Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Konfigurasikan akses ke aplikasi
<a name="manage-your-applications"></a>

Dengan AWS IAM Identity Center, Anda dapat mengontrol siapa yang dapat memiliki akses masuk tunggal ke aplikasi Anda. Pengguna mendapatkan akses tanpa batas ke aplikasi ini setelah mereka menggunakan kredensi direktori mereka untuk masuk.

IAM Identity Center berkomunikasi dengan aman dengan aplikasi ini melalui hubungan tepercaya antara IAM Identity Center dan penyedia layanan aplikasi. Kepercayaan ini dapat dibuat dengan berbagai cara, tergantung pada jenis aplikasi.

IAM Identity Center mendukung dua jenis aplikasi: aplikasi [AWS terkelola dan aplikasi](awsapps.md) yang [dikelola pelanggan](customermanagedapps.md). AWS aplikasi terkelola dikonfigurasi langsung dari dalam konsol aplikasi yang relevan atau melalui aplikasi APIs. Aplikasi yang dikelola pelanggan harus ditambahkan ke konsol Pusat Identitas IAM dan dikonfigurasi dengan metadata yang sesuai untuk Pusat Identitas IAM dan penyedia layanan.

Setelah Anda mengkonfigurasi aplikasi untuk bekerja dengan IAM Identity Center, Anda dapat mengelola pengguna atau grup mana yang mengakses aplikasi. Secara default, tidak ada pengguna yang ditugaskan ke aplikasi.

Anda juga dapat memberikan karyawan Anda akses ke Konsol Manajemen AWS untuk spesifik Akun AWS di organisasi Anda. Untuk informasi selengkapnya, lihat [Konfigurasikan akses ke Akun AWS](manage-your-accounts.md).

**Topics**
+ [AWS aplikasi terkelola](awsapps.md)
+ [Aplikasi yang dikelola pelanggan](customermanagedapps.md)
+ [Ikhtisar propagasi identitas tepercaya](trustedidentitypropagation-overview.md)
+ [Menyiapkan aplikasi OAuth 2.0 Anda sendiri](trustedidentitypropagation-using-customermanagedapps-setup.md)
+ [Putar sertifikat Pusat Identitas IAM](managecerts.md)
+ [Memahami properti aplikasi di konsol Pusat Identitas IAM](appproperties.md)
+ [Tetapkan akses pengguna ke aplikasi di konsol Pusat Identitas IAM](assignuserstoapp.md)
+ [Hapus akses pengguna ke aplikasi SAMP 2.0](removeaccessfromapp.md)
+ [Atribut petakan dalam aplikasi Anda ke atribut IAM Identity Center](mapawsssoattributestoapp.md)

# AWS aplikasi terkelola
<a name="awsapps"></a>

AWS IAM Identity Center merampingkan dan menyederhanakan tugas menghubungkan pengguna tenaga kerja Anda ke aplikasi AWS terkelola seperti Kiro dan Amazon Quick. Dengan IAM Identity Center, Anda dapat menghubungkan penyedia identitas yang ada sekali dan menyinkronkan pengguna dan grup dari direktori Anda, atau membuat dan mengelola pengguna Anda secara langsung di Pusat Identitas IAM. Dengan menyediakan satu titik federasi, IAM Identity Center menghilangkan kebutuhan untuk mengatur federasi atau sinkronisasi pengguna dan grup untuk setiap aplikasi dan mengurangi upaya administratif Anda. Anda juga mendapatkan [pandangan umum tentang tugas pengguna dan grup](howtoviewandchangepermissionset.md).

Untuk tabel AWS aplikasi yang bekerja dengan IAM Identity Center, lihat[AWS aplikasi terkelola yang dapat Anda gunakan dengan IAM Identity Center](awsapps-that-work-with-identity-center.md).

## Mengontrol akses ke aplikasi AWS terkelola
<a name="awsapps-controlling-access"></a>

Akses ke aplikasi yang AWS dikelola dikendalikan dengan dua cara:
+ **Entri awal ke aplikasi** 

  IAM Identity Center mengelola ini melalui penugasan ke aplikasi. Secara default, penugasan diperlukan untuk aplikasi yang AWS dikelola. Jika Anda seorang administrator aplikasi, Anda dapat memilih apakah akan memerlukan tugas ke aplikasi.

  Jika penugasan diperlukan, saat pengguna masuk Portal akses AWS, hanya pengguna yang ditugaskan ke aplikasi secara langsung atau melalui penugasan grup yang dapat melihat ubin aplikasi.

  Jika tugas tidak diperlukan, Anda dapat mengizinkan semua pengguna IAM Identity Center untuk masuk ke aplikasi. Dalam hal ini, aplikasi mengelola akses ke sumber daya dan ubin aplikasi terlihat oleh semua pengguna yang mengunjungi Portal akses AWS. 
**penting**  
Jika Anda administrator Pusat Identitas IAM, Anda dapat menggunakan konsol Pusat Identitas IAM untuk menghapus tugas ke AWS aplikasi terkelola. Sebelum Anda menghapus tugas, kami sarankan Anda berkoordinasi dengan administrator aplikasi. Anda juga harus berkoordinasi dengan administrator aplikasi jika Anda berencana untuk mengubah pengaturan yang menentukan apakah penugasan diperlukan, atau mengotomatiskan penetapan aplikasi. 
+ **Akses ke sumber daya aplikasi**

   Aplikasi mengelola ini melalui penugasan sumber daya independen yang dikontrolnya.

AWS aplikasi terkelola menyediakan antarmuka pengguna administratif yang dapat Anda gunakan untuk mengelola akses ke sumber daya aplikasi. Misalnya, Administrator cepat dapat menetapkan pengguna untuk mengakses dasbor berdasarkan keanggotaan grup mereka. Sebagian besar aplikasi yang AWS dikelola juga memberikan Konsol Manajemen AWS pengalaman yang memungkinkan Anda untuk menetapkan pengguna ke aplikasi. Pengalaman konsol untuk aplikasi ini mungkin mengintegrasikan kedua fungsi, untuk menggabungkan kemampuan penetapan pengguna dengan kemampuan untuk mengelola akses ke sumber daya aplikasi.

## Berbagi informasi identitas
<a name="app-enablement"></a>

### Pertimbangan untuk berbagi informasi identitas di Akun AWS
<a name="considerations-app-enablement"></a>

IAM Identity Center mendukung atribut yang paling umum digunakan di seluruh aplikasi. Atribut ini termasuk nama depan dan belakang, nomor telepon, alamat email, alamat, dan bahasa pilihan. Pertimbangkan dengan cermat aplikasi mana dan akun mana yang dapat menggunakan informasi identitas pribadi ini.

Anda dapat mengontrol akses ke informasi ini dengan salah satu cara berikut:
+ Anda dapat memilih untuk mengaktifkan akses hanya di akun AWS Organizations manajemen atau di semua akun di AWS Organizations.
+ Atau, Anda dapat menggunakan kebijakan kontrol layanan (SCPs) untuk mengontrol aplikasi mana yang dapat mengakses informasi di akun mana AWS Organizations. 

Misalnya, jika Anda mengaktifkan akses di akun AWS Organizations manajemen saja, maka aplikasi di akun anggota tidak memiliki akses ke informasi tersebut. Namun, jika Anda mengaktifkan akses di semua akun, Anda dapat menggunakan SCPs untuk melarang akses oleh semua aplikasi kecuali yang ingin Anda izinkan.

Kebijakan kontrol layanan adalah fitur dari AWS Organizations. *Untuk petunjuk tentang melampirkan SCP, lihat [Melampirkan dan melepaskan kebijakan kontrol layanan](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html) di Panduan Pengguna.AWS Organizations *

### Mengkonfigurasi IAM Identity Center untuk berbagi informasi identitas
<a name="configure-app-enablement"></a>

IAM Identity Center menyediakan penyimpanan identitas yang berisi atribut pengguna dan grup, tidak termasuk kredensi login. Anda dapat menggunakan salah satu metode berikut untuk memperbarui pengguna dan grup di toko identitas Pusat Identitas IAM Anda:
+ Gunakan toko identitas IAM Identity Center sebagai sumber identitas utama Anda. Jika Anda memilih metode ini, Anda mengelola pengguna Anda, kredensi masuk mereka, dan grup dari dalam konsol Pusat Identitas IAM atau (). AWS Command Line Interface AWS CLI Untuk informasi selengkapnya, lihat [Mengelola pengguna di direktori Pusat Identitas](manage-your-identity-source-sso.md).
+ Siapkan penyediaan (sinkronisasi) pengguna dan grup yang berasal dari salah satu sumber identitas berikut ke toko identitas Pusat Identitas IAM Anda:
  + **Active Directory** - Untuk informasi lebih lanjut, lihat[Microsoft ADdirektori](manage-your-identity-source-ad.md).
  + **Penyedia identitas eksternal** — Untuk informasi selengkapnya, lihat[Penyedia identitas eksternal](manage-your-identity-source-idp.md).

  Jika Anda memilih metode penyediaan ini, Anda terus mengelola pengguna dan grup dari dalam sumber identitas Anda, dan perubahan tersebut disinkronkan ke penyimpanan identitas Pusat Identitas IAM.

Sumber identitas mana pun yang Anda pilih, IAM Identity Center dapat berbagi informasi pengguna dan grup dengan aplikasi terkelola. AWS Dengan begitu, Anda dapat menghubungkan sumber identitas ke IAM Identity Center sekali dan kemudian berbagi informasi identitas dengan beberapa aplikasi di AWS Cloud. Ini menghilangkan kebutuhan untuk secara independen mengatur federasi dan penyediaan identitas dengan setiap aplikasi. Fitur berbagi ini juga memudahkan untuk memberi pengguna Anda akses ke banyak aplikasi yang berbeda Akun AWS.

## Membatasi penggunaan aplikasi terkelola AWS
<a name="awsapps-constrain"></a>

Ketika Anda pertama kali mengaktifkan IAM Identity Center, itu menjadi tersedia sebagai sumber identitas untuk aplikasi AWS terkelola di semua akun di Anda AWS Organizations. Untuk membatasi aplikasi, Anda harus menerapkan kebijakan kontrol layanan (SCPs). SCPs adalah fitur AWS Organizations yang dapat Anda gunakan untuk mengontrol secara terpusat izin maksimum yang dapat dimiliki identitas (pengguna dan peran) di organisasi Anda. Anda dapat menggunakan SCPs untuk memblokir akses ke informasi pengguna dan grup Pusat Identitas IAM dan untuk mencegah aplikasi dimulai, kecuali di akun yang ditunjuk. Untuk informasi selengkapnya, lihat [Kebijakan kontrol layanan (SCPs)](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps.html) di *Panduan AWS Organizations Pengguna.* 

Contoh SCP berikut memblokir akses ke informasi pengguna dan grup Pusat Identitas IAM dan mencegah aplikasi dimulai, kecuali di akun yang ditunjuk (111111111111 dan 222222222222):

```
{
  "Sid": "DenyIdCExceptInDesignatedAWSAccounts",
  "Effect": "Deny",
  "Action": [
    "identitystore:*",
    "sso:*",
    "sso-directory:*",
    "sso-oauth:*"
  ],
  "Resource": "*",
  "Condition": {
    "StringNotEquals": {
      "aws:PrincipalAccount": [
        "111111111111",
        "222222222222"
      ]
    }
  }
}
```

# AWS aplikasi terkelola yang dapat Anda gunakan dengan IAM Identity Center
<a name="awsapps-that-work-with-identity-center"></a>

IAM Identity Center memungkinkan Anda menghubungkan sumber identitas yang ada atau membuat pengguna sekali. Ini memungkinkan administrator aplikasi untuk mengelola akses ke aplikasi AWS terkelola berikut tanpa sinkronisasi federasi atau pengguna dan grup yang terpisah. 

Semua aplikasi AWS terkelola dalam tabel berikut terintegrasi dengan [instance organisasi IAM Identity Center](organization-instances-identity-center.md). Tabel ini juga menyediakan informasi tentang hal berikut untuk aplikasi AWS terkelola yang didukung:
+ Apakah aplikasi juga terintegrasi dengan instance akun IAM Identity Center
+  Apakah aplikasi dapat mengaktifkan propagasi identitas tepercaya melalui IAM Identity Center
+  Apakah aplikasi mendukung IAM Identity Center yang dikonfigurasi dengan kunci KMS yang dikelola pelanggan
+ Apakah aplikasi mendukung penerapan di Wilayah tambahan Pusat Identitas IAM

**catatan**  
Aplikasi yang mendukung penyebaran di Wilayah tambahan Pusat Identitas IAM juga mendukung Pusat Identitas IAM yang dikonfigurasi dengan kunci KMS yang dikelola pelanggan. Setiap aplikasi AWS terkelola yang tercantum di sini mendukung penerapan di Wilayah utama. Untuk informasi selengkapnya, lihat [Menyebarkan dan mengelola aplikasi AWS terkelola di beberapa Wilayah AWS](multi-region-application-use.md#multi-region-aws-managed-applications).


**AWS aplikasi terkelola yang terintegrasi dengan IAM Identity Center**  

| AWS aplikasi terkelola | Terintegrasi dengan [instans akun IAM Identity Center](account-instances-identity-center.md) | Memungkinkan [propagasi identitas tepercaya](trustedidentitypropagation-overview.md) melalui IAM Identity Center | Mendukung Pusat Identitas IAM yang dikonfigurasi dengan kunci [KMS yang dikelola pelanggan](encryption-at-rest.md) | Mendukung penyebaran di [Wilayah tambahan Pusat Identitas IAM](multi-region-iam-identity-center.md) | 
| --- | --- | --- | --- | --- | 
| Amazon Athena SQL | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | 
| Amazon CodeCatalyst | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | 
| Amazon DataZone | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | 
| Kemampuan Amazon EKS | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | 
| Amazon EMR di EC2 | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | 
| Amazon EMR di EKS | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | 
| Amazon EMR Tanpa Server | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | 
| Amazon EMR Studio | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | 
| Amazon Kendra | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | 
| Amazon Managed Grafana | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | 
| Amazon Monitron | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | 
|  OpenSearch Layanan Amazon | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | 
|  OpenSearch Layanan Amazon Serverless Service | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | 
| Amazon Q Bisnis | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | 
| Amazon Quick | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | 
| Amazon Redshift | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg)Ya 2 | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | 
| Amazon S3 Access Grants | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | 
|  SageMaker Studio Amazon | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | 
| Studio SageMaker Terpadu Amazon | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | 
| Amazon WorkMail | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | 
| Amazon WorkSpaces | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | 
| Amazon WorkSpaces Secure Browser | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | 
| AWS App Studio  | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | 
| AWS Deadline Cloud | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | 
| AWS Glue | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | 
| AWS IoT Events | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | 
| AWS IoT SiteWise | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | 
| AWS Lake Formation | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | 
| AWS re:Post Privat | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | 
| Rantai Pasokan AWS | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | 
| AWS Systems Manager | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg)Ya - Manajer Armada Desktop Jarak Jauh | 
| AWS Transfer Family aplikasi web | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | 
| AWS Transformasi | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | 
| Akses Terverifikasi AWS | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | 
| Kiro | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg)Ya 1 | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | 
| Persetujuan multipihak | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | 
| OpenSearch user interface (Dashboards) | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/success_icon.svg) Ya | ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/negative_icon.svg) Tidak | 

1 Untuk Kiro, instans akun IAM Identity Center didukung kecuali pengguna Anda memerlukan akses ke set lengkap fitur Kiro di situs web. AWS Untuk informasi selengkapnya, lihat [Menyiapkan Kiro](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/getting-started-q-dev.html) di *Panduan Pengguna Kiro*.

2 Untuk Amazon Redshift, instans akun Pusat Identitas IAM didukung kecuali untuk aplikasi seperti Query Editor v2 yang memerlukan set izin, yang tidak didukung oleh instance akun.

**catatan**  
Beberapa AWS layanan seperti Amazon Connect dan tidak AWS Client VPN tercantum dalam tabel ini meskipun Anda dapat menggunakannya dengan IAM Identity Center. Ini karena mereka berintegrasi dengan IAM Identity Center secara eksklusif menggunakan SAMP dan oleh karena itu dikategorikan sebagai aplikasi yang dikelola [pelanggan](customermanagedapps.md). 

# Mulai cepat: Menyiapkan Pusat Identitas IAM untuk menguji aplikasi yang AWS dikelola
<a name="awsapps-identity-center-quick-start"></a>

 Jika administrator belum memberi Anda akses ke Pusat Identitas IAM, Anda dapat menggunakan langkah-langkah dalam topik ini untuk menyiapkan Pusat Identitas IAM untuk menguji aplikasi AWS terkelola. Anda akan belajar cara mengaktifkan IAM Identity Center, membuat pengguna langsung di IAM Identity Center, dan menetapkan pengguna tersebut ke aplikasi AWS terkelola. 

 Topik ini memberikan langkah-langkah mulai cepat tentang cara mengaktifkan Pusat Identitas IAM dengan salah satu cara berikut: 
+ **Dengan AWS Organizations** - Jika Anda memilih opsi ini, *instance organisasi* dari IAM Identity Center dibuat.
+ **Hanya di spesifik Anda Akun AWS** — Jika Anda memilih opsi ini, *instance akun* IAM Identity Center dibuat.

 Untuk informasi tentang jenis instance ini, lihat[Organisasi dan instans akun Pusat Identitas IAM](identity-center-instances.md). 

## Prasyarat
<a name="awsapps-quick-start-set-up-access-prerequisites"></a>

Sebelum Anda mengaktifkan IAM Identity Center, konfirmasikan hal berikut:
+ **Anda memiliki Akun AWS** — Jika Anda tidak memiliki Akun AWS, lihat [Memulai dengan Akun AWS](https://docs.aws.amazon.com//accounts/latest/reference/getting-started.html) di *Panduan Referensi Manajemen AWS Akun.* 
+ **Aplikasi AWS terkelola bekerja dengan IAM Identity Center** - Tinjau daftar [AWS aplikasi terkelola yang dapat Anda gunakan dengan IAM Identity Center](awsapps-that-work-with-identity-center.md) untuk mengonfirmasi bahwa aplikasi AWS terkelola yang ingin Anda uji berfungsi dengan IAM Identity Center.
+ **Anda telah meninjau pertimbangan Regional** — Pastikan bahwa aplikasi AWS terkelola yang ingin Anda uji didukung di Wilayah AWS tempat Anda mengaktifkan Pusat Identitas IAM. Untuk informasi selengkapnya, lihat dokumentasi untuk aplikasi AWS terkelola.
**catatan**  
Anda harus menerapkan aplikasi AWS terkelola Anda di Wilayah yang sama di mana Anda berencana untuk mengaktifkan Pusat Identitas IAM.

## Menyiapkan instance organisasi dari IAM Identity Center untuk menguji aplikasi AWS terkelola
<a name="awsapps-quick-start-setting-up-identity-center-to-test-awsmanagedapps"></a>

**catatan**  
 Topik ini menjelaskan cara mengaktifkan Pusat Identitas IAM dengan AWS Organizations, yang merupakan cara yang disarankan untuk mengaktifkan Pusat Identitas IAM. 

**Konfirmasikan izin Anda**

Untuk mengaktifkan Pusat Identitas IAM AWS Organizations, Anda harus masuk ke Konsol AWS Manajemen sebagai salah satu dari berikut ini:
+ Pengguna dengan izin administratif di Akun AWS tempat Pusat Identitas IAM akan diaktifkan. AWS Organizations
+ Pengguna root (tidak disarankan kecuali tidak ada pengguna administratif lain).
**penting**  
Pengguna root memiliki akses ke semua AWS layanan dan sumber daya di akun. Sebagai praktik keamanan terbaik, kecuali Anda tidak memiliki kredensil lain, jangan gunakan kredensi root akun Anda untuk mengakses sumber daya. AWS Kredensi ini menyediakan akses akun yang tidak terbatas dan sulit dicabut.

### Langkah 1. Aktifkan Pusat Identitas IAM dengan AWS Organizations
<a name="awsapps-quick-start-enable-identity-center-with-awsorganizations"></a>

1. Lakukan salah satu hal berikut untuk masuk ke Konsol Manajemen AWS.
   + **Baru di AWS (pengguna root)** - Masuk sebagai pemilik akun dengan memilih **pengguna Root** dan memasukkan alamat Akun AWS email Anda. Di laman berikutnya, masukkan kata sandi.
   + **Sudah menggunakan AWS dengan mandiri Akun AWS (kredensil IAM) — Masuk menggunakan kredensil** IAM Anda dengan izin administratif.

1. Pada halaman Beranda Konsol AWS Manajemen, pilih layanan Pusat Identitas IAM atau navigasikan ke konsol Pusat [Identitas IAM](https://console.aws.amazon.com/singlesignon).

1. Pilih **Aktifkan**, dan aktifkan Pusat Identitas IAM dengan AWS Organizations. Ketika Anda melakukan ini, Anda membuat [instance organisasi](organization-instances-identity-center.md) dari IAM Identity Center.

### Langkah 2. Buat pengguna administratif di IAM Identity Center
<a name="awsapps-quick-start-create-an-administrative-user-in-identity-center"></a>

Prosedur ini menjelaskan cara membuat pengguna langsung di direktori Pusat Identitas bawaan. Direktori ini tidak terhubung ke direktori lain yang mungkin digunakan administrator Anda untuk mengelola pengguna tenaga kerja. Setelah Anda membuat pengguna di IAM Identity Center, Anda akan menentukan kredensi baru untuk pengguna ini. Ketika Anda masuk sebagai pengguna ini untuk menguji aplikasi AWS terkelola Anda, Anda akan masuk dengan kredensi baru, bukan dengan kredensi yang ada yang Anda gunakan untuk mengakses sumber daya perusahaan.
**catatan**  
Kami menyarankan Anda menggunakan metode ini untuk membuat pengguna hanya untuk tujuan pengujian.

1. Di panel navigasi konsol Pusat Identitas IAM, pilih **Pengguna**, lalu pilih **Tambah** pengguna. 

1. Ikuti panduan di konsol untuk menambahkan pengguna. Simpan **Kirim email ke pengguna ini dengan instruksi pengaturan kata sandi** yang dipilih dan pastikan Anda menentukan alamat email yang dapat Anda akses.

1. Di panel navigasi, pilih Akun AWS, pilih kotak centang di sebelah akun Anda, dan pilih **Tetapkan pengguna atau grup**.

1. Pilih tab **Pengguna**, pilih kotak centang di sebelah pengguna yang baru saja Anda tambahkan, dan pilih **Berikutnya**.

1. Pilih **Buat set izin**, dan ikuti panduan di konsol untuk membuat set izin yang `AdministratorAccess` telah ditentukan sebelumnya.

1. Setelah selesai, set izin baru muncul dalam daftar. Tutup tab **Set izin** di jendela browser Anda, kembali ke tab **Tetapkan pengguna dan grup**, dan pilih ikon penyegaran di samping **Buat set izin**.

1. Pada tab **Tetapkan pengguna dan grup** browser, set izin baru muncul dalam daftar. Pilih kotak centang di samping nama set izin, pilih **Berikutnya**, lalu pilih **Kirim**. 

1. Keluar dari konsol .

### Langkah 3. Masuk ke portal AWS akses sebagai pengguna administratif
<a name="awsapps-quick-start-sign-in-to-aws-access-portal-as-administrative-user"></a>

Portal AWS akses adalah portal web yang menyediakan pengguna yang Anda buat dengan akses ke konsol AWS Manajemen. Sebelum Anda dapat masuk ke portal AWS akses, Anda harus menerima undangan untuk bergabung dengan IAM Identity Center dan mengaktifkan kredensi pengguna Anda.

1. Periksa email Anda untuk baris subjek **Undangan untuk bergabung dengan AWS IAM Identity Center**.

1. Pilih **Terima undangan**, dan ikuti panduan di halaman pendaftaran untuk mengatur kata sandi baru, masuk, dan mendaftarkan perangkat MFA untuk pengguna Anda.

1. Setelah Anda mendaftarkan perangkat MFA Anda, portal AWS akses terbuka.

1. Di portal AWS akses, pilih Anda Akun AWS dan pilih **AdministratorAccess**. Anda dialihkan ke AWS Management Console.

### Langkah 4. Konfigurasikan aplikasi AWS terkelola untuk menggunakan IAM Identity Center
<a name="awsapps-quick-start-configure-aws-managed-app-to-use-identity-center"></a>

1. Saat Anda masuk ke AWS Management Console, buka konsol untuk aplikasi AWS terkelola yang ingin Anda gunakan.

1. Ikuti panduan di konsol untuk mengonfigurasi aplikasi AWS terkelola untuk menggunakan IAM Identity Center. Selama proses ini, Anda dapat menetapkan pengguna yang Anda buat ke aplikasi.

## Menyiapkan instance akun IAM Identity Center untuk menguji aplikasi AWS terkelola
<a name="awsapps-quick-start-setting-up-account-instance-identity-center-to-test-awsmanagedapps"></a>

**catatan**  
Instance akun IAM Identity Center membatasi penerapan Anda menjadi satu. Akun AWS Anda harus mengaktifkan instance ini Wilayah AWS sama dengan AWS aplikasi yang ingin Anda uji.

**Konfirmasikan aplikasi Anda**

 Semua aplikasi AWS terkelola yang bekerja dengan IAM Identity Center dapat digunakan dengan instance organisasi IAM Identity Center. Namun, hanya beberapa aplikasi ini yang dapat digunakan dengan instance akun IAM Identity Center. Tinjau daftar[AWS aplikasi terkelola yang dapat Anda gunakan dengan IAM Identity Center](awsapps-that-work-with-identity-center.md). 

### Langkah1. Aktifkan instance akun IAM Identity Center
<a name="awsapps-quick-start-enable-account-instance-identity-center"></a>

1. Lakukan salah satu hal berikut untuk masuk ke Konsol Manajemen AWS.
   + **Baru di AWS (pengguna root)** - Masuk sebagai pemilik akun dengan memilih **pengguna Root** dan memasukkan alamat Akun AWS email Anda. Di laman berikutnya, masukkan kata sandi.
   + **Sudah menggunakan AWS dengan mandiri Akun AWS (kredensil IAM) — Masuk menggunakan kredensil** IAM Anda dengan izin administratif.

1. Pada halaman Beranda Konsol AWS Manajemen, pilih layanan Pusat Identitas IAM atau navigasikan ke konsol Pusat [Identitas IAM](https://console.aws.amazon.com/singlesignon).

1. Pilih **Aktifkan**.

1. Pada AWS Organizations halaman **Aktifkan Pusat Identitas IAM dengan**, pilih **aktifkan instance akun Pusat Identitas IAM**.

1. Pada halaman **Aktifkan instance akun IAM Identity Center**, tinjau informasi dan tambahkan tag yang ingin Anda kaitkan dengan instance akun ini. Kemudian pilih **Aktifkan**. 

### Langkah 2. Buat pengguna di Pusat Identitas IAM
<a name="awsapps-quick-start-create-user-in-identity-center"></a>

Prosedur ini menjelaskan cara membuat pengguna langsung di direktori Pusat Identitas bawaan. Direktori ini tidak terhubung ke direktori lain yang mungkin digunakan administrator Anda untuk mengelola pengguna tenaga kerja. Setelah Anda membuat pengguna di IAM Identity Center, Anda akan menentukan kredensi baru untuk pengguna ini. Saat Anda masuk sebagai pengguna ini untuk menguji aplikasi AWS terkelola, Anda akan masuk dengan kredensi baru. Kredensi baru tidak akan memungkinkan Anda untuk mengakses sumber daya perusahaan lainnya.
**catatan**  
Kami menyarankan Anda menggunakan metode ini untuk membuat pengguna hanya untuk tujuan pengujian.

1. Di panel navigasi konsol Pusat Identitas IAM, pilih **Pengguna**, lalu pilih **Tambah** pengguna. 

1. Ikuti panduan di konsol untuk menambahkan pengguna. Simpan **Kirim email ke pengguna ini dengan instruksi pengaturan kata sandi** yang dipilih dan pastikan Anda menentukan alamat email yang dapat Anda akses.

1. Keluar dari konsol .

### Langkah 3. Masuk ke portal AWS akses sebagai pengguna Pusat Identitas IAM Anda
<a name="awsapps-quick-start-sign-in-to-aws-access-portal-as-user"></a>

Portal AWS akses adalah portal web yang menyediakan pengguna yang Anda buat dengan akses ke konsol AWS Manajemen. Sebelum Anda dapat masuk ke portal AWS akses, Anda harus menerima undangan untuk bergabung dengan IAM Identity Center dan mengaktifkan kredensi pengguna Anda.

1. Periksa email Anda untuk baris subjek **Undangan untuk bergabung dengan AWS IAM Identity Center**.

1. Pilih **Terima undangan**, dan ikuti panduan di halaman pendaftaran untuk mengatur kata sandi baru, masuk, dan mendaftarkan perangkat MFA untuk pengguna Anda.

1. Setelah Anda mendaftarkan perangkat MFA Anda, portal AWS akses terbuka. Ketika aplikasi tersedia untuk Anda, Anda akan menemukannya di bawah tab **Aplikasi**.
**catatan**  
AWS aplikasi yang mendukung instance akun memungkinkan pengguna untuk masuk ke aplikasi tanpa memerlukan izin tambahan. Oleh karena itu, tab **Akun** akan tetap kosong.

### Langkah 4. Konfigurasikan aplikasi AWS terkelola untuk menggunakan IAM Identity Center
<a name="awsapps-quick-start-configure-aws-managed-app-to-use-account-instance-identity-center"></a>

1. Saat Anda masuk ke AWS Management Console, buka konsol untuk aplikasi AWS terkelola yang ingin Anda gunakan.

1. Ikuti panduan di konsol untuk mengonfigurasi aplikasi AWS terkelola untuk menggunakan IAM Identity Center. Selama proses ini, Anda dapat menetapkan pengguna yang Anda buat ke aplikasi.

# Melihat dan mengubah detail tentang aplikasi yang AWS dikelola
<a name="aws-managed-applications-view-details"></a>

Setelah Anda menghubungkan aplikasi AWS terkelola ke IAM Identity Center dengan menggunakan konsol atau APIs untuk aplikasi, aplikasi terdaftar di IAM Identity Center. Setelah aplikasi terdaftar di IAM Identity Center, Anda dapat melihat dan mengubah detail tentang aplikasi di konsol Pusat Identitas IAM.

Informasi tentang aplikasi mencakup apakah penugasan pengguna dan grup diperlukan, dan jika berlaku, pengguna dan grup yang ditugaskan serta aplikasi tepercaya untuk propagasi identitas. Untuk informasi tentang propagasi identitas tepercaya, lihat[Ikhtisar propagasi identitas tepercaya](trustedidentitypropagation-overview.md).

**Untuk melihat dan mengubah informasi tentang aplikasi AWS terkelola di konsol Pusat Identitas IAM**

1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).

1. Pilih **Aplikasi**.

1. Pilih tab **AWS terkelola**.

1. Pilih tautan untuk aplikasi terkelola yang ingin Anda buka dan lihat.

1. Jika Anda ingin mengubah informasi tentang aplikasi yang AWS dikelola, pilih **Tindakan**, lalu pilih **Edit Detail**.

1. Anda dapat mengubah nama tampilan aplikasi, deskripsi, serta metode penugasan pengguna dan grup.

   1. Untuk mengubah nama tampilan, masukkan nama yang diinginkan di bidang **Nama tampilan** dan pilih **Simpan perubahan**.

   1. Untuk mengubah deskripsi, masukkan deskripsi yang diinginkan di bidang **Deskripsi** dan pilih **Simpan perubahan**.

   1. Untuk mengubah metode penetapan pengguna dan grup, buat perubahan yang diinginkan dan pilih **Simpan perubahan**. Untuk informasi selengkapnya, lihat [Pengguna, grup, dan penyediaan di IAM Identity Center](users-groups-provisioning.md).

# Menonaktifkan aplikasi terkelola AWS
<a name="awsapps-remove"></a>

Untuk mencegah pengguna mengautentikasi ke aplikasi yang AWS dikelola, Anda dapat menonaktifkan aplikasi di konsol Pusat Identitas IAM.

**Untuk menonaktifkan aplikasi AWS terkelola**

1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).

1. Pilih **Aplikasi**.

1. Pada halaman **Aplikasi**, di bawah **aplikasi AWS terkelola**, pilih aplikasi yang ingin Anda nonaktifkan.

1. Dengan aplikasi yang dipilih, pilih **Tindakan**, lalu pilih **Nonaktifkan**.

1. Di kotak dialog **Nonaktifkan aplikasi**, pilih **Nonaktifkan**. 

1. Dalam daftar **aplikasi AWS terkelola**, status aplikasi muncul sebagai **Tidak Aktif**. 

**catatan**  
**Jika aplikasi AWS terkelola dinonaktifkan, Anda dapat mengembalikan kemampuan pengguna untuk mengautentikasi ke aplikasi dengan memilih **Tindakan** dan kemudian Aktifkan.**

# Mengaktifkan sesi konsol yang disempurnakan identitas
<a name="identity-enhanced-sessions"></a>

Sesi yang disempurnakan identitas untuk konsol meningkatkan sesi AWS konsol pengguna dengan menyediakan beberapa konteks pengguna tambahan untuk mempersonalisasi pengalaman pengguna tersebut. Kemampuan ini saat ini didukung untuk pengguna Kiro Pro [Kiro di AWS aplikasi dan situs web](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/q-on-aws.html).

Anda dapat mengaktifkan sesi konsol yang disempurnakan identitas tanpa membuat perubahan apa pun pada pola akses atau federasi yang ada ke dalam konsol. AWS Jika pengguna Anda masuk ke AWS konsol dengan IAM (misalnya, jika mereka masuk sebagai pengguna IAM atau melalui akses gabungan dengan IAM), mereka dapat terus menggunakan metode ini. Jika pengguna Anda masuk ke portal AWS akses, mereka dapat terus menggunakan kredensil pengguna Pusat Identitas IAM mereka.

**Topics**
+ [Prasyarat dan pertimbangan](#prereqs-and-considerations)
+ [Cara mengaktifkan identity-enhanced-console sesi](#enable-identity-enhanced-sessions-q)
+ [Cara kerja sesi konsol yang disempurnakan identitas](#how-identity-enhanced-sessions-work)

## Prasyarat dan pertimbangan
<a name="prereqs-and-considerations"></a>

Sebelum Anda mengaktifkan sesi konsol yang disempurnakan identitas, tinjau prasyarat dan pertimbangan berikut:
+ Jika pengguna Anda mengakses Kiro di AWS aplikasi dan situs web melalui langganan Kiro Pro, Anda harus mengaktifkan sesi konsol yang disempurnakan identitas.
**catatan**  
Pengguna Kiro dapat mengakses Kiro tanpa sesi yang ditingkatkan identitas, tetapi mereka tidak akan memiliki akses ke langganan Kiro Pro mereka. 
+ Sesi konsol yang disempurnakan identitas memerlukan [instance organisasi](organization-instances-identity-center.md) dari IAM Identity Center.
+ Integrasi dengan Kiro tidak didukung jika Anda mengaktifkan Pusat Identitas IAM dalam keikutsertaan. Wilayah AWS
+ Untuk mengaktifkan sesi konsol yang disempurnakan identitas, Anda harus memiliki izin berikut:
  + `sso:CreateApplication`
  + `sso:GetSharedSsoConfiguration`
  + `sso:ListApplications`
  + `sso:PutApplicationAssignmentConfiguration`
  + `sso:PutApplicationAuthenticationMethod`
  + `sso:PutApplicationGrant`
  + `sso:PutApplicationAccessScope`
  + `signin:CreateTrustedIdentityPropagationApplicationForConsole`
  + `signin:ListTrustedIdentityPropagationApplicationsForConsole`
+ Agar pengguna dapat menggunakan sesi konsol yang disempurnakan identitas, Anda harus memberi mereka `sts:setContext` izin dalam kebijakan berbasis identitas. Untuk selengkapnya, lihat [Memberikan izin kepada pengguna untuk menggunakan sesi konsol yang disempurnakan identitas](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access_sts-setcontext.html).

## Cara mengaktifkan identity-enhanced-console sesi
<a name="enable-identity-enhanced-sessions-q"></a>

Anda dapat mengaktifkan sesi konsol yang disempurnakan identitas di konsol Kiro atau di konsol Pusat Identitas IAM.

**Aktifkan sesi konsol yang ditingkatkan identitas di konsol Kiro**

Sebelum mengaktifkan sesi konsol yang disempurnakan identitas, Anda harus memiliki instance organisasi IAM Identity Center dengan sumber identitas yang terhubung. Jika Anda sudah mengonfigurasi Pusat Identitas IAM, lewati ke langkah 3.

1. Buka konsol Pusat Identitas IAM. Pilih **Aktifkan**, dan buat instance organisasi dari IAM Identity Center. Untuk informasi, lihat [Aktifkan Pusat Identitas IAM](enable-identity-center.md).

1. Hubungkan sumber identitas Anda ke IAM Identity Center dan berikan pengguna ke IAM Identity Center. Anda dapat menghubungkan sumber identitas yang ada ke IAM Identity Center atau menggunakan direktori Pusat Identitas jika Anda belum menggunakan sumber identitas lain. Untuk informasi selengkapnya, lihat [Tutorial sumber identitas Pusat Identitas IAM](tutorials.md).

1. Setelah Anda selesai menyiapkan IAM Identity Center, buka konsol Kiro dan ikuti langkah-langkah di [Langganan di Panduan Pengguna](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/q-admin-setup-subscribe-management-account.html) *Kiro*. Pastikan untuk mengaktifkan sesi konsol yang disempurnakan identitas.
**catatan**  
Jika Anda tidak memiliki izin yang cukup untuk mengaktifkan sesi konsol yang disempurnakan identitas, Anda mungkin perlu meminta administrator Pusat Identitas IAM untuk melakukan tugas ini untuk Anda di konsol Pusat Identitas IAM. Untuk informasi selengkapnya, lihat prosedur berikutnya.

**Aktifkan sesi konsol yang disempurnakan identitas di konsol Pusat Identitas IAM**

Jika Anda adalah administrator Pusat Identitas IAM, Anda mungkin diminta oleh administrator lain untuk mengaktifkan sesi konsol yang disempurnakan identitas di konsol Pusat Identitas IAM. 

1. Buka konsol Pusat Identitas IAM.

1. Pada panel navigasi, silakan pilih **Pengaturan**.

1. **Di bawah **Aktifkan sesi yang disempurnakan identitas**, pilih Aktifkan.**

1. Di pesan kedua, pilih **Aktifkan**.

1. **Setelah Anda selesai mengaktifkan sesi konsol yang disempurnakan identitas, pesan konfirmasi akan muncul di bagian atas halaman Pengaturan.**

1. **Di bagian **Detail**, status untuk **sesi Identity-Enhanced Diaktifkan**.**

## Cara kerja sesi konsol yang disempurnakan identitas
<a name="how-identity-enhanced-sessions-work"></a>

IAM Identity Center meningkatkan sesi konsol pengguna saat ini untuk menyertakan ID pengguna IAM Identity Center yang aktif dan ID sesi Pusat Identitas IAM.

Sesi konsol yang disempurnakan identitas mencakup tiga nilai berikut:
+ **Identity store user ID** ([toko identitas: UserId](condition-context-keys-sts-idc.md#condition-keys-identity-store-user-id)) - Nilai ini digunakan untuk mengidentifikasi pengguna secara unik di sumber identitas yang terhubung ke IAM Identity Center.
+ **Direktori penyimpanan identitas ARN** ([toko identitas: IdentityStoreArn](condition-context-keys-sts-idc.md#condition-keys-identity-store-arn)) - Nilai ini adalah ARN dari toko identitas yang terhubung ke IAM Identity Center, dan di mana Anda dapat mencari atribut untuk. `identitystore:UserId`
+ **ID sesi IAM Identity Center** - Nilai ini menunjukkan apakah sesi IAM Identity Center pengguna masih valid.

Nilainya sama, tetapi diperoleh dengan cara yang berbeda dan ditambahkan pada titik proses yang berbeda, tergantung pada bagaimana pengguna masuk:
+ **Pusat Identitas IAM (portal AWS akses)**: Dalam hal ini, ID pengguna penyimpanan identitas pengguna dan nilai ARN sudah disediakan dalam sesi Pusat Identitas IAM yang aktif. IAM Identity Center meningkatkan sesi saat ini dengan menambahkan hanya ID sesi.
+ **Metode masuk lainnya**: Jika pengguna masuk AWS sebagai pengguna IAM, dengan peran IAM, atau sebagai pengguna gabungan dengan IAM, tidak ada nilai ini yang disediakan. IAM Identity Center meningkatkan sesi saat ini dengan menambahkan ID pengguna penyimpanan identitas, ARN direktori penyimpanan identitas, dan ID sesi.

# Aplikasi yang dikelola pelanggan
<a name="customermanagedapps"></a>

IAM Identity Center bertindak sebagai layanan identitas pusat bagi pengguna dan grup tenaga kerja Anda. Jika Anda sudah menggunakan penyedia identitas (iDP), IAM Identity Center dapat berintegrasi dengan IDP Anda sehingga Anda dapat menyediakan pengguna dan grup Anda ke IAM Identity Center dan menggunakan IDP Anda untuk otentikasi. Dengan satu koneksi, IAM Identity Center mewakili IDP Anda di depan Layanan AWS beberapa dan memungkinkan aplikasi 2.0 OAuth Anda untuk meminta akses ke data dalam layanan ini atas nama pengguna Anda. Anda juga dapat menggunakan IAM Identity Center untuk menetapkan akses pengguna Anda ke aplikasi [SAFL 2.0](https://wiki.oasis-open.org/security). Ini termasuk AWS layanan seperti Amazon Connect dan AWS Client VPN, yang terintegrasi dengan IAM Identity Center secara eksklusif menggunakan SAMP dan oleh karena itu dikategorikan sebagai aplikasi yang dikelola pelanggan. 
+ Jika aplikasi Anda mendukung **JSON Web Tokens (JWTs)**, Anda dapat menggunakan fitur propagasi identitas tepercaya dari IAM Identity Center untuk memungkinkan aplikasi Anda meminta akses ke data Layanan AWS atas nama pengguna Anda. Propagasi identitas tepercaya dibangun di atas Kerangka Otorisasi OAuth 2.0 dan mencakup opsi bagi aplikasi untuk bertukar token identitas yang berasal dari server otorisasi OAuth 2.0 eksternal untuk token yang dikeluarkan oleh IAM Identity Center dan diakui oleh. Layanan AWS Untuk informasi selengkapnya, lihat [Kasus penggunaan propagasi identitas tepercaya](trustedidentitypropagation-integrations.md).
+ Jika aplikasi Anda mendukung **SAFL 2.0**, Anda dapat menghubungkannya ke [instance organisasi IAM Identity Center](identity-center-instances.md). Anda dapat menggunakan IAM Identity Center untuk menetapkan akses ke aplikasi SAMP 2.0 Anda.

**catatan**  
Saat mengintegrasikan aplikasi yang dikelola pelanggan dengan instans Pusat Identitas IAM yang menggunakan [kunci KMS yang dikelola pelanggan](encryption-at-rest.md), verifikasi apakah aplikasi memanggil layanan Pusat Identitas IAM APIs untuk mengonfirmasi apakah aplikasi memerlukan izin kunci KMS. [Ikuti panduan untuk memberikan izin kunci KMS ke alur kerja khusus dalam kebijakan kunci KMS dasar Panduan Pengguna Pusat Identitas IAM.](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-custom-workflows-with-iam-identity-center) 

**Topics**
+ [Akses masuk tunggal ke aplikasi SAFL 2.0 dan 2.0 OAuth](customermanagedapps-saml2-oauth2.md)
+ [Menyiapkan aplikasi SAMP 2.0 yang dikelola pelanggan](customermanagedapps-saml2-setup.md)

# Akses masuk tunggal ke aplikasi SAFL 2.0 dan 2.0 OAuth
<a name="customermanagedapps-saml2-oauth2"></a>

IAM Identity Center memungkinkan Anda untuk menyediakan pengguna Anda dengan akses masuk tunggal ke aplikasi SAFL 2.0 atau 2.0. OAuth Topik berikut memberikan gambaran tingkat tinggi dari SAMP 2.0 dan OAuth 2.0.

**Topics**
+ [SAML 2.0](#samlfederationconcept)
+ [OAuth 2.0](#oidc-concept)

## SAML 2.0
<a name="samlfederationconcept"></a>

SAMP 2.0 adalah standar industri yang digunakan untuk bertukar pernyataan SAMP secara aman yang menyampaikan informasi tentang pengguna antara otoritas SAMP (disebut penyedia identitas atau iDP), dan konsumen SAMP 2.0 (disebut penyedia layanan atau SP). IAM Identity Center menggunakan informasi ini untuk menyediakan akses masuk tunggal federasi bagi pengguna yang berwenang untuk menggunakan aplikasi dalam portal akses. AWS 

**catatan**  
IAM Identity Center tidak mendukung validasi tanda tangan permintaan otentikasi SALL yang masuk dari aplikasi SAFL.

## OAuth 2.0
<a name="oidc-concept"></a>

OAuth 2.0 adalah protokol yang memungkinkan aplikasi untuk mengakses dan berbagi data pengguna dengan aman tanpa berbagi kata sandi. Kemampuan ini menyediakan cara yang aman dan terstandarisasi bagi pengguna untuk memungkinkan aplikasi mengakses sumber daya mereka. Akses difasilitasi oleh aliran hibah OAuth 2.0 yang berbeda. 

IAM Identity Center memungkinkan aplikasi yang berjalan pada klien publik untuk mengambil kredensi sementara untuk mengakses Akun AWS dan layanan secara terprogram atas nama pengguna mereka. Klien publik biasanya desktop, laptop, atau perangkat seluler lainnya yang digunakan untuk menjalankan aplikasi secara lokal. Contoh AWS aplikasi yang berjalan pada klien publik termasuk AWS Command Line Interface (AWS CLI), AWS Toolkit, dan Kit Pengembangan AWS Perangkat Lunak (SDKs). Untuk mengaktifkan aplikasi ini untuk mendapatkan kredensil, IAM Identity Center mendukung bagian dari alur 2.0 berikut: OAuth 
+ [Hibah Kode Otorisasi dengan Kunci Bukti untuk Pertukaran Kode (PKCE) ([RFC 6749 dan RFC 7636](https://www.rfc-editor.org/rfc/rfc6749#section-4.1))](https://www.rfc-editor.org/rfc/rfc7636)
+ Hibah Otorisasi Perangkat ([RFC 8628](https://datatracker.ietf.org/doc/html/rfc8628))

**catatan**  
Jenis hibah ini hanya dapat digunakan dengan Layanan AWS mendukung kemampuan ini. Layanan ini mungkin tidak mendukung jenis hibah ini secara keseluruhan Wilayah AWS. Lihat dokumentasi yang relevan Layanan AWS untuk perbedaan regional. 

OpenID Connect (OIDC) adalah protokol otentikasi yang didasarkan pada 2.0 Framework. OAuth OIDC menentukan cara menggunakan OAuth 2.0 untuk otentikasi. Melalui [layanan IAM Identity Center OIDC APIs](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_Operations.html), aplikasi mendaftarkan klien OAuth 2.0 dan menggunakan salah satu aliran ini untuk mendapatkan token akses yang memberikan izin ke Pusat Identitas IAM yang dilindungi. APIs Aplikasi menentukan [cakupan akses](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#scopes-oidc) untuk mendeklarasikan pengguna API yang dimaksudkan. Setelah Anda, sebagai administrator Pusat Identitas IAM, mengonfigurasi sumber identitas Anda, pengguna akhir aplikasi Anda harus menyelesaikan proses masuk, jika mereka belum melakukannya. Pengguna akhir Anda kemudian harus memberikan persetujuan mereka untuk mengizinkan aplikasi melakukan panggilan API. Panggilan API ini dilakukan menggunakan izin pengguna. Sebagai tanggapan, IAM Identity Center mengembalikan token akses ke aplikasi yang berisi cakupan akses yang disetujui pengguna.

### Menggunakan alur hibah OAuth 2.0
<a name="using-oauth-flows"></a>

OAuth Aliran hibah 2.0 hanya tersedia melalui aplikasi AWS terkelola yang mendukung arus. Untuk menggunakan alur OAuth 2.0, instance Pusat Identitas IAM dan aplikasi AWS terkelola yang didukung yang Anda gunakan harus disebarkan dalam satu. Wilayah AWS Lihat dokumentasi untuk masing-masing Layanan AWS untuk menentukan ketersediaan regional aplikasi AWS terkelola dan contoh Pusat Identitas IAM yang ingin Anda gunakan.

Untuk menggunakan aplikasi yang menggunakan aliran OAuth 2.0, pengguna akhir harus memasukkan URL tempat aplikasi akan terhubung dan mendaftar dengan instance IAM Identity Center Anda. Bergantung pada aplikasi, sebagai administrator, Anda harus memberi pengguna Anda **URL portal AWS akses atau URL** **Penerbit** instance Pusat Identitas IAM Anda. Anda dapat menemukan dua pengaturan ini di halaman **Pengaturan** [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon/). Untuk informasi tambahan tentang mengkonfigurasi aplikasi klien, lihat dokumentasi aplikasi tersebut.

Pengalaman pengguna akhir untuk masuk ke aplikasi dan memberikan persetujuan tergantung pada apakah aplikasi menggunakan [Pemberian Kode Otorisasi dengan PKCE](#auth-code-grant-pkce) atau[Hibah Otorisasi Perangkat](#device-auth-grant).

#### Pemberian Kode Otorisasi dengan PKCE
<a name="auth-code-grant-pkce"></a>

Aliran ini digunakan oleh aplikasi yang berjalan pada perangkat yang memiliki browser. 

1. Jendela browser terbuka.

1. Jika pengguna belum diautentikasi, browser akan mengarahkan mereka untuk menyelesaikan otentikasi pengguna.

1. Setelah otentikasi, pengguna disajikan dengan layar persetujuan yang menampilkan informasi berikut:
   + Nama aplikasi
   + Cakupan akses yang meminta persetujuan aplikasi untuk digunakan

1. Pengguna dapat membatalkan proses persetujuan atau mereka dapat memberikan persetujuan mereka dan aplikasi melanjutkan dengan akses berdasarkan izin pengguna.

#### Hibah Otorisasi Perangkat
<a name="device-auth-grant"></a>

Aliran ini dapat digunakan oleh aplikasi yang berjalan pada perangkat dengan atau tanpa browser. Saat aplikasi memulai alur, aplikasi menyajikan URL dan kode pengguna yang harus diverifikasi pengguna nanti dalam alur. Kode pengguna diperlukan karena aplikasi yang memulai alur mungkin berjalan pada perangkat yang berbeda dari perangkat tempat pengguna memberikan persetujuan. Kode memastikan bahwa pengguna menyetujui aliran yang mereka mulai di perangkat lain.

**catatan**  
Jika Anda memiliki klien yang menggunakan`device.sso.region.amazonaws.com`, Anda harus memperbarui alur otorisasi Anda untuk menggunakan Kunci Bukti untuk Pertukaran Kode (PKCE). *Untuk informasi selengkapnya, lihat [Mengonfigurasi autentikasi Pusat Identitas IAM dengan AWS CLI di](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html) Panduan Pengguna.AWS Command Line Interface *

1. Ketika aliran dimulai dari perangkat dengan browser, jendela browser terbuka. Ketika aliran dimulai dari perangkat tanpa browser, pengguna harus membuka browser pada perangkat yang berbeda dan pergi ke URL yang disajikan aplikasi.

1. Dalam kedua kasus, jika pengguna belum diautentikasi, browser mengarahkan mereka untuk menyelesaikan otentikasi pengguna.

1. Setelah otentikasi, pengguna disajikan dengan layar persetujuan yang menampilkan informasi berikut:
   + Nama aplikasi
   + Cakupan akses yang meminta persetujuan aplikasi untuk digunakan
   + Kode pengguna yang disajikan aplikasi kepada pengguna

1. Pengguna dapat membatalkan proses persetujuan atau mereka dapat memberikan persetujuan mereka dan aplikasi melanjutkan dengan akses berdasarkan izin pengguna.

### Cakupan akses
<a name="scopes-oidc"></a>

*Lingkup* mendefinisikan akses untuk layanan yang dapat diakses melalui aliran OAuth 2.0. Cakupan adalah cara untuk layanan, juga disebut server sumber daya, untuk mengelompokkan izin yang terkait dengan tindakan dan sumber daya layanan, dan mereka menentukan operasi kasar yang dapat diminta klien 2.0. OAuth Ketika klien OAuth 2.0 mendaftar dengan [layanan IAM Identity Center OIDC](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/Welcome.html), klien menentukan cakupan untuk mendeklarasikan tindakan yang dimaksudkan, di mana pengguna harus memberikan persetujuan.

OAuth Klien 2.0 menggunakan `scope` nilai seperti yang didefinisikan dalam [bagian 3.3 dari OAuth 2.0 (RFC 6749)](https://www.rfc-editor.org/rfc/rfc6749.html#section-3.3) untuk menentukan izin apa yang diminta untuk token akses. Klien dapat menentukan maksimal 25 cakupan saat meminta token akses. Ketika pengguna memberikan persetujuan selama Pemberian Kode Otorisasi dengan PKCE atau alur Hibah Otorisasi Perangkat, Pusat Identitas IAM mengkodekan cakupan ke dalam token akses yang dikembalikan.

AWS menambahkan cakupan ke Pusat Identitas IAM untuk didukung. Layanan AWS Tabel berikut mencantumkan cakupan yang didukung oleh layanan IAM Identity Center OIDC saat Anda mendaftarkan klien publik.

#### Cakupan akses yang didukung oleh layanan IAM Identity Center OIDC saat mendaftarkan klien publik
<a name="supported-access-scopes"></a>


****  

| Lingkup | Deskripsi | Layanan yang didukung oleh | 
| --- | --- | --- | 
| sso:account:access | Akses akun dan set izin yang dikelola Pusat Identitas IAM. | Pusat Identitas IAM | 
| codewhisperer:analysis | Aktifkan akses ke analisis kode Kiro. | ID AWS Builder dan Pusat Identitas IAM | 
| codewhisperer:completions | Aktifkan akses ke saran kode sebaris Kiro. | ID AWS Builder dan Pusat Identitas IAM | 
| codewhisperer:conversations | Aktifkan akses ke obrolan Kiro. | ID AWS Builder dan Pusat Identitas IAM | 
| codewhisperer:taskassist | Aktifkan akses ke Agen Kiro untuk pengembangan perangkat lunak. | ID AWS Builder dan Pusat Identitas IAM | 
| codewhisperer:transformations | Aktifkan akses ke Agen Kiro untuk transformasi kode. | ID AWS Builder dan Pusat Identitas IAM | 
| codecatalyst:read\$1write | Baca dan tulis ke CodeCatalyst sumber daya Amazon Anda, memungkinkan akses ke semua sumber daya yang ada. | ID AWS Builder dan Pusat Identitas IAM | 
| verified\$1access:application:connect | Aktifkan Akses Terverifikasi AWS | Akses Terverifikasi AWS | 
| redshift:connect | Connect ke Amazon Redshift | Amazon Redshift | 
| datazone:domain:access | Akses Peran Eksekusi DataZone Domain | Amazon DataZone | 
| nosqlworkbench:datamodeladviser | Membuat dan membaca model data | NoSQL Workbench | 
| transform:read\$1write | Aktifkan akses ke AWS Transform Agent untuk transformasi kode | AWS Transformasi | 

# Menyiapkan aplikasi SAMP 2.0 yang dikelola pelanggan
<a name="customermanagedapps-saml2-setup"></a>

Jika Anda menggunakan aplikasi yang dikelola pelanggan yang mendukung [SAMP 2.0](https://wiki.oasis-open.org/security), Anda dapat menggabungkan IDP Anda ke IAM Identity Center melalui SAMP 2.0 dan menggunakan IAM Identity Center untuk mengelola akses pengguna ke aplikasi tersebut. Anda dapat memilih aplikasi SAMP 2.0 dari katalog aplikasi yang umum digunakan di konsol IAM Identity Center, atau Anda dapat mengatur aplikasi SAMP 2.0 Anda sendiri. 

**catatan**  
Jika Anda memiliki aplikasi yang dikelola pelanggan yang mendukung OAuth 2.0 dan pengguna Anda memerlukan akses dari aplikasi ini Layanan AWS, Anda dapat menggunakan propagasi identitas tepercaya. Dengan propagasi identitas tepercaya, pengguna dapat masuk ke aplikasi, dan aplikasi itu dapat meneruskan identitas pengguna dalam permintaan untuk mengakses data. Layanan AWS

**Topics**
+ [Siapkan aplikasi dari katalog aplikasi IAM Identity Center](saasapps.md)
+ [Siapkan aplikasi SAFL 2.0 Anda sendiri](customermanagedapps-set-up-your-own-app-saml2.md)

# Siapkan aplikasi dari katalog aplikasi IAM Identity Center
<a name="saasapps"></a>

Anda dapat menggunakan katalog aplikasi di konsol IAM Identity Center untuk menambahkan banyak aplikasi SAMP 2.0 yang umum digunakan yang bekerja dengan IAM Identity Center. Contohnya termasuk Salesforce, Box, dan Microsoft 365.

Sebagian besar aplikasi memberikan informasi terperinci tentang cara mengatur kepercayaan antara IAM Identity Center dan penyedia layanan aplikasi. Informasi ini tersedia di halaman konfigurasi untuk aplikasi, setelah Anda memilih aplikasi dalam katalog. Setelah Anda mengkonfigurasi aplikasi, Anda dapat menetapkan akses ke pengguna atau grup di IAM Identity Center sesuai kebutuhan.

Gunakan prosedur ini untuk mengatur hubungan kepercayaan SAFL 2.0 antara IAM Identity Center dan penyedia layanan aplikasi Anda.

Sebelum Anda memulai prosedur ini, akan sangat membantu jika Anda memiliki file pertukaran metadata penyedia layanan sehingga Anda dapat mengatur kepercayaan dengan lebih efisien. Jika Anda tidak memiliki file ini, Anda masih dapat menggunakan prosedur ini untuk mengonfigurasi kepercayaan secara manual.

**Untuk menambah dan mengkonfigurasi aplikasi dari katalog aplikasi**

1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).

1. Pilih **Aplikasi**.

1. Pilih tab yang **dikelola Pelanggan**.

1. Pilih **Tambahkan aplikasi**.

1. Pada halaman **Pilih jenis aplikasi**, di bawah **Preferensi pengaturan**, **pilih Saya ingin memilih aplikasi dari katalog**.

1. Di bawah **Katalog aplikasi**, mulailah mengetik nama aplikasi yang ingin Anda tambahkan di kotak pencarian.

1. Pilih nama aplikasi dari daftar saat muncul di hasil pencarian, lalu pilih **Berikutnya**.

1. Pada halaman **Konfigurasi aplikasi**, kolom **Nama Tampilan** dan **Deskripsi** diisi sebelumnya dengan detail yang relevan untuk aplikasi. Anda dapat mengedit informasi ini.

1. Di bawah **metadata IAM Identity Center**, lakukan hal berikut:

   1. Di bawah **file metadata SALL Pusat Identitas IAM, pilih **Unduh untuk mengunduh** metadata** penyedia identitas.

   1. Di bawah **sertifikat Pusat Identitas IAM**, pilih **Unduh sertifikat** untuk mengunduh sertifikat penyedia identitas.
**catatan**  
Anda akan memerlukan file-file ini nanti ketika Anda mengatur aplikasi dari situs web penyedia layanan. Ikuti instruksi dari penyedia itu. 

1. (Opsional) Di bawah **Properti aplikasi**, Anda dapat menentukan **URL mulai aplikasi**, **status Relay**, dan **Durasi sesi**. Untuk informasi selengkapnya, lihat [Memahami properti aplikasi di konsol Pusat Identitas IAM](appproperties.md).

1. Di bawah **metadata Aplikasi**, lakukan salah satu hal berikut: 

   1. Jika Anda memiliki file metadata, pilih **Unggah file metadata SAMP aplikasi**. Kemudian, pilih **Pilih file** untuk menemukan dan pilih file metadata.

   1. Jika Anda tidak memiliki file metadata, pilih **Ketik nilai metadata Anda secara manual, lalu berikan **URL ACS Aplikasi** dan nilai** audiens SAMP **Aplikasi**.

1. Pilih **Kirim**. Anda dibawa ke halaman detail aplikasi yang baru saja Anda tambahkan.

# Siapkan aplikasi SAFL 2.0 Anda sendiri
<a name="customermanagedapps-set-up-your-own-app-saml2"></a>

Anda dapat mengatur aplikasi Anda sendiri yang memungkinkan federasi identitas menggunakan SAMP 2.0 dan menambahkannya ke IAM Identity Center. Sebagian besar langkah untuk menyiapkan aplikasi SAMP 2.0 Anda sendiri sama dengan menyiapkan aplikasi SAMP 2.0 dari katalog aplikasi di konsol IAM Identity Center. Namun, Anda juga harus menyediakan pemetaan atribut SALL tambahan untuk aplikasi SALL 2.0 Anda sendiri. Pemetaan ini memungkinkan IAM Identity Center untuk mengisi pernyataan SAFL 2.0 dengan benar untuk aplikasi Anda. Anda dapat memberikan pemetaan atribut SALL tambahan ini ketika Anda mengatur aplikasi untuk pertama kalinya. Anda juga dapat memberikan pemetaan atribut SAMP 2.0 pada halaman detail aplikasi di konsol Pusat Identitas IAM.

Gunakan prosedur berikut untuk mengatur hubungan kepercayaan SAMP 2.0 antara IAM Identity Center dan penyedia layanan aplikasi SAMP 2.0 Anda. Sebelum Anda memulai prosedur ini, pastikan Anda memiliki sertifikat penyedia layanan dan file pertukaran metadata sehingga Anda dapat menyelesaikan pengaturan kepercayaan.

**Untuk mengatur aplikasi SAFL 2.0 Anda sendiri**

1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).

1. Pilih **Aplikasi**.

1. Pilih tab yang **dikelola Pelanggan**.

1. Pilih **Tambahkan aplikasi**.

1. Pada halaman **Pilih jenis aplikasi**, di bawah **preferensi Pengaturan**, pilih **Saya memiliki aplikasi yang ingin saya atur**.

1. Di bawah **Jenis aplikasi**, pilih **SAFL 2.0**.

1. Pilih **Berikutnya**.

1. Pada halaman **Konfigurasi aplikasi**, di bawah **Konfigurasi aplikasi**, masukkan **nama Tampilan** untuk aplikasi, seperti**MyApp**. Kemudian, masukkan **Deskripsi**.

1. Di bawah **metadata IAM Identity Center**, lakukan hal berikut:

   1. Di bawah **file metadata SALL Pusat Identitas IAM, pilih **Unduh untuk mengunduh** metadata** penyedia identitas.

   1. Di bawah **sertifikat Pusat Identitas IAM**, pilih **Unduh** untuk mengunduh sertifikat penyedia identitas.
**catatan**  
Anda akan memerlukan file-file ini nanti ketika Anda mengatur aplikasi khusus dari situs web penyedia layanan. 

1. (Opsional) Di bawah **Properti aplikasi**, Anda juga dapat menentukan **URL mulai aplikasi**, **status Relay**, dan **Durasi sesi**. Untuk informasi selengkapnya, lihat [Memahami properti aplikasi di konsol Pusat Identitas IAM](appproperties.md).

1. Di bawah **Metadata aplikasi**, pilih **Ketik nilai metadata Anda secara manual**. Kemudian, berikan **URL ACS Aplikasi** **dan nilai audiens SALL** Aplikasi.

1. Pilih **Kirim**. Anda dibawa ke halaman detail aplikasi yang baru saja Anda tambahkan.

# Ikhtisar propagasi identitas tepercaya
<a name="trustedidentitypropagation-overview"></a>

Propagasi identitas tepercaya adalah fitur IAM Identity Center yang memungkinkan administrator Layanan AWS untuk memberikan izin berdasarkan atribut pengguna seperti asosiasi grup. Dengan propagasi identitas tepercaya, konteks identitas ditambahkan ke peran IAM untuk mengidentifikasi pengguna yang meminta akses ke sumber daya. AWS Konteks ini disebarkan ke yang lain Layanan AWS.

Konteks identitas terdiri dari informasi yang Layanan AWS digunakan untuk membuat keputusan otorisasi ketika mereka menerima permintaan akses. Informasi ini mencakup metadata yang mengidentifikasi pemohon (misalnya, pengguna Pusat Identitas IAM), Layanan AWS akses yang diminta (misalnya, Amazon Redshift), dan ruang lingkup akses (misalnya, akses baca saja). Penerima Layanan AWS menggunakan konteks ini, dan izin apa pun yang diberikan kepada pengguna, untuk mengotorisasi akses ke sumber dayanya.

## Manfaat propagasi identitas tepercaya
<a name="benefits-trusted-identity-propagation"></a>

Propagasi identitas tepercaya memungkinkan administrator Layanan AWS untuk memberikan izin ke sumber daya, seperti data, menggunakan identitas perusahaan dari tenaga kerja Anda. Selain itu, mereka dapat mengaudit siapa yang mengakses data apa dengan melihat log layanan atau AWS CloudTrail. Jika Anda adalah administrator Pusat Identitas IAM, Anda mungkin diminta oleh Layanan AWS administrator lain untuk mengaktifkan propagasi identitas tepercaya.

## Mengaktifkan propagasi identitas tepercaya
<a name="enabling-tip"></a>

Proses memungkinkan propagasi identitas tepercaya melibatkan dua langkah berikut:

1. **Aktifkan Pusat Identitas IAM dan hubungkan sumber identitas Anda yang ada ke IAM Identity Center** - Anda akan terus mengelola identitas tenaga kerja Anda di sumber identitas yang ada; menghubungkannya ke IAM Identity Center membuat referensi ke tenaga kerja Anda yang dapat dibagikan oleh semua orang dalam kasus penggunaan Anda. Layanan AWS Ini juga tersedia bagi pemilik data untuk digunakan dalam kasus penggunaan masa depan.

1. **Hubungkan Layanan AWS dalam kasus penggunaan Anda ke IAM Identity Center** - Administrator masing-masing Layanan AWS dalam kasus penggunaan propagasi identitas tepercaya mengikuti panduan dalam dokumentasi layanan masing-masing untuk menghubungkan layanan ke IAM Identity Center.

**catatan**  
Jika kasus penggunaan Anda melibatkan *aplikasi *pihak ketiga* atau yang dikembangkan pelanggan*, Anda mengaktifkan propagasi identitas tepercaya dengan mengonfigurasi hubungan kepercayaan antara penyedia identitas yang mengautentikasi pengguna aplikasi dan Pusat Identitas IAM. Ini memungkinkan aplikasi Anda memanfaatkan aliran propagasi identitas tepercaya yang dijelaskan sebelumnya.  
Untuk informasi selengkapnya, lihat [Menggunakan aplikasi dengan penerbit token tepercaya](using-apps-with-trusted-token-issuer.md).

## Cara kerja propagasi identitas tepercaya
<a name="how-tip-works"></a>

Diagram berikut menunjukkan alur kerja tingkat tinggi untuk propagasi identitas tepercaya:

![\[Alur kerja propagasi identitas tepercaya yang disederhanakan.\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/simplied-tip-1.png)


1. Pengguna mengautentikasi dengan aplikasi yang menghadap klien, misalnya Cepat.

1. Aplikasi yang menghadap klien meminta akses untuk menggunakan data kueri dan menyertakan informasi tentang pengguna. Layanan AWS 
**catatan**  
Beberapa kasus penggunaan propagasi identitas tepercaya melibatkan alat yang berinteraksi dengan Layanan AWS menggunakan driver layanan. Anda dapat mengetahui apakah ini berlaku untuk kasus penggunaan Anda dalam [panduan kasus penggunaan](trustedidentitypropagation-integrations.md).

1.  Layanan AWS Memverifikasi identitas pengguna dengan IAM Identity Center dan membandingkan atribut pengguna, seperti asosiasi grup mereka, dengan yang diperlukan untuk akses. Layanan AWS Mengotorisasi akses selama pengguna atau grup mereka memiliki izin yang diperlukan.

1. Layanan AWS dapat mencatat pengenal pengguna di AWS CloudTrail dan di log layanan mereka. Periksa dokumentasi layanan untuk detailnya.

Gambar berikut memberikan ikhtisar langkah-langkah yang dijelaskan sebelumnya dalam alur kerja propagasi identitas tepercaya:

![\[Alur kerja propagasi identitas tepercaya yang disederhanakan.\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/simplied-tip-2.png)


**Topics**
+ [Manfaat propagasi identitas tepercaya](#benefits-trusted-identity-propagation)
+ [Mengaktifkan propagasi identitas tepercaya](#enabling-tip)
+ [Cara kerja propagasi identitas tepercaya](#how-tip-works)
+ [Prasyarat dan pertimbangan](trustedidentitypropagation-overall-prerequisites.md)
+ [Kasus penggunaan propagasi identitas tepercaya](trustedidentitypropagation-integrations.md)
+ [Layanan otorisasi](authorization-services.md)

# Prasyarat dan pertimbangan
<a name="trustedidentitypropagation-overall-prerequisites"></a>

Sebelum Anda mengatur propagasi identitas tepercaya, tinjau prasyarat dan pertimbangan berikut.

**Topics**
+ [Prasyarat](#trustedidentitypropagation-prerequisites)
+ [Pertimbangan-pertimbangan](#trustedidentitypropagation-considerations)
+ [Pertimbangan untuk aplikasi yang dikelola pelanggan](#trustedidentitypropagation-customer-apps)

## Prasyarat
<a name="trustedidentitypropagation-prerequisites"></a>

Untuk menggunakan propagasi identitas tepercaya, pastikan lingkungan Anda memenuhi prasyarat berikut:
+ Mengaktifkan dan menyediakan Pusat Identitas IAM
  + Untuk menggunakan propagasi identitas tepercaya, Anda harus mengaktifkan Pusat Identitas IAM di tempat yang sama Wilayah AWS di mana AWS aplikasi dan layanan yang akan diakses pengguna Anda diaktifkan. Untuk informasi, lihat [Aktifkan Pusat Identitas IAM](enable-identity-center.md).
    + Instance Organisasi Pusat Identitas IAM direkomendasikan - Kami menyarankan Anda menggunakan [instance organisasi](organization-instances-identity-center.md) Pusat Identitas IAM yang Anda aktifkan di akun manajemen. AWS Organizations Anda dapat [mendelegasikan administrasi](organization-instances-identity-center.md) instance organisasi IAM Identity Center ke akun anggota. Jika Anda memilih [instance akun](account-instances-identity-center.md) IAM Identity Center, semua Layanan AWS yang Anda ingin pengguna akses dengan propagasi identitas tepercaya harus berada di tempat yang sama di Akun AWS mana Anda mengaktifkan IAM Identity Center. Untuk informasi selengkapnya, lihat [Instans akun Pusat Identitas IAM](account-instances-identity-center.md).
  + Hubungkan penyedia identitas Anda yang ada ke IAM Identity Center dan berikan pengguna dan grup Anda ke IAM Identity Center. Untuk informasi selengkapnya, lihat [Tutorial sumber identitas Pusat Identitas IAM](tutorials.md).
+ Hubungkan aplikasi dan layanan AWS terkelola dalam kasus penggunaan propagasi identitas tepercaya Anda ke IAM Identity Center. Untuk menggunakan propagasi identitas tepercaya, aplikasi yang AWS dikelola harus terhubung ke IAM Identity Center.

## Pertimbangan-pertimbangan
<a name="trustedidentitypropagation-considerations"></a>

Ingatlah pertimbangan berikut saat mengonfigurasi dan menggunakan propagasi identitas tepercaya:
+ **Organisasi vs akun Instance dari IAM Identity Center**
  + [Instance organisasi](organization-instances-identity-center.md) IAM Identity Center akan memberi Anda kontrol dan fleksibilitas paling besar untuk mengembangkan kasus penggunaan Anda ke banyak Akun AWS, pengguna, dan Layanan AWS. Jika Anda tidak dapat menggunakan instans organisasi, kasus penggunaan Anda mungkin didukung dengan instans akun Pusat Identitas IAM. Untuk mempelajari selengkapnya tentang kasus penggunaan yang Layanan AWS mendukung instans akun Pusat Identitas IAM, lihat. [AWS aplikasi terkelola yang dapat Anda gunakan dengan IAM Identity Center](awsapps-that-work-with-identity-center.md)
+ **Izin multi-akun (set izin) tidak diperlukan**
  + Propagasi identitas tepercaya tidak mengharuskan Anda menyiapkan izin [multi-akun (set izin](manage-your-accounts.md)). Anda dapat mengaktifkan IAM Identity Center dan menggunakannya hanya untuk propagasi identitas tepercaya.

## Pertimbangan untuk aplikasi yang dikelola pelanggan
<a name="trustedidentitypropagation-customer-apps"></a>

Tenaga kerja Anda dapat memperoleh manfaat dari propagasi identitas tepercaya bahkan jika pengguna Anda berinteraksi dengan aplikasi yang menghadap klien yang tidak dikelola oleh AWS, misalnya Tableau atau aplikasi yang Anda kembangkan khusus. Pengguna aplikasi ini mungkin tidak disediakan di IAM Identity Center. Untuk mengaktifkan kelancaran pengenalan dan otorisasi akses pengguna ke AWS sumber daya, IAM Identity Center memungkinkan Anda mengonfigurasi hubungan tepercaya antara penyedia identitas yang mengautentikasi pengguna Anda dan Pusat Identitas IAM. Untuk informasi selengkapnya, lihat [Menggunakan aplikasi dengan penerbit token tepercaya](using-apps-with-trusted-token-issuer.md).

Selain itu, mengonfigurasi propagasi identitas tepercaya untuk aplikasi Anda akan membutuhkan:
+ Aplikasi Anda harus menggunakan kerangka kerja OAuth 2.0 untuk otentikasi. Propagasi identitas tepercaya tidak mendukung integrasi SAFL 2.0.
+ Aplikasi Anda harus diakui oleh IAM Identity Center. Ikuti panduan khusus untuk [kasus penggunaan](trustedidentitypropagation-integrations.md) Anda.

# Kasus penggunaan propagasi identitas tepercaya
<a name="trustedidentitypropagation-integrations"></a>

Sebagai administrator Pusat Identitas IAM, Anda mungkin diminta untuk membantu mengonfigurasi propagasi identitas tepercaya dari aplikasi yang menghadap pengguna ke aplikasi. Layanan AWS Untuk mendukung permintaan ini, Anda memerlukan informasi berikut:
+ Aplikasi yang menghadap klien apa yang akan berinteraksi dengan pengguna Anda?
+ Yang Layanan AWS digunakan untuk menanyakan data dan untuk mengotorisasi akses ke data?
+ Yang Layanan AWS mengotorisasi akses ke data?

Peran Anda dalam mengaktifkan **kasus penggunaan propagasi identitas tepercaya yang tidak melibatkan aplikasi pihak ketiga atau aplikasi yang dikembangkan khusus** adalah untuk:

1. [Aktifkan Pusat Identitas IAM](enable-identity-center.md).

1. [Hubungkan sumber identitas Anda yang ada ke IAM Identity Center](tutorials.md).

Langkah-langkah yang tersisa dari konfigurasi identitas tepercaya untuk kasus penggunaan ini dilakukan dalam terhubung Layanan AWS dan aplikasi. Administrator yang terhubung Layanan AWS atau aplikasi harus merujuk pada panduan pengguna masing-masing untuk panduan khusus layanan yang komprehensif. 

Peran Anda dalam mengaktifkan **kasus penggunaan propagasi identitas tepercaya yang melibatkan aplikasi pihak ketiga atau aplikasi yang dikembangkan khusus** mencakup langkah-langkah [Aktifkan Pusat Identitas IAM](enable-identity-center.md) dan [menghubungkan sumber identitas Anda](tutorials.md) serta:

1. Mengkonfigurasi koneksi penyedia identitas Anda (IDP) ke pihak ketiga atau aplikasi yang dikembangkan khusus.

1. Mengaktifkan IAM Identity Center untuk mengenali aplikasi pihak ketiga atau yang dikembangkan khusus.

1. Mengonfigurasi IDP Anda sebagai penerbit token tepercaya di IAM Identity Center. Untuk informasi selengkapnya, lihat [Menggunakan aplikasi dengan penerbit token tepercaya](using-apps-with-trusted-token-issuer.md).

Administrator aplikasi yang terhubung dan Layanan AWS harus merujuk pada panduan pengguna masing-masing untuk panduan khusus layanan yang komprehensif.

## Kasus penggunaan analitik, data lakehouse, dan pembelajaran mesin
<a name="tip-data-analytic-usecases-overview"></a>

Anda dapat mengaktifkan kasus penggunaan propagasi tepercaya dengan layanan analisis dan pembelajaran mesin berikut:
+ **Amazon Redshift** - Untuk panduan, lihat. [Perbanyakan identitas tepercaya dengan Amazon Redshift](tip-usecase-redshift.md)
+ **Amazon EMR** - Untuk panduan, lihat. [Perbanyakan identitas tepercaya dengan Amazon EMR](tip-usecase-emr.md)
+ **Amazon Athena** - Untuk panduan, lihat. [Perbanyakan identitas tepercaya dengan Amazon Athena](tip-usecase-ate.md)
+ **SageMaker Studio** - Untuk panduan, lihat[Perbanyakan identitas tepercaya dengan Amazon Studio SageMaker](trusted-identity-propagation-usecase-sagemaker-studio.md).

## Kasus penggunaan tambahan
<a name="tip-additional-usecases"></a>

Anda dapat mengaktifkan Pusat Identitas IAM dan propagasi identitas tepercaya dengan tambahan ini: Layanan AWS
+ **Amazon Q Business** - untuk panduan, lihat:
  + [Alur kerja admin untuk aplikasi yang menggunakan IAM Identity Center](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/how-it-works.html#admin-flow-idc).
  + [Mengkonfigurasi aplikasi Amazon Q Business menggunakan IAM Identity Center](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/create-application.html).
  + [Konfigurasikan Amazon Q Business dengan propagasi identitas tepercaya IAM Identity Center](https://aws.amazon.com/blogs//machine-learning/configuring-amazon-q-business-with-aws-iam-identity-center-trusted-identity-propagation/).
+ ** OpenSearch Layanan Amazon** - untuk panduan, lihat:
  + [IAM Identity Center Dukungan Propagasi Identitas Tepercaya untuk Layanan Amazon OpenSearch ](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/idc-aos.html).
  + [Antarmuka OpenSearch pengguna terpusat (Dasbor) dengan Layanan Amazon OpenSearch ](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/application.html).
+ **AWS Transfer Family**- untuk panduan, lihat:
  + [Aplikasi web Transfer Family](https://docs.aws.amazon.com//transfer/latest/userguide/web-app.html).

**Topics**
+ [Kasus penggunaan analitik, data lakehouse, dan pembelajaran mesin](#tip-data-analytic-usecases-overview)
+ [Kasus penggunaan tambahan](#tip-additional-usecases)
+ [Perbanyakan identitas tepercaya dengan Amazon Redshift](tip-usecase-redshift.md)
+ [Perbanyakan identitas tepercaya dengan Amazon EMR](tip-usecase-emr.md)
+ [Perbanyakan identitas tepercaya dengan Amazon Athena](tip-usecase-ate.md)
+ [Perbanyakan identitas tepercaya dengan Amazon Studio SageMaker](trusted-identity-propagation-usecase-sagemaker-studio.md)

# Perbanyakan identitas tepercaya dengan Amazon Redshift
<a name="tip-usecase-redshift"></a>

Langkah-langkah untuk mengaktifkan propagasi identitas tepercaya bergantung pada apakah pengguna Anda berinteraksi dengan aplikasi AWS terkelola atau aplikasi yang dikelola pelanggan. Diagram berikut menunjukkan konfigurasi propagasi identitas tepercaya untuk aplikasi yang menghadap klien - baik AWS dikelola atau eksternal AWS - yang menanyakan data Amazon Redshift dengan kontrol akses yang disediakan baik oleh Amazon Redshift atau oleh layanan otorisasi, seperti atau Amazon S3. AWS Lake Formation Access Grants

![\[Diagram propagasi identitas tepercaya menggunakan Amazon Redshift, Quick, Lake Formation, dan IAM Identity Center\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/rs-tip-diagram.png)


[Saat propagasi identitas tepercaya ke Amazon Redshift diaktifkan, administrator Redshift dapat mengonfigurasi Redshift [untuk secara otomatis membuat peran untuk](https://docs.aws.amazon.com//redshift/latest/mgmt/redshift-iam-access-control-sso-autocreate.html) Pusat Identitas IAM sebagai penyedia identitas, memetakan peran Redshift ke grup di Pusat Identitas IAM, dan menggunakan kontrol akses berbasis peran Redshift untuk memberikan akses.](https://docs.aws.amazon.com//redshift/latest/dg/r_tutorial-RBAC.html)

## Aplikasi yang menghadap klien yang didukung
<a name="redshift-mgn-apps-and-customer-apps"></a>

**AWS aplikasi terkelola**  
Aplikasi yang dihadapi klien AWS terkelola berikut ini mendukung propagasi identitas tepercaya ke Amazon Redshift:
+ [Pergeseran Merah Amazon Query Editor V2](setting-up-tip-redshift.md)
+ [Quick](https://docs.aws.amazon.com//quicksight/latest/user/redshift-trusted-identity-propagation.html)

**catatan**  
Jika Anda menggunakan Amazon Redshift Spectrum untuk mengakses database atau tabel AWS Glue Data Catalog eksternal, pertimbangkan untuk menyiapkan [Lake Formation](tip-tutorial-lf.md) dan [Amazon Access Grants S3](tip-tutorial-s3.md) untuk memberikan kontrol akses halus.

**Aplikasi yang dikelola pelanggan**  
Aplikasi yang dikelola pelanggan berikut mendukung propagasi identitas tepercaya ke Amazon Redshift:
+ **Tableau**termasuk TableauDesktop, TableauServer, dan Tableau Prep
  + *Untuk mengaktifkan propagasi identitas tepercaya bagi penggunaTableau, lihat [Integrasikan Tableau dan Okta dengan Amazon Redshift menggunakan Pusat Identitas IAM](https://aws.amazon.com/blogs//big-data/integrate-tableau-and-okta-with-amazon-redshift-using-aws-iam-identity-center/) di AWS Blog Big Data.*
+ **Klien SQL** (DBeaverdanDBVisualizer)
  + *Untuk mengaktifkan propagasi identitas tepercaya bagi pengguna Klien SQL (DBeaverdanDBVisualizer), lihat [Integrate Identity Provider (iDP) dengan Amazon Redshift Query Editor V2 dan SQL Client menggunakan IAM Identity Center untuk Single Sign-On yang mulus](https://aws.amazon.com/blogs//big-data/integrate-identity-provider-idp-with-amazon-redshift-query-editor-v2-and-sql-client-using-aws-iam-identity-center-for-seamless-single-sign-on/) di Big Data Blog.AWS *

# Menyiapkan propagasi identitas tepercaya dengan Amazon Redshift Query Editor V2
<a name="setting-up-tip-redshift"></a>

Prosedur berikut memandu Anda melalui cara mencapai propagasi identitas tepercaya dari Amazon Redshift Query Editor V2 ke Amazon Redshift.

## Prasyarat
<a name="setting-up-tip-redshift-prereqs"></a>

Sebelum Anda dapat memulai dengan tutorial ini, Anda harus mengatur yang berikut:

1. [Aktifkan Pusat Identitas IAM](enable-identity-center.md). [Contoh organisasi](organization-instances-identity-center.md) direkomendasikan. Untuk informasi selengkapnya, lihat [Prasyarat dan pertimbangan](trustedidentitypropagation-overall-prerequisites.md).

1. [Menyediakan pengguna dan grup dari sumber identitas Anda ke Pusat Identitas IAM](tutorials.md).

Mengaktifkan propagasi identitas tepercaya mencakup tugas yang dilakukan oleh administrator Pusat Identitas IAM di konsol Pusat Identitas IAM dan tugas yang dilakukan oleh administrator Amazon Redshift di konsol Amazon Redshift. 

## Tugas yang dilakukan oleh administrator Pusat Identitas IAM
<a name="setting-up-tip-redshift-ssoadmin-tasks"></a>

Tugas-tugas berikut harus diselesaikan oleh administrator Pusat Identitas IAM:

1. **Buat [peran IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles.html)** di akun tempat klaster Amazon Redshift atau instance Tanpa Server ada dengan kebijakan izin berikut. Untuk informasi selengkapnya, lihat [Pembuatan Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html).

   1. Contoh kebijakan berikut mencakup izin yang diperlukan untuk menyelesaikan tutorial ini. Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Untuk petunjuk tambahan, lihat [Membuat kebijakan](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) atau [Mengedit kebijakan](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html).

     **Kebijakan izin:**

------
#### [ JSON ]

****  

     ```
     {
         "Version":"2012-10-17",		 	 	 
         "Statement": [
             {
                 "Sid": "AllowRedshiftApplication",
                 "Effect": "Allow",
                 "Action": [
                     "redshift:DescribeQev2IdcApplications",
                     "redshift-serverless:ListNamespaces",
                     "redshift-serverless:ListWorkgroups",
                     "redshift-serverless:GetWorkgroup"
                 ],
                 "Resource": "*"
             },
             {
                 "Sid": "AllowIDCPermissions",
                 "Effect": "Allow",
                 "Action": [
                     "sso:DescribeApplication",
                     "sso:DescribeInstance"
                 ],
                 "Resource": [
                     "arn:aws:sso:::instance/Your-IAM-Identity-Center-Instance ID",
                     "arn:aws:sso::111122223333:application/Your-IAM-Identity-Center-Instance-ID/*"
                 ]
             }
         ]
     }
     ```

------

     **Kebijakan kepercayaan:**

------
#### [ JSON ]

****  

     ```
     {
         "Version":"2012-10-17",		 	 	 
         "Statement": [
             {
                 "Effect": "Allow",
                 "Principal": {
                     "Service": [
                         "redshift-serverless.amazonaws.com",
                         "redshift.amazonaws.com"
                     ]
                 },
                 "Action": [
                     "sts:AssumeRole",
                     "sts:SetContext"
                 ]
             }
         ]
     }
     ```

------

1. **Buat set izin** di akun AWS Organizations manajemen tempat Pusat Identitas IAM diaktifkan. Anda akan menggunakannya di langkah berikutnya untuk memungkinkan pengguna federasi mengakses Redshift Query Editor V2.

   1. **Buka konsol **Pusat Identitas IAM**, di bawah izin **Multi-Akun, pilih Set izin**.**

   1. Pilih **Buat set izin**.

   1. Pilih **Set izin khusus** dan kemudian pilih **Berikutnya**.

   1. Di bawah **kebijakan AWS terkelola**, pilih **`AmazonRedshiftQueryEditorV2ReadSharing`**.

   1. Di bawah **kebijakan Inline**, tambahkan kebijakan berikut:

------
#### [ JSON ]

****  

      ```
      {
          "Version":"2012-10-17",		 	 	 
          "Statement": [
              {
                  "Sid": "Statement1",
                  "Effect": "Allow",
                  "Action": [
                      "redshift:DescribeQev2IdcApplications",
                      "redshift-serverless:ListNamespaces",
                      "redshift-serverless:ListWorkgroups",
                      "redshift-serverless:GetWorkgroup"
                  ],
                  "Resource": "*"
              }
          ]
      }
      ```

------

   1. Pilih **Berikutnya** dan kemudian berikan nama untuk nama set izin. Misalnya, **Redshift-Query-Editor-V2**.

   1. Di bawah **status Relay — opsional**, atur status relai default ke URL Query Editor V2, menggunakan format:`https://your-region.console.aws.amazon.com/sqlworkbench/home`.

   1. Tinjau pengaturan dan pilih **Buat**.

   1. Arahkan ke Dasbor Pusat Identitas IAM dan salin URL portal AWS akses dari bagian **Ringkasan Pengaturan**.  
![\[Langkah i, Salin URL portal AWS akses dari konsol IAM Identity Center.\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/setting-up-redshift-step-i.png)

   1. Buka Jendela Browser Penyamaran baru dan tempel URL.

      Ini akan membawa Anda ke portal AWS akses Anda, memastikan Anda masuk dengan pengguna Pusat Identitas IAM.   
![\[Langkah j, Masuk untuk AWS mengakses portal.\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/setting-up-redshift-step-j.png)

      Untuk informasi selengkapnya tentang set izin, lihat[Kelola Akun AWS dengan set izin](permissionsetsconcept.md).

1. **Aktifkan akses pengguna federasi ke Redshift Query** Editor V2.

   1. Di akun AWS Organizations manajemen, buka konsol **Pusat Identitas IAM**.

   1. Di panel navigasi, di bawah **Izin multi-akun, pilih**. **Akun AWS**

   1. Pada Akun AWS halaman, pilih Akun AWS yang ingin Anda tetapkan aksesnya.

   1. Pilih **Tetapkan pengguna atau grup**.

   1. Pada halaman **Tetapkan pengguna dan grup**, pilih pengguna dan atau grup yang ingin Anda buat set izin. Lalu, pilih **Selanjutnya**.

   1. Pada halaman **Tetapkan set izin**, pilih set izin yang Anda buat di langkah sebelumnya. Lalu, pilih **Selanjutnya**.

   1. **Pada halaman **Tinjau dan kirimkan tugas**, tinjau pilihan Anda dan pilih Kirim.**

## Tugas yang dilakukan oleh administrator Amazon Redshift
<a name="setting-up-tip-redshift-admin-tasks"></a>

Mengaktifkan propagasi identitas tepercaya ke Amazon Redshift memerlukan administrator klaster Amazon Redshift atau administrator Amazon Redshift Tanpa Server untuk melakukan sejumlah tugas di konsol Amazon Redshift. *Untuk informasi selengkapnya, lihat [Mengintegrasikan Penyedia Identitas (IDP) dengan Amazon Redshift Query Editor V2 dan SQL Client menggunakan IAM Identity Center untuk Single Sign-On yang mulus](https://aws.amazon.com/blogs//big-data/integrate-identity-provider-idp-with-amazon-redshift-query-editor-v2-and-sql-client-using-aws-iam-identity-center-for-seamless-single-sign-on/) di Big Data Blog.AWS *

# Perbanyakan identitas tepercaya dengan Amazon EMR
<a name="tip-usecase-emr"></a>

Diagram berikut menunjukkan konfigurasi propagasi identitas tepercaya untuk Amazon EMR Studio menggunakan Amazon EMR di Amazon EC2 dengan kontrol akses yang disediakan oleh dan Amazon S3. AWS Lake Formation Access Grants

![\[Diagram propagasi identitas tepercaya menggunakan Amazon EMR, Lake Formation, dan IAM Identity Center\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/emr-tip-diagram.png)


**Aplikasi yang menghadap klien yang didukung**
+ Amazon EMR Studio

**Untuk mengaktifkan propagasi identitas tepercaya, ikuti langkah-langkah berikut:**
+ [Siapkan Amazon EMR Studio](setting-up-tip-emr.md) sebagai aplikasi yang menghadap klien untuk klaster EMR Amazon.
+ Siapkan [Amazon EMR Cluster di Amazon EC2](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-idc-start.html) dengan. Apache Spark
+ *Direkomendasikan*: [AWS Lake Formation](tip-tutorial-lf.md)dan [Amazon S3 Access Grants](tip-tutorial-s3.md) untuk menyediakan kontrol akses berbutir halus ke AWS Glue Data Catalog dan lokasi data yang mendasarinya di S3.

# Menyiapkan propagasi identitas tepercaya dengan Amazon EMR Studio
<a name="setting-up-tip-emr"></a>

Prosedur berikut memandu Anda melalui pengaturan EMR Amazon Studio untuk propagasi identitas tepercaya dalam kueri terhadap kelompok kerja Amazon Athena atau kluster EMR Amazon yang berjalan. Apache Spark

## Prasyarat
<a name="setting-up-tip-emr-prereqs"></a>

Sebelum Anda dapat memulai dengan tutorial ini, Anda harus mengatur yang berikut:

1. [Aktifkan Pusat Identitas IAM](enable-identity-center.md). [Contoh organisasi](organization-instances-identity-center.md) direkomendasikan. Untuk informasi selengkapnya, lihat [Prasyarat dan pertimbangan](trustedidentitypropagation-overall-prerequisites.md).

1. [Menyediakan pengguna dan grup dari sumber identitas Anda ke Pusat Identitas IAM](tutorials.md).

Untuk menyelesaikan penyiapan propagasi identitas tepercaya dari Amazon EMR Studio, administrator EMR Studio harus melakukan langkah-langkah berikut.

## Langkah 1. Buat peran IAM yang diperlukan untuk EMR Studio
<a name="setting-up-tip-emr-step1"></a>

Pada langkah ini, Studio administrator Amazon EMR membuat dan peran layanan IAM dan peran pengguna IAM untuk EMR. Studio

1. **[Buat peran layanan EMR Studio - EMR Studio mengasumsikan peran](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-service-role.html)** IAM ini untuk mengelola ruang kerja dan notebook dengan aman, terhubung ke cluster, dan menangani interaksi data.

   1. Arahkan ke konsol IAM ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) dan buat peran IAM.

   1. Pilih **Layanan AWS**sebagai entitas tepercaya dan kemudian pilih **Amazon EMR**. Lampirkan kebijakan berikut untuk menentukan izin peran dan hubungan kepercayaan.

      Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Untuk petunjuk tambahan, lihat [Membuat kebijakan](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) atau [Mengedit kebijakan](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html).

------
#### [ JSON ]

****  

      ```
      {
          "Version":"2012-10-17",		 	 	 
          "Statement": [
              {
                  "Sid": "ObjectActions",
                  "Effect": "Allow",
                  "Action": [
                      "s3:PutObject",
                      "s3:GetObject",
                      "s3:DeleteObject"
                  ],
                  "Resource": [
                      "arn:aws:s3:::Your-S3-Bucket-For-EMR-Studio/*"
                  ],
                  "Condition": {
                      "StringEquals": {
                          "aws:ResourceAccount": "Your-AWS-Account-ID"
                      }
                  }
              },
              {
                  "Sid": "BucketActions",
                  "Effect": "Allow",
                  "Action": [
                      "s3:ListBucket",
                      "s3:GetEncryptionConfiguration"
                  ],
                  "Resource": [
                      "arn:aws:s3:::Your-S3-Bucket-For-EMR-Studio"
                  ],
                  "Condition": {
                      "StringEquals": {
                          "aws:ResourceAccount": "Your-AWS-Account-ID"
                      }
                  }
              }
          ]
      }
      ```

------

      Untuk referensi semua izin peran layanan, lihat Izin peran [layanan EMR Studio](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-studio-service-role.html#emr-studio-service-role-permissions-table).

1. **[Buat peran pengguna EMR Studio untuk otentikasi IAM Identity Center](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-user-permissions.html#emr-studio-create-user-role)** - EMR Studio mengasumsikan peran ini ketika pengguna masuk melalui IAM Identity Center untuk mengelola ruang kerja, kluster EMR, pekerjaan, repositori git. **Peran ini digunakan untuk memulai alur kerja propagasi identitas tepercaya**.
**catatan**  
Peran pengguna EMR Studio tidak perlu menyertakan izin untuk mengakses lokasi Amazon S3 dari tabel di Katalog. AWS Glue AWS Lake Formation izin dan lokasi danau terdaftar akan digunakan untuk menerima izin sementara. 

   Contoh kebijakan berikut dapat digunakan dalam peran yang memungkinkan pengguna EMR Studio menggunakan workgroup Athena untuk menjalankan kueri.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "AllowDefaultEC2SecurityGroupsCreationInVPCWithEMRTags",
               "Effect": "Allow",
               "Action": [
                   "ec2:CreateSecurityGroup"
               ],
               "Resource": [
                   "arn:aws:ec2:*:*:vpc/*"
               ],
               "Condition": {
                   "StringEquals": {
                       "aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
                   }
               }
           },
           {
               "Sid": "AllowAddingEMRTagsDuringDefaultSecurityGroupCreation",
               "Effect": "Allow",
               "Action": [
                   "ec2:CreateTags"
               ],
               "Resource": "arn:aws:ec2:*:*:security-group/*",
               "Condition": {
                   "StringEquals": {
                       "aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true",
                       "ec2:CreateAction": "CreateSecurityGroup"
                   }
               }
           },
           {
               "Sid": "AllowSecretManagerListSecrets",
               "Action": [
                   "secretsmanager:ListSecrets"
               ],
               "Resource": "*",
               "Effect": "Allow"
           },
           {
               "Sid": "AllowSecretCreationWithEMRTagsAndEMRStudioPrefix",
               "Effect": "Allow",
               "Action": "secretsmanager:CreateSecret",
               "Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*",
               "Condition": {
                   "StringEquals": {
                       "aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
                   }
               }
           },
           {
               "Sid": "AllowAddingTagsOnSecretsWithEMRStudioPrefix",
               "Effect": "Allow",
               "Action": "secretsmanager:TagResource",
               "Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*"
           },
           {
               "Sid": "AllowPassingServiceRoleForWorkspaceCreation",
               "Action": "iam:PassRole",
               "Resource": [
                   "arn:aws:iam::111122223333:role/service-role/AmazonEMRStudio_ServiceRole_Name"
               ],
               "Effect": "Allow"
           },
           {
               "Sid": "AllowS3ListAndLocationPermissions",
               "Action": [
                   "s3:ListAllMyBuckets",
                   "s3:ListBucket",
                   "s3:GetBucketLocation"
               ],
               "Resource": "arn:aws:s3:::*",
               "Effect": "Allow"
           },
           {
               "Sid": "AllowS3ReadOnlyAccessToLogs",
               "Action": [
                   "s3:GetObject"
               ],
               "Resource": [
                   "arn:aws:s3:::aws-logs-Your-AWS-Account-ID-Region/elasticmapreduce/*"
               ],
               "Effect": "Allow"
           },
           {
               "Sid": "AllowAthenaQueryExecutions",
               "Effect": "Allow",
               "Action": [
                   "athena:StartQueryExecution",
                   "athena:GetQueryExecution",
                   "athena:GetQueryResults",
                   "athena:StopQueryExecution",
                   "athena:ListQueryExecutions",
                   "athena:GetQueryResultsStream",
                   "athena:ListWorkGroups",
                   "athena:GetWorkGroup",
                   "athena:CreatePreparedStatement",
                   "athena:GetPreparedStatement",
                   "athena:DeletePreparedStatement"
               ],
               "Resource": "*"
           },
           {
               "Sid": "AllowGlueSchemaManipulations",
               "Effect": "Allow",
               "Action": [
                   "glue:GetDatabase",
                   "glue:GetDatabases",
                   "glue:GetTable",
                   "glue:GetTables",
                   "glue:GetPartition",
                   "glue:GetPartitions"
               ],
               "Resource": "*"
           },
           {
               "Sid": "AllowQueryEditorToAccessWorkGroup",
               "Effect": "Allow",
               "Action": "athena:GetWorkGroup",
               "Resource": "arn:aws:athena:*:111122223333:workgroup*"
           },
           {
               "Sid": "AllowConfigurationForWorkspaceCollaboration",
               "Action": [
                   "elasticmapreduce:UpdateEditor",
                   "elasticmapreduce:PutWorkspaceAccess",
                   "elasticmapreduce:DeleteWorkspaceAccess",
                   "elasticmapreduce:ListWorkspaceAccessIdentities"
               ],
               "Resource": "*",
               "Effect": "Allow",
               "Condition": {
                   "StringEquals": {
                       "elasticmapreduce:ResourceTag/creatorUserId": "${aws:userId}"
                   }
               }
           },
           {
               "Sid": "DescribeNetwork",
               "Effect": "Allow",
               "Action": [
                   "ec2:DescribeVpcs",
                   "ec2:DescribeSubnets",
                   "ec2:DescribeSecurityGroups"
               ],
               "Resource": "*"
           },
           {
               "Sid": "ListIAMRoles",
               "Effect": "Allow",
               "Action": [
                   "iam:ListRoles"
               ],
               "Resource": "*"
           },
           {
               "Sid": "AssumeRole",
               "Effect": "Allow",
               "Action": [
                   "sts:AssumeRole"
               ],
               "Resource": "*"
           }
       ]
   }
   ```

------

   Kebijakan kepercayaan berikut memungkinkan EMR Studio untuk mengambil peran:
**catatan**  
Izin tambahan diperlukan untuk memanfaatkan EMR Studio Workspaces dan EMR Notebooks. Lihat [Membuat kebijakan izin untuk pengguna EMR Studio untuk](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-user-permissions.html#emr-studio-permissions-policies) informasi selengkapnya.

**Anda dapat menemukan informasi lebih lanjut dengan tautan berikut:**
   + [Tentukan izin IAM kustom dengan kebijakan terkelola pelanggan](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html)
   + [Izin peran layanan EMR Studio](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-service-role.html#emr-studio-service-role-permissions-table)

## Langkah 2. Buat dan konfigurasikan EMR Studio Anda
<a name="setting-up-tip-emr-step2"></a>

Pada langkah ini, Anda akan membuat Amazon EMR Studio di konsol EMR Studio dan menggunakan peran IAM yang Anda buat. [Langkah 1. Buat peran IAM yang diperlukan untuk EMR StudioLangkah 2. Buat dan konfigurasikan EMR Studio Anda](#setting-up-tip-emr-step1)

1. Arahkan ke konsol EMR Studio, pilih **Buat Studio** dan opsi **Pengaturan Kustom**. Anda dapat membuat bucket S3 baru atau menggunakan bucket yang sudah ada. Anda dapat mencentang kotak untuk **Enkripsi file ruang kerja dengan kunci KMS Anda sendiri**. Untuk informasi selengkapnya, lihat [AWS Key Management Service](https://docs.aws.amazon.com//kms/latest/developerguide/overview.html).  
![\[Langkah 1 Buat EMR Studio di konsol EMR.\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/emr-tutorial-step-3.1.png)

1. Di bawah **Peran layanan untuk memungkinkan Studio mengakses sumber daya Anda**, pilih peran layanan yang dibuat [Langkah 1. Buat peran IAM yang diperlukan untuk EMR StudioLangkah 2. Buat dan konfigurasikan EMR Studio Anda](#setting-up-tip-emr-step1) dari menu.

1. Pilih **Pusat Identitas IAM** di bawah **Otentikasi**. Pilih peran pengguna yang dibuat di[Langkah 1. Buat peran IAM yang diperlukan untuk EMR StudioLangkah 2. Buat dan konfigurasikan EMR Studio Anda](#setting-up-tip-emr-step1).  
![\[Langkah 3 Buat EMR Studio di konsol EMR, pilih IAM Identity Center untuk metode otentikasi.\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/emr-tutorial-step-3.3.png)

1. Centang kotak **propagasi identitas tepercaya**. Pilih **Hanya pengguna dan grup yang ditetapkan** di bawah bagian Akses aplikasi, yang akan memungkinkan Anda untuk memberikan hanya pengguna dan grup yang berwenang untuk mengakses studio ini.

1. *(Opsional)* - Anda dapat mengkonfigurasi VPC dan subnet jika Anda menggunakan Studio ini dengan cluster EMR.  
![\[Langkah 4 Buat EMR Studio di konsol EMR, memilih pengaturan jaringan dan keamanan.\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/emr-tutorial-step-3.4.png)

1. Tinjau semua detail dan pilih **Buat Studio**.

1. Setelah mengonfigurasi klaster WorkGroup Athena atau EMR, masuk ke URL Studio untuk:

   1. Jalankan kueri Athena dengan Editor Kueri.

   1. Jalankan pekerjaan Spark di ruang kerja menggunakan Jupyter notebook.

# Perbanyakan identitas tepercaya dengan Amazon Athena
<a name="tip-usecase-ate"></a>

Langkah-langkah untuk mengaktifkan propagasi identitas tepercaya bergantung pada apakah pengguna Anda berinteraksi dengan aplikasi AWS terkelola atau aplikasi yang dikelola pelanggan. Diagram berikut menunjukkan konfigurasi propagasi identitas tepercaya untuk aplikasi yang menghadap klien - baik AWS dikelola maupun eksternal AWS - yang menggunakan Amazon Athena untuk menanyakan data Amazon S3 dengan kontrol akses yang disediakan oleh dan Amazon S3. AWS Lake Formation Access Grants

**catatan**  
Perbanyakan identitas tepercaya dengan Amazon Athena membutuhkan penggunaan Trino.
Klien Apache Spark dan SQL yang terhubung ke Amazon Athena melalui driver ODBC dan JDBC tidak didukung.

![\[Diagram propagasi identitas tepercaya menggunakan Athena, Amazon EMR, Lake Formation, dan IAM Identity Center\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/ate-tip-diagram.png)


**AWS aplikasi terkelola**

Aplikasi yang dihadapi klien AWS terkelola berikut ini mendukung propagasi identitas tepercaya dengan Athena:
+ Amazon EMR Studio

**Untuk mengaktifkan propagasi identitas tepercaya, ikuti langkah-langkah berikut:**
+ [Siapkan Amazon EMR Studio](setting-up-tip-emr.md) sebagai aplikasi yang menghadap klien untuk Athena. Editor Kueri di EMR Studio diperlukan untuk menjalankan Kueri Athena saat propagasi identitas tepercaya diaktifkan.
+ [Mengatur Athena Workgroup](setting-up-tip-ate.md).
+ [Siapkan AWS Lake Formation](tip-tutorial-lf.md) untuk mengaktifkan kontrol akses berbutir halus untuk AWS Glue tabel berdasarkan pengguna atau grup di Pusat Identitas IAM.
+ [Siapkan Amazon S3 Access Grants](tip-tutorial-s3.md) untuk mengaktifkan akses sementara ke lokasi data yang mendasarinya di S3.

**catatan**  
Baik Lake Formation dan Amazon S3 Access Grants diperlukan untuk kontrol akses ke AWS Glue Data Catalog dan untuk hasil kueri Athena di Amazon S3.

**Aplikasi yang dikelola pelanggan**  
*Untuk mengaktifkan propagasi identitas tepercaya bagi pengguna *aplikasi yang dikembangkan khusus*, lihat [Akses Layanan AWS secara terprogram menggunakan propagasi identitas tepercaya](https://aws.amazon.com/blogs//security/access-aws-services-programmatically-using-trusted-identity-propagation/) di Blog Keamanan.AWS *

# Menyiapkan propagasi identitas tepercaya dengan kelompok kerja Amazon Athena
<a name="setting-up-tip-ate"></a>

Prosedur berikut memandu Anda melalui pengaturan kelompok kerja Amazon Athena untuk propagasi identitas tepercaya. 

## Prasyarat
<a name="setting-up-tip-ate-prereqs"></a>

Sebelum Anda dapat memulai dengan tutorial ini, Anda harus mengatur yang berikut:

1. [Aktifkan Pusat Identitas IAM](enable-identity-center.md). [Contoh organisasi](organization-instances-identity-center.md) direkomendasikan. Untuk informasi selengkapnya, lihat [Prasyarat dan pertimbangan](trustedidentitypropagation-overall-prerequisites.md).

1. [Menyediakan pengguna dan grup dari sumber identitas Anda ke Pusat Identitas IAM](tutorials.md).

1. Konfigurasi ini memerlukan [Amazon EMR Studio](setting-up-tip-emr.md), [AWS Lake Formation](tip-tutorial-lf.md), dan [Amazon S3 Access Grants](tip-tutorial-s3.md).

## Menyiapkan propagasi identitas tepercaya dengan Athena
<a name="setting-up-tip-ate-step1"></a>

Untuk mengatur propagasi identitas tepercaya dengan Athena, administrator Athena harus:

1. Tinjau [Pertimbangan dan batasan dalam menggunakan IAM Identity Center mengaktifkan kelompok kerja Athena](https://docs.aws.amazon.com//athena/latest/ug/workgroups-identity-center.html#workgroups-identity-center-considerations-and-limitations). 

1. [Buat grup kerja Athena yang diaktifkan Pusat Identitas IAM](https://docs.aws.amazon.com//athena/latest/ug/workgroups-identity-center.html#workgroups-identity-center-creating-an-identity-center-enabled-athena-workgroup).

# Perbanyakan identitas tepercaya dengan Amazon Studio SageMaker
<a name="trusted-identity-propagation-usecase-sagemaker-studio"></a>

[Amazon SageMaker Studio](https://docs.aws.amazon.com//sagemaker/latest/dg/studio-updated.html) terintegrasi dengan IAM Identity Center, dan mendukung [sesi latar belakang pengguna](user-background-sessions.md) dan propagasi identitas tepercaya. Sesi latar belakang pengguna memungkinkan pengguna untuk memulai pekerjaan yang berjalan lama di SageMaker Studio, tanpa pengguna tersebut harus tetap masuk saat pekerjaan berjalan. Pekerjaan berjalan segera dan di latar belakang, menggunakan izin pengguna yang memulai pekerjaan. Pekerjaan dapat terus berjalan bahkan jika pengguna mematikan komputer mereka, sesi masuk Pusat Identitas IAM mereka kedaluwarsa, atau pengguna keluar dari portal akses. AWS Durasi sesi default untuk sesi latar belakang pengguna adalah 7 hari, tetapi Anda dapat menentukan durasi maksimum 90 hari. Propagasi identitas tepercaya memungkinkan akses berbutir halus diberikan ke AWS sumber daya seperti bucket Amazon S3 berdasarkan identitas pengguna atau keanggotaan grup.

Diagram berikut menunjukkan konfigurasi propagasi identitas tepercaya untuk SageMaker Studio, dengan akses ke data yang disimpan dalam bucket Amazon S3. Sesi latar belakang pengguna diaktifkan untuk IAM Identity Center, yang memungkinkan pekerjaan pelatihan SageMaker Studio berjalan di latar belakang. Kontrol akses untuk data pelatihan disediakan oleh Amazon S3Access Grants.

![\[Diagram propagasi identitas tepercaya untuk SageMaker Studio, dengan pekerjaan pelatihan SageMaker Studio berjalan di sesi latar belakang pengguna, dan akses ke data pelatihan di Amazon S3 yang disediakan oleh Amazon S3. Access Grants\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/sagemaker-studio-s3-user-background-session-training-job-s3-access-grants-diagram.png)


**AWS aplikasi terkelola**

Aplikasi yang dihadapi klien AWS terkelola berikut ini mendukung propagasi identitas tepercaya:
+ [ SageMaker Studio Amazon](setting-up-trusted-identity-propagation-sagemaker-studio.md)

**Untuk mengaktifkan propagasi identitas tepercaya dan sesi latar belakang pengguna, ikuti langkah-langkah berikut:**
+ [Siapkan SageMaker Studio sebagai aplikasi yang menghadap klien.](setting-up-trusted-identity-propagation-sagemaker-studio.md)
+ [Siapkan Amazon S3 Access Grants](tip-tutorial-s3.md) untuk mengaktifkan akses sementara ke lokasi data yang mendasarinya di Amazon S3.

# Menyiapkan propagasi identitas tepercaya dengan Studio SageMaker
<a name="setting-up-trusted-identity-propagation-sagemaker-studio"></a>

Prosedur berikut memandu Anda melalui pengaturan SageMaker Studio untuk propagasi identitas tepercaya dan sesi latar belakang pengguna.

## Prasyarat
<a name="setting-up-trusted-identity-propagation-sagemaker-studio-prereqs"></a>

Sebelum Anda dapat memulai dengan tutorial ini, Anda harus menyelesaikan tugas-tugas berikut:

1. [Aktifkan Pusat Identitas IAM](enable-identity-center.md). Sebuah contoh organisasi diperlukan. Untuk informasi selengkapnya, lihat [Prasyarat dan pertimbangan](trustedidentitypropagation-overall-prerequisites.md).

1. [Menyediakan pengguna dan grup dari sumber identitas Anda ke Pusat Identitas IAM](tutorials.md).

1. [Konfirmasikan bahwa sesi latar belakang pengguna diaktifkan](user-background-sessions.md) di konsol Pusat Identitas IAM. Secara default, sesi latar belakang pengguna diaktifkan dan durasi sesi diatur ke 7 hari. Anda dapat mengubah durasi ini.

Untuk menyiapkan propagasi identitas tepercaya dari SageMaker Studio, administrator SageMaker Studio harus melakukan langkah-langkah berikut. 

## Langkah 1: Aktifkan propagasi identitas tepercaya di domain SageMaker Studio baru atau yang sudah ada
<a name="setting-up-trusted-identity-propagation-sagemaker-studio-enable-in-domain"></a>

SageMaker Studio menggunakan domain untuk mengatur profil pengguna, aplikasi, dan sumber daya terkait. Untuk mengaktifkan propagasi identitas tepercaya, Anda harus membuat domain SageMaker Studio atau memodifikasi domain yang ada seperti yang dijelaskan dalam prosedur berikut.

1. Buka konsol SageMaker AI, navigasikan ke **Domain**, dan lakukan salah satu hal berikut.
   + **Buat domain SageMaker Studio baru dengan menggunakan [Pengaturan untuk organisasi](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions).**

     Pilih **Siapkan untuk organisasi**, lalu lakukan hal berikut:
     + Pilih **Pusat AWS Identitas** sebagai metode otentikasi.
     + Pilih kotak centang **Aktifkan propagasi identitas tepercaya untuk semua pengguna di domain ini**.
   + **Ubah domain SageMaker Studio yang ada.**
     + Pilih domain yang sudah ada yang menggunakan IAM Identity Center untuk autentikasi.
**penting**  
Propagasi identitas tepercaya hanya didukung di domain SageMaker Studio yang menggunakan IAM Identity Center untuk autentikasi. Jika domain menggunakan IAM untuk otentikasi, Anda tidak dapat mengubah metode otentikasi, dan oleh karena itu Anda tidak dapat mengaktifkan propagasi identitas tepercaya.
     + [Edit pengaturan domain](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-edit). Edit pengaturan **Autentikasi dan izin** untuk mengaktifkan propagasi identitas tepercaya.

1. Lanjutkan ke [Langkah 2: Konfigurasikan peran eksekusi domain default](#setting-up-trusted-identity-propagation-sagemaker-studio-domain-execution-role). Peran ini diperlukan bagi pengguna domain SageMaker Studio untuk mengakses AWS layanan lain seperti Amazon S3.

## Langkah 2: Konfigurasikan peran eksekusi domain default dan kebijakan kepercayaan peran
<a name="setting-up-trusted-identity-propagation-sagemaker-studio-domain-execution-role"></a>

*Peran eksekusi domain adalah peran* [IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles) yang diasumsikan oleh domain SageMaker Studio atas nama semua pengguna dalam domain. Izin yang Anda tetapkan untuk peran ini menentukan tindakan yang dapat dilakukan SageMaker Studio. 

1. Untuk membuat atau memilih peran eksekusi domain, lakukan salah satu hal berikut:
   + **Buat atau pilih peran dengan menggunakan [Pengaturan untuk organisasi](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions).**
     + Buka konsol SageMaker AI dan ikuti panduan konsol di **Langkah 2: Konfigurasikan peran dan aktivitas ML** untuk membuat peran eksekusi domain baru atau memilih peran yang sudah ada. 
     + Selesaikan langkah-langkah penyiapan lainnya untuk membuat domain SageMaker Studio Anda.
   + **Buat peran eksekusi secara manual.**
     + Buka konsol IAM dan [buat peran eksekusi sendiri](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-create-execution-role).

1. [Perbarui kebijakan kepercayaan](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_update-role-trust-policy.html) yang dilampirkan ke peran eksekusi domain sehingga mencakup dua tindakan berikut: [https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html)dan [https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html). Untuk informasi tentang cara menemukan peran eksekusi untuk domain SageMaker Studio Anda, lihat [Mendapatkan peran eksekusi domain](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role-domain).

   *Kebijakan kepercayaan* menentukan identitas yang dapat mengambil peran. Kebijakan ini diperlukan untuk mengizinkan layanan SageMaker Studio mengambil peran eksekusi domain. Tambahkan kedua tindakan ini sehingga muncul sebagai berikut dalam kebijakan Anda.

   ```
   {
   
       "Version": "2012-10-17", 		 	 	  
   
   
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": [
                       "sagemaker.amazonaws.com"
                   ]
               },
               "Action": [
                   "sts:AssumeRole",
                   "sts:SetContext"
               ]
           }
       ]
   }
   ```

## Langkah 3: Verifikasi izin Amazon S3 Access Grant yang diperlukan untuk peran eksekusi domain
<a name="setting-up-trusted-identity-propagation-sagemaker-studio-s3-access-grant-permissions-execution-role"></a>

Untuk menggunakan Amazon S3 Access Grants, Anda harus memiliki kebijakan izin yang dilampirkan (baik sebagai kebijakan inline atau kebijakan terkelola pelanggan) ke peran eksekusi domain SageMaker Studio Anda yang berisi izin berikut.

```
{

    "Version": "2012-10-17", 		 	 	  

    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetDataAccess",
                "s3:GetAccessGrantsInstanceForPrefix"
                ],
            "Resource": "arn:aws:s3:us-east-2:111122223333:access-grants/default"
        }
    ]
}
```

*Jika Anda tidak memiliki kebijakan yang berisi izin ini, ikuti petunjuk di [Menambahkan dan menghapus izin identitas IAM di Panduan](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-attach-detach.html) Pengguna.AWS Identity and Access Management *

## Langkah 4: Tetapkan grup dan pengguna ke domain
<a name="setting-up-trusted-identity-propagation-sagemaker-studio-assign-users-groups-to-domain"></a>

Tetapkan grup dan pengguna ke domain SageMaker Studio dengan mengikuti langkah-langkah di [Tambahkan grup dan pengguna](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-groups-add.html).

## Langkah 5: Siapkan Hibah Akses Amazon S3
<a name="setting-up-trusted-identity-propagation-sagemaker-studio-set-up-s3-access-grants"></a>

Untuk menyiapkan Hibah Akses Amazon S3, ikuti langkah-langkah dalam Mengonfigurasi Hibah Akses [Amazon S3 untuk propagasi identitas tepercaya melalui Pusat Identitas](tip-tutorial-s3.md#tip-tutorial-s3-configure) IAM. Gunakan step-by-step instruksi untuk menyelesaikan tugas-tugas berikut:

1. Buat instance Amazon S3 Access Grants.

1. Daftarkan lokasi dalam contoh itu.

1. Buat hibah untuk memungkinkan pengguna atau grup Pusat Identitas IAM tertentu mengakses lokasi atau subset Amazon S3 yang ditentukan (misalnya, awalan tertentu) di dalam lokasi tersebut.

## Langkah 6: Kirim pekerjaan SageMaker pelatihan dan lihat detail sesi latar belakang pengguna
<a name="setting-up-trusted-identity-propagation-sagemaker-studio-submit-training-job-view-user-background-session-details"></a>

Di SageMaker Studio, luncurkan notebook Jupyter baru dan kirimkan pekerjaan pelatihan. Saat pekerjaan sedang berjalan, selesaikan langkah-langkah berikut untuk melihat informasi sesi dan untuk memverifikasi bahwa konteks sesi latar belakang pengguna aktif.

1. Buka konsol Pusat Identitas IAM.

1. Pilih **Pengguna**.

1. Pada halaman **Pengguna**, pilih nama pengguna pengguna yang sesinya ingin Anda kelola. Ini membawa Anda ke halaman dengan informasi pengguna.

1. Pada halaman pengguna, pilih tab **Sesi aktif**. Angka dalam tanda kurung di samping **sesi Aktif menunjukkan jumlah sesi** aktif untuk pengguna ini.

1. Untuk mencari sesi berdasarkan Nama Sumber Daya Amazon (ARN) dari pekerjaan yang menggunakan sesi, dalam daftar **Jenis sesi**, pilih Sesi **latar belakang pengguna**, lalu masukkan ARN pekerjaan di kotak pencarian.

Berikut ini adalah contoh bagaimana pekerjaan pelatihan yang menggunakan sesi latar belakang pengguna muncul di tab **sesi ctive** untuk pengguna.

![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/sagemaker-studio-training-job-displayed-in-identity-center-console-active-sessions.png)


## Langkah 7: Lihat CloudTrail log untuk memverifikasi propagasi identitas tepercaya di CloudTrail
<a name="setting-up-trusted-identity-propagation-sagemaker-studio-view-cloudtrail-logs"></a>

Saat propagasi identitas tepercaya diaktifkan, tindakan muncul di log CloudTrail peristiwa di bawah `onBehalfOf` elemen. Ini `userId` mencerminkan ID pengguna Pusat Identitas IAM yang memulai pekerjaan pelatihan. CloudTrail Peristiwa berikut menangkap proses propagasi identitas tepercaya.

```
                            "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROA123456789EXAMPLE:SageMaker",
    "arn": "arn:aws:sts::111122223333:assumed-role/SageMaker-ExecutionRole-20250728T125817/SageMaker",
    "accountId": "111122223333",
    "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
    "sessionContext": {
        "sessionIssuer": {
            "type": "Role",
            "principalId": "AROA123456789EXAMPLE",
            "arn": "arn:aws:iam::111122223333:role/service-role/SageMaker-ExecutionRole-20250728T125817",
            "accountId": "111122223333",
            "userName": "SageMaker-ExecutionRole-20250728T125817"
        },
        "attributes": {
            "creationDate": "2025-07-29T17:17:10Z",
            "mfaAuthenticated": "false"
        }
    },
    "onBehalfOf": {
        "userId": "2801d3e0-f0e1-707f-54e8-f558b19f0a10",
        "identityStoreArn": "arn:aws:identitystore::777788889999:identitystore/d-1234567890"
    }
},
```

## Pertimbangan runtime
<a name="setting-up-trusted-identity-propagation-sagemaker-ai-runtime-considerations"></a>

Jika administrator menetapkan pelatihan yang berjalan **MaxRuntimeInSeconds**lama atau memproses pekerjaan yang lebih rendah dari durasi sesi latar belakang pengguna, SageMaker Studio menjalankan pekerjaan untuk minimum salah satu **MaxRuntimeInSeconds **atau durasi sesi latar belakang pengguna.

Untuk informasi selengkapnya **MaxRuntimeInSeconds**, lihat panduan untuk `CreateTrainingJob` [StoppingCondition](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_CreateTrainingJob.html#sagemaker-CreateTrainingJob-request-StoppingCondition)parameter di *Referensi Amazon SageMaker API*.

# Layanan otorisasi
<a name="authorization-services"></a>

Dalam semua [kasus penggunaan analitik dan data lakehouse](trustedidentitypropagation-integrations.md#tip-data-analytic-usecases-overview), Anda dapat mencapai kontrol akses berbutir halus menggunakan:
+ AWS Lake Formation - untuk panduan, lihat[Menyiapkan AWS Lake Formation dengan IAM Identity Center](tip-tutorial-lf.md).
+ Amazon S3 Access Grants - untuk panduan, lihat. [Menyiapkan Hibah Akses Amazon S3 dengan Pusat Identitas IAM](tip-tutorial-s3.md)

# Menyiapkan AWS Lake Formation dengan IAM Identity Center
<a name="tip-tutorial-lf"></a>

[AWS Lake Formation](https://docs.aws.amazon.com//lake-formation/latest/dg/what-is-lake-formation.html)adalah layanan terkelola yang menyederhanakan pembuatan dan pengelolaan data lake di AWS. Ini mengotomatiskan pengumpulan data, katalog, dan keamanan, menyediakan repositori terpusat untuk menyimpan dan menganalisis beragam tipe data. Lake Formation menawarkan kontrol akses berbutir halus dan terintegrasi dengan berbagai layanan AWS analitik, memungkinkan organisasi untuk secara efisien mengatur, mengamankan, dan memperoleh wawasan dari data lake mereka.

Ikuti langkah-langkah ini untuk mengaktifkan Lake Formation memberikan izin data berdasarkan identitas pengguna menggunakan IAM Identity Center dan propagasi identitas tepercaya.

## Prasyarat
<a name="tip-tutorial-lf-prereqs"></a>

Sebelum Anda dapat memulai dengan tutorial ini, Anda harus mengatur yang berikut:
+ [Aktifkan Pusat Identitas IAM](enable-identity-center.md). [Contoh organisasi](organization-instances-identity-center.md) direkomendasikan. Untuk informasi selengkapnya, lihat [Prasyarat dan pertimbangan](trustedidentitypropagation-overall-prerequisites.md).

## Langkah-langkah untuk mengatur propagasi identitas tepercaya
<a name="tip-tutorial-lf-step1"></a>

1. **Integrasikan IAM Identity Center dengan AWS Lake Formation** mengikuti panduan dalam [Menghubungkan Lake Formation dengan IAM Identity](https://docs.aws.amazon.com//lake-formation/latest/dg/connect-lf-identity-center.html) Center.
**penting**  
**Jika Anda tidak memiliki AWS Glue Data Catalog tabel**, Anda harus membuatnya agar dapat digunakan untuk memberikan akses AWS Lake Formation ke pengguna dan grup Pusat Identitas IAM. Lihat [Membuat objek AWS Glue Data Catalog](https://docs.aws.amazon.com//lake-formation/latest/dg/populating-catalog.html) untuk informasi selengkapnya.

1. **Daftarkan lokasi danau data**.

   [Daftarkan lokasi S3](https://docs.aws.amazon.com//lake-formation/latest/dg/register-location.html) tempat data tabel Glue disimpan. Dengan melakukan ini, Lake Formation akan menyediakan akses sementara ke lokasi S3 yang diperlukan saat tabel ditanyakan, menghapus kebutuhan untuk menyertakan izin S3 dalam peran layanan (misalnya peran layanan Athena yang dikonfigurasi pada). WorkGroup

   1. Arahkan ke **lokasi danau Data** di bawah bagian **Administrasi** di panel navigasi di AWS Lake Formation konsol. Pilih **Daftarkan lokasi**.

      Ini akan memungkinkan Lake Formation untuk menyediakan kredensil IAM sementara dengan izin yang diperlukan untuk mengakses lokasi data S3.  
![\[Langkah 1 Daftarkan lokasi danau data di konsol Lake Formation.\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/lf-tutorial-step-3.1.png)

   1. Masukkan jalur S3 dari lokasi data AWS Glue tabel di bidang jalur **Amazon S3**.

   1. Di bagian **peran IAM**, jangan pilih peran terkait layanan jika Anda ingin menggunakannya dengan propagasi identitas tepercaya. Buat peran terpisah dengan izin berikut.

      Untuk menggunakan kebijakan ini, ganti kebijakan *italicized placeholder text* dalam contoh dengan informasi Anda sendiri. Untuk petunjuk tambahan, lihat [Membuat kebijakan](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) atau [Mengedit kebijakan](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html). Kebijakan izin harus memberikan akses ke lokasi S3 yang ditentukan di jalur:

      1. **Kebijakan izin**:

------
#### [ JSON ]

****  

         ```
         {
             "Version":"2012-10-17",		 	 	 
             "Statement": [
                 {
                     "Sid": "LakeFormationDataAccessPermissionsForS3",
                     "Effect": "Allow",
                     "Action": [
                         "s3:PutObject",
                         "s3:GetObject",
                         "s3:DeleteObject"
                     ],
                     "Resource": [
                         "arn:aws:s3:::Your-S3-Bucket/*"
                     ]
                 },
                 {
                     "Sid": "LakeFormationDataAccessPermissionsForS3ListBucket",
                     "Effect": "Allow",
                     "Action": [
                         "s3:ListBucket"
                     ],
                     "Resource": [
                         "arn:aws:s3:::Your-S3-Bucket"
                     ]
                 },
                 {
                     "Sid": "LakeFormationDataAccessServiceRolePolicy",
                     "Effect": "Allow",
                     "Action": [
                         "s3:ListAllMyBuckets"
                     ],
                     "Resource": [
                         "arn:aws:s3:::*"
                     ]
                 }
             ]
         }
         ```

------

      1. **Hubungan kepercayaan**: Ini harus mencakup`sts:SectContext`, yang diperlukan untuk propagasi identitas tepercaya.

------
#### [ JSON ]

****  

         ```
         {
             "Version":"2012-10-17",		 	 	 
             "Statement": [
                 {
                     "Sid": "",
                     "Effect": "Allow",
                     "Principal": {
                         "Service": "lakeformation.amazonaws.com"
                     },
                     "Action": [
                         "sts:AssumeRole",
                         "sts:SetContext"
                     ]
                 }
             ]
         }
         ```

------
**catatan**  
Peran IAM yang dibuat oleh wizard adalah peran terkait layanan dan tidak termasuk. `sts:SetContext`

   1. Setelah membuat peran IAM, pilih **Daftar lokasi**.

## Perbanyakan identitas tepercaya dengan Lake Formation di seberang Akun AWS
<a name="tip-lf-across-accts"></a>

AWS Lake Formation mendukung penggunaan [AWS Resource Access Manager (RAM)](https://docs.aws.amazon.com//ram/latest/userguide/what-is.html) untuk berbagi tabel Akun AWS dan berfungsi dengan propagasi identitas tepercaya ketika akun pemberi dan akun penerima hibah berada di tempat yang sama Wilayah AWS, sama AWS Organizations, dan berbagi contoh organisasi yang sama dari IAM Identity Center. Lihat [berbagi data lintas akun di Lake Formation](https://docs.aws.amazon.com//lake-formation/latest/dg/cross-data-sharing-lf.html) untuk informasi selengkapnya.

# Menyiapkan Hibah Akses Amazon S3 dengan Pusat Identitas IAM
<a name="tip-tutorial-s3"></a>

[Amazon S3 Access Grants](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-get-started.html) memberikan fleksibilitas untuk memberikan kontrol akses butir halus berbasis identitas ke lokasi S3. Anda dapat menggunakan Amazon S3 Access Grants untuk memberikan akses bucket Amazon S3 langsung ke pengguna dan grup perusahaan Anda. Ikuti langkah-langkah ini untuk mengaktifkan S3 Access Grants dengan IAM Identity Center dan mencapai propagasi identitas tepercaya.

## Prasyarat
<a name="tip-tutorial-s3-prereqs"></a>

Sebelum Anda dapat memulai dengan tutorial ini, Anda harus mengatur yang berikut:
+ [Aktifkan Pusat Identitas IAM](enable-identity-center.md). [Contoh organisasi](organization-instances-identity-center.md) direkomendasikan. Untuk informasi selengkapnya, lihat [Prasyarat dan pertimbangan](trustedidentitypropagation-overall-prerequisites.md).

## Mengkonfigurasi Hibah Akses S3 untuk propagasi identitas tepercaya melalui IAM Identity Center
<a name="tip-tutorial-s3-configure"></a>

**Jika Anda sudah memiliki Access Grants instans Amazon S3 dengan lokasi terdaftar, ikuti langkah-langkah berikut:**

1. [Kaitkan instans Pusat Identitas IAM](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-idc.html) Anda.

1. [Buat hibah](#tip-tutorial-s3-create-grant).

**Jika Anda belum membuat Amazon S3Access Grants, ikuti langkah-langkah ini:**

1. [https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-create.html](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-create.html) - Anda dapat membuat satu Access Grants instance S3 per. Wilayah AWS Saat Anda membuat Access Grants instance S3, pastikan untuk mencentang kotak **Add IAM Identity Center instance** dan berikan ARN dari instance IAM Identity Center Anda. Pilih **Selanjutnya**.

   Gambar berikut menunjukkan halaman Access Grants instans Create S3 di konsol Amazon Access Grants S3:  
![\[Buat halaman Access Grants instans S3 di konsol S3 Access Grants.\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/s3-tutorial-step-1.1.png)

1. **Daftarkan lokasi** - Setelah Anda [membuat Access Grants instans Amazon S3](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-create.html) Wilayah AWS di akun Anda, Anda [mendaftarkan lokasi S3 dalam contoh](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-location-register.html) itu. Access GrantsLokasi S3 memetakan default S3 region (`S3://`), bucket, atau awalan ke peran IAM. S3 Access Grants mengasumsikan peran Amazon S3 ini untuk menjual kredensil sementara kepada penerima hibah yang mengakses lokasi tertentu. Anda harus terlebih dahulu mendaftarkan setidaknya satu lokasi di Access Grants instans S3 Anda sebelum Anda dapat membuat hibah akses. 

   Untuk **cakupan Lokasi**, tentukan`s3://`, yang mencakup semua bucket Anda di Wilayah tersebut. Ini adalah ruang lingkup lokasi yang direkomendasikan untuk sebagian besar kasus penggunaan. Jika Anda memiliki kasus penggunaan manajemen akses lanjutan, Anda dapat mengatur cakupan lokasi ke bucket `s3://bucket` atau awalan tertentu dalam bucket`s3://bucket/prefix-with-path`. Untuk informasi selengkapnya, lihat [Mendaftarkan lokasi](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-location-register.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.
**catatan**  
Pastikan lokasi S3 dari AWS Glue tabel yang ingin Anda berikan aksesnya disertakan dalam jalur ini.

   Prosedur ini mengharuskan Anda untuk mengonfigurasi peran IAM untuk lokasi. Peran ini harus mencakup izin untuk mengakses cakupan lokasi. Anda dapat menggunakan wizard konsol S3 untuk membuat peran. Anda harus menentukan ARN Access Grants instans S3 Anda dalam kebijakan untuk peran IAM ini. Nilai default `arn:aws:s3:Your-Region:Your-AWS-Account-ID:access-grants/default` ARN Access Grants instans S3 Anda adalah. 

   Contoh kebijakan izin berikut memberikan izin Amazon S3 ke peran IAM yang Anda buat. Dan contoh kebijakan kepercayaan yang mengikutinya memungkinkan prinsipal Access Grants layanan S3 untuk mengambil peran IAM.

   1. **Kebijakan izin**

      Untuk menggunakan kebijakan ini, ganti kebijakan *italicized placeholder text* dalam contoh dengan informasi Anda sendiri. Untuk petunjuk tambahan, lihat [Membuat kebijakan](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) atau [Mengedit kebijakan](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html).

------
#### [ JSON ]

****  

      ```
      {
          "Version":"2012-10-17",		 	 	 
          "Statement": [
              {
                  "Sid": "ObjectLevelReadPermissions",
                  "Effect": "Allow",
                  "Action": [
                      "s3:GetObject",
                      "s3:GetObjectVersion",
                      "s3:GetObjectAcl",
                      "s3:GetObjectVersionAcl",
                      "s3:ListMultipartUploadParts"
                  ],
                  "Resource": [
                      "arn:aws:s3:::*"
                  ],
                  "Condition": {
                      "StringEquals": {
                          "aws:ResourceAccount": "111122223333"
                      },
                      "ArnEquals": {
                          "s3:AccessGrantsInstanceArn": [
                          "arn:aws:s3:::access-grants/instance-id"
                          ]
                      }
                  }
              },
              {
                  "Sid": "ObjectLevelWritePermissions",
                  "Effect": "Allow",
                  "Action": [
                      "s3:PutObject",
                      "s3:PutObjectAcl",
                      "s3:PutObjectVersionAcl",
                      "s3:DeleteObject",
                      "s3:DeleteObjectVersion",
                      "s3:AbortMultipartUpload"
                  ],
                  "Resource": [
                      "arn:aws:s3:::*"
                  ],
                  "Condition": {
                      "StringEquals": {
                      "aws:ResourceAccount": "111122223333"
                      },
                      "ArnEquals": {
                          "s3:AccessGrantsInstanceArn": [
                          "arn:aws:s3:::access-grants/instance-id"
                          ]
                      }
                  }
              },
              {
                  "Sid": "BucketLevelReadPermissions",
                  "Effect": "Allow",
                  "Action": [
                      "s3:ListBucket"
                  ],
                  "Resource": [
                      "arn:aws:s3:::*"
                  ],
                  "Condition": {
                      "StringEquals": {
                      "aws:ResourceAccount": "111122223333"
                      },
                      "ArnEquals": {
                          "s3:AccessGrantsInstanceArn": [
                          "arn:aws:s3:::access-grants/instance-id"
                          ]
                      }
                  }
              },
              {
                  "Sid": "OptionalKMSPermissionsForSSEEncryption",
                  "Effect": "Allow",
                  "Action": [
                      "kms:Decrypt",
                      "kms:GenerateDataKey"
                  ],
                  "Resource": [
                      "*"
                  ]
              }
          ]
      }
      ```

------

   1. **Kebijakan kepercayaan**

       Dalam kebijakan kepercayaan peran IAM, berikan akses utama layanan S3 Access Grants (`access-grants.s3.amazonaws.com`) ke peran IAM yang Anda buat. Untuk melakukannya, Anda dapat membuat file JSON yang berisi pernyataan berikut ini. Untuk menambahkan kebijakan kepercayaan ke akun Anda, lihat [Membuat peran menggunakan kebijakan kepercayaan khusus](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-custom.html). 

------
#### [ JSON ]

****  

      ```
      {
          "Version":"2012-10-17",		 	 	 
          "Statement": [
              {
                  "Sid": "Stmt1234567891011",
                  "Effect": "Allow",
                  "Action": [
                      "sts:AssumeRole",
                      "sts:SetSourceIdentity"
                  ],
                  "Resource": "*",
                  "Condition": {
                      "StringEquals": {
                          "aws:SourceAccount": "111122223333",
                          "aws:SourceArn": "Your-Custom-Access-Grants-Location-ARN"
                      }
                  }
              },
      
              {
                  "Sid": "Stmt1234567891012",
                  "Effect": "Allow",
                  "Action": "sts:SetContext",
                  "Resource": "*",
                  "Condition": {
                      "StringEquals": {
                          "aws:SourceAccount": "111122223333",
                          "aws:SourceArn": "Your-Custom-Access-Grants-Location-ARN"
                      },
                      "ForAllValues:ArnEquals": {
                          "sts:RequestContextProviders": "arn:aws:iam::aws:contextProvider/IdentityCenter"
                      }
                  }
              }
          ]
      }
      ```

------

## Buat Hibah Akses Amazon S3
<a name="tip-tutorial-s3-create-grant"></a>

Jika Anda memiliki Access Grants instans Amazon S3 dengan lokasi terdaftar dan Anda telah mengaitkan instans Pusat Identitas IAM Anda dengannya, Anda dapat [membuat](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-grant-create.html) hibah. Di halaman **Create Grant** konsol S3, lengkapi yang berikut ini:

**Buat hibah**

1. Pilih lokasi yang dibuat pada langkah sebelumnya. Anda dapat mengurangi cakupan hibah dengan menambahkan sub-awalan. Sub-awalan dapat berupa`bucket`,`bucket/prefix`, atau objek dalam ember. Untuk informasi selengkapnya, lihat [Subprefix](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-grant-create.html#subprefix) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*. 

1. Di bawah **Izin dan akses**, pilih **Baca** dan atau **Tulis** tergantung pada kebutuhan Anda.

1. Pada **tipe Granter**, pilih **Directory Identity form IAM Identity** Center.

1. Berikan **ID Pengguna atau Grup** Pusat Identitas IAM. Anda dapat menemukan pengguna dan grup IDs di konsol Pusat Identitas IAM di bawah [bagian **Pengguna** dan **Grup**](howtoviewandchangepermissionset.md). Pilih **Selanjutnya**.

1. Pada halaman **Review and Finish**, tinjau pengaturan untuk S3 Access Grant dan kemudian pilih **Create Grant**.

   Gambar berikut menunjukkan halaman Buat Hibah di konsol Amazon S3Access Grants:  
![\[Buat halaman Grant di konsol Amazon S3 Access Grants.\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/s3-tutorial-step-1.4.png)

# Menyiapkan aplikasi OAuth 2.0 Anda sendiri
<a name="trustedidentitypropagation-using-customermanagedapps-setup"></a>

Propagasi identitas tepercaya memungkinkan aplikasi yang dikelola pelanggan untuk meminta akses ke data dalam AWS layanan atas nama pengguna. Manajemen akses data didasarkan pada identitas pengguna, sehingga administrator dapat memberikan akses berdasarkan keanggotaan pengguna dan grup yang ada. Identitas pengguna, tindakan yang dilakukan atas nama mereka, dan peristiwa lainnya dicatat dalam log dan CloudTrail peristiwa khusus layanan.

Dengan propagasi identitas tepercaya, pengguna dapat masuk ke aplikasi yang dikelola pelanggan, dan aplikasi itu dapat meneruskan identitas pengguna dalam permintaan untuk mengakses data. Layanan AWS

**penting**  
Untuk mengakses Layanan AWS, aplikasi yang dikelola pelanggan harus mendapatkan token dari penerbit token tepercaya, yang berada di luar Pusat Identitas IAM. *Penerbit token tepercaya* adalah server otorisasi OAuth 2.0 yang membuat token yang ditandatangani. Token ini mengotorisasi aplikasi yang memulai permintaan akses ke Layanan AWS (menerima aplikasi). Untuk informasi selengkapnya, lihat [Menggunakan aplikasi dengan penerbit token tepercaya](using-apps-with-trusted-token-issuer.md).

**Topics**
+ [Siapkan aplikasi OAuth 2.0 yang dikelola pelanggan untuk propagasi identitas tepercaya](customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2.md)
+ [Tentukan aplikasi tepercaya](trustedidentitypropagation-using-customermanagedapps-specify-trusted-apps.md)
+ [Menggunakan aplikasi dengan penerbit token tepercaya](using-apps-with-trusted-token-issuer.md)

# Siapkan aplikasi OAuth 2.0 yang dikelola pelanggan untuk propagasi identitas tepercaya
<a name="customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2"></a>

Untuk menyiapkan aplikasi OAuth 2.0 yang dikelola pelanggan untuk propagasi identitas tepercaya, Anda harus terlebih dahulu menambahkannya ke IAM Identity Center. Gunakan prosedur berikut untuk menambahkan aplikasi Anda ke IAM Identity Center. 

**Topics**
+ [Langkah 1: Pilih jenis aplikasi](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-select-app-type)
+ [Langkah 2: Tentukan detail aplikasi](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-app-details)
+ [Langkah 3: Tentukan pengaturan otentikasi](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-authentication-settings)
+ [Langkah 4: Tentukan kredensil aplikasi](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-application-credentials)
+ [Langkah 5: Tinjau dan konfigurasikan](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-review-and-configure)

## Langkah 1: Pilih jenis aplikasi
<a name="customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-select-app-type"></a>

1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).

1. Pilih **Aplikasi**.

1. Pilih tab yang **dikelola Pelanggan**.

1. Pilih **Tambahkan aplikasi**.

1. Pada halaman **Pilih jenis aplikasi**, di bawah **preferensi Pengaturan**, pilih **Saya memiliki aplikasi yang ingin saya atur**.

1. Di bawah **Jenis aplikasi**, pilih **OAuth 2.0**.

1. Pilih **Berikutnya** untuk melanjutkan ke halaman berikutnya[Langkah 2: Tentukan detail aplikasi](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-app-details). 

## Langkah 2: Tentukan detail aplikasi
<a name="customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-app-details"></a>

1. Pada halaman **Tentukan detail aplikasi****, di bawah Nama dan deskripsi** aplikasi, masukkan **nama Tampilan** untuk aplikasi, seperti**MyApp**. Kemudian, masukkan **Deskripsi**.

1. Di bawah **Metode penetapan pengguna dan grup**, pilih salah satu opsi berikut:
   + **Memerlukan tugas** - Izinkan hanya pengguna dan grup Pusat Identitas IAM yang ditugaskan ke aplikasi ini untuk mengakses aplikasi. 

     **Visibilitas ubin aplikasi —Hanya pengguna yang ditugaskan ke aplikasi secara langsung atau melalui penugasan grup yang dapat melihat ubin aplikasi di portal AWS akses, asalkan **visibilitas Aplikasi di portal AWS akses diatur ke Visible**.**
   + **Tidak memerlukan tugas** - Izinkan semua pengguna dan grup Pusat Identitas IAM yang berwenang untuk mengakses aplikasi ini.

     Visibilitas ubin aplikasi — Ubin aplikasi terlihat oleh semua pengguna yang masuk ke portal AWS akses, kecuali **visibilitas Aplikasi di portal AWS akses** diatur ke **Tidak** terlihat. 

1. Di bawah **portal AWS akses**, masukkan URL tempat pengguna dapat mengakses aplikasi dan menentukan apakah ubin aplikasi akan terlihat atau tidak terlihat di portal AWS akses. Jika Anda memilih **Tidak terlihat**, bahkan pengguna yang ditetapkan tidak dapat melihat ubin aplikasi.

1. Di bawah **Tag (opsional)**, pilih **Tambahkan tag baru**, lalu tentukan nilai untuk **Kunci** dan **Nilai (opsional)**. 

   Untuk informasi tentang tanda, lihat [Sumber daya penandaan AWS IAM Identity Center](tagging.md).

1. Pilih **Berikutnya**, dan lanjutkan ke halaman berikutnya,[Langkah 3: Tentukan pengaturan otentikasi](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-authentication-settings).

## Langkah 3: Tentukan pengaturan otentikasi
<a name="customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-authentication-settings"></a>

Untuk menambahkan aplikasi terkelola pelanggan yang mendukung OAuth 2.0 ke IAM Identity Center, Anda harus menentukan penerbit token tepercaya. Penerbit token tepercaya adalah server otorisasi OAuth 2.0 yang membuat token yang ditandatangani. Token ini mengotorisasi aplikasi yang memulai permintaan (meminta aplikasi) untuk akses ke aplikasi yang AWS dikelola (menerima aplikasi). 

1. Pada halaman **Tentukan pengaturan otentikasi**, di bawah **Penerbit token tepercaya**, lakukan salah satu hal berikut:
   + Untuk menggunakan penerbit token tepercaya yang ada: 

     Pilih kotak centang di samping nama penerbit token tepercaya yang ingin Anda gunakan.
   + Untuk menambahkan penerbit token tepercaya baru:

     1. Pilih **Buat penerbit token tepercaya.**

     1. Tab browser baru terbuka. Ikuti langkah 5 hingga 8 inci[Cara menambahkan penerbit token tepercaya ke konsol IAM Identity Center](setuptrustedtokenissuer.md#how-to-add-trustedtokenissuer).

     1. Setelah Anda menyelesaikan langkah-langkah ini, kembali ke jendela browser yang Anda gunakan untuk pengaturan aplikasi Anda dan pilih penerbit token tepercaya yang baru saja Anda tambahkan.

     1. Dalam daftar penerbit token tepercaya, pilih kotak centang di sebelah nama penerbit token tepercaya yang baru saja Anda tambahkan.

        Setelah Anda memilih penerbit token tepercaya, bagian **Konfigurasikan penerbit token tepercaya yang dipilih akan** muncul. 

1. Di bawah **Konfigurasi penerbit token tepercaya yang dipilih**, masukkan **klaim Aud**. **Klaim Aud** mengidentifikasi audiens yang dituju (penerima) untuk token yang dihasilkan oleh penerbit token tepercaya. Untuk informasi selengkapnya, lihat [Klaim Aud](trusted-token-issuer-configuration-settings.md#trusted-token-issuer-aud-claim).

1. Untuk mencegah pengguna Anda mengautentikasi ulang saat mereka menggunakan aplikasi ini, pilih **Aktifkan pemberian token penyegaran**. Saat dipilih, opsi ini menyegarkan token akses untuk sesi setiap 60 menit, hingga sesi berakhir atau pengguna mengakhiri sesi.

1. Pilih **Berikutnya**, dan lanjutkan ke halaman berikutnya,[Langkah 4: Tentukan kredensil aplikasi](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-application-credentials).

## Langkah 4: Tentukan kredensil aplikasi
<a name="customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-application-credentials"></a>

Selesaikan langkah-langkah dalam prosedur ini untuk menentukan kredensil yang digunakan aplikasi Anda untuk melakukan tindakan pertukaran token dengan aplikasi tepercaya. Kredensi ini digunakan dalam kebijakan berbasis sumber daya. Kebijakan tersebut mengharuskan Anda menentukan prinsipal yang memiliki izin untuk melakukan tindakan yang ditentukan dalam kebijakan. **Anda harus menentukan prinsipal**, bahkan jika aplikasi tepercaya sama Akun AWS. 

**catatan**  
Saat Anda menetapkan izin dengan kebijakan, berikan hanya izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai izin dengan hak akses paling rendah.

Kebijakan ini memerlukan tindakan [https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html)API. Untuk informasi selengkapnya tentang kebijakan ini, dan contoh yang dapat Anda sesuaikan sesuai kebutuhan untuk lingkungan Anda, lihat[Contoh kebijakan berbasis sumber daya untuk IAM Identity Center IAM Identity Center](iam-auth-access-using-resource-based-policies.md).

1. Pada halaman **Specify application credentials**, lakukan salah satu hal berikut:
   + Untuk menentukan satu atau lebih peran IAM dengan cepat:

     1. Pilih **Masukkan satu atau beberapa peran IAM**.

     1. Di bawah **Masukkan peran IAM**, tentukan Nama Sumber Daya Amazon (ARN) dari peran IAM yang ada. Untuk menentukan ARN, gunakan sintaks berikut. Bagian Wilayah ARN kosong karena sumber daya IAM bersifat global. 

        ```
          arn:aws:iam::account:role/role-name-with-path
        ```

        *Untuk informasi selengkapnya, lihat [Akses lintas akun menggunakan kebijakan berbasis sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html#access_policies-cross-account-using-resource-based-policies) dan [ ARNsIAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns) di Panduan Pengguna.AWS Identity and Access Management *
   + Untuk mengedit kebijakan secara manual (diperlukan jika Anda menentukan AWS non-kredensional):

     1. Pilih **Edit kebijakan aplikasi**.

     1. Ubah kebijakan Anda dengan mengetik atau menempelkan teks di kotak teks JSON. 

     1. Mengatasi peringatan keamanan, kesalahan, atau peringatan umum yang dihasilkan selama validasi kebijakan. Untuk informasi selengkapnya, lihat [Memvalidasi kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) di *AWS Identity and Access Management Panduan Pengguna*. 

1. Pilih **Berikutnya** dan lanjutkan ke halaman berikutnya[Langkah 5: Tinjau dan konfigurasikan](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-review-and-configure).

## Langkah 5: Tinjau dan konfigurasikan
<a name="customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-review-and-configure"></a>

1. Pada halaman **Tinjau dan konfigurasi**, tinjau pilihan yang Anda buat. Untuk membuat perubahan, pilih bagian konfigurasi yang Anda inginkan, pilih **Edit**, lalu buat perubahan yang diperlukan. 

1. Setelah selesai, pilih **Tambah aplikasi**.

1. Aplikasi yang Anda tambahkan muncul di daftar **aplikasi yang dikelola Pelanggan**.

1. Setelah menyiapkan aplikasi yang dikelola pelanggan di IAM Identity Center, Anda harus menentukan satu atau lebih Layanan AWS, atau aplikasi tepercaya, untuk propagasi identitas. Ini memungkinkan pengguna untuk masuk ke aplikasi yang dikelola pelanggan Anda dan mengakses data di aplikasi tepercaya. 

   Untuk informasi selengkapnya, lihat [Tentukan aplikasi tepercaya](trustedidentitypropagation-using-customermanagedapps-specify-trusted-apps.md).

# Tentukan aplikasi tepercaya
<a name="trustedidentitypropagation-using-customermanagedapps-specify-trusted-apps"></a>

Setelah [menyiapkan aplikasi yang dikelola pelanggan](customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2.md), Anda harus menentukan satu atau lebih AWS layanan tepercaya, atau aplikasi tepercaya, untuk propagasi identitas. Tentukan AWS layanan yang memiliki data yang perlu diakses oleh pengguna aplikasi yang dikelola pelanggan Anda. Ketika pengguna Anda masuk ke aplikasi yang dikelola pelanggan Anda, aplikasi itu akan meneruskan identitas pengguna Anda ke aplikasi tepercaya.

Gunakan prosedur berikut untuk memilih layanan, dan kemudian tentukan aplikasi individual untuk dipercaya untuk layanan itu.

1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).

1. Pilih **Aplikasi**.

1. Pilih tab yang **dikelola Pelanggan**.

1. Dalam daftar **aplikasi terkelola Pelanggan**, pilih aplikasi OAuth 2.0 yang ingin Anda mulai permintaan akses. Ini adalah aplikasi tempat pengguna Anda masuk.

1. Pada **halaman Detail**, di bawah **Aplikasi tepercaya untuk propagasi identitas**, pilih **Tentukan aplikasi tepercaya**.

1. Di bawah **Jenis pengaturan**, pilih **Aplikasi individual dan tentukan akses**, lalu pilih **Berikutnya**.

1. Pada halaman **Pilih layanan**, pilih AWS layanan yang memiliki aplikasi yang dapat dipercaya oleh aplikasi yang dikelola pelanggan Anda untuk propagasi identitas, lalu pilih **Berikutnya**.

   Layanan yang Anda pilih mendefinisikan aplikasi yang dapat dipercaya. Anda akan memilih aplikasi di langkah berikutnya. 

1. Pada halaman **Pilih aplikasi**, pilih **Aplikasi individual**, pilih kotak centang untuk setiap aplikasi yang dapat menerima permintaan akses, lalu pilih **Berikutnya**.

1. Pada halaman **Configure access**, di bawah **metode Configuration**, lakukan salah satu hal berikut:
   + **Pilih akses per aplikasi** — Pilih opsi ini untuk mengonfigurasi tingkat akses yang berbeda untuk setiap aplikasi. Pilih aplikasi yang ingin Anda konfigurasikan tingkat aksesnya, lalu pilih **Edit akses**. Di **Tingkat akses untuk diterapkan**, ubah tingkat akses sesuai kebutuhan, lalu pilih **Simpan perubahan**.
   + **Terapkan tingkat akses yang sama ke semua aplikasi** — Pilih opsi ini jika Anda tidak perlu mengonfigurasi tingkat akses berdasarkan per aplikasi.

1. Pilih **Berikutnya**.

1. Pada halaman **konfigurasi Tinjauan**, tinjau pilihan yang Anda buat. Untuk membuat perubahan, pilih bagian konfigurasi yang Anda inginkan, pilih **Edit akses**, lalu buat perubahan yang diperlukan. 

1. Setelah selesai, pilih **aplikasi Trust**.

# Menggunakan aplikasi dengan penerbit token tepercaya
<a name="using-apps-with-trusted-token-issuer"></a>

Penerbit token tepercaya memungkinkan Anda menggunakan propagasi identitas tepercaya dengan aplikasi yang mengautentikasi di luar. AWS Dengan penerbit token tepercaya, Anda dapat mengotorisasi aplikasi ini untuk membuat permintaan atas nama pengguna mereka untuk mengakses aplikasi AWS terkelola.

Topik berikut menjelaskan cara kerja penerbit token tepercaya dan memberikan panduan penyiapan.

**Topics**
+ [Ikhtisar penerbit token tepercaya](#trusted-token-issuer-overview)
+ [Prasyarat dan pertimbangan untuk emiten token tepercaya](#trusted-token-issuer-prerequisites)
+ [Rincian klaim JTI](#trusted-token-issuer-configuration-jti-claim)
+ [Pengaturan konfigurasi penerbit token tepercaya](trusted-token-issuer-configuration-settings.md)
+ [Menyiapkan penerbit token tepercaya](setuptrustedtokenissuer.md)
+ [Sesi peran IAM yang ditingkatkan identitas](trustedidentitypropagation-identity-enhanced-iam-role-sessions.md)

## Ikhtisar penerbit token tepercaya
<a name="trusted-token-issuer-overview"></a>

Propagasi identitas tepercaya menyediakan mekanisme yang memungkinkan aplikasi yang mengautentikasi di luar AWS untuk membuat permintaan atas nama penggunanya dengan menggunakan penerbit token tepercaya. *Penerbit token tepercaya* adalah server otorisasi OAuth 2.0 yang membuat token yang ditandatangani. Token ini mengotorisasi aplikasi yang memulai permintaan (meminta aplikasi) untuk akses ke Layanan AWS(menerima aplikasi). Meminta aplikasi memulai permintaan akses atas nama pengguna yang diautentikasi oleh penerbit token tepercaya. Pengguna diketahui oleh penerbit token tepercaya dan Pusat Identitas IAM. 

Layanan AWS yang menerima permintaan mengelola otorisasi berbutir halus ke sumber daya mereka berdasarkan pengguna dan keanggotaan grup mereka seperti yang diwakili dalam direktori Pusat Identitas. Layanan AWS tidak dapat menggunakan token dari penerbit token eksternal secara langsung.

Untuk mengatasi ini, IAM Identity Center menyediakan cara bagi aplikasi yang meminta, atau AWS driver yang digunakan aplikasi yang meminta, untuk menukar token yang dikeluarkan oleh penerbit token tepercaya dengan token yang dihasilkan oleh IAM Identity Center. Token yang dihasilkan oleh IAM Identity Center mengacu pada pengguna IAM Identity Center yang sesuai. Aplikasi yang meminta, atau driver, menggunakan token baru untuk memulai permintaan ke aplikasi penerima. Karena token baru mereferensikan pengguna terkait di Pusat Identitas IAM, aplikasi penerima dapat mengotorisasi akses yang diminta berdasarkan pengguna atau keanggotaan grup mereka sebagaimana diwakili dalam Pusat Identitas IAM.

**penting**  
Memilih server otorisasi OAuth 2.0 untuk ditambahkan sebagai penerbit token tepercaya adalah keputusan keamanan yang memerlukan pertimbangan cermat. Hanya pilih penerbit token tepercaya yang Anda percayai untuk melakukan tugas-tugas berikut:  
Otentikasi pengguna yang ditentukan dalam token.
Otorisasi akses pengguna tersebut ke aplikasi penerima. 
Hasilkan token yang dapat ditukar oleh IAM Identity Center dengan token yang dibuat IAM Identity Center. 

## Prasyarat dan pertimbangan untuk emiten token tepercaya
<a name="trusted-token-issuer-prerequisites"></a>

Sebelum Anda menyiapkan penerbit token tepercaya, tinjau prasyarat dan pertimbangan berikut.
+ **Konfigurasi penerbit token tepercaya**

  Anda harus mengonfigurasi server otorisasi OAuth 2.0 (penerbit token tepercaya). Meskipun penerbit token tepercaya biasanya penyedia identitas yang Anda gunakan sebagai sumber identitas Anda untuk IAM Identity Center, itu tidak harus demikian. Untuk informasi tentang cara menyiapkan penerbit token tepercaya, lihat dokumentasi untuk penyedia identitas yang relevan.
**catatan**  
Anda dapat mengonfigurasi hingga 10 penerbit token tepercaya untuk digunakan dengan IAM Identity Center, selama Anda memetakan identitas setiap pengguna di penerbit token tepercaya ke pengguna yang sesuai di IAM Identity Center.
+ Server otorisasi OAuth 2.0 (penerbit token tepercaya) yang membuat token harus memiliki titik akhir penemuan OpenID [Connect (OIDC)](https://openid.net/specs/openid-connect-discovery-1_0.html) yang dapat digunakan IAM Identity Center untuk mendapatkan kunci publik untuk memverifikasi tanda tangan token. Untuk informasi selengkapnya, lihat [URL titik akhir penemuan OIDC (URL penerbit)](trusted-token-issuer-configuration-settings.md#oidc-discovery-endpoint-url).
+ **Token yang dikeluarkan oleh penerbit token tepercaya**

  Token dari penerbit token tepercaya harus memenuhi persyaratan berikut:
  + Token harus ditandatangani dan dalam format [JSON Web Token (JWT)](https://datatracker.ietf.org/doc/html/rfc7519#section-3) menggunakan algoritma. RS256
  + Token harus berisi klaim berikut:
    + [Penerbit](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.1) (iss) — Entitas yang mengeluarkan token. Nilai ini harus sesuai dengan nilai yang dikonfigurasi di titik akhir penemuan OIDC (URL penerbit) di penerbit token tepercaya.
    + [Subjek](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.2) (sub) - Pengguna yang diautentikasi.
    + [Audiens](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.3) (aud) — Penerima token yang dituju. Ini adalah Layanan AWS yang akan diakses setelah token ditukar dengan token dari IAM Identity Center. Untuk informasi selengkapnya, lihat [Klaim Aud](trusted-token-issuer-configuration-settings.md#trusted-token-issuer-aud-claim).
    + [Waktu Kedaluwarsa](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.4) (exp) — Waktu setelah token kedaluwarsa.
  + Token dapat berupa token identitas atau token akses.
  + Token harus memiliki atribut yang dapat dipetakan secara unik ke satu pengguna IAM Identity Center.
**catatan**  
Menggunakan kunci penandatanganan khusus untuk JWTs from Microsoft Entra ID tidak didukung. Untuk menggunakan token dari Microsoft Entra ID penerbit token tepercaya, Anda tidak dapat menggunakan kunci penandatanganan khusus.
+ **Klaim opsional**

  IAM Identity Center mendukung semua klaim opsional yang didefinisikan dalam RFC 7523. Untuk informasi lebih lanjut, lihat [Bagian 3: Format JWT dan Persyaratan Pemrosesan](https://datatracker.ietf.org/doc/html/rfc7523#section-3) RFC ini.

  Misalnya, token dapat berisi klaim [JTI (JWT ID](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.7)). Klaim ini, jika ada, mencegah token yang memiliki JTI yang sama digunakan kembali untuk pertukaran token. Untuk informasi lebih lanjut tentang klaim JTI, lihat[Rincian klaim JTI](#trusted-token-issuer-configuration-jti-claim).
+ **Konfigurasi IAM Identity Center untuk bekerja dengan penerbit token tepercaya**

  Anda juga harus mengaktifkan Pusat Identitas IAM, mengonfigurasi sumber identitas untuk Pusat Identitas IAM, dan menyediakan pengguna yang sesuai dengan pengguna di direktori penerbit token tepercaya.

  Untuk melakukan ini, Anda harus melakukan salah satu dari yang berikut:
  + Sinkronisasi pengguna ke IAM Identity Center dengan menggunakan protokol System for Cross-domain Identity Management (SCIM) 2.0.
  + Buat pengguna langsung di IAM Identity Center.

## Rincian klaim JTI
<a name="trusted-token-issuer-configuration-jti-claim"></a>

Jika IAM Identity Center menerima permintaan untuk menukar token yang telah dipertukarkan oleh IAM Identity Center, permintaan gagal. Untuk mendeteksi dan mencegah penggunaan kembali token untuk pertukaran token, Anda dapat menyertakan klaim JTI. IAM Identity Center melindungi terhadap pemutaran ulang token berdasarkan klaim dalam token.

Tidak semua server otorisasi OAuth 2.0 menambahkan klaim JTI ke token. Beberapa server otorisasi OAuth 2.0 mungkin tidak mengizinkan Anda menambahkan JTI sebagai klaim khusus. OAuth Server otorisasi 2.0 yang mendukung penggunaan klaim JTI dapat menambahkan klaim ini ke token identitas saja, token akses saja, atau keduanya. Untuk informasi selengkapnya, lihat dokumentasi untuk server otorisasi OAuth 2.0 Anda.

 Untuk informasi tentang membangun aplikasi yang bertukar token, lihat dokumentasi API Pusat Identitas IAM. Untuk informasi tentang mengonfigurasi aplikasi yang dikelola pelanggan untuk mendapatkan dan menukar token yang benar, lihat dokumentasi untuk aplikasi tersebut.

# Pengaturan konfigurasi penerbit token tepercaya
<a name="trusted-token-issuer-configuration-settings"></a>

Bagian berikut menjelaskan pengaturan yang diperlukan untuk mengatur dan menggunakan penerbit token tepercaya.

**Topics**
+ [URL titik akhir penemuan OIDC (URL penerbit)](#oidc-discovery-endpoint-url)
+ [Pemetaan atribut](#trusted-token-issuer-attribute-mappings)
+ [Klaim Aud](#trusted-token-issuer-aud-claim)

## URL titik akhir penemuan OIDC (URL penerbit)
<a name="oidc-discovery-endpoint-url"></a>

Saat menambahkan penerbit token tepercaya ke konsol Pusat Identitas IAM, Anda harus menentukan URL titik akhir penemuan OIDC. URL ini biasanya disebut dengan URL relatifnya,`/.well-known/openid-configuration`. Di konsol IAM Identity Center, URL ini disebut URL *penerbit*.

**catatan**  
Anda harus menempelkan URL titik akhir penemuan *hingga dan tanpa*`.well-known/openid-configuration`. Jika `.well-known/openid-configuration` disertakan dalam URL, konfigurasi penerbit token tepercaya tidak akan berfungsi. Karena IAM Identity Center tidak memvalidasi URL ini, jika URL tidak dibentuk dengan benar, penyiapan penerbit token tepercaya akan gagal tanpa pemberitahuan.  
URL titik akhir penemuan OIDC harus dapat dijangkau melalui port 80 dan 443 saja.

IAM Identity Center menggunakan URL ini untuk mendapatkan informasi tambahan tentang penerbit token tepercaya. Misalnya, IAM Identity Center menggunakan URL ini untuk mendapatkan informasi yang diperlukan untuk memverifikasi token yang dihasilkan oleh penerbit token tepercaya. Saat Anda menambahkan penerbit token tepercaya ke Pusat Identitas IAM, Anda harus menentukan URL ini. Untuk menemukan URL, lihat dokumentasi untuk penyedia server otorisasi OAuth 2.0 yang Anda gunakan untuk menghasilkan token untuk aplikasi Anda, atau hubungi penyedia secara langsung untuk bantuan.

## Pemetaan atribut
<a name="trusted-token-issuer-attribute-mappings"></a>

Pemetaan atribut memungkinkan Pusat Identitas IAM untuk mencocokkan pengguna yang diwakili dalam token yang dikeluarkan oleh penerbit token tepercaya kepada satu pengguna di Pusat Identitas IAM. Anda harus menentukan pemetaan atribut saat menambahkan penerbit token tepercaya ke Pusat Identitas IAM. Pemetaan atribut ini digunakan dalam klaim dalam token yang dihasilkan oleh penerbit token tepercaya. Nilai dalam klaim digunakan untuk mencari Pusat Identitas IAM. Pencarian menggunakan atribut yang ditentukan untuk mengambil satu pengguna di IAM Identity Center, yang akan digunakan sebagai pengguna di dalamnya. AWS Klaim yang Anda pilih harus dipetakan ke satu atribut dalam daftar tetap atribut yang tersedia di penyimpanan identitas Pusat Identitas IAM. Anda dapat memilih salah satu atribut penyimpanan identitas IAM Identity Center berikut: nama pengguna, email, dan ID eksternal. Nilai untuk atribut yang Anda tentukan di Pusat Identitas IAM harus unik untuk setiap pengguna.

## Klaim Aud
<a name="trusted-token-issuer-aud-claim"></a>

*Klaim aud* mengidentifikasi audiens (penerima) yang menjadi tujuan token. Ketika aplikasi yang meminta akses mengautentikasi melalui penyedia identitas yang tidak terfederasi ke IAM Identity Center, penyedia identitas tersebut harus diatur sebagai penerbit token tepercaya. Aplikasi yang menerima permintaan akses (aplikasi penerima) harus menukar token yang dihasilkan oleh penerbit token tepercaya untuk token yang dihasilkan oleh IAM Identity Center.

Untuk informasi tentang cara mendapatkan nilai klaim aud untuk aplikasi penerima saat terdaftar di penerbit token tepercaya, lihat dokumentasi untuk penerbit token tepercaya Anda atau hubungi administrator penerbit token tepercaya untuk bantuan.

# Menyiapkan penerbit token tepercaya
<a name="setuptrustedtokenissuer"></a>

Untuk mengaktifkan propagasi identitas tepercaya untuk aplikasi yang mengautentikasi secara eksternal ke IAM Identity Center, satu atau beberapa administrator harus menyiapkan penerbit token tepercaya. Penerbit token tepercaya adalah server otorisasi OAuth 2.0 yang mengeluarkan token ke aplikasi yang memulai permintaan (meminta aplikasi). Token mengotorisasi aplikasi ini untuk memulai permintaan atas nama pengguna mereka ke aplikasi penerima (an Layanan AWS). 

**Topics**
+ [Mengkoordinasikan peran dan tanggung jawab administratif](#coordinating-administrative-roles-responsibilities)
+ [Tugas untuk menyiapkan penerbit token tepercaya](#setuptrustedtokenissuer-tasks)
+ [Cara menambahkan penerbit token tepercaya ke konsol IAM Identity Center](#how-to-add-trustedtokenissuer)
+ [Cara melihat atau mengedit pengaturan penerbit token tepercaya di konsol Pusat Identitas IAM](#view-edit-trusted-token-issuers)
+ [Proses penyiapan dan alur permintaan untuk aplikasi yang menggunakan penerbit token tepercaya](#setuptrustedtokenissuer-setup-process-request-flow)

## Mengkoordinasikan peran dan tanggung jawab administratif
<a name="coordinating-administrative-roles-responsibilities"></a>

Dalam beberapa kasus, satu administrator mungkin melakukan semua tugas yang diperlukan untuk menyiapkan penerbit token tepercaya. Jika beberapa administrator melakukan tugas-tugas ini, koordinasi yang erat diperlukan. Tabel berikut menjelaskan bagaimana beberapa administrator dapat berkoordinasi untuk menyiapkan penerbit token tepercaya dan mengonfigurasi AWS layanan untuk menggunakannya. 

**catatan**  
Aplikasi ini dapat berupa AWS layanan apa pun yang terintegrasi dengan IAM Identity Center dan mendukung propagasi identitas tepercaya.

Untuk informasi selengkapnya, lihat [Tugas untuk menyiapkan penerbit token tepercaya](#setuptrustedtokenissuer-tasks).


****  

| Peran | Melakukan tugas-tugas ini | Koordinat dengan | 
| --- | --- | --- | 
| Administrator Pusat Identitas IAM |  Menambahkan iDP eksternal sebagai penerbit token tepercaya ke konsol IAM Identity Center. Membantu mengatur pemetaan atribut yang benar antara IAM Identity Center dan iDP eksternal. Memberi tahu administrator AWS layanan saat penerbit token tepercaya ditambahkan ke konsol Pusat Identitas IAM.  |  Administrator IDP eksternal (penerbit token tepercaya) AWS administrator layanan  | 
| Administrator IDP eksternal (penerbit token tepercaya) |  Mengkonfigurasi iDP eksternal untuk mengeluarkan token. Membantu mengatur pemetaan atribut yang benar antara IAM Identity Center dan iDP eksternal. Memberikan nama audiens (klaim Aud) kepada administrator AWS layanan.  |  Administrator Pusat Identitas IAM AWS administrator layanan  | 
| AWS administrator layanan |  Memeriksa konsol AWS layanan untuk penerbit token tepercaya. Penerbit token tepercaya akan terlihat di konsol AWS layanan setelah administrator Pusat Identitas IAM menambahkannya ke konsol Pusat Identitas IAM. Mengkonfigurasi AWS layanan untuk menggunakan penerbit token tepercaya.  |  Administrator Pusat Identitas IAM Administrator IDP eksternal (penerbit token tepercaya)  | 

## Tugas untuk menyiapkan penerbit token tepercaya
<a name="setuptrustedtokenissuer-tasks"></a>

Untuk menyiapkan penerbit token tepercaya, administrator Pusat Identitas IAM, administrator IDP eksternal (penerbit token tepercaya), dan administrator aplikasi harus menyelesaikan tugas-tugas berikut. 

**catatan**  
Aplikasi ini dapat berupa AWS layanan apa pun yang terintegrasi dengan IAM Identity Center dan mendukung propagasi identitas tepercaya.

1. **Tambahkan penerbit token tepercaya ke Pusat Identitas IAM — Administrator Pusat** Identitas IAM [menambahkan penerbit token tepercaya dengan menggunakan konsol Pusat Identitas IAM](#how-to-add-trustedtokenissuer) atau. [APIs](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_Operations.html) Konfigurasi ini membutuhkan penentuan yang berikut:
   + Nama untuk penerbit token tepercaya.
   + *URL titik akhir penemuan OIDC (di konsol Pusat Identitas IAM, URL ini disebut URL penerbit).* Titik akhir penemuan harus dapat dicapai melalui port 80 dan 443 saja.
   + Pemetaan atribut untuk pencarian pengguna. Pemetaan atribut ini digunakan dalam klaim dalam token yang dihasilkan oleh penerbit token tepercaya. Nilai dalam klaim digunakan untuk mencari Pusat Identitas IAM. Pencarian menggunakan atribut tertentu untuk mengambil satu pengguna di IAM Identity Center.

1. **Connect AWS layanan ke IAM Identity Center** — Administrator AWS layanan harus menghubungkan aplikasi ke IAM Identity Center dengan menggunakan konsol untuk aplikasi atau aplikasi. APIs 

    Setelah penerbit token tepercaya ditambahkan ke konsol Pusat Identitas IAM, itu juga terlihat di konsol AWS layanan dan tersedia untuk dipilih oleh administrator AWS layanan.

1. **Konfigurasikan penggunaan pertukaran token** — Di konsol AWS layanan, administrator AWS layanan mengonfigurasi AWS layanan untuk menerima token yang dikeluarkan oleh penerbit token tepercaya. Token ini ditukar dengan token yang dihasilkan oleh IAM Identity Center. Ini memerlukan penentuan nama penerbit token tepercaya dari Langkah 1, dan nilai klaim Aud yang sesuai dengan layanan. AWS 

   Penerbit token tepercaya menempatkan nilai klaim Aud dalam token yang dikeluarkannya untuk menunjukkan bahwa token dimaksudkan untuk digunakan oleh AWS layanan. Untuk mendapatkan nilai ini, hubungi administrator untuk penerbit token tepercaya.

## Cara menambahkan penerbit token tepercaya ke konsol IAM Identity Center
<a name="how-to-add-trustedtokenissuer"></a>

Dalam organisasi yang memiliki beberapa administrator, tugas ini dilakukan oleh administrator Pusat Identitas IAM. Jika Anda adalah administrator Pusat Identitas IAM, Anda harus memilih IDP eksternal mana yang akan digunakan sebagai penerbit token tepercaya. 

**Untuk menambahkan penerbit token tepercaya ke konsol Pusat Identitas IAM**

1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).

1. Pilih **Pengaturan**.

1. Pada halaman **Pengaturan**, pilih tab **Otentikasi**.

1. Di bawah **Penerbit token tepercaya**, pilih **Buat penerbit token tepercaya**.

1. Pada halaman **Siapkan IDP eksternal untuk menerbitkan token tepercaya**, di bawah **detail penerbit token tepercaya**, lakukan hal berikut:
   + Untuk URL **Penerbit, tentukan URL** [penemuan OIDC](trusted-token-issuer-configuration-settings.md#oidc-discovery-endpoint-url) dari IDP eksternal yang akan mengeluarkan token untuk propagasi identitas tepercaya. Anda harus menentukan URL titik akhir penemuan hingga dan tanpa`.well-known/openid-configuration`. Administrator iDP eksternal dapat memberikan URL ini.
**catatan**  
Catatan URL ini harus cocok dengan URL dalam klaim Penerbit (iss) dalam token yang diterbitkan untuk propagasi identitas tepercaya. 
   + Untuk **nama penerbit token Tepercaya**, masukkan nama untuk mengidentifikasi penerbit token tepercaya ini di IAM Identity Center dan di konsol aplikasi. 

1. Di bawah **atribut Peta**, lakukan hal berikut:
   + Untuk **atribut penyedia Identity**, pilih atribut dari daftar untuk dipetakan ke atribut di penyimpanan identitas Pusat Identitas IAM.
   + Untuk **atribut IAM Identity Center**, pilih atribut yang sesuai untuk pemetaan atribut.

1. Di bawah **Tag (opsional)**, pilih **Tambahkan tag baru**, tentukan nilai untuk **Kunci**, dan opsional untuk **Nilai**.

   Untuk informasi tentang tanda, lihat [Sumber daya penandaan AWS IAM Identity Center](tagging.md).

1. Pilih **Buat penerbit token tepercaya.**

1. Setelah Anda selesai membuat penerbit token tepercaya, hubungi administrator aplikasi untuk memberi tahu mereka nama penerbit token tepercaya, sehingga mereka dapat mengonfirmasi bahwa penerbit token tepercaya terlihat di konsol yang berlaku. 

1. Administrator aplikasi harus memilih penerbit token tepercaya ini di konsol yang berlaku untuk mengaktifkan akses pengguna ke aplikasi dari aplikasi yang dikonfigurasi untuk propagasi identitas tepercaya. 

## Cara melihat atau mengedit pengaturan penerbit token tepercaya di konsol Pusat Identitas IAM
<a name="view-edit-trusted-token-issuers"></a>

Setelah menambahkan penerbit token tepercaya ke konsol Pusat Identitas IAM, Anda dapat melihat dan mengedit pengaturan yang relevan. 

Jika Anda berencana untuk mengedit pengaturan penerbit token tepercaya, perlu diingat bahwa hal itu dapat menyebabkan pengguna kehilangan akses ke aplikasi apa pun yang dikonfigurasi untuk menggunakan penerbit token tepercaya. Untuk menghindari gangguan akses pengguna, sebaiknya Anda berkoordinasi dengan administrator untuk aplikasi apa pun yang dikonfigurasi untuk menggunakan penerbit token tepercaya sebelum Anda mengedit pengaturan.

**Untuk melihat atau mengedit setelan penerbit token tepercaya di konsol Pusat Identitas IAM**

1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).

1. Pilih **Pengaturan**.

1. Pada halaman **Pengaturan**, pilih tab **Otentikasi**.

1. Di bawah **Penerbit token tepercaya**, pilih penerbit token tepercaya yang ingin Anda lihat atau edit.

1. Pilih **Tindakan**, dan kemudian pilih **Edit**.

1. Pada halaman **Edit penerbit token tepercaya**, lihat atau edit pengaturan sesuai kebutuhan. Anda dapat mengedit nama penerbit token tepercaya, pemetaan atribut, dan tag.

1. Pilih **Simpan perubahan**.

1. Di kotak dialog **Edit penerbit token tepercaya**, Anda diminta untuk mengonfirmasi bahwa Anda ingin melakukan perubahan. Pilih **Konfirmasi**.

## Proses penyiapan dan alur permintaan untuk aplikasi yang menggunakan penerbit token tepercaya
<a name="setuptrustedtokenissuer-setup-process-request-flow"></a>

Bagian ini menjelaskan proses penyiapan dan alur permintaan untuk aplikasi yang menggunakan penerbit token tepercaya untuk propagasi identitas tepercaya. Diagram berikut memberikan gambaran umum tentang proses ini.

![\[Proses penyiapan dan alur permintaan untuk aplikasi menggunakan penerbit token tepercaya untuk propagasi identitas tepercaya\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/trusted-identity-propagation-trusted-token-issuer-request-flow.png)


Langkah-langkah berikut memberikan informasi tambahan tentang proses ini.

1. Siapkan Pusat Identitas IAM dan aplikasi AWS terkelola penerima untuk menggunakan penerbit token tepercaya. Untuk informasi, lihat [Tugas untuk menyiapkan penerbit token tepercaya](#setuptrustedtokenissuer-tasks).

1. Alur permintaan dimulai ketika pengguna membuka aplikasi yang meminta.

1. Aplikasi yang meminta meminta token dari penerbit token tepercaya untuk memulai permintaan ke aplikasi terkelola penerima AWS . Jika pengguna belum mengautentikasi, proses ini memicu alur otentikasi. Token berisi informasi berikut:
   + Subjek (Sub) pengguna.
   + Atribut yang digunakan IAM Identity Center untuk mencari pengguna yang sesuai di IAM Identity Center.
   + Klaim audiens (Aud) yang berisi nilai yang dikaitkan dengan penerbit token tepercaya dengan aplikasi AWS terkelola penerima. Jika ada klaim lain, klaim tersebut tidak digunakan oleh IAM Identity Center.

1. Aplikasi yang meminta, atau AWS driver yang digunakannya, meneruskan token ke IAM Identity Center dan meminta agar token ditukar dengan token yang dihasilkan oleh IAM Identity Center. Jika Anda menggunakan AWS driver, Anda mungkin perlu mengonfigurasi driver untuk kasus penggunaan ini. Untuk informasi selengkapnya, lihat dokumentasi untuk aplikasi AWS terkelola yang relevan. 

1. IAM Identity Center menggunakan endpoint OIDC Discovery untuk mendapatkan kunci publik yang dapat digunakan untuk memverifikasi keaslian token. IAM Identity Center kemudian melakukan hal berikut:
   + Memverifikasi token.
   + Mencari direktori Pusat Identitas. Untuk melakukan ini, IAM Identity Center menggunakan atribut yang dipetakan yang ditentukan dalam token.
   + Memverifikasi bahwa pengguna berwenang untuk mengakses aplikasi penerima. Jika aplikasi AWS terkelola dikonfigurasi untuk meminta penugasan kepada pengguna dan grup, pengguna harus memiliki penugasan langsung atau berbasis grup ke aplikasi; jika tidak, permintaan ditolak. Jika aplikasi AWS terkelola dikonfigurasi agar tidak memerlukan penugasan pengguna dan grup, pemrosesan dilanjutkan.
**catatan**  
AWS layanan memiliki konfigurasi pengaturan default yang menentukan apakah penugasan diperlukan untuk pengguna dan grup. Kami menyarankan Anda untuk tidak mengubah pengaturan **Memerlukan tugas** untuk aplikasi ini jika Anda berencana untuk menggunakannya dengan propagasi identitas tepercaya. Meskipun Anda telah mengonfigurasi izin berbutir halus yang memungkinkan pengguna mengakses sumber daya aplikasi tertentu, mengubah setelan **Memerlukan penetapan** dapat mengakibatkan perilaku yang tidak terduga, termasuk akses pengguna yang terganggu ke sumber daya ini.
   + Memverifikasi bahwa aplikasi yang meminta dikonfigurasi untuk menggunakan cakupan yang valid untuk aplikasi terkelola penerima AWS . 

1. Jika langkah verifikasi sebelumnya berhasil, IAM Identity Center membuat token baru. Token baru adalah token buram (terenkripsi) yang mencakup identitas pengguna yang sesuai di Pusat Identitas IAM, audiens (Aud) dari aplikasi AWS terkelola penerima, dan cakupan yang dapat digunakan aplikasi yang meminta saat membuat permintaan ke aplikasi terkelola penerima. AWS 

1. Aplikasi yang meminta, atau driver yang digunakannya, memulai permintaan sumber daya ke aplikasi penerima dan meneruskan token yang dihasilkan IAM Identity Center ke aplikasi penerima.

1. Aplikasi penerima melakukan panggilan ke IAM Identity Center untuk mendapatkan identitas pengguna dan cakupan yang dikodekan dalam token. Mungkin juga membuat permintaan untuk mendapatkan atribut pengguna atau keanggotaan grup pengguna dari direktori Pusat Identitas.

1. Aplikasi penerima menggunakan konfigurasi otorisasi untuk menentukan apakah pengguna berwenang untuk mengakses sumber daya aplikasi yang diminta.

1. Jika pengguna berwenang untuk mengakses sumber daya aplikasi yang diminta, aplikasi penerima menanggapi permintaan tersebut.

1. Identitas pengguna, tindakan yang dilakukan atas nama mereka, dan peristiwa lainnya dicatat dalam log dan CloudTrail peristiwa aplikasi penerima. Cara spesifik di mana informasi ini dicatat bervariasi berdasarkan aplikasi.

# Sesi peran IAM yang ditingkatkan identitas
<a name="trustedidentitypropagation-identity-enhanced-iam-role-sessions"></a>

[AWS Security Token Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_sts-comparison.html)(STS) memungkinkan aplikasi untuk mendapatkan sesi peran IAM yang ditingkatkan identitas. Sesi peran yang disempurnakan identitas memiliki konteks identitas tambahan yang membawa pengenal pengguna ke panggilan yang dipanggilnya. Layanan AWS Layanan AWS dapat mencari keanggotaan grup dan atribut pengguna di IAM Identity Center dan menggunakannya untuk mengotorisasi akses pengguna ke sumber daya.

AWS aplikasi memperoleh sesi peran yang disempurnakan identitas dengan membuat permintaan ke tindakan AWS STS [AssumeRole](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html)API dan meneruskan pernyataan konteks dengan identifier (`userId`) pengguna dalam parameter permintaan ke`ProvidedContexts`. `AssumeRole` Pernyataan konteks diperoleh dari `idToken` klaim yang diterima sebagai tanggapan atas permintaan untuk`SSO OIDC`. [https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html) Saat AWS aplikasi menggunakan sesi peran yang disempurnakan identitas untuk mengakses sumber daya, CloudTrail mencatat, sesi inisiasi`userId`, dan tindakan yang diambil. Untuk informasi selengkapnya, lihat [Pencatatan sesi peran IAM yang ditingkatkan identitas](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging).

**Topics**
+ [Jenis sesi peran IAM yang ditingkatkan identitas](#types-identity-enhanced-iam-role-sessions)
+ [Pencatatan sesi peran IAM yang ditingkatkan identitas](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging)

## Jenis sesi peran IAM yang ditingkatkan identitas
<a name="types-identity-enhanced-iam-role-sessions"></a>

AWS STS dapat membuat dua jenis sesi peran IAM yang ditingkatkan identitas, tergantung pada pernyataan konteks yang diberikan pada permintaan. `AssumeRole` Aplikasi yang telah memperoleh token Id dari IAM Identity Center dapat menambahkan `sts:identiy_context` (disarankan) atau `sts:audit_context` (Didukung untuk kompatibilitas mundur) ke sesi peran IAM. Sesi peran IAM yang ditingkatkan identitas hanya dapat memiliki satu dari pernyataan konteks ini, bukan keduanya.

### Sesi peran IAM yang ditingkatkan identitas dibuat dengan `sts:identity_context`
<a name="role_session_sts_identity_context"></a>

Ketika sesi peran yang ditingkatkan identitas berisi panggilan `sts:identity_context` Layanan AWS menentukan apakah otorisasi sumber daya didasarkan pada pengguna yang diwakili dalam sesi peran, atau jika itu didasarkan pada peran. Layanan AWS yang mendukung otorisasi berbasis pengguna memberikan administrator aplikasi dengan kontrol untuk menetapkan akses ke pengguna atau ke grup di mana pengguna menjadi anggota. 

Layanan AWS yang tidak mendukung otorisasi berbasis pengguna mengabaikan. `sts:identity_context` CloudTrail mencatat userID pengguna Pusat Identitas IAM dengan semua tindakan yang diambil oleh peran tersebut. Untuk informasi selengkapnya, lihat [Pencatatan sesi peran IAM yang ditingkatkan identitas](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging).

Untuk mendapatkan jenis sesi peran yang ditingkatkan identitas ini AWS STS, aplikasi memberikan nilai `sts:identity_context` bidang dalam [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)permintaan menggunakan parameter permintaan. `ProvidedContexts` Gunakan `arn:aws:iam::aws:contextProvider/IdentityCenter` sebagai nilai untuk`ProviderArn`.

Untuk informasi selengkapnya tentang bagaimana otorisasi berperilaku, lihat dokumentasi untuk penerima. Layanan AWS

### Sesi peran IAM yang ditingkatkan identitas dibuat dengan `sts:audit_context`
<a name="role_session_sts_audit_context"></a>

Di masa `sts:audit_context` lalu, digunakan untuk memungkinkan Layanan AWS untuk mencatat identitas pengguna tanpa menggunakannya untuk membuat keputusan otorisasi. Layanan AWS sekarang dapat menggunakan satu konteks - `sts:identity_context` - untuk mencapai hal ini serta untuk membuat keputusan otorisasi. Kami merekomendasikan penggunaan `sts:identity_context` di semua penyebaran baru propagasi identitas tepercaya.

## Pencatatan sesi peran IAM yang ditingkatkan identitas
<a name="trustedidentitypropagation-identity-enhanced-iam-role-session-logging"></a>

Ketika permintaan dibuat untuk Layanan AWS menggunakan sesi peran IAM yang disempurnakan identitas, Pusat Identitas IAM pengguna `userId` dicatat dalam elemen. CloudTrail `OnBehalfOf` Cara di mana peristiwa login CloudTrail bervariasi berdasarkan Layanan AWS. Tidak semua Layanan AWS mencatat `onBehalfOf` elemen.

Berikut ini adalah contoh bagaimana permintaan yang dibuat untuk Layanan AWS menggunakan sesi peran yang disempurnakan identitas masuk. CloudTrail

```
"userIdentity": {
      "type": "AssumedRole",
      "principalId": "AROAEXAMPLE:MyRole",
      "arn": "arn:aws:sts::111111111111:assumed-role/MyRole/MySession",
      "accountId": "111111111111",
      "accessKeyId": "ASIAEXAMPLE",
      "sessionContext": {
        "sessionIssuer": {
            "type": "Role",
            "principalId": "AROAEXAMPLE",
            "arn": "arn:aws:iam::111111111111:role/MyRole",
            "accountId": "111111111111",
            "userName": "MyRole"
        },
        "attributes": {
            "creationDate": "2023-12-12T13:55:22Z",
            "mfaAuthenticated": "false"
        }
    },
    "onBehalfOf": {
        "userId": "11111111-1111-1111-1111-1111111111",
        "identityStoreArn": "arn:aws:identitystore::111111111111:identitystore/d-111111111"
    }
}
```

# Putar sertifikat Pusat Identitas IAM
<a name="managecerts"></a>

IAM Identity Center menggunakan sertifikat untuk mengatur hubungan kepercayaan SAMP antara IAM Identity Center dan penyedia layanan aplikasi Anda. Saat Anda menambahkan aplikasi di IAM Identity Center, sertifikat IAM Identity Center secara otomatis dibuat untuk digunakan dengan aplikasi tersebut selama proses penyiapan. Secara default, sertifikat IAM Identity Center yang dibuat secara otomatis ini berlaku untuk jangka waktu lima tahun.

Sebagai administrator Pusat Identitas IAM, Anda kadang-kadang perlu mengganti sertifikat lama dengan yang lebih baru untuk aplikasi tertentu. Misalnya, Anda mungkin perlu mengganti sertifikat saat tanggal kedaluwarsa sertifikat mendekati. Proses penggantian sertifikat yang lebih lama dengan yang lebih baru disebut sebagai *rotasi sertifikat*.

## Pertimbangan sebelum memutar sertifikat
<a name="rotatecertconsiderations"></a>

Sebelum Anda memulai proses memutar sertifikat di IAM Identity Center, pertimbangkan hal berikut:
+ Proses rotasi sertifikasi mengharuskan Anda membangun kembali kepercayaan antara IAM Identity Center dan penyedia layanan. Untuk membangun kembali kepercayaan, gunakan prosedur yang disediakan di[Memutar sertifikat Pusat Identitas IAM](rotatecert.md).
+ Memperbarui sertifikat dengan penyedia layanan dapat menyebabkan gangguan layanan sementara bagi pengguna Anda sampai kepercayaan telah berhasil dibangun kembali. Rencanakan operasi ini dengan hati-hati selama jam sibuk di luar jika memungkinkan.

# Memutar sertifikat Pusat Identitas IAM
<a name="rotatecert"></a>

Memutar sertifikat IAM Identity Center adalah proses multistep yang melibatkan hal-hal berikut:
+ Menghasilkan sertifikat baru
+ Menambahkan sertifikat baru ke situs web penyedia layanan
+ Mengatur sertifikat baru menjadi aktif
+ Menghapus sertifikat yang tidak aktif

Gunakan semua prosedur berikut dalam urutan berikut untuk menyelesaikan proses rotasi sertifikat untuk aplikasi tertentu.

## Langkah 1: Buat sertifikat baru
<a name="generate-new-certificate"></a>

Sertifikat Pusat Identitas IAM baru yang Anda hasilkan dapat dikonfigurasi untuk menggunakan properti berikut:
+ **Masa berlaku** - Menentukan waktu yang diberikan (dalam bulan) sebelum sertifikat IAM Identity Center baru berakhir.
+ **Ukuran kunci** — Menentukan jumlah bit yang harus digunakan kunci dengan algoritma kriptografinya. Anda dapat mengatur nilai ini ke RSA 1024-bit atau RSA 2048-bit. Untuk informasi umum tentang cara kerja ukuran kunci dalam kriptografi, lihat [Ukuran kunci](https://en.wikipedia.org/wiki/Key_size).
+ **Algoritma** - Menentukan algoritma yang digunakan IAM Identity Center saat menandatangani pernyataan/respons SAMP. Anda dapat mengatur nilai ini ke SHA-1 atau SHA-256. AWS merekomendasikan penggunaan SHA-256 jika memungkinkan, kecuali penyedia layanan Anda memerlukan SHA-1. Untuk informasi umum tentang cara kerja algoritma kriptografi, lihat Kriptografi kunci [publik](https://en.wikipedia.org/wiki/Public-key_cryptography).

1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).

1. Pilih **Aplikasi**.

1. Dalam daftar aplikasi, pilih aplikasi yang ingin Anda hasilkan sertifikat baru.

1. Pada halaman detail aplikasi, pilih tab **Konfigurasi**. **Di bawah **metadata Pusat Identitas IAM**, pilih Kelola sertifikat.** Jika Anda tidak memiliki tab **Konfigurasi** atau pengaturan konfigurasi tidak tersedia, Anda tidak perlu memutar sertifikat untuk aplikasi ini.

1. Pada halaman **sertifikat Pusat Identitas IAM**, pilih **Hasilkan sertifikat baru**.

1. Dalam kotak dialog **Hasilkan sertifikat Pusat Identitas IAM baru**, tentukan nilai yang sesuai untuk **Periode validitas**, **Algoritma**, dan Ukuran **kunci**. Kemudian pilih **Hasilkan**.

## Langkah 2: Perbarui situs web penyedia layanan
<a name="update-service-provider-website"></a>

Gunakan prosedur berikut untuk membangun kembali kepercayaan dengan penyedia layanan aplikasi. 

**penting**  
Saat Anda mengunggah sertifikat baru ke penyedia layanan, pengguna Anda mungkin tidak dapat diautentikasi. Untuk memperbaiki situasi ini, atur sertifikat baru sebagai aktif seperti yang dijelaskan pada langkah berikutnya.

1. Di [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon), pilih aplikasi yang baru saja Anda buat sertifikat baru.

1. Pada halaman detail aplikasi, pilih **Edit konfigurasi**.

1. Pilih **Lihat petunjuk**, lalu ikuti petunjuk untuk situs web penyedia layanan aplikasi spesifik Anda untuk menambahkan sertifikat yang baru dibuat. 

## Langkah 3: Atur sertifikat baru menjadi aktif
<a name="set-cert-active"></a>

Aplikasi dapat memiliki hingga dua sertifikat yang ditetapkan untuk itu. IAM Identity Center akan menggunakan sertifikasi yang ditetapkan sebagai aktif untuk menandatangani semua pernyataan SAMP.

1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).

1. Pilih **Aplikasi**.

1. Dalam daftar aplikasi, pilih aplikasi Anda.

1. Pada halaman detail aplikasi, pilih tab **Konfigurasi**. **Di bawah **metadata Pusat Identitas IAM**, pilih Kelola sertifikat.**

1. Pada halaman **sertifikat Pusat Identitas IAM**, pilih sertifikat yang ingin disetel ke aktif, pilih **Tindakan**, lalu pilih **Setel sebagai aktif**.

1. Dalam dialog **Setel sertifikat yang dipilih sebagai aktif**, konfirmasikan bahwa Anda memahami bahwa menyetel sertifikat menjadi aktif mungkin mengharuskan Anda untuk membangun kembali kepercayaan, lalu pilih **Aktif**.

## Langkah 4: Hapus sertifikat lama
<a name="delete-old-cert"></a>

Gunakan prosedur berikut untuk menyelesaikan proses rotasi sertifikat untuk aplikasi Anda. Anda hanya dapat menghapus sertifikat yang berada dalam keadaan **tidak aktif**.

1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).

1. Pilih **Aplikasi**.

1. Dalam daftar aplikasi, pilih aplikasi Anda.

1. Pada halaman detail aplikasi, pilih tab **Konfigurasi**. **Di bawah **metadata Pusat Identitas IAM**, pilih Kelola sertifikat.**

1. Pada halaman **sertifikat Pusat Identitas IAM**, pilih sertifikat yang ingin Anda hapus. Pilih **Tindakan** dan kemudian pilih **Hapus**.

1. Di kotak dialog **Hapus sertifikat**, pilih **Hapus**.

# Indikator status kedaluwarsa sertifikat
<a name="certexpirationindicators"></a>

Di konsol Pusat Identitas IAM, halaman **Aplikasi** menampilkan ikon indikator status di properti setiap aplikasi. Ikon ini ditampilkan di kolom **Kedaluwarsa pada di** samping setiap sertifikat dalam daftar. Berikut ini menjelaskan kriteria yang digunakan IAM Identity Center untuk menentukan ikon mana yang ditampilkan untuk setiap sertifikat.
+ **Merah** - Menunjukkan bahwa sertifikat saat ini kedaluwarsa.
+ **Kuning** - Menunjukkan bahwa sertifikat akan kedaluwarsa dalam 90 hari atau kurang.
+ **Hijau** - Menunjukkan bahwa sertifikat saat ini valid dan akan tetap berlaku setidaknya selama 90 hari lagi.

**Untuk memeriksa status sertifikat**

1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).

1. Pilih **Aplikasi**.

1. Dalam daftar aplikasi, tinjau status sertifikat dalam daftar seperti yang ditunjukkan dalam kolom **Kedaluwarsa pada**.

# Memahami properti aplikasi di konsol Pusat Identitas IAM
<a name="appproperties"></a>

Di Pusat Identitas IAM, Anda dapat menyesuaikan pengalaman pengguna dengan mengonfigurasi URL mulai aplikasi, status relai, dan durasi sesi. 

## URL mulai aplikasi
<a name="starturl"></a>

Anda menggunakan URL awal aplikasi untuk memulai proses federasi dengan aplikasi Anda. Penggunaan umum adalah untuk aplikasi yang hanya mendukung pengikatan yang dimulai oleh penyedia layanan (SP).

Langkah-langkah dan diagram berikut menggambarkan alur kerja otentikasi URL awal aplikasi saat pengguna memilih aplikasi di portal akses: AWS 

1. Browser pengguna mengalihkan permintaan otentikasi menggunakan nilai untuk URL awal aplikasi (dalam hal ini). https://example.com

1. Aplikasi mengirimkan `HTML` `POST` dengan `SAMLRequest` ke IAM Identity Center.

1. IAM Identity Center kemudian mengirimkan `HTML` `POST` dengan `SAMLResponse` kembali ke aplikasi.  
![\[Diagram menunjukkan alur kerja autentikasi URL awal aplikasi: langkah-langkah saat pengguna memilih aplikasi di portal akses. AWS\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/app_properties_start_url.png)

## Status relai
<a name="relaystate"></a>

Selama proses otentikasi federasi, status relai mengarahkan pengguna dalam aplikasi. Untuk SALL 2.0, nilai ini diteruskan, tidak dimodifikasi, ke aplikasi. Setelah properti aplikasi dikonfigurasi, IAM Identity Center mengirimkan nilai status relai bersama dengan respons SAMP ke aplikasi. 

![\[Diagram menunjukkan proses autentikasi federasi: status relai, SAFL 2.0, Pusat Identitas IAM, aplikasi menerima respons.\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/app_properties_relay_state.png)


## Durasi sesi
<a name="sessionduration"></a>

Durasi sesi adalah lamanya waktu sesi pengguna aplikasi valid. Untuk SAMP 2.0, ini digunakan untuk mengatur `SessionNotOnOrAfter` tanggal elemen pernyataan SAMP. `saml2:AuthNStatement` 

Durasi sesi dapat ditafsirkan oleh aplikasi dengan salah satu cara berikut:
+ Aplikasi dapat menggunakannya untuk menentukan waktu maksimum yang diizinkan untuk sesi pengguna. Aplikasi mungkin menghasilkan sesi pengguna dengan durasi yang lebih pendek. Ini dapat terjadi ketika aplikasi hanya mendukung sesi pengguna dengan durasi yang lebih pendek dari panjang sesi yang dikonfigurasi.
+ Aplikasi dapat menggunakannya sebagai durasi yang tepat dan mungkin tidak mengizinkan administrator untuk mengonfigurasi nilai. Ini dapat terjadi ketika aplikasi hanya mendukung panjang sesi tertentu.

Untuk informasi selengkapnya tentang cara durasi sesi digunakan, lihat dokumentasi aplikasi spesifik Anda.

# Tetapkan akses pengguna ke aplikasi di konsol Pusat Identitas IAM
<a name="assignuserstoapp"></a>

Anda dapat menetapkan pengguna akses masuk tunggal ke aplikasi SAFL 2.0 di katalog aplikasi atau ke aplikasi SAFL 2.0 khusus.

 Pertimbangan untuk tugas kelompok: 
+ **Tetapkan akses langsung ke grup.** Untuk membantu menyederhanakan administrasi izin akses, kami sarankan Anda menetapkan akses langsung ke grup daripada ke pengguna individu. Dengan grup, Anda dapat memberikan atau menolak izin ke grup pengguna, alih-alih menerapkan izin tersebut ke setiap individu. Jika pengguna pindah ke organisasi yang berbeda, Anda cukup memindahkan pengguna tersebut ke grup yang berbeda. Pengguna kemudian secara otomatis menerima izin yang diperlukan untuk organisasi baru.
+ **Grup bersarang tidak didukung.** Saat menetapkan akses pengguna ke aplikasi, IAM Identity Center tidak mendukung pengguna yang ditambahkan ke grup bersarang. Jika pengguna ditambahkan ke grup bersarang, mereka mungkin menerima pesan “Anda tidak memiliki aplikasi apa pun” saat masuk. Penugasan harus dilakukan terhadap grup langsung di mana pengguna menjadi anggota.

**Untuk menetapkan akses pengguna atau grup ke aplikasi**
**penting**  
Untuk aplikasi AWS terkelola, Anda harus menambahkan pengguna langsung dari dalam konsol aplikasi yang relevan atau melalui. APIs 

1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).
**catatan**  
Jika Anda mengelola pengguna AWS Managed Microsoft AD, pastikan konsol IAM Identity Center menggunakan AWS Wilayah tempat AWS Managed Microsoft AD direktori Anda berada sebelum mengambil langkah berikutnya.

1. Pilih **Aplikasi**.

1. Dalam daftar aplikasi, pilih nama aplikasi yang ingin Anda tetapkan aksesnya. 

1. Pada halaman detail aplikasi, di bagian **Pengguna yang ditugaskan**, pilih **Tetapkan pengguna**.

1. Dalam kotak dialog **Tetapkan pengguna**, masukkan nama tampilan pengguna atau nama grup. Anda dapat menentukan beberapa pengguna atau grup dengan memilih akun yang berlaku saat muncul di hasil penelusuran.

1. Pilih **Tetapkan pengguna**.

# Hapus akses pengguna ke aplikasi SAMP 2.0
<a name="removeaccessfromapp"></a>

Gunakan prosedur ini untuk menghapus akses pengguna ke aplikasi SAFL 2.0 dalam katalog aplikasi atau aplikasi SAFL 2.0 kustom. Untuk informasi selengkapnya tentang sesi dan durasi otentikasi, lihat. [Memahami sesi otentikasi di IAM Identity Center](authconcept.md)

**Untuk menghapus akses pengguna ke aplikasi**

1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).

1. Pilih **Aplikasi**.

1. Dalam daftar aplikasi, pilih aplikasi dari mana Anda ingin menghapus akses pengguna.

1. Pada halaman detail aplikasi, di bagian **Pengguna yang ditugaskan**, pilih pengguna atau grup yang ingin Anda hapus lalu pilih tombol **Hapus akses**.

1. Dalam kotak dialog **Hapus akses**, verifikasi nama pengguna atau grup. Kemudian pilih **Hapus akses**.

# Atribut petakan dalam aplikasi Anda ke atribut IAM Identity Center
<a name="mapawsssoattributestoapp"></a>

Beberapa penyedia layanan memerlukan pernyataan SAM khusus untuk meneruskan data tambahan tentang login pengguna Anda. Dalam hal ini, gunakan prosedur berikut untuk menentukan bagaimana atribut pengguna aplikasi Anda harus dipetakan ke atribut yang sesuai di IAM Identity Center.

**Untuk memetakan atribut aplikasi ke atribut di IAM Identity Center**

1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).

1. Pilih **Aplikasi**.

1. Dalam daftar aplikasi, pilih aplikasi tempat Anda ingin memetakan atribut. 

1. Pada halaman detail aplikasi, pilih **Tindakan** dan kemudian pilih **Edit pemetaan atribut**.

1. Pilih **Tambahkan pemetaan atribut baru**.

1. Di kotak teks pertama, masukkan atribut aplikasi.

1. Di kotak teks kedua, masukkan atribut di Pusat Identitas IAM yang ingin Anda petakan ke atribut aplikasi. Misalnya, Anda mungkin ingin memetakan atribut aplikasi **Username** ke atribut **email** pengguna IAM Identity Center. Untuk melihat daftar atribut pengguna yang diizinkan di Pusat Identitas IAM, lihat tabel di[Pemetaan atribut antara Pusat Identitas IAM dan direktori Penyedia Identitas Eksternal](attributemappingsconcept.md).

1. Di kolom ketiga tabel, pilih format yang sesuai untuk atribut dari menu.

1. Pilih **Simpan perubahan**.