全部产品
Search

搜索本产品

    ApsaraMQ for Kafka:Memberikan izin kepada pengguna RAM

    文档中心

    ApsaraMQ for Kafka:Memberikan izin kepada pengguna RAM

    更新时间:Mar 11, 2026

    Ketika beberapa anggota tim perlu mengelola resource ApsaraMQ for Kafka—instans, topik, dan kelompok konsumen—berbagi satu pasangan AccessKey akun Alibaba Cloud menimbulkan risiko keamanan. Resource Access Management (RAM) memungkinkan Anda membuat identitas pengguna individual dengan izin terbatas, sehingga setiap orang atau aplikasi hanya dapat mengakses resource yang diperlukannya.

    Dengan pengguna RAM, Anda memperoleh:

    • Akses terbatas — setiap pengguna RAM memiliki identitas independen dan izin terbatas.

    • Penagihan terpusat — semua biaya resource ditagihkan ke akun Alibaba Cloud, bukan ke masing-masing pengguna RAM.

    • Kontrol penuh — Anda dapat mencabut izin atau menghapus pengguna RAM kapan saja.

    Langkah 1: Membuat pengguna RAM

    1. Masuk ke Konsol RAM menggunakan akun Alibaba Cloud Anda atau pengguna RAM yang memiliki hak istimewa administratif.

    2. Di panel navigasi sebelah kiri, pilih Identities > Users.

    3. Pada halaman Users, klik Create User.

      Create User button

    4. Pada bagian User Account Information, konfigurasikan bidang-bidang berikut:

      Klik Add User untuk membuat beberapa pengguna RAM sekaligus.
      FieldDescription
      Logon NameMaksimal 64 karakter. Mendukung huruf, angka, titik (.), tanda hubung (-), dan garis bawah (_).
      Display NameMaksimal 128 karakter.
      TagKlik ikon edit dan masukkan pasangan kunci-nilai tag. Tag membantu Anda mengatur dan menyaring pengguna RAM.

    5. Pada bagian Access Mode, pilih mode akses. Untuk keamanan, tetapkan hanya satu mode akses per pengguna RAM agar identitas manusia dan program tetap terpisah. Console Access — untuk anggota tim yang beroperasi melalui konsol Alibaba Cloud. Using permanent AccessKey to access — untuk aplikasi yang memanggil API secara programatis. Sistem akan menghasilkan ID AccessKey dan Rahasia AccessKey secara otomatis. Untuk detailnya, lihat Obtain an AccessKey pair.

      Penting

      - Rahasia AccessKey hanya ditampilkan sekali, saat pembuatan. Simpan segera — Anda tidak dapat mengambilnya kembali nanti. - Pasangan AccessKey adalah kredensial permanen. Jika bocor, semua resource di bawah akun tersebut berisiko. Untuk beban kerja produksi, gunakan Token Layanan Keamanan (STS) sebagai gantinya.

      ParameterDescription
      Set Console PasswordPilih Automatically Regenerate Default Password atau Reset Custom Password. Kata sandi kustom harus memenuhi persyaratan kompleksitas yang ditentukan dalam kebijakan kata sandi Anda.
      Password ResetApakah pengguna RAM harus mengatur ulang kata sandi saat login berikutnya.
      Enable MFAApakah akan mengaktifkan autentikasi multi-faktor (MFA). Setelah Anda mengaktifkan MFA, bind an MFA device ke pengguna RAM tersebut.

    6. Klik OK.

    7. Lengkapi verifikasi keamanan sesuai prompt.

    Langkah 2: Memberikan izin kepada pengguna RAM

    Anda dapat menyambungkan kebijakan baik dari halaman Users maupun halaman Grants. Kedua jalur tersebut membuka panel Grant Permission yang sama.

    Dari halaman Users

    1. Di Konsol RAM, pilih Identities > Users.

    2. Temukan pengguna RAM target dan klik Add Permissions di kolom Actions.Tip: Pilih beberapa pengguna RAM dan klik Add Permissions di bagian bawah halaman untuk memberikan izin secara massal.

      Add Permissions on Users page

    Dari halaman Grants

    1. Di Konsol RAM, pilih Permissions > Grants.

    2. Pada halaman Permission, klik Grant Permission.

      Grant Permission on Grants page

    Konfigurasikan panel Grant Permission

    Pada panel Grant Permission, isi bidang-bidang berikut:

    1. Resource Scope — pilih cakupan otorisasi:

      ScopeEffect
      AccountKebijakan berlaku untuk seluruh akun Alibaba Cloud.
      ResourceGroupKebijakan hanya berlaku untuk kelompok sumber daya tertentu. Layanan cloud target harus mendukung kelompok sumber daya. Sebagai contoh, lihat Use a resource group to grant permissions for a specific ECS instance.

    2. Principal — pengguna RAM yang akan diberi otorisasi. Jika Anda memulai dari halaman Users, pengguna saat ini sudah dipilih sebelumnya. Dari halaman Grants, Anda dapat memilih beberapa pengguna.

    3. Policy — pilih satu atau beberapa kebijakan untuk disambungkan.

      Penting

      Konsol menandai kebijakan sistem berisiko tinggi seperti AdministratorAccess dan AliyunRAMFullAccess. Jangan sambungkan kebijakan ini kecuali pengguna RAM benar-benar memerlukan akses administratif penuh.

      TypeDescription
      System policyDibuat sebelumnya oleh Alibaba Cloud dan read-only. Alibaba Cloud mengelola pembaruan versinya. Lihat Services that work with RAM.
      Custom policyDibuat dan dikelola oleh Anda. Menentukan aturan akses detail halus untuk resource tertentu. Lihat Create a custom policy.

    4. Klik Grant permissions.

    5. Klik Close.

    Login sebagai pengguna RAM

    Setelah izin diberikan, pengguna RAM dapat mengakses ApsaraMQ for Kafka dengan cara berikut:

    Akses konsol

    1. Buka halaman RAM User Logon.

    2. Masukkan nama login, klik Next, masukkan kata sandi, lalu klik Log On. Nama login mengikuti salah satu format berikut: <$AccountAlias> adalah alias akun. Jika tidak ada alias yang ditetapkan, gunakan ID akun Alibaba Cloud.

      • <$username>@<$AccountAlias>

      • <$username>@<$AccountAlias>.onaliyun.com

    Akses API

    Gunakan ID AccessKey dan Rahasia AccessKey pengguna RAM dalam kode aplikasi Anda untuk mengautentikasi permintaan API ke ApsaraMQ for Kafka.