Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Identity and Access Management di IVS Chat
AWS Identity and Access Management (IAM) adalah AWS layanan yang membantu administrator akun mengontrol akses ke sumber daya dengan aman. AWS Lihat [Identity and Access Management di IVS](https://docs.aws.amazon.com/ivs/latest/LowLatencyUserGuide/security-iam.html) di Panduan Pengguna *Streaming Latensi Rendah IVS*.
## Audiens
Cara Anda menggunakan (IAM) akan berbeda-beda, bergantung pada pekerjaan yang Anda lakukan di Amazon IVS. Lihat [Audiens](https://docs.aws.amazon.com/ivs/latest/LowLatencyUserGuide/security-iam.html#security-iam-audience) di *Panduan Pengguna Streaming Latensi Rendah IVS*.
## Cara kerja Amazon IVS dengan IAM
Sebelum dapat membuat permintaan API Amazon IVS, Anda harus membuat satu atau beberapa *identitas* IAM (pengguna, grup, dan peran) serta *kebijakan* IAM, lalu lampirkan kebijakan ke identitas. Diperlukan waktu hingga beberapa menit agar izin disebarkan; sampai saat itu, permintaan API akan ditolak.
Untuk mendapatkan tampilan tingkat tinggi tentang cara kerja Amazon IVS dengan IAM, lihat [Layanan AWS yang Bekerja dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dalam *Panduan Pengguna IAM*.
## Identitas
Anda dapat membuat identitas IAM untuk memberikan otentikasi bagi orang dan proses di akun Anda. AWS Grup IAM adalah kumpulan pengguna IAM yang dapat Anda kelola sebagai satu unit. Lihat [Identitas (Pengguna, Grup, dan Peran)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) di *Panduan Pengguna IAM*.
## Kebijakan
Kebijakan adalah dokumen kebijakan izin JSON yang terdiri atas *elemen-elemen*. Lihat [Kebijakan](https://docs.aws.amazon.com/ivs/latest/LowLatencyUserGuide/security-iam.html#security-iam-policies) di *Panduan Pengguna Streaming Latensi Rendah IVS*.
Obrolan Amazon IVS mendukung tiga elemen:
+ **Tindakan** — Tindakan kebijakan untuk Obrolan Amazon IVS menggunakan prefiks `ivschat` sebelum tindakan. Misalnya, guna memberikan izin kepada seseorang untuk membuat ruang Obrolan Amazon IVS dengan metode API `CreateRoom` Obrolan Amazon IVS, Anda menyertakan tindakan `ivschat:CreateRoom` dalam kebijakan untuk orang tersebut. Pernyataan kebijakan harus memuat elemen `Action` atau `NotAction`.
+ **Sumber daya** - Sumber daya ruang Obrolan Amazon IVS memiliki format [ARN](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) berikut:
```
arn:aws:ivschat:${Region}:${Account}:room/${roomId}
```
Misalnya, untuk menentukan ruang `VgNkEJgOVX9N` dalam pernyataan Anda, gunakan ARN berikut:
```
"Resource": "arn:aws:ivschat:us-west-2:123456789012:room/VgNkEJgOVX9N"
```
Beberapa tindakan Obrolan Amazon IVS, seperti yang digunakan untuk membuat sumber daya, tidak dapat dijalankan pada sumber daya tertentu. Dalam kasus tersebut, Anda harus menggunakan wildcard (`*`):
```
"Resource":"*"
```
+ **Persyaratan** — Obrolan Amazon IVS mendukung beberapa kunci persyaratan global: `aws:RequestTag`, `aws:TagKeys`, dan `aws:ResourceTag`.
Anda dapat memanfaatkan variabel sebagai placeholder dalam sebuah kebijakan. Misalnya, Anda dapat memberikan izin kepada pengguna IAM untuk mengakses sumber daya hanya jika izin tersebut ditandai dengan nama pengguna IAM pengguna. Lihat [Variabel dan Tanda](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) dalam *Panduan Pengguna IAM*.
Amazon IVS menyediakan kebijakan yang dikelola AWS yang dapat digunakan untuk memberikan seperangkat izin yang telah dikonfigurasi sebelumnya kepada identitas (hanya baca atau akses penuh). Anda dapat memilih untuk menggunakan kebijakan terkelola alih-alih kebijakan berbasis identitas yang ditunjukkan di bawah ini. Untuk detailnya, lihat [Kebijakan Terkelola untuk Obrolan Amazon IVS](https://docs.aws.amazon.com//ivs/latest/LowLatencyUserGuide/security-iam-awsmanpol.html).
## Otorisasi Berdasarkan Tanda Amazon IVS
Anda dapat melampirkan tanda ke sumber daya Obrolan Amazon IVS atau memberikan tanda dalam sebuah permintaan ke Obrolan Amazon IVS. Untuk mengontrol akses berdasarkan tanda, Anda harus memberikan informasi tanda di elemen persyaratan sebuah kebijakan dengan menggunakan kunci syarat `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, atau `aws:TagKeys`. Untuk informasi selengkapnya tentang menandai sumber daya Obrolan Amazon IVS, lihat “Penandaan” di [Referensi API Obrolan IVS](https://docs.aws.amazon.com/ivs/latest/ChatAPIReference/Welcome.html).
## Peran
Lihat [Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) dan [Kredensial Keamanan Sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) di *Panduan Pengguna IAM*.
*Peran* IAM adalah entitas di dalam akun AWS Anda yang memiliki izin tertentu.
Amazon IVS mendukung penggunaan *kredensial keamanan sementara*. Anda dapat menggunakan kredensial sementara untuk masuk ke federasi, mengasumsikan peran IAM, atau mengasumsikan peran lintas akun. Anda memperoleh kredensial keamanan sementara dengan memanggil operasi API [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) seperti `AssumeRole` atau `GetFederationToken`.
## Hak Akses Istimewa dan Tidak Istimewa
Sumber daya API memiliki akses istimewa. Akses pemutaran yang tidak memiliki hak istimewa dapat diatur melalui saluran pribadi; lihat [Menyiapkan Saluran Pribadi IVS](https://docs.aws.amazon.com//ivs/latest/LowLatencyUserGuide/private-channels.html).
## Praktik Terbaik untuk Kebijakan
Lihat [Praktik Terbaik IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.
Kebijakan berbasis identitas adalah pilihan yang sangat tepat. Kebijakan tersebut menentukan apakah seseorang dapat membuat, mengakses, atau menghapus sumber daya Amazon IVS di akun Anda. Tindakan ini dapat menimbulkan biaya untuk AWS akun Anda. Ikuti rekomendasi ini:
+ **Berikan hak akses paling rendah** — Ketika Anda membuat kebijakan kustom, berikan hanya izin yang diperlukan untuk melakukan tugas. Mulai dengan set izin minimum dan berikan izin tambahan sesuai kebutuhan. Hal itu lebih aman daripada memulai dengan izin yang terlalu fleksibel, lalu mencoba memperketatnya nanti. Secara khusus, simpan `ivschat:*` untuk akses admin; jangan menggunakannya dalam aplikasi.
+ **Aktifkan autentikasi multi-faktor (MFA) untuk operasi sensitif** — Untuk keamanan ekstra, mintalah pengguna IAM untuk menggunakan MFA guna mengakses sumber daya atau operasi API yang sensitif.
+ **Gunakan syarat kebijakan untuk keamanan ekstra** — Selama bisa dilakukan, tentukan persyaratan agar kebijakan berbasis identitas Anda mengizinkan akses ke sumber daya. Misalnya, Anda dapat menulis persyaratan untuk menentukan rentang alamat IP yang diizinkan untuk mengajukan permintaan. Anda juga dapat menulis persyaratan untuk mengizinkan permintaan hanya dalam rentang tanggal atau waktu tertentu, atau untuk mensyaratkan penggunaan SSL atau MFA.
## Contoh Kebijakan Berbasis Identitas
### Gunakan Konsol Amazon IVS
Untuk mengakses konsol Amazon IVS, Anda harus memiliki set izin minimum yang memungkinkan Anda untuk membuat daftar dan melihat detail tentang sumber daya Obrolan Amazon IVS di akun AWS Anda. Jika Anda membuat kebijakan berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan, konsol tersebut tidak akan berfungsi sebagaimana mestinya untuk identitas dengan kebijakan tersebut. Untuk memastikan akses ke konsol Amazon IVS, lampirkan kebijakan berikut ke identitas (lihat [Menambahkan dan Menghapus Izin IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) dalam *Panduan Pengguna IAM*).
Bagian-bagian dari kebijakan berikut menyediakan akses ke:
+ Semua operasi API Obrolan Amazon IVS
+ [Kuota layanan](service-quotas.md) Obrolan Amazon IVS Anda
+ Mencantumkan lambda dan menambahkan izin untuk lambda yang dipilih untuk moderasi Obrolan Amazon IVS
+ Amazon Cloudwatch untuk mendapatkan metrik bagi sesi obrolan Anda
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "ivschat:*",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"servicequotas:ListServiceQuotas"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"cloudwatch:GetMetricData"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"lambda:AddPermission",
"lambda:ListFunctions"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## Kebijakan Berbasis Sumber Daya untuk Obrolan Amazon IVS
Anda harus memberikan izin layanan Obrolan Amazon IVS untuk menginvokasi sumber daya lambda guna meninjau pesan. Untuk melakukannya, ikuti petunjuk di [Menggunakan kebijakan berbasis sumber daya untuk Lambda (dalam Panduan Pengembang AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html)*) dan isi AWS kolom* seperti yang ditentukan di bawah ini.
Untuk mengontrol akses ke sumber daya lambda, Anda dapat menggunakan persyaratan berdasarkan:
+ `SourceArn` — Contoh kebijakan kami memanfaatkan wildcard (`*`) agar semua ruang di akun Anda dapat menginvokasi lambda. Secara opsional, Anda dapat menentukan ruang di akun untuk mengizinkan hanya ruang tersebut yang dapat menginvokasi lambda.
+ `SourceAccount`— Dalam contoh kebijakan di bawah ini, ID AWS akun adalah`123456789012`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Principal": {
"Service": "ivschat.amazonaws.com"
},
"Action": [
"lambda:InvokeFunction"
],
"Effect": "Allow",
"Resource": "arn:aws:lambda:us-west-2:123456789012:function:name",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "123456789012"
},
"ArnLike": {
"AWS:SourceArn": "arn:aws:ivschat:us-west-2:123456789012:room/*"
}
}
}
]
}
```
------
## Pemecahan masalah
Lihat [Pemecahan Masalah](https://docs.aws.amazon.com//ivs/latest/LowLatencyUserGuide/security-iam.html#security-iam-troubleshooting) dalam *Panduan Pengguna Streaming Latensi Rendah IVS* untuk informasi tentang mendiagnosis dan memperbaiki masalah umum yang mungkin Anda temui saat bekerja dengan Obrolan Amazon IVS dan IAM.