Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Menambahkan pengguna dan mengatur akun layanan
<a name="add-user"></a>

## Kontrol akses berbutir halus - rekomendasi kami
<a name="add-user-access-control"></a>

Pengguna dibedakan berdasarkan nama pengguna Kubernetes mereka. Username Kubernetes pengguna didefinisikan dalam Access Entry mereka. Untuk memastikan dua pengguna manusia memiliki nama pengguna yang berbeda, ada dua opsi:

1. Direkomendasikan - Beberapa pengguna manusia dapat menggunakan peran yang sama selama masing-masing memiliki nama sesi berbeda mereka sendiri yang akan bertahan di antara sesi. Secara default, nama pengguna Kubernetes untuk peran IAM ada dalam format. `arn:aws:sts::{ACCOUNT_ID}:assumed-role/{ROLE_NAME}/{SESSION_NAME}` Dengan default ini, pengguna sudah akan dibedakan berdasarkan nama sesi. Admin memiliki beberapa cara untuk menerapkan nama sesi unik per pengguna.
   + Login SSO - Pengguna yang menggunakan login SSO secara default akan memiliki nama sesi yang terkait dengan nama pengguna mereka AWS 
   + Layanan penjual kredensyal pusat - Untuk pelanggan perusahaan, mereka mungkin memiliki beberapa layanan penjual kredenal internal yang dapat dihubungi pengguna untuk mendapatkan kredensyal dengan identitas mereka. 
   + Penegakan berbasis peran - Mewajibkan pengguna IAM untuk menetapkan nama sesi peran mereka ketika mereka mengambil peran IAM dalam Anda. `aws:username` Akun AWS Dokumentasi tentang cara melakukan ini ada di sini: [https://aws.amazon.com/blogs/keamanan/ -/easily-control-naming-individualiam-role-sessions](https://aws.amazon.com/blogs/security/easily-control-naming-individual-iam-role-sessions/)

1. Jika 2 Ilmuwan Data menggunakan entri akses yang berbeda (peran IAM atau pengguna yang berbeda), mereka akan selalu dihitung sebagai pengguna yang berbeda.

**Membuat entri akses**

Kebijakan IAM yang diperlukan untuk peran ilmuwan data:
+ `eks:DescribeCluster`

Kebijakan entri akses yang diperlukan
+ `AmazonSagemakerHyperpodSpacePolicy`- cakupan ke namespace DS harus membuat spasi di
+ `AmazonSagemakerHyperpodSpaceTemplatePolicy`- dicakup ke namespace “jupyter-k8s-shared”

## Ruang pribadi dan Publik
<a name="add-user-spaces"></a>

Kami mendukung 2 jenis pola berbagi: “Publik” dan “OwnerOnly”. Kedua bidang “AccessType” dan “OwnershipType” menggunakan 2 nilai ini.
+ AccessType: Ruang publik dapat diakses oleh siapa saja yang memiliki izin di namespace, sementara hanya OwnerOnly dapat diakses oleh pembuat ruang serta pengguna administrator. Pengguna administrator didefinisikan dengan kriteria berikut:
+ OwnershipType: Ruang publik bisa modified/deleted oleh siapa saja yang memiliki izin di namespace, OwnerOnly bisa modified/deleted oleh pencipta atau Admin.

Pengguna admin ditentukan oleh:

1. Bagian dari kelompok `system:masters` Kubernetes

1. Bagian dari grup Kubernetes yang didefinisikan dalam variabel lingkungan CLUSTER\$1ADMIN\$1GROUP dalam bagan helm.

Grup pengguna dapat dikonfigurasi menggunakan entri akses EKS. Spasi dapat didefinisikan sebagai “Publik” atau “OwnerOnly” dengan mengonfigurasi spesifikasi dalam objek:

```
apiVersion: workspace.jupyter.org/v1alpha1
kind: Workspace
metadata:
  labels:
    app.kubernetes.io/name: jupyter-k8s
  name: example-workspace
spec:
  displayName: "Example Workspace"
  image: "public.ecr.aws/sagemaker/sagemaker-distribution:3.4.2-cpu"
  desiredStatus: "Running"
  ownershipType: "Public"/"OwnerOnly"
  accessType: "Public"/"OwnerOnly"
  # more fields here
```