Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Manajemen identitas dan akses untuk Amazon VPC Lattice
Bagian berikut menjelaskan bagaimana Anda dapat menggunakan AWS Identity and Access Management (IAM) untuk membantu mengamankan sumber daya VPC Lattice Anda, dengan mengontrol siapa yang dapat melakukan tindakan VPC Lattice API.
**Topics**
+ [Bagaimana Amazon VPC Lattice bekerja dengan IAM](security_iam_service-with-iam.md)
+ [Izin API Amazon VPC Lattice](additional-api-permissions.md)
+ [Kebijakan berbasis identitas untuk Amazon VPC Lattice](security_iam_id-based-policies.md)
+ [Menggunakan peran terkait layanan untuk Amazon VPC Lattice](using-service-linked-roles.md)
+ [AWS kebijakan terkelola untuk Amazon VPC Lattice](managed-policies.md)
# Bagaimana Amazon VPC Lattice bekerja dengan IAM
Sebelum Anda menggunakan IAM untuk mengelola akses ke VPC Lattice, pelajari fitur IAM apa saja yang tersedia untuk digunakan dengan VPC Lattice.
| Fitur IAM | Dukungan VPC Lattice |
| --- | --- |
| [Kebijakan berbasis identitas](#security_iam_service-with-iam-id-based-policies) | Ya |
| [Kebijakan berbasis sumber daya](#security_iam_service-with-iam-resource-based-policies) | Ya |
| [Tindakan kebijakan](#security_iam_service-with-iam-id-based-policies-actions) | Ya |
| [Sumber daya kebijakan](#security_iam_service-with-iam-id-based-policies-resources) | Ya |
| [Kunci kondisi kebijakan](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Ya |
| [ACLs](#security_iam_service-with-iam-acls) | Tidak |
| [ABAC (tanda dalam kebijakan)](#security_iam_service-with-iam-tags) | Ya |
| [Kredensial sementara](#security_iam_service-with-iam-roles-tempcreds) | Ya |
| [Peran layanan](#security_iam_service-with-iam-roles-service) | Tidak |
| [Peran terkait layanan](#security_iam_service-with-iam-roles-service-linked) | Ya |
*Untuk tampilan tingkat tinggi tentang cara kerja Kisi VPC dan layanan AWS lainnya dengan sebagian besar fitur IAM, [AWS lihat layanan yang bekerja dengan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) IAM di Panduan Pengguna IAM.*
## Kebijakan berbasis identitas untuk VPC Lattice
**Mendukung kebijakan berbasis identitas**: Ya
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang dapat Anda lampirkan ke sebuah identitas, seperti pengguna IAM, grup pengguna IAM, atau peran IAM. Kebijakan ini mengontrol jenis tindakan yang dapat dilakukan oleh pengguna dan peran, di sumber daya mana, dan berdasarkan kondisi seperti apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan terkelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan secara spesifik apakah tindakan dan sumber daya diizinkan atau ditolak, serta kondisi yang menjadi dasar dikabulkan atau ditolaknya tindakan tersebut. Untuk mempelajari semua elemen yang dapat Anda gunakan dalam kebijakan JSON, lihat [Referensi elemen kebijakan JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dalam *Panduan Pengguna IAM*.
## Kebijakan berbasis sumber daya dalam VPC Lattice
**Mendukung kebijakan berbasis sumber daya**: Ya
Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. AWS Dalam AWS layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu dari layanan tersebut. AWS Untuk sumber daya tempat kebijakan dilampirkan, kebijakan menentukan tindakan apa yang dapat dilakukan oleh principal tertentu pada sumber daya tersebut dan dalam kondisi apa. Anda harus menentukan principal dalam kebijakan berbasis sumber daya.
VPC Lattice mendukung kebijakan *auth, kebijakan* berbasis sumber daya yang memungkinkan Anda mengontrol akses ke layanan di jaringan layanan Anda. Untuk informasi selengkapnya, lihat [Kontrol akses ke layanan VPC Lattice menggunakan kebijakan autentikasi](auth-policies.md).
VPC Lattice juga mendukung kebijakan izin berbasis sumber daya untuk integrasi dengan. AWS Resource Access Manager Anda dapat menggunakan kebijakan berbasis sumber daya ini untuk memberikan izin mengelola konektivitas ke AWS akun atau organisasi lain untuk layanan, konfigurasi sumber daya, dan jaringan layanan. Untuk informasi selengkapnya, lihat [Membagikan entitas VPC Lattice Anda](sharing.md).
## Tindakan kebijakan untuk VPC Lattice
**Mendukung tindakan kebijakan:** Ya
Dalam pernyataan kebijakan IAM, Anda dapat menentukan tindakan API apa pun dari layanan apa pun yang mendukung IAM. Untuk VPC Lattice, gunakan awalan berikut dengan nama aksi API:. `vpc-lattice:` Misalnya:`vpc-lattice:CreateService`,`vpc-lattice:CreateTargetGroup`, dan`vpc-lattice:PutAuthPolicy`.
Untuk menentukan beberapa tindakan dalam satu pernyataan, pisahkan dengan koma, sebagai berikut:
```
"Action": [ "vpc-lattice:action1", "vpc-lattice:action2" ]
```
Anda juga dapat menentukan beberapa tindakan menggunakan wildcard. Misalnya, Anda dapat menentukan semua tindakan yang namanya dimulai dengan kata`Get`, sebagai berikut:
```
"Action": "vpc-lattice:Get*"
```
*Untuk daftar lengkap tindakan VPC Lattice API, lihat [Tindakan yang ditentukan oleh Amazon VPC Lattice](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonvpclattice.html#amazonvpclattice-actions-as-permissions) dalam Referensi Otorisasi Layanan.*
## Sumber daya kebijakan untuk VPC Lattice
**Mendukung sumber daya kebijakan:** Ya
Dalam pernyataan kebijakan IAM, `Resource` elemen menentukan objek atau objek yang dicakup oleh pernyataan tersebut. Untuk VPC Lattice, setiap pernyataan kebijakan IAM berlaku untuk sumber daya yang Anda tentukan menggunakan mereka. ARNs
Format Amazon Resource Name (ARN) tertentu bergantung pada sumber daya. Saat Anda memberikan ARN, ganti *italicized* teks dengan informasi khusus sumber daya Anda.
+ **Akses langganan log:**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:accesslogsubscription/access-log-subscription-id"
```
+ **Pendengar:**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:service/service-id/listener/listener-id"
```
+ **Gateway sumber daya**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:resourcegateway/resource-gateway-id"
```
+ **Konfigurasi sumber daya**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:resourceconfiguration/resource-configuration-id"
```
+ **Aturan:**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:service/service-id/listener/listener-id/rule/rule-id"
```
+ **Layanan:**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:service/service-id"
```
+ **Jaringan layanan:**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:servicenetwork/service-network-id"
```
+ **Asosiasi layanan jaringan layanan:**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:servicenetworkserviceassociation/service-network-service-association-id"
```
+ **Asosiasi konfigurasi sumber daya jaringan layanan**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:servicenetworkresourceassociation/service-network-resource-association-id"
```
+ **Asosiasi VPC jaringan layanan:**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:servicenetworkvpcassociation/service-network-vpc-association-id"
```
+ **Kelompok sasaran:**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:targetgroup/target-group-id"
```
## Kunci kondisi kebijakan untuk VPC Lattice
**Mendukung kunci kondisi kebijakan khusus layanan:** Yes
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **principal** dapat melakukan **tindakan** pada suatu **sumber daya**, dan dalam suatu **syarat**.
Elemen `Condition` menentukan ketika pernyataan dieksekusi berdasarkan kriteria yang ditetapkan. Anda dapat membuat ekspresi bersyarat yang menggunakan [operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.
*Untuk melihat daftar kunci kondisi Kisi VPC, lihat Kunci [kondisi untuk Amazon VPC Lattice](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonvpclattice.html#amazonvpclattice-policy-keys) di Referensi Otorisasi Layanan.*
AWS mendukung kunci kondisi global dan kunci kondisi khusus layanan. Untuk informasi tentang kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.
## Daftar kontrol akses (ACLs) di VPC Lattice
**Mendukung ACLs:** Tidak
Access control lists (ACLs) mengontrol prinsipal mana (anggota akun, pengguna, atau peran) yang memiliki izin untuk mengakses sumber daya. ACLs mirip dengan kebijakan berbasis sumber daya, meskipun mereka tidak menggunakan format dokumen kebijakan JSON.
## Kontrol akses berbasis atribut (ABAC) dengan VPC Lattice
**Mendukung ABAC (tanda dalam kebijakan):** Ya
Kontrol akses berbasis atribut (ABAC) adalah strategi otorisasi yang menentukan izin berdasarkan atribut tanda. Anda dapat melampirkan tag ke entitas dan AWS sumber daya IAM, lalu merancang kebijakan ABAC untuk mengizinkan operasi saat tag prinsipal cocok dengan tag pada sumber daya.
Untuk mengendalikan akses berdasarkan tanda, berikan informasi tentang tanda di [elemen kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dari kebijakan menggunakan kunci kondisi `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, atau `aws:TagKeys`.
Jika sebuah layanan mendukung ketiga kunci kondisi untuk setiap jenis sumber daya, nilainya adalah **Ya** untuk layanan tersebut. Jika suatu layanan mendukung ketiga kunci kondisi untuk hanya beberapa jenis sumber daya, nilainya adalah **Parsial**.
Untuk informasi selengkapnya tentang ABAC, lihat [Tentukan izin dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dalam *Panduan Pengguna IAM.* Untuk melihat tutorial yang menguraikan langkah-langkah pengaturan ABAC, lihat [Menggunakan kontrol akses berbasis atribut (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) dalam *Panduan Pengguna IAM*.
## Menggunakan kredensi sementara dengan VPC Lattice
**Mendukung kredensial sementara:** Ya
Kredensyal sementara menyediakan akses jangka pendek ke AWS sumber daya dan secara otomatis dibuat saat Anda menggunakan federasi atau beralih peran. AWS merekomendasikan agar Anda secara dinamis menghasilkan kredensyal sementara alih-alih menggunakan kunci akses jangka panjang. Untuk informasi selengkapnya, lihat [Kredensial keamanan sementara di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) dan [Layanan AWS yang berfungsi dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dalam *Panduan Pengguna IAM*.
## Peran layanan untuk VPC Lattice
**Mendukung peran layanan:** Tidak
Peran layanan adalah [peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) yang diambil oleh sebuah layanan untuk melakukan tindakan atas nama Anda. Administrator IAM dapat membuat, mengubah, dan menghapus peran layanan dari dalam IAM. Untuk informasi selengkapnya, lihat [Buat sebuah peran untuk mendelegasikan izin ke Layanan AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dalam *Panduan pengguna IAM*.
**Awas**
Mengubah izin untuk peran layanan dapat merusak fungsionalitas VPC Lattice. Edit peran layanan hanya jika VPC Lattice memberikan panduan untuk melakukannya.
## Peran terkait layanan untuk VPC Lattice
**Mendukung peran terkait layanan**: Ya
Peran terkait layanan adalah jenis peran layanan yang ditautkan ke. Layanan AWS Layanan tersebut dapat menjalankan peran untuk melakukan tindakan atas nama Anda. Peran terkait layanan muncul di Anda Akun AWS dan dimiliki oleh layanan. Administrator IAM dapat melihat, tetapi tidak dapat mengedit izin untuk peran terkait layanan.
Untuk informasi tentang membuat atau mengelola peran terkait layanan VPC Lattice, lihat. [Menggunakan peran terkait layanan untuk Amazon VPC Lattice](using-service-linked-roles.md)
# Izin API Amazon VPC Lattice
Anda harus memberikan izin identitas IAM (seperti pengguna atau peran) untuk memanggil tindakan VPC Lattice API yang mereka butuhkan, seperti yang dijelaskan dalam. [Tindakan kebijakan untuk VPC Lattice](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-actions) Selain itu, untuk beberapa tindakan VPC Lattice, Anda harus memberikan izin identitas IAM untuk memanggil tindakan tertentu dari yang lain. AWS APIs
## Izin yang diperlukan untuk API
Saat memanggil tindakan berikut dari API, Anda harus memberikan izin kepada pengguna IAM untuk memanggil tindakan yang ditentukan.
`CreateResourceConfiguration`
+ `vpc-lattice:CreateResourceConfiguration`
+ `ec2:DescribeSubnets`
+ `rds:DescribeDBInstances`
+ `rds:DescribeDBClusters`
`CreateResourceGateway`
+ `vpc-lattice:CreateResourceGateway`
+ `ec2:AssignPrivateIpAddresses`
+ `ec2:AssignIpv6Addresses`
+ `ec2:CreateNetworkInterface`
+ `ec2:CreateNetworkInterfacePermission`
+ `ec2:DeleteNetworkInterface`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeSubnets`
`DeleteResourceGateway`
+ `vpc-lattice:DeleteResourceGateway`
+ `ec2:DeleteNetworkInterface`
`UpdateResourceGateway`
+ `vpc-lattice:UpdateResourceGateway`
+ `ec2:AssignPrivateIpAddresses`
+ `ec2:AssignIpv6Addresses`
+ `ec2:UnassignPrivateIpAddresses`
+ `ec2:CreateNetworkInterface`
+ `ec2:CreateNetworkInterfacePermission`
+ `ec2:DeleteNetworkInterface`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeSubnets`
+ `ec2:ModifyNetworkInterfaceAttribute`
`CreateServiceNetworkResourceAssociation`
+ `vpc-lattice:CreateServiceNetworkResourceAssociation`
+ `ec2:AssignIpv6Addresses`
+ `ec2:CreateNetworkInterface`
+ `ec2:CreateNetworkInterfacePermission`
+ `ec2:DescribeNetworkInterfaces`
`CreateServiceNetworkVpcAssociation`
+ `vpc-lattice:CreateServiceNetworkVpcAssociation`
+ `ec2:DescribeVpcs`
+ `ec2:DescribeSecurityGroups`(Hanya diperlukan ketika kelompok keamanan disediakan)
`UpdateServiceNetworkVpcAssociation`
+ `vpc-lattice:UpdateServiceNetworkVpcAssociation`
+ `ec2:DescribeSecurityGroups`(Hanya diperlukan ketika kelompok keamanan disediakan)
`CreateTargetGroup`
+ `vpc-lattice:CreateTargetGroup`
+ `ec2:DescribeVpcs`
`RegisterTargets`
+ `vpc-lattice:RegisterTargets`
+ `ec2:DescribeInstances`(Hanya `INSTANCE` diperlukan kapan tipe grup target)
+ `ec2:DescribeVpcs`(Hanya diperlukan ketika `INSTANCE` atau `IP` tipe grup target)
+ `ec2:DescribeSubnets`(Hanya diperlukan ketika `INSTANCE` atau `IP` tipe grup target)
+ `lambda:GetFunction`(Hanya `LAMBDA` diperlukan kapan tipe grup target)
+ `lambda:AddPermission`(Hanya diperlukan jika grup target belum memiliki izin untuk menjalankan fungsi Lambda yang ditentukan)
`DeregisterTargets`
+ `vpc-lattice:DeregisterTargets`
`CreateAccessLogSubscription`
+ `vpc-lattice:CreateAccessLogSubscription`
+ `logs:GetLogDelivery`
+ `logs:CreateLogDelivery`
`DeleteAccessLogSubscription`
+ `vpc-lattice:DeleteAccessLogSubscription`
+ `logs:DeleteLogDelivery`
`UpdateAccessLogSubscription`
+ `vpc-lattice:UpdateAccessLogSubscription`
+ `logs:UpdateLogDelivery`
# Kebijakan berbasis identitas untuk Amazon VPC Lattice
Secara default, pengguna dan peran tidak memiliki izin untuk membuat atau memodifikasi sumber daya VPC Lattice. Untuk memberikan izin kepada pengguna untuk melakukan tindakan di sumber daya yang mereka perlukan, administrator IAM dapat membuat kebijakan IAM.
*Untuk mempelajari cara membuat kebijakan berbasis identitas IAM dengan menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat kebijakan IAM (konsol) di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html).*
*Untuk detail tentang tindakan dan jenis sumber daya yang ditentukan oleh Kisi VPC, termasuk format ARNs untuk setiap jenis sumber daya, lihat Kunci [Tindakan, Sumber Daya, dan Kondisi untuk Kisi VPC Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonvpclattice.html) di Referensi Otorisasi Layanan.*
**Topics**
+ [Praktik terbaik kebijakan](#security_iam_service-with-iam-policy-best-practices)
+ [Izin tambahan yang diperlukan untuk akses penuh](#security_iam_id-based-policy-additional-permissions)
+ [Contoh kebijakan berbasis identitas untuk VPC Lattice](#security_iam_id-based-policy-examples)
## Praktik terbaik kebijakan
Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus sumber daya VPC Lattice di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
+ **Mulailah dengan kebijakan AWS terkelola dan beralih ke izin dengan hak istimewa paling sedikit — Untuk mulai memberikan izin** kepada pengguna dan beban kerja Anda, gunakan *kebijakan AWS terkelola* yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Anda Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola AWS pelanggan yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat [Kebijakan yang dikelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) atau [Kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dalam *Panduan Pengguna IAM*.
+ **Menerapkan izin dengan hak akses paling rendah** – Ketika Anda menetapkan izin dengan kebijakan IAM, hanya berikan izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai *izin dengan hak akses paling rendah*. Untuk informasi selengkapnya tentang cara menggunakan IAM untuk mengajukan izin, lihat [Kebijakan dan izin dalam IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan kondisi dalam kebijakan IAM untuk membatasi akses lebih lanjut** – Anda dapat menambahkan suatu kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Sebagai contoh, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakan SSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui yang spesifik Layanan AWS, seperti CloudFormation. Untuk informasi selengkapnya, lihat [Elemen kebijakan JSON IAM: Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk memastikan izin yang aman dan fungsional** – IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan tersebut mematuhi bahasa kebijakan IAM (JSON) dan praktik terbaik IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat [Validasi kebijakan dengan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dalam *Panduan Pengguna IAM*.
+ **Memerlukan otentikasi multi-faktor (MFA)** - Jika Anda memiliki skenario yang mengharuskan pengguna IAM atau pengguna root di Anda, Akun AWS aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA ketika operasi API dipanggil, tambahkan kondisi MFA pada kebijakan Anda. Untuk informasi selengkapnya, lihat [Amankan akses API dengan MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dalam *Panduan Pengguna IAM*.
Untuk informasi selengkapnya tentang praktik terbaik dalam IAM, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.
## Izin tambahan yang diperlukan untuk akses penuh
Untuk menggunakan AWS layanan lain yang terintegrasi dengan VPC Lattice dan seluruh rangkaian fitur VPC Lattice, Anda harus memiliki izin tambahan tertentu. Izin ini tidak termasuk dalam kebijakan `VPCLatticeFullAccess` terkelola karena risiko eskalasi hak istimewa [wakil yang membingungkan](https://docs.aws.amazon.com//IAM/latest/UserGuide/confused-deputy.html).
Anda harus melampirkan kebijakan berikut ke peran Anda dan menggunakannya bersama dengan kebijakan `VPCLatticeFullAccess` terkelola.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"firehose:TagDeliveryStream",
"lambda:AddPermission",
"s3:PutBucketPolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:PutResourcePolicy"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": [
"vpc-lattice.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/vpc-lattice.amazonaws.com/AWSServiceRoleForVpcLattice"
},
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/delivery.logs.amazonaws.com/AWSServiceRoleForLogDelivery*"
}
]
}
```
------
Kebijakan ini memberikan izin tambahan berikut:
+ `iam:AttachRolePolicy`: Memungkinkan Anda melampirkan kebijakan terkelola yang ditentukan ke peran IAM yang ditentukan.
+ `iam:PutRolePolicy`: Memungkinkan Anda menambahkan atau memperbarui dokumen kebijakan sebaris yang disematkan dalam peran IAM yang ditentukan.
+ `s3:PutBucketPolicy`: Memungkinkan Anda menerapkan kebijakan bucket ke bucket Amazon S3.
+ `firehose:TagDeliveryStream`: Memungkinkan Anda menambahkan atau memperbarui tag untuk aliran pengiriman Firehose.
## Contoh kebijakan berbasis identitas untuk VPC Lattice
**Topics**
+ [Contoh kebijakan: Mengelola asosiasi VPC ke jaringan layanan](#security_iam_id-based-policy-examples-vpc-to-service-network-association)
+ [Contoh kebijakan: Buat asosiasi layanan ke jaringan layanan](#security_iam_id-based-policy-examples-service-to-service-network-association)
+ [Contoh kebijakan: Tambahkan tag ke sumber daya](#security_iam_id-based-policy-examples-tag-resources)
+ [Contoh kebijakan: Membuat peran terkait layanan](#security_iam_id-based-policy-examples-service-linked-role)
### Contoh kebijakan: Mengelola asosiasi VPC ke jaringan layanan
Contoh berikut menunjukkan kebijakan yang memberi pengguna kebijakan ini izin untuk membuat, memperbarui, dan menghapus asosiasi VPC ke jaringan layanan, tetapi hanya untuk VPC dan jaringan layanan yang ditentukan dalam kondisi tersebut. Untuk informasi selengkapnya tentang menentukan kunci kondisi, lihat[Kunci kondisi kebijakan untuk VPC Lattice](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-conditionkeys).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"vpc-lattice:CreateServiceNetworkVpcAssociation",
"vpc-lattice:UpdateServiceNetworkVpcAssociation",
"vpc-lattice:DeleteServiceNetworkVpcAssociation"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"vpc-lattice:ServiceNetworkArn": "arn:aws:vpc-lattice:us-west-2:123456789012:servicenetwork/sn-903004f88example",
"vpc-lattice:VpcId": "vpc-1a2b3c4d"
}
}
}
]
}
```
------
### Contoh kebijakan: Buat asosiasi layanan ke jaringan layanan
Jika Anda tidak menggunakan tombol kondisi untuk mengontrol akses ke sumber daya VPC Lattice, Anda dapat menentukan sumber daya dalam `Resource` elemen untuk mengontrol akses sebagai gantinya. ARNs
Contoh berikut menunjukkan kebijakan yang membatasi asosiasi layanan ke jaringan layanan yang dapat dibuat oleh pengguna dengan kebijakan ini dengan menentukan jaringan layanan dan layanan yang dapat digunakan dengan tindakan `CreateServiceNetworkServiceAssociation` API. ARNs Untuk informasi selengkapnya tentang menentukan nilai ARN, lihat. [Sumber daya kebijakan untuk VPC Lattice](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-resources)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"vpc-lattice:CreateServiceNetworkServiceAssociation"
],
"Resource": [
"arn:aws:vpc-lattice:us-west-2:123456789012:servicenetworkserviceassociation/*",
"arn:aws:vpc-lattice:us-west-2:123456789012:service/svc-04d5cc9b88example",
"arn:aws:vpc-lattice:us-west-2:123456789012:servicenetwork/sn-903004f88example"
]
}
]
}
```
------
### Contoh kebijakan: Tambahkan tag ke sumber daya
Contoh berikut menunjukkan kebijakan yang memberi pengguna izin kebijakan ini untuk membuat tag pada resource VPC Lattice.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"vpc-lattice:TagResource"
],
"Resource": "arn:aws:vpc-lattice:us-west-2:123456789012:*/*"
}
]
}
```
------
### Contoh kebijakan: Membuat peran terkait layanan
VPC Lattice memerlukan izin untuk membuat peran terkait layanan saat pertama kali setiap pengguna di Anda membuat sumber daya VPC Lattice. Akun AWS Jika peran terkait layanan belum ada, VPC Lattice membuatnya di akun Anda. Peran terkait layanan memberikan izin ke VPC Lattice sehingga dapat memanggil orang lain atas nama Anda. Layanan AWS Untuk informasi selengkapnya, lihat [Menggunakan peran terkait layanan untuk Amazon VPC Lattice](using-service-linked-roles.md).
Agar pembuatan peran otomatis berhasil, pengguna harus memiliki izin untuk tindakan `iam:CreateServiceLinkedRole` nyata.
```
"Action": "iam:CreateServiceLinkedRole"
```
Contoh berikut menunjukkan kebijakan yang memberi pengguna izin kebijakan ini untuk membuat peran terkait layanan untuk VPC Lattice.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/vpc-lattice.amazonaws.com/AWSServiceRoleForVpcLattice",
"Condition": {
"StringLike": {
"iam:AWSServiceName":"vpc-lattice.amazonaws.com"
}
}
}
]
}
```
------
Untuk informasi selengkapnya, lihat [Izin peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.
# Menggunakan peran terkait layanan untuk Amazon VPC Lattice
Amazon VPC Lattice menggunakan peran terkait layanan untuk izin yang diperlukan untuk memanggil orang lain atas nama Anda. Layanan AWS Untuk informasi selengkapnya, lihat [Peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) di Panduan Pengguna *IAM*.
VPC Lattice menggunakan peran terkait layanan bernama. AWSServiceRoleForVpcLattice
## Izin peran terkait layanan untuk VPC Lattice
Peran terkait layanan **AWSServiceRoleForVpcLattice** memercayai layanan berikut untuk mengambil peran tersebut:
+ `vpc-lattice.amazonaws.com`
Kebijakan izin peran bernama AWSVpcLatticeServiceRolePolicy memungkinkan VPC Lattice CloudWatch mempublikasikan metrik di namespace. `AWS/VpcLattice` Untuk informasi selengkapnya, lihat [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSVpcLatticeServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSVpcLatticeServiceRolePolicy.html)di *Referensi Kebijakan AWS Terkelola*.
Anda harus mengonfigurasi izin agar entitas IAM (seperti pengguna, grup, atau peran) dapat membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat [Contoh kebijakan: Membuat peran terkait layanan](security_iam_id-based-policies.md#security_iam_id-based-policy-examples-service-linked-role).
## Membuat peran terkait layanan untuk VPC Lattice
Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda membuat resource VPC Lattice di Konsol Manajemen AWS, the, atau API AWS CLI AWS , VPC Lattice membuat peran terkait layanan untuk Anda.
Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda membuat resource VPC Lattice, VPC Lattice membuat peran yang ditautkan layanan untuk Anda lagi.
## Mengedit peran terkait layanan untuk VPC Lattice
Anda dapat mengedit deskripsi **AWSServiceRoleForVpcLattice**menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit deskripsi peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console) di Panduan Pengguna *IAM*.
## Menghapus peran terkait layanan untuk VPC Lattice
Jika Anda tidak perlu lagi menggunakan Amazon VPC Lattice, kami sarankan Anda menghapus. **AWSServiceRoleForVpcLattice**
Anda dapat menghapus peran terkait layanan ini hanya setelah Anda menghapus semua sumber daya VPC Lattice di situs Anda. Akun AWS
Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran **AWSServiceRoleForVpcLattice**terkait layanan. Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) di Panduan Pengguna *IAM*.
Setelah menghapus peran yang ditautkan layanan, VPC Lattice akan membuat peran tersebut lagi saat Anda membuat resource VPC Lattice di VPC Lattice. Akun AWS
## Wilayah yang Didukung untuk peran terkait layanan VPC Lattice
VPC Lattice mendukung penggunaan peran terkait layanan di semua Wilayah tempat layanan tersedia.
# AWS kebijakan terkelola untuk Amazon VPC Lattice
Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.
Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan [kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) yang khusus untuk kasus penggunaan Anda.
Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pemutakhiran akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.
Untuk informasi selengkapnya, lihat [Kebijakan terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.
## AWS kebijakan terkelola: VPCLattice FullAccess
Kebijakan ini menyediakan akses penuh ke Amazon VPC Lattice dan akses terbatas ke layanan dependen lainnya. Ini termasuk izin untuk melakukan hal berikut:
+ ACM — Ambil sertifikat SSL/TLS ARN untuk nama domain kustom.
+ CloudWatch — Lihat log akses dan data pemantauan.
+ CloudWatch Log - Mengatur dan mengirim log akses ke CloudWatch Log.
+ Amazon EC2 — Konfigurasikan antarmuka jaringan dan ambil informasi tentang instans EC2 dan. VPCs Ini digunakan untuk membuat konfigurasi sumber daya, gateway sumber daya, dan grup target, mengonfigurasi asosiasi entitas VPC Lattice, dan mendaftarkan target.
+ Elastic Load Balancing — Ambil informasi tentang Application Load Balancer untuk mendaftarkannya sebagai target.
+ Firehose — Mengambil informasi tentang aliran pengiriman yang digunakan untuk menyimpan log akses.
+ Lambda — Ambil informasi tentang fungsi Lambda untuk mendaftarkannya sebagai target.
+ Amazon RDS — Ambil informasi tentang cluster dan instans RDS.
+ Amazon S3 - Ambil informasi tentang bucket S3 yang digunakan untuk menyimpan log akses.
Untuk melihat izin kebijakan ini, lihat [VPCLatticeFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/VPCLatticeFullAccess.html)di *Referensi Kebijakan AWS Terkelola*.
Untuk menggunakan AWS layanan lain yang terintegrasi dengan VPC Lattice dan seluruh rangkaian fitur VPC Lattice, Anda harus memiliki izin tambahan tertentu. Izin ini tidak termasuk dalam kebijakan `VPCLatticeFullAccess` terkelola karena risiko eskalasi hak istimewa [wakil yang membingungkan](https://docs.aws.amazon.com//IAM/latest/UserGuide/confused-deputy.html). Untuk informasi selengkapnya, lihat [Izin tambahan yang diperlukan untuk akses penuh](security_iam_id-based-policies.md#security_iam_id-based-policy-additional-permissions).
## AWS kebijakan terkelola: VPCLattice ReadOnlyAccess
Kebijakan ini menyediakan akses hanya-baca ke Amazon VPC Lattice dan akses terbatas ke layanan dependen lainnya. Ini termasuk izin untuk melakukan hal berikut:
+ ACM — Ambil sertifikat SSL/TLS ARN untuk nama domain kustom.
+ CloudWatch — Lihat log akses dan data pemantauan.
+ CloudWatch Log - Lihat informasi pengiriman log untuk langganan log akses.
+ Amazon EC2 — Ambil informasi tentang instans EC2 dan VPCs untuk membuat grup target dan mendaftarkan target.
+ Elastic Load Balancing — Mengambil informasi tentang Application Load Balancer.
+ Firehose — Ambil informasi tentang aliran pengiriman untuk pengiriman log akses.
+ Lambda - Lihat informasi tentang fungsi Lambda.
+ Amazon RDS — Ambil informasi tentang cluster dan instans RDS.
+ Amazon S3 - Ambil informasi tentang bucket S3 untuk pengiriman log akses.
Untuk melihat izin kebijakan ini, lihat [VPCLatticeReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/VPCLatticeReadOnlyAccess.html)di *Referensi Kebijakan AWS Terkelola*.
## AWS kebijakan terkelola: VPCLattice ServicesInvokeAccess
Kebijakan ini menyediakan akses untuk memanggil layanan Amazon VPC Lattice.
Untuk melihat izin kebijakan ini, lihat [VPCLatticeServicesInvokeAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/VPCLatticeServicesInvokeAccess.html)di *Referensi Kebijakan AWS Terkelola*.
## AWS kebijakan terkelola: AWSVpc LatticeServiceRolePolicy
Kebijakan ini dilampirkan ke peran terkait layanan yang diberi nama **AWSServiceRoleForVpcLattice**untuk mengizinkan VPC Lattice melakukan tindakan atas nama Anda. Anda tidak dapat melampirkan kebijakan ini ke entitas IAM Anda. Untuk informasi selengkapnya, lihat [Menggunakan peran terkait layanan untuk Amazon VPC Lattice](using-service-linked-roles.md).
Untuk melihat izin kebijakan ini, lihat [AWSVpcLatticeServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSVpcLatticeServiceRolePolicy.html)di *Referensi Kebijakan AWS Terkelola*.
## VPC Lattice memperbarui kebijakan terkelola AWS
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk VPC Lattice sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS untuk Panduan Pengguna VPC Lattice.
| Ubah | Deskripsi | Date |
| --- | --- | --- |
| [VPCLatticeFullAccess](#vpc-lattice-fullaccess-policy) | VPC Lattice menambahkan izin hanya-baca untuk mendeskripsikan kluster dan instance Amazon RDS. | Desember 1, 2024 |
| [VPCLatticeReadOnlyAccess](#vpc-lattice-read-onlyaccess-policy) | VPC Lattice menambahkan izin hanya-baca untuk mendeskripsikan kluster dan instance Amazon RDS. | Desember 1, 2024 |
| [AWSVpcLatticeServiceRolePolicy](#service-linked-role-policy) | VPC Lattice menambahkan izin untuk memungkinkan VPC Lattice membuat antarmuka jaringan yang dikelola pemohon. | Desember 1, 2024 |
| [VPCLatticeFullAccess](#vpc-lattice-fullaccess-policy) | VPC Lattice menambahkan kebijakan baru untuk memberikan izin akses penuh ke Amazon VPC Lattice dan akses terbatas ke layanan dependen lainnya. | 31 Maret 2023 |
| [VPCLatticeReadOnlyAccess](#vpc-lattice-read-onlyaccess-policy) | VPC Lattice menambahkan kebijakan baru untuk memberikan izin akses hanya-baca ke Amazon VPC Lattice dan akses terbatas ke layanan dependen lainnya. | 31 Maret 2023 |
| [VPCLatticeServicesInvokeAccess](#vpc-lattice-services-invoke-access-policy) | VPC Lattice menambahkan kebijakan baru untuk memberikan akses ke layanan Amazon VPC Lattice. | 31 Maret 2023 |
| [AWSVpcLatticeServiceRolePolicy](#service-linked-role-policy) | VPC Lattice menambahkan izin ke peran terkait layanannya untuk memungkinkan VPC Lattice mempublikasikan metrik di namespace. CloudWatch AWS/VpcLattice AWSVpcLatticeServiceRolePolicyKebijakan ini mencakup izin untuk memanggil tindakan CloudWatch [PutMetricData](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricData.html)API. Untuk informasi selengkapnya, lihat [Menggunakan peran terkait layanan untuk Amazon VPC Lattice](using-service-linked-roles.md). | Desember 5, 2022 |
| VPC Lattice mulai melacak perubahan | VPC Lattice mulai melacak perubahan untuk kebijakan terkelolanya AWS . | Desember 5, 2022 |