Resource Access Management (RAM) adalah layanan manajemen identitas dan akses dari Alibaba Cloud. RAM memungkinkan Anda membuat dan mengelola pengguna (Pengguna RAM) di bawah Akun Alibaba Cloud serta memberikan mereka izin tertentu. Hal ini memungkinkan Anda untuk memberikan atau menolak akses ke sumber daya cloud secara lebih rinci, meningkatkan keamanan dan kontrol operasional.
Latar Belakang
Pengguna RAM termasuk dalam Akun Alibaba Cloud dan tidak dapat memiliki sumber daya apa pun. Semua sumber daya dimiliki oleh Akun Alibaba Cloud.
Jika Pengguna RAM membuat AnalyticDB for MySQL, kluster tersebut dimiliki oleh Akun Alibaba Cloud. Secara default, hanya Pengguna RAM tersebut dan Akun Alibaba Cloud yang dapat mengakses atau mengelola kluster. Pengguna RAM lainnya harus diberi izin.
Kasus penggunaan
Jika beberapa pengguna di organisasi Anda perlu mengakses AnalyticDB for MySQL dengan Akun Alibaba Cloud Anda, praktik umum namun tidak aman adalah semua pengguna berbagi Pasangan Kunci Akses Akun Alibaba Cloud Anda.
Berbagi Pasangan Kunci Akses Akun Alibaba Cloud Anda dengan beberapa pengguna menimbulkan risiko keamanan berikut:
Kunci Anda dibagikan di antara beberapa orang, yang meningkatkan risiko kunci tersebut disalahgunakan.
Anda tidak dapat mengontrol operasi yang dapat dilakukan pengguna tertentu pada kluster, seperti penskalaan ulang atau memulai ulang kluster tersebut.
Solusi yang direkomendasikan adalah menggunakan RAM. Dengan membuat Pengguna RAM individu dan memberikan mereka izin tertentu, Anda dapat mengelola akses ke AnalyticDB for MySQL Anda secara aman.
Sebelum Anda mulai
Untuk mengizinkan Pengguna RAM mengakses atau mengelola AnalyticDB for MySQL Anda, ikuti dua langkah berikut:
Buat Pengguna RAM
Masuk ke Konsol RAM.
Di panel navigasi di sebelah kiri, pilih .
Di halaman Users, klik Create User. Masukkan Logon Name dan Display Name.
CatatanKlik Add User untuk membuat beberapa Pengguna RAM sekaligus.
Di bagian Access Mode, pilih Console Access atau Using permanent AccessKey to access.
Console Access: Konfigurasikan pengaturan keamanan logon dasar. Ini mencakup penggunaan kata sandi logon yang dihasilkan otomatis atau kustom, meminta reset kata sandi saat logon berikutnya, dan mengaktifkan Autentikasi Multi-Faktor (MFA).
Using permanent AccessKey to access: Pasangan AccessKey akan dibuat secara otomatis untuk Pengguna RAM. Pengguna RAM dapat menggunakan pasangan ini dengan alat pengembangan untuk mengakses AnalyticDB for MySQL.
Untuk keamanan akun yang lebih baik, pilih hanya satu mode akses untuk setiap Pengguna RAM. Ini membantu mencegah pengguna yang keluar dari organisasi Anda mengakses AnalyticDB for MySQL Anda dengan Pasangan AccessKey.
Klik OK untuk membuat Pengguna RAM.
Berikan izin kepada Pengguna RAM
Masuk ke Konsol RAM.
Di panel navigasi di sebelah kiri, pilih .
Di halaman Users, temukan Pengguna RAM target dan klik Add Permissions di kolom Aksi.
Di halaman Add Permissions, pilih System Policy dari daftar drop-down. Cari kebijakan berdasarkan nama dan klik untuk menambahkannya ke bagian Selected.
PeringatanJangan berikan izin berlebihan. Pengguna yang terlalu banyak hak istimewa dapat melakukan operasi apa pun, yang dapat menyebabkan risiko keamanan atau kehilangan data.
Deskripsi kebijakan:
Izin untuk kluster Edisi Perusahaan, Edisi Dasar, dan Edisi Data Lakehouse:
AliyunADBReadOnlyAccess: Memberikan akses read-only ke kluster Edisi Perusahaan, Edisi Dasar, dan Edisi Data Lakehouse.
AliyunADBFullAccess: Memberikan izin untuk mengelola kluster Edisi Perusahaan, Edisi Dasar, dan Edisi Data Lakehouse.
AliyunADBDeveloperAccess: Memberikan izin pengembang untuk kluster Edisi Perusahaan, Edisi Dasar, dan Edisi Data Lakehouse. Dibandingkan dengan kebijakan AliyunADBFullAccess, AliyunADBDeveloperAccess tidak mencakup izin untuk membuat, menghapus, atau mengubah konfigurasi kluster, atau menyambungkan Pengguna RAM.
Izin untuk kluster Edisi Gudang Data (V3.0):
AliyunADBReadOnlyAccess: Memberikan akses read-only ke kluster Edisi Gudang Data (V3.0).
AliyunADBFullAccess: Memberikan izin untuk mengelola kluster Edisi Gudang Data (V3.0).
Klik OK untuk memberikan izin.
Setelah Anda memberikan izin, Pengguna RAM dapat mengakses atau mengelola AnalyticDB for MySQL Anda.
Buat kebijakan kustom
Untuk memberikan izin detail halus kepada Pengguna RAM untuk operasi pada instans tertentu, Anda dapat membuat kebijakan kustom di RAM.
Masuk ke Konsol RAM.
Di panel navigasi di sebelah kiri, pilih .
Buat kebijakan. Topik ini menggunakan pembuatan kebijakan untuk mengelola AnalyticDB for MySQL sebagai contoh.
Pilih tab JSON.
Masukkan skrip kebijakan. Contoh berikut menunjukkan isi skrip.
Izin untuk mengelola instans am-xxx:
{ "Version": "1", "Statement": [ { "Action": ["adb:DescribeDBClusters", "adb:ListTagResources"], "Resource": "acs:adb:*:*:dbcluster/*", "Effect": "Allow" }, { "Action": "adb:*", "Resource": ["acs:adb:*:*:dbcluster/am-xxx"], "Effect": "Allow" } ] }Izin read-only untuk instans am-xxx:
{ "Version": "1", "Statement": [ { "Action": ["adb:DescribeDBClusters", "adb:ListTagResources"], "Resource": "acs:adb:*:*:dbcluster/*", "Effect": "Allow" }, { "Action": "adb:Describe*", "Resource": ["acs:adb:*:*:dbcluster/am-xxx"], "Effect": "Allow" } ] }Jika Pengguna RAM perlu mengelola atau memiliki akses read-only ke beberapa kluster, tambahkan ID kluster ke elemen
"Resource": ["acs:adb:*:*:dbcluster/am-xxx"]dalam skrip. Sebagai contoh:"Resource": ["acs:adb:*:*:dbcluster/am-xxx", "acs:adb:*:*:dbcluster/am-yyy"].Setelah Anda membuat kebijakan, Anda harus menyambungkannya ke Pengguna RAM.
Klik OK.
Masukkan nama kebijakan dan deskripsi, lalu klik OK.
Referensi
Untuk AnalyticDB for MySQL Edisi Perusahaan, Edisi Dasar, dan Edisi Data Lakehouse, menyambungkan akun standar database ke Pengguna RAM memungkinkan pengembangan database langsung di dalam editor SQL dan Spark di AnalyticDB for MySQL.
Jika Pengguna RAM tidak lagi membutuhkan izin tertentu atau meninggalkan organisasi, Anda dapat menghapus izin tersebut atau menghapus Pengguna RAM.