Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Manajemen identitas dan akses di AWS Transit Gateway
AWS menggunakan kredensi keamanan untuk mengidentifikasi Anda dan memberi Anda akses ke sumber daya Anda AWS . Anda dapat menggunakan fitur AWS Identity and Access Management (IAM) untuk memungkinkan pengguna, layanan, dan aplikasi lain menggunakan AWS sumber daya Anda sepenuhnya atau dengan cara yang terbatas, tanpa membagikan kredensil keamanan Anda.
Secara default, pengguna IAM tidak memiliki izin untuk membuat, melihat, atau memodifikasi AWS sumber daya. Untuk mengizinkan pengguna mengakses sumber daya seperti gateway transit, dan untuk melakukan tugas, Anda harus membuat kebijakan IAM yang memberikan izin kepada pengguna untuk menggunakan sumber daya spesifik dan tindakan API yang mereka perlukan, lalu lampirkan kebijakan tersebut ke grup tempat pengguna tersebut berada. Saat Anda melampirkan kebijakan ke pengguna atau grup pengguna, kebijakan itu mengizinkan atau menolak izin pengguna untuk melakukan tugas yang ditentukan pada sumber daya yang ditentukan.
Untuk bekerja dengan gateway transit, salah satu kebijakan AWS terkelola berikut mungkin memenuhi kebutuhan Anda:
+ [Amazon EC2 FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2FullAccess.html)
+ [Amazon EC2 ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ReadOnlyAccess.html)
+ [PowerUserAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/PowerUserAccess.html)
+ [ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ReadOnlyAccess.html)
## Contoh kebijakan untuk mengelola gateway transit
Berikut ini adalah contoh kebijakan IAM untuk bekerja dengan gateway transit.
**Buat gateway transit dengan tag yang diperlukan**
Contoh berikut memungkinkan pengguna untuk membuat gateway transit. Kunci `aws:RequestTag` kondisi mengharuskan pengguna untuk menandai gateway transit dengan tag`stack=prod`. Kunci `aws:TagKeys` kondisi menggunakan `ForAllValues` pengubah untuk menunjukkan bahwa hanya kunci yang `stack` diizinkan dalam permintaan (tidak ada tag lain yang dapat ditentukan). Jika pengguna tidak meneruskan tag khusus ini saat mereka membuat gateway transit, atau jika mereka tidak menentukan tag sama sekali, permintaan gagal.
Pernyataan kedua menggunakan kunci syarat `ec2:CreateAction` untuk memungkinkan para pengguna membuat tanda hanya dalam konteks `CreateTransitGateway`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateTaggedTGWs",
"Effect": "Allow",
"Action": "ec2:CreateTransitGateway",
"Resource": "arn:aws:ec2:us-east-1:123456789012:transit-gateway/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/stack": "prod"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"stack"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:us-east-1:123456789012:transit-gateway/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateTransitGateway"
}
}
}
]
}
```
------
**Bekerja dengan tabel rute gateway transit**
Contoh berikut memungkinkan pengguna untuk membuat dan menghapus tabel rute gateway transit untuk gateway transit tertentu saja (`tgw-11223344556677889`). Pengguna juga dapat membuat dan mengganti rute di tabel rute gateway transit apa pun, tetapi hanya untuk lampiran yang memiliki tag`network=new-york-office`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DeleteTransitGatewayRouteTable",
"ec2:CreateTransitGatewayRouteTable"
],
"Resource": [
"arn:aws:ec2:us-east-1:123456789012:transit-gateway/tgw-11223344556677889",
"arn:aws:ec2:*:*:transit-gateway-route-table/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTransitGatewayRoute",
"ec2:ReplaceTransitGatewayRoute"
],
"Resource": "arn:aws:ec2:*:*:transit-gateway-attachment/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/network": "new-york-office"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTransitGatewayRoute",
"ec2:ReplaceTransitGatewayRoute"
],
"Resource": "arn:aws:ec2:*:*:transit-gateway-route-table/*"
}
]
}
```
------
# Menggunakan peran terkait layanan untuk gateway transit di Transit Gateway AWS
Amazon VPC menggunakan peran terkait layanan untuk izin yang diperlukan untuk memanggil layanan lain AWS atas nama Anda. Untuk informasi selengkapnya, lihat [Peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) di Panduan Pengguna *IAM*.
## Peran terkait layanan gateway transit
Amazon VPC menggunakan peran terkait layanan untuk izin yang diperlukan untuk memanggil AWS layanan lain atas nama Anda saat Anda bekerja dengan gateway transit.
### Izin yang diberikan oleh peran tertaut layanan
Amazon VPC menggunakan peran terkait layanan bernama **AWSServiceRoleForVPCTransitGateway** untuk memanggil tindakan berikut atas nama Anda saat Anda bekerja dengan gateway transit:
+ `ec2:CreateNetworkInterface`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:ModifyNetworkInterfaceAttribute`
+ `ec2:DeleteNetworkInterface`
+ `ec2:CreateNetworkInterfacePermission`
+ `ec2:AssignIpv6Addresses`
+ `ec2:UnAssignIpv6Addresses`
Peran **AWSServiceRoleForVPCTransitGateway** mempercayai layanan berikut untuk mengambil peran:
+ `transitgateway.amazonaws.com`
**AWSServiceRoleForVPCTransitGateway** menggunakan kebijakan terkelola[AWSVPCTransitGatewayServiceRolePolicy](security-iam-awsmanpol.md#AWSVPCTransitGatewayServiceRolePolicy).
Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat [Izin peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.
### Membuat peran terkait layanan
Anda tidak perlu membuat peran **AWSServiceRoleForVPCTransitGateway** secara manual. Amazon VPC membuat peran ini untuk Anda saat Anda melampirkan VPC di akun Anda ke gateway transit.
### Mengedit peran terkait layanan
Anda dapat mengedit deskripsi **AWSServiceRoleForVPCTransitGateway** menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit deskripsi peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console) di Panduan Pengguna *IAM*.
### Menghapus peran terkait layanan
**Jika Anda tidak perlu lagi menggunakan gateway transit, kami sarankan Anda menghapus AWSService RoleFor VPCTransit Gateway.**
Anda dapat menghapus peran terkait layanan ini hanya setelah Anda menghapus semua lampiran VPC gateway transit di akun Anda. AWS Ini memastikan bahwa Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses lampiran VPC Anda.
Anda dapat menggunakan konsol IAM, CLI IAM, atau API IAM untuk menghapus peran terkait layanan . Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) di Panduan Pengguna *IAM*.
Setelah Anda menghapus **AWSServiceRoleForVPCTransitGateway**, Amazon VPC membuat peran lagi jika Anda melampirkan VPC di akun Anda ke gateway transit.
# AWS kebijakan terkelola untuk gateway transit di AWS Transit Gateway
Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.
Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan [kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) yang khusus untuk kasus penggunaan Anda.
Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.
Untuk informasi selengkapnya, lihat [Kebijakan terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.
Untuk bekerja dengan gateway transit, salah satu kebijakan AWS terkelola berikut mungkin memenuhi kebutuhan Anda:
+ [Amazon EC2 FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2FullAccess.html)
+ [Amazon EC2 ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ReadOnlyAccess.html)
+ [PowerUserAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/PowerUserAccess.html)
+ [ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ReadOnlyAccess.html)
## AWS kebijakan terkelola: AWSVPCTransit GatewayServiceRolePolicy
Kebijakan ini dilampirkan pada peran [AWSServiceRoleForVPCTransitGateway](service-linked-roles.md). Hal ini memungkinkan Amazon VPC untuk membuat dan mengelola sumber daya untuk lampiran gateway transit Anda.
Untuk melihat izin kebijakan ini, lihat [AWSVPCTransitGatewayServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSVPCTransitGatewayServiceRolePolicy.html)di *Referensi Kebijakan AWS Terkelola*.
## Pembaruan gateway transit ke kebijakan AWS terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk gateway transit sejak Amazon VPC mulai melacak perubahan ini pada Maret 2021.
| Ubah | Deskripsi | Date |
| --- | --- | --- |
| Amazon VPC mulai melacak perubahan | Amazon VPC mulai melacak perubahan pada kebijakan yang AWS dikelola. | 1 Maret 2021 |
# Jaringan ACLs untuk gateway transit di AWS Transit Gateway
Network Access Control List (NACL) adalah lapisan keamanan opsional.
Aturan Network Access Control List (NACL) diterapkan secara berbeda, tergantung pada skenario:
+ [Subnet yang sama untuk instans EC2 dan asosiasi gateway transit](#nacl-tgw-same-subnet)
+ [Subnet berbeda untuk instans EC2 dan asosiasi gateway transit](#nacl-tgw-different-subnet)
## Subnet yang sama untuk instans EC2 dan asosiasi gateway transit
Pertimbangkan konfigurasi di mana Anda memiliki instans EC2 dan asosiasi gateway transit di subnet yang sama. ACL jaringan yang sama digunakan untuk lalu lintas dari instans EC2 ke gateway transit dan lalu lintas dari gateway transit ke instans.
Aturan NACL diterapkan sebagai berikut untuk lalu lintas dari instance ke gateway transit:
+ Aturan keluar menggunakan alamat IP tujuan untuk evaluasi.
+ Aturan masuk menggunakan alamat IP sumber untuk evaluasi.
Aturan NACL diterapkan sebagai berikut untuk lalu lintas dari gateway transit ke instance:
+ Aturan keluar tidak dievaluasi.
+ Aturan masuk tidak dievaluasi.
## Subnet berbeda untuk instans EC2 dan asosiasi gateway transit
Pertimbangkan konfigurasi di mana Anda memiliki instans EC2 dalam satu subnet dan asosiasi gateway transit di subnet yang berbeda, dan setiap subnet dikaitkan dengan ACL jaringan yang berbeda.
Aturan ACL jaringan diterapkan sebagai berikut untuk subnet instans EC2:
+ Aturan keluar menggunakan alamat IP tujuan untuk mengevaluasi lalu lintas dari instance ke gateway transit.
+ Aturan masuk menggunakan alamat IP sumber untuk mengevaluasi lalu lintas dari gateway transit ke instance.
Aturan NACL diterapkan sebagai berikut untuk subnet gateway transit:
+ Aturan keluar menggunakan alamat IP tujuan untuk mengevaluasi lalu lintas dari gateway transit ke instance.
+ Aturan keluar tidak digunakan untuk mengevaluasi lalu lintas dari instance ke gateway transit.
+ Aturan masuk menggunakan alamat IP sumber untuk mengevaluasi lalu lintas dari instance ke gateway transit.
+ Aturan masuk tidak digunakan untuk mengevaluasi lalu lintas dari gateway transit ke instans.
## Praktik Terbaik
Gunakan subnet terpisah untuk setiap lampiran VPC gateway transit. Untuk setiap subnet, gunakan CIDR kecil, misalnya /28, sehingga Anda memiliki lebih banyak alamat untuk sumber daya EC2. Saat Anda menggunakan subnet terpisah, Anda dapat mengonfigurasi yang berikut:
+ Biarkan NACL masuk dan keluar yang terkait dengan subnet gateway transit tetap terbuka.
+ Tergantung pada arus lalu lintas Anda, Anda dapat menerapkan NACLs ke subnet beban kerja Anda.
Untuk informasi selengkapnya tentang cara kerja lampiran VPC, lihat. [Lampiran sumber daya](how-transit-gateways-work.md#tgw-attachments-overview)