Alibaba Cloud memungkinkan Anda menggunakan Resource Access Management (RAM) dan Security Token Service (STS) untuk mengontrol akses ke sumber daya di akun Anda secara fleksibel dan aman. Topik ini menjelaskan cara melampirkan kebijakan sistem ke pengguna RAM.
Prasyarat
Pengguna RAM harus dibuat menggunakan akun Alibaba Cloud Anda. Untuk informasi lebih lanjut, lihat Buat Pengguna RAM.
Informasi latar belakang
Alibaba Cloud memungkinkan Anda menggunakan Resource Access Management (RAM) dan Security Token Service (STS) untuk mengontrol akses ke repositori gambar secara fleksibel dan aman. Secara default, akun Alibaba Cloud memiliki izin penuh terhadap semua sumber daya yang dimilikinya. Anda dapat menggunakan RAM dan STS untuk memberikan izin berbeda kepada pengguna RAM serta menyediakan izin akses sementara. Sebelum mengonfigurasi kebijakan otorisasi, baca Dokumentasi RAM.
Setelah mengonfigurasi kebijakan otorisasi untuk pengguna RAM, Anda harus masuk ke konsol Container Registry menggunakan pengguna RAM, membuat instance Edisi Personal, dan menetapkan kata sandi registri sebelum dapat melihat gambar yang memiliki izin bagi pengguna tersebut.
Berikan izin kepada pengguna RAM
Sebelum memberikan izin kepada pengguna RAM, pastikan bahwa Anda tidak memberikan izin melebihi yang diperlukan kepada pengguna tersebut.
Memberikan izin AdministratorAccess kepada pengguna RAM mencakup izin manajemen pada semua sumber daya Alibaba Cloud. Dalam hal ini, pengguna RAM memiliki semua izin pada Container Registry, terlepas dari apakah izin tersebut telah diberikan sebelumnya.
Kebijakan sistem dalam Container Registry
Secara default, kebijakan AliyunContainerRegistryFullAccess dan AliyunContainerRegistryReadOnlyAccess tersedia untuk Container Registry. Anda dapat langsung melampirkan kebijakan ini ke pengguna RAM.
AliyunContainerRegistryFullAccess
Kebijakan ini memberikan pengguna RAM izin yang sama dengan akun Alibaba Cloud terhadap sumber daya gambar. Pengguna RAM dapat melakukan semua operasi pada sumber daya gambar.
{ "Statement": [ { "Action": "cr:*", "Effect": "Allow", "Resource": "*" } ], "Version": "1" }AliyunContainerRegistryReadOnlyAccess
Kebijakan ini memberikan pengguna RAM izin hanya-baca terhadap semua sumber daya gambar. Misalnya, pengguna RAM dapat melihat daftar repositori dan menarik gambar.
{ "Statement": [ { "Action": [ "cr:Get*", "cr:List*", "cr:Pull*" ], "Effect": "Allow", "Resource": "*" } ], "Version": "1" }
Prosedur
Contoh ini melampirkan kebijakan AliyunContainerRegistryReadOnlyAccess ke pengguna RAM.
Masuk ke konsol RAM sebagai administrator RAM.
Di panel navigasi sisi kiri, pilih .
Di halaman Users, temukan pengguna RAM yang diperlukan, lalu klik Add Permissions di kolom Actions.
Anda juga dapat memilih beberapa pengguna RAM dan klik Add Permissions di bagian bawah halaman untuk memberikan izin kepada pengguna RAM sekaligus.
Di panel Grant Permission, berikan izin kepada pengguna RAM.
Konfigurasikan parameter Ruang Lingkup Sumber Daya.
Account: Izin berlaku untuk akun Alibaba Cloud saat ini.
ResourceGroup: Izin berlaku untuk grup sumber daya tertentu.
CatatanJika Anda memilih Grup Sumber Daya untuk parameter Ruang Lingkup Sumber Daya, pastikan layanan cloud mendukung grup sumber daya. Untuk informasi lebih lanjut, lihat Layanan yang Bekerja dengan Grup Sumber Daya.
Tentukan subjek utama.
Subjek utama adalah pengguna RAM yang ingin Anda berikan izin. Secara default, pengguna RAM saat ini ditentukan. Anda juga dapat menentukan pengguna RAM lainnya.
Masukkan AliyunContainerRegistryReadOnlyAccess di kotak pencarian Policy untuk mencari kebijakan tersebut, lalu pilih kebijakan AliyunContainerRegistryReadOnlyAccess.
Klik Grant permissions.
Klik Close.
Referensi
Untuk informasi tentang cara memberikan izin granular kepada pengguna RAM, lihat Lampirkan Kebijakan Kustom ke Pengguna RAM.
Untuk informasi tentang aturan autentikasi, lihat Aturan Autentikasi RAM.