peran pemanggil dan jika sumber daya Anda berada di akun lain, AWS Resilience Hub akan menggunakan nama peran ini di akun lain untuk mengakses sumber daya lintas akun. Secara opsional, Anda dapat mengonfigurasi peran ARNs untuk akun lain, yang akan digunakan sebagai pengganti nama peran pemanggil.
+ **Akses pengguna IAM saat ini** - AWS Resilience Hub akan menggunakan pengguna IAM saat ini untuk mengakses sumber daya aplikasi Anda. Ketika sumber daya Anda berada di akun yang berbeda, AWS Resilience Hub akan mengambil peran IAM berikut untuk mengakses sumber daya: 
  + `AwsResilienceHubAdminAccountRole`di akun saat ini
  + `AwsResilienceHubExecutorAccountRole`di akun lain

  Selain itu, ketika Anda mengkonfigurasi penilaian terjadwal, AWS Resilience Hub akan mengambil `AwsResilienceHubPeriodicAssessmentRole` peran. Namun, penggunaan tidak `AwsResilienceHubPeriodicAssessmentRole` disarankan karena Anda harus mengonfigurasi peran dan izin secara manual, dan beberapa fungsi (seperti **pemberitahuan Drift**) mungkin tidak berfungsi seperti yang diharapkan.

# Memecahkan masalah identitas dan AWS akses Resilience Hub
<a name="security_iam_troubleshoot"></a>

Gunakan informasi berikut untuk membantu Anda mendiagnosis dan memperbaiki masalah umum yang mungkin Anda temui saat bekerja dengan AWS Resilience Hub dan IAM.

**Topics**
+ [Saya tidak berwenang untuk melakukan tindakan di AWS Resilience Hub](#security_iam_troubleshoot-no-permissions)
+ [Saya tidak berwenang untuk melakukan iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Saya ingin mengizinkan orang di luar saya Akun AWS untuk mengakses sumber AWS daya Resilience Hub saya](#security_iam_troubleshoot-cross-account-access)

## Saya tidak berwenang untuk melakukan tindakan di AWS Resilience Hub
<a name="security_iam_troubleshoot-no-permissions"></a>

Jika Anda menerima pesan kesalahan bahwa Anda tidak memiliki otorisasi untuk melakukan tindakan, kebijakan Anda harus diperbarui agar Anda dapat melakukan tindakan tersebut.

Contoh kesalahan berikut terjadi ketika pengguna IAM `mateojackson` mencoba menggunakan konsol untuk melihat detail tentang suatu sumber daya `my-example-widget` rekaan, tetapi tidak memiliki izin `resiliencehub:GetWidget` rekaan.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: resiliencehub:GetWidget on resource: my-example-widget
```

Dalam hal ini, kebijakan untuk pengguna `mateojackson` harus diperbarui untuk mengizinkan akses ke sumber daya `my-example-widget` dengan menggunakan tindakan `resiliencehub:GetWidget`.

Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.

## Saya tidak berwenang untuk melakukan iam: PassRole
<a name="security_iam_troubleshoot-passrole"></a>

Jika Anda menerima kesalahan bahwa Anda tidak diizinkan untuk melakukan `iam:PassRole` tindakan, kebijakan Anda harus diperbarui agar Anda dapat meneruskan peran ke AWS Resilience Hub.

Beberapa Layanan AWS memungkinkan Anda untuk meneruskan peran yang ada ke layanan tersebut alih-alih membuat peran layanan baru atau peran terkait layanan. Untuk melakukannya, Anda harus memiliki izin untuk meneruskan peran ke layanan.

Contoh kesalahan berikut terjadi ketika pengguna IAM bernama `marymajor` mencoba menggunakan konsol untuk melakukan tindakan di AWS Resilience Hub. Namun, tindakan tersebut memerlukan layanan untuk mendapatkan izin yang diberikan oleh peran layanan. Mary tidak memiliki izin untuk meneruskan peran tersebut pada layanan.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

Dalam kasus ini, kebijakan Mary harus diperbarui agar dia mendapatkan izin untuk melakukan tindakan `iam:PassRole` tersebut.

Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.

## Saya ingin mengizinkan orang di luar saya Akun AWS untuk mengakses sumber AWS daya Resilience Hub saya
<a name="security_iam_troubleshoot-cross-account-access"></a>

Anda dapat membuat peran yang dapat digunakan pengguna di akun lain atau orang-orang di luar organisasi Anda untuk mengakses sumber daya Anda. Anda dapat menentukan siapa saja yang dipercaya untuk mengambil peran tersebut. Untuk layanan yang mendukung kebijakan berbasis sumber daya atau daftar kontrol akses (ACLs), Anda dapat menggunakan kebijakan tersebut untuk memberi orang akses ke sumber daya Anda.

Untuk mempelajari selengkapnya, periksa referensi berikut:
+ Untuk mengetahui apakah AWS Resilience Hub mendukung fitur ini, lihat. [Bagaimana AWS Resilience Hub bekerja dengan IAM](security_iam_service-with-iam.md)
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda di seluruh sumber daya Akun AWS yang Anda miliki, lihat [Menyediakan akses ke pengguna IAM di pengguna lain Akun AWS yang Anda miliki](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) di *Panduan Pengguna IAM*.
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda kepada pihak ketiga Akun AWS, lihat [Menyediakan akses yang Akun AWS dimiliki oleh pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dalam *Panduan Pengguna IAM*.
+ Untuk mempelajari cara memberikan akses melalui federasi identitas, lihat [Menyediakan akses ke pengguna terautentikasi eksternal (federasi identitas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dalam *Panduan Pengguna IAM*.
+ *Untuk mempelajari perbedaan antara menggunakan peran dan kebijakan berbasis sumber daya untuk akses lintas akun, lihat [Akses sumber daya lintas akun di IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html).*

# AWS Resilience Hub referensi izin akses
<a name="security-iam-resilience-hub-permissions"></a>

Anda dapat menggunakan AWS Identity and Access Management (IAM) untuk mengelola akses ke sumber daya aplikasi dan membuat kebijakan IAM yang berlaku untuk pengguna, grup, atau peran.

Setiap AWS Resilience Hub aplikasi dapat dikonfigurasi untuk menggunakan [Peran invoker](security-iam-resilience-hub-invoker-role.md) (peran IAM), atau menggunakan izin pengguna IAM saat ini (bersama dengan serangkaian peran yang telah ditentukan untuk penilaian lintas akun dan terjadwal). Dalam peran ini, Anda dapat melampirkan kebijakan yang menentukan izin yang diperlukan AWS Resilience Hub untuk mengakses AWS sumber daya atau sumber daya aplikasi lainnya. Peran invoker harus memiliki kebijakan kepercayaan yang ditambahkan ke Prinsipal AWS Resilience Hub Layanan.

Untuk mengelola izin untuk aplikasi Anda, kami sarankan untuk menggunakan[AWS kebijakan terkelola untuk AWS Resilience Hub](security-iam-awsmanpol.md). Anda dapat menggunakan kebijakan terkelola ini tanpa modifikasi apa pun, atau Anda dapat menggunakannya sebagai titik awal untuk menulis kebijakan pembatasan Anda sendiri. Kebijakan dapat membatasi izin pengguna di tingkat sumber daya untuk tindakan yang berbeda dengan menggunakan kondisi opsional tambahan.

Jika sumber daya aplikasi Anda berada di akun yang berbeda (akun sekunder/sumber daya), Anda harus menyiapkan peran baru di setiap akun yang berisi sumber daya aplikasi Anda. 

**catatan**  
Jika Anda menentukan titik akhir VPC untuk sumber daya beban kerja Anda, pastikan bahwa kebijakan titik akhir VPC menyediakan akses hanya-baca untuk mengakses sumber daya. AWS Resilience Hub Untuk informasi selengkapnya, lihat [Mengontrol akses ke titik akhir VPC menggunakan kebijakan titik akhir](https://docs.aws.amazon.com//vpc/latest/privatelink/vpc-endpoints-access.html).

**Topik**
+ [Menggunakan peran IAM](security-iam-resilience-hub-using-iam-role.md)
+ [Menggunakan izin pengguna IAM saat ini](security-iam-resilience-hub-current-user-permissions.md)

# Menggunakan peran IAM
<a name="security-iam-resilience-hub-using-iam-role"></a>

AWS Resilience Hub akan menggunakan peran IAM yang sudah ditentukan sebelumnya untuk mengakses sumber daya Anda di akun atau secondary/resources akun utama. Ini adalah opsi izin yang disarankan untuk mengakses sumber daya Anda.

**Topik**
+ [Peran invoker](security-iam-resilience-hub-invoker-role.md)
+ [Peran di AWS akun berbeda untuk akses lintas akun - opsional](security-iam-resilience-cross-account-roles.md)

# Peran invoker
<a name="security-iam-resilience-hub-invoker-role"></a>

Peran AWS Resilience Hub invoker adalah peran AWS Identity and Access Management (IAM) yang AWS Resilience Hub mengasumsikan untuk mengakses AWS layanan dan sumber daya. Misalnya, Anda dapat membuat peran invoker yang memiliki izin untuk mengakses template CFN Anda dan sumber daya yang dibuatnya. Halaman ini memberikan informasi tentang cara membuat, melihat, dan mengelola peran pemanggil aplikasi.

Saat Anda membuat aplikasi, Anda memberikan peran invoker. AWS Resilience Hub mengasumsikan peran ini untuk mengakses sumber daya Anda saat Anda mengimpor sumber daya atau memulai penilaian. AWS Resilience Hub Agar dapat mengambil peran invoker Anda dengan benar, kebijakan kepercayaan peran harus menentukan prinsip AWS Resilience Hub layanan (**resiliencehub.amazonaws.com**) sebagai layanan tepercaya.

**Untuk melihat peran invoker aplikasi, pilih **Aplikasi** dari panel navigasi, lalu pilih **Perbarui izin** dari menu **Tindakan** di halaman Aplikasi.** 

Anda dapat menambahkan atau menghapus izin dari peran pemanggil aplikasi kapan saja, atau mengonfigurasi aplikasi Anda untuk menggunakan peran yang berbeda untuk mengakses sumber daya aplikasi.

**Topik**
+ [Membuat peran invoker di konsol IAM](#security-iam-resilience-hub-create-invoker-role)
+ [Mengelola peran dengan API IAM](#security-iam-resilience-hub-manage-roles-with-IAM-API)
+ [Mendefinisikan kebijakan kepercayaan menggunakan file JSON](#security-iam-resilience-define-policy)

## Membuat peran invoker di konsol IAM
<a name="security-iam-resilience-hub-create-invoker-role"></a>

 AWS Resilience Hub Untuk mengaktifkan akses AWS layanan dan sumber daya, Anda harus membuat peran invoker di akun utama menggunakan konsol IAM. Untuk informasi selengkapnya tentang membuat peran menggunakan konsol IAM, lihat [Membuat peran untuk AWS layanan (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console).

**Untuk membuat peran invoker di akun utama menggunakan konsol IAM**

1. Buka konsol IAM di `https://console.aws.amazon.com/iam/`.

1. Dari panel navigasi, pilih **Peran**, lalu pilih **Buat peran**.

1. Pilih **Kebijakan Kepercayaan Kustom**, salin kebijakan berikut di jendela **Kebijakan kepercayaan kustom**, lalu pilih **Berikutnya**. 
**catatan**  
Jika sumber daya Anda berada di akun yang berbeda, Anda harus membuat peran di masing-masing akun tersebut, dan menggunakan kebijakan kepercayaan akun sekunder untuk akun lainnya.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": "resiliencehub.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

------

1. Di bagian **Kebijakan izin** di halaman **Tambahkan izin**, masukkan `AWSResilienceHubAsssessmentExecutionPolicy` di **Filter kebijakan berdasarkan properti atau nama kebijakan, lalu tekan kotak enter**.

1. Pilih kebijakan dan pilih **Berikutnya**.

1. Di bagian **Rincian peran**, masukkan nama peran unik (seperti`AWSResilienceHubAssessmentRole`) di kotak **Nama peran**.

   Bidang ini hanya menerima karakter alfanumerik dan ''. `+=,.@-_/`

1. (Opsional) Masukkan deskripsi tentang peran di kotak **Deskripsi**.

1. Pilih **Buat Peran**.

   Untuk mengedit kasus penggunaan dan izin, pada langkah 6, pilih tombol **Edit** yang terletak di sebelah kanan **Langkah 1: Pilih entitas tepercaya** atau **Langkah 2: Tambahkan bagian izin**.

Setelah membuat peran invoker dan peran sumber daya (jika ada), Anda dapat mengonfigurasi aplikasi Anda untuk menggunakan peran ini.

**catatan**  
Anda harus memiliki `iam:passRole` izin dalam IAM Anda saat ini user/role untuk peran invoker saat membuat atau memperbarui aplikasi. Namun, Anda tidak memerlukan izin ini untuk menjalankan penilaian.

## Mengelola peran dengan API IAM
<a name="security-iam-resilience-hub-manage-roles-with-IAM-API"></a>

Kebijakan kepercayaan peran memberikan izin kepala sekolah yang ditentukan untuk mengambil peran tersebut. Untuk membuat peran menggunakan AWS Command Line Interface (AWS CLI), gunakan `create-role` perintah. Saat menggunakan perintah ini, Anda dapat menentukan kebijakan kepercayaan sebaris. Contoh berikut menunjukkan cara memberikan AWS Resilience Hub layanan izin utama untuk mengambil peran Anda.

**catatan**  
Persyaratan untuk menghindari tanda kutip (`' '`) dalam string JSON dapat bervariasi berdasarkan versi shell Anda.

**Sampel `create-role`**

```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{
  "Version": "2012-10-17",		 	 	 "Statement": 
  [
    { 
      "Effect": "Allow",
      "Principal": {"Service": "resiliencehub.amazonaws.com"},
      "Action": "sts:AssumeRole"
    }
  ]
}'
```

## Mendefinisikan kebijakan kepercayaan menggunakan file JSON
<a name="security-iam-resilience-define-policy"></a>

Anda dapat menentukan kebijakan kepercayaan untuk peran menggunakan file JSON terpisah dan kemudian menjalankan `create-role` perintah. Dalam contoh berikut, **`trust-policy.json`**adalah file yang berisi kebijakan kepercayaan di direktori saat ini. Kebijakan ini dilampirkan ke peran dengan menjalankan **`create-role`**perintah. Output dari `create-role` perintah ditampilkan dalam **Output Sampel**. Untuk menambahkan izin ke peran, gunakan **attach-policy-to-role**perintah dan Anda dapat memulai dengan menambahkan kebijakan `AWSResilienceHubAsssessmentExecutionPolicy` terkelola. Untuk informasi selengkapnya tentang kebijakan terkelola ini, lihat[AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy).

**Sampel `trust-policy.json`**

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "Service": "resiliencehub.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
    }]
}
```

------

**Sampel `create-role`**

`aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json`

**Keluaran Sampel**

**Sampel `attach-policy-to-role`**

`aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy`

# Peran di AWS akun berbeda untuk akses lintas akun - opsional
<a name="security-iam-resilience-cross-account-roles"></a>

Ketika sumber daya Anda berada di secondary/resource akun, Anda harus membuat peran di masing-masing akun ini AWS Resilience Hub agar dapat berhasil menilai aplikasi Anda. Prosedur pembuatan peran mirip dengan proses pembuatan peran invoker, kecuali untuk konfigurasi kebijakan kepercayaan.

**catatan**  
Anda harus membuat peran di akun sekunder tempat sumber daya berada.

**Topik**
+ [Membuat peran di konsol IAM untuk akun secondary/resource](#security-iam-resilience-cross-create-roles-infra-account)
+ [Mengelola peran dengan API IAM](#security-iam-resilience-cross-create-roles-infra-account-api)
+ [Mendefinisikan kebijakan kepercayaan menggunakan file JSON](#security-iam-resilience-cross-define-trust-policy-infra-account)

## Membuat peran di konsol IAM untuk akun secondary/resource
<a name="security-iam-resilience-cross-create-roles-infra-account"></a>

 AWS Resilience Hub Untuk mengaktifkan akses AWS layanan dan sumber daya di AWS akun lain, Anda harus membuat peran di masing-masing akun ini.

**Untuk membuat peran di konsol IAM untuk secondary/resource akun menggunakan konsol IAM**

1. Buka konsol IAM di `https://console.aws.amazon.com/iam/`.

1. Dari panel navigasi, pilih **Peran**, lalu pilih **Buat peran**.

1. Pilih **Kebijakan Kepercayaan Kustom**, salin kebijakan berikut di jendela **Kebijakan kepercayaan kustom**, lalu pilih **Berikutnya**. 
**catatan**  
Jika sumber daya Anda berada di akun yang berbeda, Anda harus membuat peran di masing-masing akun tersebut dan menggunakan kebijakan kepercayaan akun sekunder untuk akun lainnya.

1. Di bagian **Kebijakan izin** di halaman **Tambahkan izin**, masukkan `AWSResilienceHubAsssessmentExecutionPolicy` di **Filter kebijakan berdasarkan properti atau nama kebijakan, lalu tekan kotak enter**.

1. Pilih kebijakan dan pilih **Berikutnya**.

1. Di bagian **Rincian peran**, masukkan nama peran unik (seperti`AWSResilienceHubAssessmentRole`) di kotak **Nama peran**. 

1. (Opsional) Masukkan deskripsi tentang peran di kotak **Deskripsi**.

1. Pilih **Buat Peran**.

   Untuk mengedit kasus penggunaan dan izin, pada langkah 6, pilih tombol **Edit** yang terletak di sebelah kanan **Langkah 1: Pilih entitas tepercaya** atau **Langkah 2: Tambahkan bagian izin**.

Selain itu, Anda juga perlu menambahkan `sts:assumeRole` izin ke peran invoker untuk memungkinkannya mengambil peran di akun sekunder Anda.

Tambahkan kebijakan berikut ke peran invoker Anda untuk setiap peran sekunder yang Anda buat:

```
{
    "Effect": "Allow",
    "Resource": [
      "arn:aws:iam::secondary_account_id_1:role/RoleInSecondaryAccount_1",
      "arn:aws:iam::secondary_account_id_2:role/RoleInSecondaryAccount_2",
      ...
      ],
      "Action": [
        "sts:AssumeRole"
      ]
}
```

### Mengelola peran dengan API IAM
<a name="security-iam-resilience-cross-create-roles-infra-account-api"></a>

Kebijakan kepercayaan peran memberikan izin kepala sekolah yang ditentukan untuk mengambil peran tersebut. Untuk membuat peran menggunakan AWS Command Line Interface (AWS CLI), gunakan `create-role` perintah. Saat menggunakan perintah ini, Anda dapat menentukan kebijakan kepercayaan sebaris. Contoh berikut menunjukkan cara memberikan izin kepada kepala AWS Resilience Hub layanan untuk mengambil peran Anda.

**catatan**  
Persyaratan untuk menghindari tanda kutip (`' '`) dalam string JSON dapat bervariasi berdasarkan versi shell Anda.

**Sampel `create-role`**

```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{"Version": "2012-10-17",		 	 	 "Statement": [{"Effect": "Allow","Principal": {"AWS": ["arn:aws:iam::primary_account_id:role/InvokerRoleName"]},"Action": "sts:AssumeRole"}]}'
```

Anda juga dapat menentukan kebijakan kepercayaan untuk peran tersebut menggunakan file JSON terpisah. Dalam contoh berikut, `trust-policy.json` adalah file dalam direktori saat ini.

### Mendefinisikan kebijakan kepercayaan menggunakan file JSON
<a name="security-iam-resilience-cross-define-trust-policy-infra-account"></a>

Anda dapat menentukan kebijakan kepercayaan untuk peran menggunakan file JSON terpisah dan kemudian menjalankan `create-role` perintah. Dalam contoh berikut, **`trust-policy.json`**adalah file yang berisi kebijakan kepercayaan di direktori saat ini. Kebijakan ini dilampirkan ke peran dengan menjalankan **`create-role`**perintah. Output dari `create-role` perintah ditampilkan dalam **Output Sampel**. Untuk menambahkan izin ke peran, gunakan **attach-policy-to-role**perintah dan Anda dapat memulai dengan menambahkan kebijakan `AWSResilienceHubAsssessmentExecutionPolicy` terkelola. Untuk informasi selengkapnya tentang kebijakan terkelola ini, lihat[AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy).

**Sampel `trust-policy.json`**

**Sampel `create-role`**

```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json
```

**Keluaran Sampel**

**Sampel `attach-policy-to-role`**

`aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy`.

# Menggunakan izin pengguna IAM saat ini
<a name="security-iam-resilience-hub-current-user-permissions"></a>

Gunakan metode ini jika Anda ingin menggunakan izin pengguna IAM saat ini untuk membuat dan menjalankan penilaian. Anda dapat melampirkan kebijakan `AWSResilienceHubAsssessmentExecutionPolicy` terkelola ke pengguna IAM atau Peran yang terkait dengan pengguna Anda. 

## Penyiapan akun tunggal
<a name="w2aac21c23c41c19b5"></a>

Menggunakan kebijakan terkelola yang disebutkan di atas sudah cukup untuk menjalankan penilaian pada aplikasi yang dikelola di akun yang sama dengan pengguna IAM.

## Pengaturan penilaian terjadwal
<a name="w2aac21c23c41c19b7"></a>

Anda harus membuat peran baru `AwsResilienceHubPeriodicAssessmentRole` agar dapat AWS Resilience Hub melakukan tugas terkait penilaian terjadwal.

**catatan**  
Saat menggunakan akses berbasis peran (dengan peran invoker yang disebutkan di atas) langkah ini tidak diperlukan.
Nama peran harus`AwsResilienceHubPeriodicAssessmentRole`.

**Untuk memungkinkan AWS Resilience Hub untuk melakukan tugas terkait penilaian terjadwal**

1. Lampirkan kebijakan yang `AWSResilienceHubAsssessmentExecutionPolicy` dikelola ke peran.

1. Tambahkan kebijakan berikut, di `primary_account_id` mana AWS akun tempat aplikasi didefinisikan dan akan menjalankan penilaian. Selain itu, Anda harus menambahkan kebijakan kepercayaan terkait untuk peran penilaian terjadwal, (`AwsResilienceHubPeriodicAssessmentRole`), yang memberikan izin bagi AWS Resilience Hub layanan untuk mengambil peran penilaian terjadwal.

   **Kebijakan kepercayaan untuk peran penilaian terjadwal (`AwsResilienceHubPeriodicAssessmentRole`)**

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": "resiliencehub.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

------

## Penyiapan lintas akun
<a name="w2aac21c23c41c19b9"></a>

Kebijakan izin IAM berikut diperlukan jika Anda menggunakan AWS Resilience Hub dengan beberapa akun. Setiap AWS akun mungkin memerlukan izin yang berbeda tergantung pada kasus penggunaan Anda. Saat menyiapkan AWS Resilience Hub akses lintas akun, akun dan peran berikut dipertimbangkan: 
+ **Akun utama** — AWS akun tempat Anda ingin membuat aplikasi dan menjalankan penilaian.
+ **Akun Sekunder/Sumber Daya —** AWS akun tempat sumber daya berada.

**catatan**  
Saat menggunakan akses berbasis peran (dengan peran invoker yang disebutkan di atas) langkah ini tidak diperlukan. 
Untuk informasi selengkapnya tentang mengonfigurasi izin untuk mengakses Amazon Elastic Kubernetes Service, lihat. [Mengaktifkan AWS Resilience Hub akses ke klaster Amazon Elastic Kubernetes Service](enabling-eks-in-arh.md)

### Penyiapan akun utama
<a name="w2aac21c23c41c19b9b9"></a>

Anda harus membuat peran baru `AwsResilienceHubAdminAccountRole` di akun utama dan mengaktifkan AWS Resilience Hub akses untuk menganggapnya. Peran ini akan digunakan untuk mengakses peran lain di AWS akun Anda yang berisi sumber daya Anda. Seharusnya tidak memiliki izin untuk membaca sumber daya.

**catatan**  
Nama peran harus`AwsResilienceHubAdminAccountRole`.
Itu harus dibuat di akun utama.
IAM Anda saat ini user/role harus memiliki `iam:assumeRole` izin untuk mengambil peran ini.
Ganti `secondary_account_id_1/2/...` dengan pengidentifikasi akun sekunder yang relevan.

Kebijakan berikut memberikan izin pelaksana untuk peran Anda untuk mengakses sumber daya di peran lain di akun Anda: AWS 

Kebijakan kepercayaan untuk peran admin (`AwsResilienceHubAdminAccountRole`) adalah sebagai berikut:

### Pengaturan akun Sekunder/Sumber Daya
<a name="w2aac21c23c41c19b9c11"></a>

Di setiap akun sekunder Anda, Anda harus membuat yang baru `AwsResilienceHubExecutorAccountRole` dan mengaktifkan peran admin yang dibuat di atas untuk mengambil peran ini. Karena peran ini akan digunakan oleh AWS Resilience Hub untuk memindai dan menilai sumber daya aplikasi Anda, itu juga akan memerlukan izin yang sesuai.

Namun, Anda harus melampirkan kebijakan `AWSResilienceHubAsssessmentExecutionPolicy` terkelola ke peran dan melampirkan kebijakan peran pelaksana.

Kebijakan kepercayaan peran pelaksana adalah sebagai berikut:

# AWS kebijakan terkelola untuk AWS Resilience Hub
<a name="security-iam-awsmanpol"></a>





Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.

Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan [kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) yang khusus untuk kasus penggunaan Anda.

Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.

Untuk informasi selengkapnya, lihat [Kebijakan terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.













## AWSResilienceHubAsssessmentExecutionPolicy
<a name="security_iam_aws-assessment-policy"></a>

 Anda dapat melampirkan `AWSResilienceHubAsssessmentExecutionPolicy` ke identitas IAM Anda. Saat menjalankan penilaian, kebijakan ini memberikan izin akses ke AWS layanan lain untuk menjalankan penilaian. 

### Detail izin
<a name="w2aac21c23c44c47b5"></a>

Kebijakan ini memberikan izin yang memadai untuk memublikasikan alarm, AWS FIS dan templat SOP ke bucket Amazon Simple Storage Service (Amazon S3). Nama bucket Amazon S3 harus dimulai dengan. `aws-resilience-hub-artifacts-` Jika Anda ingin memublikasikan ke bucket Amazon S3 lain, Anda dapat melakukannya saat memanggil `CreateRecommendationTemplate` API. Untuk informasi selengkapnya, lihat [CreateRecommendationTemplate](https://docs.aws.amazon.com/resilience-hub/latest/APIReference/API_CreateRecommendationTemplate.html).

Kebijakan ini mencakup izin berikut:
+ Amazon CloudWatch (CloudWatch) - Mendapatkan semua alarm yang diterapkan yang Anda atur di Amazon CloudWatch untuk memantau aplikasi. Selain itu, kami gunakan `cloudwatch:PutMetricData` untuk mempublikasikan CloudWatch metrik untuk skor ketahanan aplikasi di namespace. `ResilienceHub`
+ Amazon Data Lifecycle Manager — Mendapat dan menyediakan `Describe` izin untuk sumber daya Amazon Data Lifecycle Manager yang terkait dengan akun Anda. AWS 
+ Amazon DevOps Guru - Mendaftar dan memberikan `Describe` izin untuk sumber daya Amazon DevOps Guru yang terkait dengan AWS akun Anda.
+ Amazon DocumentDB — Daftar dan `Describe` menyediakan izin untuk sumber daya Amazon DocumentDB yang terkait dengan akun Anda. AWS 
+ Amazon DynamoDB (DynamoDB) - Mendaftar dan memberikan `Describe` izin untuk sumber daya Amazon DynamoDB yang terkait dengan akun Anda. AWS 
+ Amazon ElastiCache (ElastiCache) — Menyediakan `Describe` izin untuk ElastiCache sumber daya yang terkait dengan AWS akun Anda.
+ Amazon ElastiCache (Redis OSS) Tanpa Server (ElastiCache (Redis OSS) Tanpa Server) - Menyediakan `Describe` izin untuk konfigurasi tanpa server ElastiCache (Redis OSS) yang terkait dengan akun Anda. AWS 
+ Amazon Elastic Compute Cloud (Amazon EC2) — Mendaftar dan memberikan izin `Describe` untuk sumber daya Amazon EC2 yang terkait dengan akun Anda. AWS 
+ Amazon Elastic Container Registry (Amazon ECR) - Menyediakan `Describe` izin untuk sumber daya Amazon ECR yang terkait dengan akun Anda. AWS 
+ Amazon Elastic Container Service (Amazon ECS) - Menyediakan `Describe` izin untuk sumber daya Amazon ECS yang terkait dengan akun Anda. AWS 
+ Amazon Elastic File System (Amazon EFS) - Menyediakan `Describe` izin untuk sumber daya Amazon EFS yang terkait dengan AWS akun Anda.
+ Amazon Elastic Kubernetes Service (Amazon EKS) - Mendaftar dan `Describe` memberikan izin untuk sumber daya Amazon EKS yang terkait dengan akun Anda. AWS 
+ Amazon EC2 Auto Scaling — Mendaftar `Describe` dan memberikan izin untuk sumber daya Amazon EC2 Auto Scaling yang terkait dengan akun Anda. AWS 
+ Amazon EC2 Systems Manager (SSM) — `Describe` Menyediakan izin untuk sumber daya SSM yang terkait dengan akun Anda. AWS 
+ AWS Fault Injection Service (AWS FIS) — Daftar dan memberikan `Describe` izin untuk AWS FIS eksperimen dan templat eksperimen yang terkait dengan AWS akun Anda.
+ Amazon FSx untuk Windows File Server (Amazon FSx) - Daftar dan menyediakan `Describe` izin untuk FSx sumber daya Amazon yang terkait dengan AWS akun Anda.
+ Amazon RDS - Mendaftar dan memberikan `Describe` izin untuk sumber daya Amazon RDS yang terkait dengan akun Anda. AWS 
+ Amazon Route 53 (Route 53) - Mendaftar dan memberikan `Describe` izin untuk sumber daya Route 53 yang terkait dengan AWS akun Anda.
+ Amazon Route 53 Resolver — Daftar dan memberikan `Describe` izin untuk Amazon Route 53 Resolver sumber daya yang terkait dengan AWS akun Anda.
+ Amazon Simple Notification Service (Amazon SNS) - Mendaftar dan `Describe` memberikan izin untuk sumber daya Amazon SNS yang terkait dengan akun Anda. AWS 
+ Amazon Simple Queue Service (Amazon SQS) — Mendaftar dan menyediakan izin `Describe` untuk sumber daya Amazon SQS yang terkait dengan akun Anda. AWS 
+ Amazon Simple Storage Service (Amazon S3) - Mendaftar dan `Describe` memberikan izin untuk sumber daya Amazon S3 yang terkait dengan akun Anda. AWS 
**catatan**  
Saat menjalankan penilaian, jika ada izin yang hilang yang perlu diperbarui dari kebijakan Terkelola, penilaian AWS Resilience Hub akan berhasil menyelesaikan penilaian menggunakan izin s3:GetBucketLogging . Namun, AWS Resilience Hub akan menampilkan pesan peringatan yang mencantumkan izin yang hilang dan akan memberikan masa tenggang untuk menambahkan yang sama. Jika Anda tidak menambahkan izin yang hilang dalam masa tenggang yang ditentukan, penilaian akan gagal.
+ AWS Backup — Daftar dan dapatkan `Describe` izin untuk sumber daya Amazon EC2 Auto Scaling yang terkait dengan akun Anda. AWS 
+ AWS CloudFormation — Daftar dan dapatkan `Describe` izin untuk sumber daya pada AWS CloudFormation tumpukan yang terkait dengan akun Anda AWS .
+ AWS DataSync — Daftar dan memberikan `Describe` izin untuk AWS DataSync sumber daya yang terkait dengan AWS akun Anda.
+ Directory Service — Daftar dan memberikan `Describe` izin untuk Directory Service sumber daya yang terkait dengan AWS akun Anda.
+ AWS Elastic Disaster Recovery (Elastic Disaster Recovery) - Memberikan `Describe` izin untuk sumber daya Pemulihan Bencana Elastis yang terkait dengan AWS akun Anda.
+ AWS Lambda (Lambda) — Daftar dan memberikan `Describe` izin untuk sumber daya Lambda yang terkait dengan akun Anda. AWS 
+ AWS Resource Groups (Resource Groups) — Daftar dan memberikan `Describe` izin untuk sumber daya Resource Groups yang terkait dengan AWS akun Anda.
+ AWS Service Catalog (Service Catalog) — Daftar dan memberikan `Describe` izin untuk sumber daya Service Catalog yang terkait dengan AWS akun Anda.
+ AWS Step Functions — Daftar dan memberikan `Describe` izin untuk AWS Step Functions sumber daya yang terkait dengan AWS akun Anda.
+ Elastic Load Balancing — Daftar dan memberikan `Describe` izin untuk sumber daya Elastic Load Balancing yang terkait dengan akun Anda. AWS 
+ `ssm:GetParametersByPath`— Kami menggunakan izin ini untuk mengelola CloudWatch alarm, pengujian, atau SOPs yang dikonfigurasi untuk aplikasi Anda.

Kebijakan IAM berikut diperlukan agar AWS akun dapat menambahkan izin bagi pengguna, grup pengguna, dan peran yang memberikan izin yang diperlukan bagi tim Anda untuk mengakses AWS layanan saat menjalankan penilaian.

## AWS Resilience Hub pembaruan kebijakan AWS terkelola
<a name="security-iam-awsmanpol-updates"></a>



Lihat detail tentang pembaruan kebijakan AWS terkelola AWS Resilience Hub sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman Riwayat AWS Resilience Hub dokumen.




| Ubah | Deskripsi | Date | 
| --- | --- | --- | 
| [AWSResilienceHubAsssessmentExecutionPolicy](#security_iam_aws-assessment-policy)— Ubah | AWS Resilience Hub memperbarui pemberian List dan Get izin untuk memungkinkan Anda mengakses eksperimen AWS FIS saat menjalankan penilaian. AWSResilienceHubAsssessmentExecutionPolicy | Desember 17, 2024 | 
| [AWSResilienceHubAsssessmentExecutionPolicy](#security_iam_aws-assessment-policy)— Ubah | AWS Resilience Hub memperbarui izin AWSResilienceHubAsssessmentExecutionPolicy untuk memberikan Describe izin agar Anda dapat mengakses sumber daya dan konfigurasi di Amazon ElastiCache (Redis OSS) Tanpa Server saat menjalankan penilaian. | September 25, 2024 | 
| [AWSResilienceHubAsssessmentExecutionPolicy](#security_iam_aws-assessment-policy)— Ubah | AWS Resilience Hub memperbarui izin AWSResilienceHubAsssessmentExecutionPolicy untuk memberikan Describe izin agar Anda dapat mengakses sumber daya dan konfigurasi di Amazon DocumentDB, Elastic Load Balancing, dan saat menjalankan penilaian. AWS Lambda  | Agustus 01, 2024 | 
| [AWSResilienceHubAsssessmentExecutionPolicy](#security_iam_aws-assessment-policy)— Ubah | AWS Resilience Hub memperbarui izin AWSResilienceHubAsssessmentExecutionPolicy untuk memberikan Describe izin agar Anda dapat membaca konfigurasi Amazon FSx untuk Windows File Server saat menjalankan penilaian. | 26 Maret 2024 | 
| [AWSResilienceHubAsssessmentExecutionPolicy](#security_iam_aws-assessment-policy)— Ubah | AWS Resilience Hub memperbarui izin AWSResilienceHubAsssessmentExecutionPolicy untuk memberikan Describe izin agar Anda dapat membaca AWS Step Functions konfigurasi saat menjalankan penilaian. | 30 Oktober 2023 | 
| [AWSResilienceHubAsssessmentExecutionPolicy](#security_iam_aws-assessment-policy)— Ubah | AWS Resilience Hub memperbarui izin AWSResilienceHubAsssessmentExecutionPolicy untuk memberikan Describe izin agar Anda dapat mengakses sumber daya di Amazon RDS saat menjalankan penilaian. | 5 Oktober 2023 | 
|  [AWSResilienceHubAsssessmentExecutionPolicy](#security_iam_aws-assessment-policy)— Baru  |   AWS Resilience Hub Kebijakan ini menyediakan akses ke AWS layanan lain untuk menjalankan penilaian.  | 26 Juni 2023 | 
|  AWS Resilience Hub mulai melacak perubahan  |  AWS Resilience Hub mulai melacak perubahan untuk kebijakan yang AWS dikelola.  | 15 Juni 2023 | 

# AWS Resilience Hub personas dan referensi izin IAM
<a name="security-iam-resilience-hub-personas"></a>

Anda dapat memberikan izin IAM kepada persona yang diperlukan untuk bekerja AWS Resilience Hub dengan menggunakan kebijakan `AWSResilienceHubAsssessmentExecutionPolicy` AWS terkelola dan salah satu kebijakan khusus persona berikut. Untuk informasi selengkapnya tentang kebijakan AWS terkelola, lihat[AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy).

**Topics**
+ [Izin IAM untuk persona manajer aplikasi Infrastruktur](#iam-infra-continuity-manager)
+ [Izin IAM untuk persona manajer kelangsungan bisnis](#iam-business-continuity-manager)
+ [Izin IAM untuk persona pemilik Aplikasi](#iam-application-owner)
+ [Izin IAM untuk memberikan akses hanya-baca](#iam-read-only-access)

## Izin IAM untuk persona manajer aplikasi Infrastruktur
<a name="iam-infra-continuity-manager"></a>

Kebijakan berikut memberikan izin yang diperlukan untuk persona manajer aplikasi Infrastruktur.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "InfrastructureApplicationManager",
      "Effect": "Allow",
      "Action": [
        "resiliencehub:AddDraftAppVersionResourceMappings",
        "resiliencehub:CreateAppVersionAppComponent",
        "resiliencehub:CreateAppVersionResource",
        "resiliencehub:CreateRecommendationTemplate",
        "resiliencehub:DeleteAppAssessment",
        "resiliencehub:DeleteAppInputSource",
        "resiliencehub:DeleteAppVersionAppComponent",
        "resiliencehub:DeleteAppVersionResource",
        "resiliencehub:DeleteRecommendationTemplate",
        "resiliencehub:Describe*",
        "resiliencehub:List*",
        "resiliencehub:PublishAppVersion",
        "resiliencehub:PutDraftAppVersionTemplate",
        "resiliencehub:RemoveDraftAppVersionResourceMappings",
        "resiliencehub:ResolveAppVersionResources",
        "resiliencehub:StartAppAssessment",
        "resiliencehub:TagResource",
        "resiliencehub:UntagResource",
        "resiliencehub:UpdateAppVersion",
        "resiliencehub:UpdateAppVersionAppComponent",
        "resiliencehub:UpdateAppVersionResource"
      ],
      "Resource": "*"
    }
  ]
}
```

------

## Izin IAM untuk persona manajer kelangsungan bisnis
<a name="iam-business-continuity-manager"></a>

Kebijakan berikut memberikan izin yang diperlukan untuk persona manajer kontinuitas Bisnis.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "BusinessContinuityManager",
      "Effect": "Allow",
      "Action": [
        "resiliencehub:CreateResiliencyPolicy",
        "resiliencehub:DeleteResiliencyPolicy",
        "resiliencehub:Describe*",
        "resiliencehub:List*",
        "resiliencehub:ResolveAppVersionResources",
        "resiliencehub:TagResource",
        "resiliencehub:UntagResource",
        "resiliencehub:UpdateAppVersion",
        "resiliencehub:UpdateAppVersionAppComponent",
        "resiliencehub:UpdateAppVersionResource",
        "resiliencehub:UpdateResiliencyPolicy"
      ],
      "Resource": "*"
    }
  ]
}
```

------

## Izin IAM untuk persona pemilik Aplikasi
<a name="iam-application-owner"></a>

Kebijakan berikut memberikan izin yang diperlukan untuk persona pemilik Aplikasi.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "ApplicationOwner",
      "Effect": "Allow",
      "Action": [
        "resiliencehub:AddDraftAppVersionResourceMappings",
        "resiliencehub:BatchUpdateRecommendationStatus",
        "resiliencehub:CreateApp",
        "resiliencehub:CreateAppVersionAppComponent",
        "resiliencehub:CreateAppVersionResource",
        "resiliencehub:CreateRecommendationTemplate",
        "resiliencehub:CreateResiliencyPolicy",
        "resiliencehub:DeleteApp",
        "resiliencehub:DeleteAppAssessment",
        "resiliencehub:DeleteAppInputSource",
        "resiliencehub:DeleteAppVersionAppComponent",
        "resiliencehub:DeleteAppVersionResource",
        "resiliencehub:DeleteRecommendationTemplate",
        "resiliencehub:DeleteResiliencyPolicy",
        "resiliencehub:Describe*",
        "resiliencehub:ImportResourcesToDraftAppVersion",
        "resiliencehub:List*",
        "resiliencehub:PublishAppVersion",
        "resiliencehub:PutDraftAppVersionTemplate",
        "resiliencehub:RemoveDraftAppVersionResourceMappings",
        "resiliencehub:ResolveAppVersionResources",
        "resiliencehub:StartAppAssessment",
        "resiliencehub:TagResource",
        "resiliencehub:UntagResource",
        "resiliencehub:UpdateApp",
        "resiliencehub:UpdateAppVersion",
        "resiliencehub:UpdateAppVersionAppComponent",
        "resiliencehub:UpdateAppVersionResource",
        "resiliencehub:UpdateResiliencyPolicy"
      ],
      "Resource": "*"
    }
  ]
}
```

------

## Izin IAM untuk memberikan akses hanya-baca
<a name="iam-read-only-access"></a>

Kebijakan berikut memberikan izin yang diperlukan untuk akses hanya-baca.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "ReadOnly",
      "Effect": "Allow",
      "Action": [
        "resiliencehub:Describe*",
        "resiliencehub:List*",
        "resiliencehub:ResolveAppVersionResources"
      ],
      "Resource": "*"
    }
  ]
}
```

------

# Mengimpor file status Terraform ke AWS Resilience Hub
<a name="security-iam-resilience-hub-terraform-secondary"></a>

AWS Resilience Hub mendukung pengimporan file status Terraform yang dienkripsi menggunakan enkripsi sisi server (SSE) dengan kunci terkelola Amazon Simple Storage Service (SSE-S3) atau dengan kunci terkelola (SSE-KMS). AWS Key Management Service Jika file status Terraform Anda dienkripsi menggunakan kunci enkripsi yang disediakan pelanggan (SSE-C), Anda tidak akan dapat mengimpornya menggunakan. AWS Resilience Hub

Mengimpor file status Terraform ke dalam AWS Resilience Hub memerlukan kebijakan IAM berikut tergantung di mana file status Anda berada.

## Mengimpor file status Terraform dari bucket Amazon S3 yang terletak di akun utama
<a name="w2aac21c23c48b7"></a>

Kebijakan bucket Amazon S3 dan kebijakan IAM berikut diperlukan untuk mengizinkan akses AWS Resilience Hub baca ke file status Terraform Anda yang terletak di bucket Amazon S3 di akun utama.
+ Kebijakan Bucket — Kebijakan bucket pada bucket Amazon S3 target, yang terletak di akun utama. Untuk informasi selengkapnya, lihat contoh berikut.
+ Kebijakan identitas — Kebijakan identitas terkait untuk peran Invoker yang ditentukan untuk aplikasi ini, atau peran IAM AWS saat ini AWS Resilience Hub di akun utama AWS . Untuk informasi selengkapnya, lihat contoh berikut.

------
#### [ JSON ]

****  

  ```
  {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
      {
        "Effect": "Allow",
        "Action": "s3:GetObject",
        "Resource": "arn:aws:s3:::<s3-bucket-name>/<path-to-state-file>"
      },
      {
        "Effect": "Allow",
        "Action": "s3:ListBucket",
        "Resource": "arn:aws:s3:::<s3-bucket-name>"
      }
    ]
  }
  ```

------
**catatan**  
Jika Anda menggunakan kebijakan `AWSResilienceHubAsssessmentExecutionPolicy` terkelola, `ListBucket` izin tidak diperlukan.

**catatan**  
Jika file status Terraform Anda dienkripsi menggunakan KMS, Anda harus menambahkan izin berikut. `kms:Decrypt`  

```
{
      "Effect": "Allow",
      "Action": [
              "kms:Decrypt",
      ],
      "Resource": "<arn_of_kms_key>"
}
```

## Mengimpor file status Terraform dari bucket Amazon S3 yang terletak di akun sekunder
<a name="w2aac21c23c48b9"></a>
+ Kebijakan Bucket — Kebijakan bucket pada bucket Amazon S3 target, yang terletak di salah satu akun sekunder. Untuk informasi selengkapnya, lihat contoh berikut.
+ Kebijakan identitas — Kebijakan identitas terkait untuk peran AWS akun, yang berjalan AWS Resilience Hub di AWS akun utama. Untuk informasi selengkapnya, lihat contoh berikut.
**catatan**  
Jika Anda menggunakan kebijakan `AWSResilienceHubAsssessmentExecutionPolicy` terkelola, `ListBucket` izin tidak diperlukan.

**catatan**  
Jika file status Terraform Anda dienkripsi menggunakan KMS, Anda harus menambahkan izin berikut. `kms:Decrypt`  

```
{
      "Effect": "Allow",
      "Action": [
              "kms:Decrypt",
      ],
      "Resource": "<arn_of_kms_key>"
}
```







# Mengaktifkan AWS Resilience Hub akses ke klaster Amazon Elastic Kubernetes Service
<a name="enabling-eks-in-arh"></a>

AWS Resilience Hub menilai ketahanan klaster Amazon Elastic Kubernetes Service (Amazon EKS) dengan menganalisis infrastruktur kluster Amazon EKS Anda. AWS Resilience Hub menggunakan konfigurasi kontrol akses berbasis peran Kubernetes (RBAC) untuk menilai beban kerja Kubernetes (K8) lainnya, yang digunakan sebagai bagian dari klaster Amazon EKS. AWS Resilience Hub Untuk menanyakan klaster Amazon EKS Anda untuk menganalisis dan menilai beban kerja, Anda harus menyelesaikan yang berikut ini:
+ Buat atau gunakan peran AWS Identity and Access Management (IAM) yang ada di akun yang sama dengan kluster Amazon EKS.
+ Aktifkan akses pengguna dan peran IAM ke kluster Amazon EKS Anda dan berikan izin hanya-baca tambahan ke sumber daya K8 di dalam klaster Amazon EKS. Untuk informasi selengkapnya tentang mengaktifkan pengguna IAM dan akses peran ke klaster Amazon EKS Anda, lihat [Mengaktifkan pengguna IAM dan akses peran ke klaster Anda -](https://docs.aws.amazon.com/eks/latest/userguide/add-user-role.html) Amazon EKS.

Akses ke klaster Amazon EKS Anda menggunakan entitas IAM diaktifkan oleh [AWS IAM Authenticator for Kubernetes](https://github.com/kubernetes-sigs/aws-iam-authenticator#readme), yang berjalan di bidang kontrol Amazon EKS. Authenticator memperoleh informasi konfigurasi dari. `aws-auth ConfigMap`

**catatan**  
Untuk informasi selengkapnya tentang semua `aws-auth ConfigMap` pengaturan, lihat [Format Konfigurasi Lengkap](https://github.com/kubernetes-sigs/aws-iam-authenticator#full-configuration-format) aktif GitHub.
Untuk informasi selengkapnya tentang identitas IAM yang berbeda, lihat [Identitas (Pengguna, Grup, dan Peran) di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) Pengguna IAM.
[Untuk informasi selengkapnya tentang konfigurasi kontrol akses berbasis peran Kubernetes (RBAC), lihat Menggunakan Otorisasi RBAC.](https://kubernetes.io/docs/reference/access-authn-authz/rbac/)

AWS Resilience Hub kueri sumber daya di dalam klaster Amazon EKS Anda menggunakan peran IAM di akun Anda. AWS Resilience Hub Untuk mengakses sumber daya dalam klaster Amazon EKS Anda, peran IAM yang digunakan oleh AWS Resilience Hub harus dipetakan ke grup Kubernetes dengan izin hanya-baca yang memadai untuk sumber daya di dalam klaster Amazon EKS Anda.

AWS Resilience Hub memungkinkan untuk mengakses sumber daya kluster Amazon EKS Anda dengan menggunakan salah satu opsi peran IAM berikut:
+ Jika aplikasi Anda dikonfigurasi untuk menggunakan akses berbasis peran untuk mengakses sumber daya, peran invoker atau peran akun sekunder yang diteruskan ke AWS Resilience Hub saat membuat aplikasi akan digunakan untuk mengakses klaster Amazon EKS Anda selama penilaian. 

  Diagram konseptual berikut menunjukkan bagaimana AWS Resilience Hub mengakses kluster Amazon EKS saat aplikasi dikonfigurasi sebagai aplikasi berbasis peran.  
![\[Diagram showing AWS Resilience Hub accessing EKS clusters in primary and secondary accounts.\]](http://docs.aws.amazon.com/id_id/resilience-hub/latest/userguide/images/EKS-accounts.png)
+ Jika aplikasi Anda dikonfigurasi untuk menggunakan pengguna IAM saat ini untuk mengakses sumber daya, Anda harus membuat peran IAM baru dengan nama `AwsResilienceHubAssessmentEKSAccessRole` di akun yang sama dengan cluster Amazon EKS. Peran IAM ini kemudian akan digunakan untuk mengakses cluster Amazon EKS Anda.

  Diagram konseptual berikut menunjukkan cara AWS Resilience Hub mengakses kluster Amazon EKS yang diterapkan di akun utama Anda saat aplikasi dikonfigurasi untuk menggunakan izin pengguna IAM saat ini.  
![\[Icons representing login, current IAM role, assume role, and AWS Resilience Hub options.\]](http://docs.aws.amazon.com/id_id/resilience-hub/latest/userguide/images/SingleAccountEKS.png)

  Diagram konseptual berikut menunjukkan cara AWS Resilience Hub mengakses kluster Amazon EKS yang diterapkan pada akun sekunder saat aplikasi dikonfigurasi untuk menggunakan izin pengguna IAM saat ini.  
![\[Icons representing Akun AWS access roles and permissions for primary and secondary accounts.\]](http://docs.aws.amazon.com/id_id/resilience-hub/latest/userguide/images/MultiAccountEKS.png)

# Memberikan AWS Resilience Hub akses ke sumber daya di kluster Amazon EKS Anda
<a name="grant-permissions-to-eks-in-arh"></a>

AWS Resilience Hub memungkinkan Anda mengakses sumber daya yang terletak di kluster Amazon EKS asalkan Anda telah mengonfigurasi izin yang diperlukan.

**Untuk memberikan izin yang diperlukan AWS Resilience Hub untuk menemukan dan menilai sumber daya dalam klaster Amazon EKS**

1. Konfigurasikan peran IAM untuk mengakses kluster Amazon EKS.

   Jika Anda telah mengonfigurasi aplikasi Anda menggunakan akses berbasis peran, Anda dapat melewati langkah ini dan melanjutkan ke langkah 2 dan menggunakan peran yang telah Anda gunakan untuk membuat aplikasi. Untuk informasi selengkapnya tentang cara AWS Resilience Hub menggunakan peran IAM, lihat[Bagaimana AWS Resilience Hub bekerja dengan IAM](security_iam_service-with-iam.md).

   Jika Anda telah mengonfigurasi aplikasi menggunakan izin pengguna IAM saat ini, Anda harus membuat peran `AwsResilienceHubAssessmentEKSAccessRole` IAM di akun yang sama dengan cluster Amazon EKS. Peran IAM ini kemudian akan digunakan saat mengakses cluster Amazon EKS Anda.

   Saat mengimpor dan menilai aplikasi Anda, AWS Resilience Hub gunakan peran IAM untuk mengakses sumber daya di klaster Amazon EKS Anda. Peran ini harus dibuat di akun yang sama dengan cluster Amazon EKS Anda dan akan dipetakan dengan grup Kubernetes yang menyertakan izin yang diperlukan oleh untuk AWS Resilience Hub menilai kluster Amazon EKS Anda.

   Jika klaster Amazon EKS Anda berada di akun yang sama dengan akun AWS Resilience Hub panggilan, peran harus dibuat menggunakan kebijakan kepercayaan IAM berikut. Dalam kebijakan kepercayaan IAM ini, `caller_IAM_role` digunakan dalam akun saat ini untuk memanggil. APIs AWS Resilience Hub
**catatan**  
`caller_IAM_role`Ini adalah peran yang terkait dengan akun AWS pengguna Anda.

   Jika klaster Amazon EKS Anda berada di akun silang (akun yang berbeda dari akun AWS Resilience Hub panggilan), Anda harus membuat peran `AwsResilienceHubAssessmentEKSAccessRole` IAM menggunakan kebijakan kepercayaan IAM berikut:
**catatan**  
Sebagai prasyarat, untuk mengakses kluster Amazon EKS yang digunakan di akun yang berbeda dari akun AWS Resilience Hub pengguna, Anda harus mengonfigurasi akses multi-akun. Untuk informasi selengkapnya, silakan lihat 

1. Buat `ClusterRole` dan `ClusterRoleBinding` (atau`RoleBinding`) peran untuk AWS Resilience Hub aplikasi.

   Membuat `ClusterRole` dan `ClusterRoleBinding` akan memberikan izin hanya-baca yang diperlukan AWS Resilience Hub untuk menganalisis dan menilai sumber daya yang merupakan bagian dari ruang nama tertentu di klaster Amazon EKS Anda.

   AWS Resilience Hub memungkinkan Anda membatasi aksesnya ke ruang nama Anda untuk menghasilkan penilaian ketahanan dengan menyelesaikan salah satu dari berikut ini:

   1. Berikan akses baca di semua ruang nama ke AWS Resilience Hub aplikasi.

       AWS Resilience Hub Untuk menilai ketahanan sumber daya di semua ruang nama dalam kluster Amazon EKS, Anda harus membuat berikut dan. `ClusterRole` `ClusterRoleBinding`
      + `resilience-hub-eks-access-cluster-role`(`ClusterRole`) — Menentukan izin yang diperlukan oleh AWS Resilience Hub untuk menilai kluster Amazon EKS Anda.
      +  `resilience-hub-eks-access-cluster-role-binding`(`ClusterRoleBinding`) — Mendefinisikan grup bernama `resilience-hub-eks-access-group` di kluster Amazon EKS Anda yang memberikan penggunanya, izin yang diperlukan untuk menjalankan penilaian ketahanan di. AWS Resilience Hub

      Template untuk memberikan akses baca di semua ruang nama ke AWS Resilience Hub aplikasi adalah sebagai berikut:

      ```
      cat << EOF | kubectl apply -f -
      apiVersion: rbac.authorization.k8s.io/v1
      kind: ClusterRole
      metadata:
        name: resilience-hub-eks-access-cluster-role
      rules:
      - apiGroups:
          - ""
        resources:
          - pods
          - replicationcontrollers
          - nodes
        verbs:
          - get
          - list
      - apiGroups:
          - apps
        resources:
          - deployments
          - replicasets
        verbs:
          - get
          - list
      - apiGroups:
          - policy
        resources:
          - poddisruptionbudgets
        verbs:
          - get
          - list
      - apiGroups:
          - autoscaling.k8s.io
        resources:
          - verticalpodautoscalers
        verbs:
          - get
          - list
      - apiGroups:
          - autoscaling
        resources:
          - horizontalpodautoscalers
        verbs:
          - get
          - list
      - apiGroups:
          - karpenter.sh
        resources:
          - provisioners
          - nodepools
        verbs:
          - get
          - list
      - apiGroups:
          - karpenter.k8s.aws
        resources:
          - awsnodetemplates
          - ec2nodeclasses
        verbs:
          - get
          - list
      ---
      apiVersion: rbac.authorization.k8s.io/v1
      kind: ClusterRoleBinding
      metadata:
        name: resilience-hub-eks-access-cluster-role-binding
      subjects:
        - kind: Group
          name: resilience-hub-eks-access-group
          apiGroup: rbac.authorization.k8s.io
      roleRef:
        kind: ClusterRole
        name: resilience-hub-eks-access-cluster-role
        apiGroup: rbac.authorization.k8s.io
      ---
      EOF
      ```

   1. Memberikan AWS Resilience Hub akses untuk membaca ruang nama tertentu.

      Anda dapat membatasi AWS Resilience Hub untuk mengakses sumber daya dalam satu set ruang nama tertentu menggunakan. `RoleBinding` Untuk mencapai ini, Anda harus membuat peran berikut:
      + `ClusterRole`— AWS Resilience Hub Untuk mengakses sumber daya di ruang nama tertentu dalam klaster Amazon EKS dan menilai ketahanannya, Anda harus membuat peran berikut. `ClusterRole`
        + `resilience-hub-eks-access-cluster-role`— Menentukan izin yang diperlukan untuk menilai sumber daya dalam ruang nama tertentu.
        + `resilience-hub-eks-access-global-cluster-role`— Menentukan izin yang diperlukan untuk menilai sumber daya dengan cakupan klaster, yang tidak terkait dengan namespace tertentu, dalam kluster Amazon EKS Anda. AWS Resilience Hub memerlukan izin untuk mengakses sumber daya dengan cakupan klaster (seperti node) di klaster Amazon EKS Anda untuk menilai ketahanan aplikasi Anda.

        Template untuk membuat `ClusterRole` peran adalah sebagai berikut:

        ```
        cat << EOF | kubectl apply -f -
        apiVersion: rbac.authorization.k8s.io/v1
        kind: ClusterRole
        metadata:
          name: resilience-hub-eks-access-cluster-role
        rules:
          - apiGroups:
              - ""
            resources:
              - pods
              - replicationcontrollers
            verbs:
              - get
              - list
          - apiGroups:
              - apps
            resources:
              - deployments
              - replicasets
            verbs:
              - get
              - list
          - apiGroups:
              - policy
            resources:
              - poddisruptionbudgets
            verbs:
              - get
              - list
          - apiGroups:
              - autoscaling.k8s.io
            resources:
              - verticalpodautoscalers
            verbs:
              - get
              - list
          - apiGroups:
              - autoscaling
            resources:
              - horizontalpodautoscalers
            verbs:
              - get
              - list
        
        ---
        apiVersion: rbac.authorization.k8s.io/v1
        kind: ClusterRole
        metadata:
          name: resilience-hub-eks-access-global-cluster-role
        rules:
          - apiGroups:
              - ""
            resources:
              - nodes
            verbs:
              - get
              - list
          - apiGroups:
              - karpenter.sh
            resources:
              - provisioners
              - nodepools
            verbs:
              - get
              - list
          - apiGroups:
              - karpenter.k8s.aws
            resources:
              - awsnodetemplates
              - ec2nodeclasses
            verbs:
              - get
              - list
        
        ---
        EOF
        ```
      + `RoleBinding`peran — Peran ini memberikan izin yang diperlukan AWS Resilience Hub untuk mengakses sumber daya dalam ruang nama tertentu. Artinya, Anda harus membuat `RoleBinding` peran di setiap namespace AWS Resilience Hub untuk mengaktifkan akses sumber daya dalam namespace yang diberikan. 
**catatan**  
Jika Anda menggunakan `ClusterAutoscaler` untuk penskalaan otomatis, Anda juga harus membuat `RoleBinding` di. `kube-system` Ini diperlukan untuk menilai Anda`ClusterAutoscaler`, yang merupakan bagian dari `kube-system` namespace.  
Dengan melakukan ini, Anda akan memberikan izin AWS Resilience Hub yang diperlukan untuk menilai sumber daya di dalam `kube-system` namespace saat menilai kluster Amazon EKS Anda.

        Template untuk membuat `RoleBinding` peran adalah sebagai berikut:

        ```
        cat << EOF | kubectl apply -f -
        apiVersion: rbac.authorization.k8s.io/v1
        kind: RoleBinding
        metadata:
          name: resilience-hub-eks-access-cluster-role-binding
          namespace: <namespace>
        subjects:
          - kind: Group
            name: resilience-hub-eks-access-group
            apiGroup: rbac.authorization.k8s.io
        roleRef:
          kind: ClusterRole
          name: resilience-hub-eks-access-cluster-role
          apiGroup: rbac.authorization.k8s.io
        
        ---
        EOF
        ```
      + `ClusterRoleBinding`peran — Peran ini memberikan izin yang diperlukan untuk AWS Resilience Hub mengakses sumber daya dengan cakupan kluster.

        Template untuk membuat `ClusterRoleBinding` peran adalah sebagai berikut:

        ```
        cat << EOF | kubectl apply -f - 
        ---
        apiVersion: rbac.authorization.k8s.io/v1
        kind: ClusterRoleBinding
        metadata:
          name: resilience-hub-eks-access-global-cluster-role-binding
        subjects:
          - kind: Group
            name: resilience-hub-eks-access-group
            apiGroup: rbac.authorization.k8s.io
        roleRef:
          kind: ClusterRole
          name: resilience-hub-eks-access-global-cluster-role
          apiGroup: rbac.authorization.k8s.io
        
        ---
        EOF
        ```

1. Perbarui `aws-auth ConfigMap` untuk memetakan `resilience-hub-eks-access-group` dengan peran IAM yang digunakan untuk mengakses kluster Amazon EKS.

   Langkah ini membuat pemetaan antara peran IAM yang digunakan pada langkah 1 dengan grup Kubernetes yang dibuat pada langkah 2. Pemetaan ini memberikan izin ke peran IAM untuk mengakses sumber daya di dalam klaster Amazon EKS.
**catatan**  
`ROLE-NAME`mengacu pada peran IAM yang digunakan untuk mengakses klaster Amazon EKS.  
Jika aplikasi Anda dikonfigurasi untuk menggunakan akses berbasis peran, peran tersebut harus berupa peran invoker atau peran akun sekunder yang diteruskan AWS Resilience Hub saat membuat aplikasi.
Jika aplikasi Anda dikonfigurasi untuk menggunakan pengguna IAM saat ini untuk mengakses sumber daya, itu harus menjadi. `AwsResilienceHubAssessmentEKSAccessRole`
`ACCOUNT-ID`harus menjadi ID AWS akun cluster Amazon EKS.

   Anda dapat membuat `aws-auth` `ConfigMap` menggunakan salah satu cara berikut:
   + Menggunakan `eksctl`

     Gunakan perintah berikut untuk memperbarui `aws-auth``ConfigMap`:

     ```
     eksctl create iamidentitymapping \
      --cluster <cluster-name> \
      --region=<region-code> \
      --arn arn:aws:iam::<ACCOUNT-ID>:role/<ROLE-NAME>\
      --group resilience-hub-eks-access-group \
      --username AwsResilienceHubAssessmentEKSAccessRole
     ```
   + Anda dapat mengedit secara manual `aws-auth` `ConfigMap` dengan menambahkan detail peran IAM ke `mapRoles` bagian data di `ConfigMap` bawah. Gunakan perintah berikut untuk mengedit file `aws-auth``ConfigMap`.

     `kubectl edit -n kube-system configmap/aws-auth`

     `mapRoles`bagian terdiri dari parameter berikut:
     + `rolearn`— [Nama Sumber Daya Amazon (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) dari peran IAM yang akan ditambahkan. 
       + ARN Sintaks —. `arn:aws:iam::<ACCOUNT-ID>:role/<ROLE-NAME>`
     + `username`— Nama pengguna dalam Kubernetes untuk dipetakan ke peran IAM (). `AwsResilienceHubAssessmentEKSAccessRole`
     + `groups`— Nama grup harus cocok dengan nama grup yang dibuat pada **Langkah 2** (`resilience-hub-eks-access-group`).
**catatan**  
Jika `mapRoles` bagian tidak ada, Anda harus menambahkan bagian ini secara manual.

     Gunakan templat berikut untuk menambahkan detail peran IAM ke `mapRoles` bagian data di `ConfigMap` bawah.

     ```
         - groups:
           - resilience-hub-eks-access-group
           rolearn: arn:aws:iam::<ACCOUNT-ID>:role/<ROLE-NAME>
           username: AwsResilienceHubAssessmentEKSAccessRole
     ```

# Mengaktifkan AWS Resilience Hub untuk mempublikasikan ke topik Amazon Simple Notification Service
<a name="enabling-sns-in-arh"></a>

Bagian ini menjelaskan tentang cara mengaktifkan AWS Resilience Hub untuk mempublikasikan pemberitahuan tentang aplikasi ke topik Amazon Simple Notification Service (Amazon SNS) Anda. Untuk mendorong notifikasi ke topik Amazon SNS, pastikan Anda memiliki yang berikut: 
+  AWS Resilience Hub Aplikasi aktif.
+ Topik Amazon SNS yang ada yang AWS Resilience Hub harus mengirim pemberitahuan. Untuk informasi selengkapnya tentang membuat topik Amazon SNS, lihat [Membuat topik Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html).

 AWS Resilience Hub Untuk mengaktifkan memublikasikan pemberitahuan ke topik Amazon SNS Anda, Anda harus memperbarui kebijakan akses topik Amazon SNS dengan yang berikut:

**catatan**  
Bila digunakan AWS Resilience Hub untuk memublikasikan pesan dari Wilayah keikutsertaan ke topik yang terletak di Wilayah yang diaktifkan secara default, Anda harus mengubah kebijakan sumber daya yang dibuat untuk topik Amazon SNS. Ubah nilai prinsipal dari `resiliencehub.amazonaws.com` ke`resiliencehub.<opt-in-region>.amazonaws.com`.

Jika Anda menggunakan topik Amazon SNS Server Side Encrypted (SSE), Anda harus memastikan bahwa AWS Resilience Hub memiliki `Decrypt` dan `GenerateDataKey` \$1 akses ke kunci enkripsi Amazon SNS.

Untuk menyediakan `Decrypt` dan `GenerateDataKey*` mengakses AWS Resilience Hub, Anda harus menyertakan izin berikut untuk AWS Key Management Service mengakses kebijakan.

# Membatasi izin untuk menyertakan atau mengecualikan rekomendasi AWS Resilience Hub
<a name="include-exclude-limit-permissions"></a>

AWS Resilience Hub memungkinkan Anda membatasi izin untuk menyertakan atau mengecualikan rekomendasi per aplikasi. Anda dapat membatasi izin untuk menyertakan atau mengecualikan rekomendasi per aplikasi menggunakan kebijakan kepercayaan IAM berikut. Dalam kebijakan kepercayaan IAM ini, `caller_IAM_role` (terkait dengan akun AWS pengguna Anda) digunakan di akun saat ini untuk memanggil. APIs AWS Resilience Hub