Menggunakan Pengguna Resource Access Management (RAM) daripada Akun Alibaba Cloud adalah praktik terbaik keamanan yang sangat penting. Karena Akun Alibaba Cloud memiliki izin tanpa batas, disarankan untuk tidak menggunakannya dalam tugas harian setelah membuat Pengguna RAM sebagai administrator.
Mengapa menggunakan Pengguna RAM daripada Akun Alibaba Cloud?
Tabel berikut membandingkan Akun Alibaba Cloud dengan Pengguna Resource Access Management (RAM) dalam hal identitas dan izin. RAM adalah layanan Alibaba Cloud yang memungkinkan Anda mengelola identitas pengguna dan izin akses sumber daya. Untuk informasi lebih lanjut, lihat Apa itu Resource Access Management?. Tabel tersebut juga mencakup rekomendasi kami.
Item | Akun Alibaba Cloud | Pengguna RAM |
Peran Identitas | Pemilik sumber daya. Memiliki kepemilikan penuh atas semua aset dan izin tertinggi. | Pengguna sumber daya dan layanan. Izin diberikan oleh Akun Alibaba Cloud. Pengguna RAM biasanya sesuai dengan orang atau aplikasi tertentu. |
Memiliki sumber daya cloud | Ya | Tidak. Sumber daya dimiliki oleh Akun Alibaba Cloud. |
Izin default | Izin penuh. Tidak dapat dibatasi. | Tidak ada izin secara default. Harus diberikan izin oleh Akun Alibaba Cloud. |
Penggunaan yang direkomendasikan | Hanya untuk operasi manajemen kunci, seperti otorisasi, pembayaran, dan manajemen akun. | Pengembangan harian, O&M, penerapan, dan tugas lainnya. |
Pengguna RAM tidak dapat melihat data Akun Alibaba Cloud atau mengelola konfigurasi apa pun di Pusat Akun.
Praktik terbaik untuk keamanan akun
Buat Pengguna RAM dengan hak istimewa administrator khusus untuk manajemen dan operasi teknis sehari-hari.
Gunakan Akun Alibaba Cloud Anda hanya jika benar-benar diperlukan. Simpan kata sandi dan kredensial terkait, seperti otentikasi multi-faktor (MFA), dengan aman.
Lakukan semua operasi harian menggunakan Pengguna administrator RAM. Ini mencegah paparan Akun Alibaba Cloud Anda di lingkungan kerja harian.
Buat Pengguna RAM dengan izin administrator
Ikuti langkah-langkah berikut untuk masuk dengan Akun Alibaba Cloud Anda dan buat Pengguna RAM untuk bertindak sebagai administrator.
Pembuatan Cepat
Gunakan Akun Alibaba Cloud Anda untuk masuk ke Konsol RAM. Di halaman Overview, klik QuickStart > Account Administrator.
Tinjau parameter konfigurasi untuk Account Administrator dan klik Perform.
Secara default, administrator akun ini memiliki akses konsol yang diaktifkan dan Kebijakan Sistem AdministratorAccess yang disertakan. Kebijakan ini memberikan izin untuk mengelola semua sumber daya Alibaba Cloud.
Setelah konfigurasi selesai, simpan nama pengguna RAM dan kata sandi logon untuk administrator akun ini.
Setelah administrator akun dibuat, Anda dapat memodifikasi parameter konfigurasinya di menu yang sesuai di Konsol RAM.
Buat secara manual
Buat Pengguna RAM
Masuk ke Konsol RAM dengan Akun Alibaba Cloud Anda. Di panel navigasi di sebelah kiri, pilih Identities > Users. Lalu, klik Create User.
Masukkan informasi untuk Pengguna RAM.
Nama Logon: Masukkan nama untuk administrator, seperti administrator.
Nama Tampilan: Masukkan alias untuk identifikasi mudah, seperti Administrator.
Mode Akses: Pilih mode akses. Jika Anda memilih OpenAPI Access, lanjutkan dengan hati-hati. Lihat Praktik Terbaik untuk Menggunakan Kredensial Akses untuk Mengakses OpenAPI Alibaba Cloud.
Otentikasi Multi-Faktor (MFA): Pilih opsi yang diperlukan untuk Enable MFA. Lihat Menyambungkan Perangkat MFA ke Pengguna RAM.
Ikuti petunjuk di layar untuk menyelesaikan otentikasi keamanan.
Berikan izin kepada Pengguna RAM
Di halaman Users, temukan Pengguna RAM target dan klik Add Permissions di kolom Actions.
Di panel Grant Permission, lampirkan Policy sistem bernama AdministratorAccess ke Pengguna RAM. Kebijakan ini memberikan izin untuk mengelola semua sumber daya Alibaba Cloud.
Masuk dengan Pengguna RAM
Keluar dari Akun Alibaba Cloud Anda segera.
Masuk ke konsol dengan Pengguna RAM. Buka halaman logon Pengguna RAM. Masukkan Username RAM, klik Next, masukkan Password RAM, dan klik Log On.
Mulai sekarang, gunakan Pengguna administrator RAM ini untuk semua tugas harian, seperti manajemen sumber daya cloud, pengembangan, dan Operasi dan Pemeliharaan (O&M).
FAQ
Apa perbedaan utama antara Pengguna RAM ini dan Akun Alibaba Cloud?
Perbedaan utama adalah sumber dan manajemen izin. Akun Alibaba Cloud memiliki izin bawaan tertinggi yang tidak dapat dicabut atau dibatasi oleh akun lain. Izin Pengguna RAM diberikan oleh Akun Alibaba Cloud dan dapat dimodifikasi, dicabut, atau dinonaktifkan kapan saja.
Jika kredensial administrator RAM disalahgunakan, masuk dengan Akun Alibaba Cloud Anda untuk menghapus atau menonaktifkan Pengguna RAM, sehingga mengurangi risiko. Namun, jika Akun Alibaba Cloud Anda disalahgunakan, semua sumber daya dan izin Anda berisiko.
Selain itu, beberapa operasi tingkat tinggi, seperti verifikasi identitas, memodifikasi informasi akun, dan menutup akun, masih memerlukan Akun Alibaba Cloud. Pengguna RAM tidak memiliki izin untuk operasi ini.