Berikan izin kepada pengguna RAM - ApsaraMQ for Kafka

Resource Access Management (RAM) memungkinkan Anda mengelola izin akun Alibaba Cloud dan pengguna RAM secara terpisah. Anda dapat memberikan izin berbeda kepada pengguna RAM untuk menghindari risiko keamanan yang disebabkan oleh pengungkapan pasangan AccessKey dari akun Alibaba Cloud.

Informasi latar belakang

Perusahaan A telah mengaktifkan ApsaraMQ for Kafka dan ingin memberikan izin berbeda kepada karyawannya dengan tugas berbeda untuk melakukan operasi pada sumber daya ApsaraMQ for Kafka, seperti instance, topik, dan grup konsumen. Karyawan dengan tugas berbeda memerlukan izin yang berbeda. Perusahaan A memiliki persyaratan berikut:

Untuk tujuan keamanan, perusahaan tidak ingin mengungkapkan pasangan AccessKey dari akun Alibaba Cloud mereka kepada karyawan. Sebagai gantinya, ia lebih memilih untuk membuat pengguna RAM yang berbeda untuk karyawan dan memberikan izin berbeda kepada pengguna RAM ini.
Hanya pengguna RAM yang diberi izin yang dapat mengelola sumber daya. Penggunaan sumber daya dan biaya tidak dihitung secara terpisah untuk setiap pengguna RAM. Semua biaya ditagihkan ke akun Alibaba Cloud Perusahaan A.
Perusahaan A dapat mencabut izin yang diberikan kepada pengguna RAM dan menghapus pengguna RAM kapan saja.

Langkah 1: Buat pengguna RAM

Perusahaan A menggunakan akun Alibaba Cloud-nya untuk masuk ke Konsol RAM dan membuat pengguna RAM.

Prosedur

Masuk ke Konsol RAM menggunakan akun Alibaba Cloud atau pengguna RAM yang memiliki hak administratif.
Di panel navigasi sisi kiri, pilih Identities > Users.
Di halaman Users, klik Create User.
Di bagian User Account Information pada halaman Create User, konfigurasikan parameter berikut:
- Logon Name: Nama logon dapat mencapai panjang hingga 64 karakter dan hanya boleh berisi huruf, angka, titik (.), tanda hubung (-), serta garis bawah (_).
- Display Name: Nama tampilan dapat memiliki panjang hingga 128 karakter.
- Tag: Klik ikon dan masukkan kunci tag dan nilai tag. Anda dapat menambahkan satu atau lebih tag ke pengguna RAM. Dengan cara ini, Anda dapat mengelola pengguna RAM berdasarkan tag tersebut.
Catatan
Anda dapat mengklik Add User untuk membuat beberapa pengguna RAM sekaligus.
Di bagian Access Mode, pilih mode akses dan konfigurasikan parameter yang diperlukan.
Untuk memastikan keamanan akun Alibaba Cloud Anda, kami sarankan Anda hanya memilih satu mode akses untuk pengguna RAM. Dengan cara ini, pengguna RAM untuk individu dipisahkan dari pengguna RAM untuk program.
- Console Access
  Jika pengguna RAM mewakili individu, kami sarankan Anda memilih Akses Konsol untuk pengguna RAM. Dengan cara ini, pengguna RAM dapat menggunakan nama pengguna dan kata sandi untuk mengakses Alibaba Cloud. Jika Anda memilih Akses Konsol, Anda harus mengonfigurasi parameter berikut:
  - Setel Kata Sandi Konsol: Anda dapat memilih Secara Otomatis Membuat Ulang Kata Sandi Default atau Atur Ulang Kata Sandi Kustom. Jika Anda memilih Atur Ulang Kata Sandi Kustom, Anda harus menentukan kata sandi. Kata sandi harus memenuhi persyaratan kompleksitas. Untuk informasi lebih lanjut, lihat Konfigurasikan kebijakan kata sandi untuk pengguna RAM.
  - Reset Kata Sandi: Menentukan apakah pengguna RAM diharuskan mereset kata sandi saat masuk berikutnya.
  - Aktifkan MFA: Menentukan apakah akan mengaktifkan otentikasi multi-faktor (MFA) untuk pengguna RAM. Setelah Anda mengaktifkan MFA, Anda harus mengikat perangkat MFA ke pengguna RAM. Untuk informasi lebih lanjut, lihat Ikat perangkat MFA ke pengguna RAM.
- Using permanent AccessKey to access
  Jika pengguna RAM mewakili program, Anda dapat memilih Gunakan AccessKey permanen untuk mengakses untuk pengguna RAM. Dengan cara ini, pengguna RAM dapat menggunakan pasangan AccessKey untuk mengakses Alibaba Cloud. Jika Anda memilih OpenAPI Access, sistem secara otomatis menghasilkan ID AccessKey dan Rahasia AccessKey untuk pengguna RAM. Untuk informasi lebih lanjut, lihat Dapatkan pasangan AccessKey.
  Penting
  Rahasia AccessKey untuk pengguna RAM hanya ditampilkan saat Anda membuat pasangan AccessKey. Anda tidak dapat menanyakan Rahasia AccessKey dalam operasi selanjutnya. Oleh karena itu, Anda harus mencadangkan Rahasia AccessKey Anda.
  Pasangan AccessKey adalah kredensial permanen untuk akses aplikasi. Jika pasangan AccessKey dari akun Alibaba Cloud bocor, sumber daya yang dimiliki akun tersebut terpapar pada risiko potensial. Untuk mencegah risiko kebocoran kredensial, kami sarankan Anda menggunakan Token Layanan Keamanan (STS). Untuk informasi lebih lanjut, lihat Praktik terbaik untuk menggunakan kredensial akses untuk memanggil operasi API.
Klik OK.
Lengkapi verifikasi keamanan sesuai petunjuk.

Langkah 2: Berikan izin kepada pengguna RAM

Metode 1: Berikan izin kepada pengguna RAM di halaman Pengguna

Masuk ke Konsol RAM sebagai administrator RAM.
Di panel navigasi sisi kiri, pilih Identities > Users.
Di halaman Users, temukan pengguna RAM yang diperlukan, dan klik Add Permissions di kolom Actions.
Anda juga dapat memilih beberapa pengguna RAM dan klik Add Permissions di bagian bawah halaman untuk memberikan izin kepada pengguna RAM sekaligus.
Di panel Grant Permission, berikan izin kepada pengguna RAM.
1. Konfigurasikan parameter Resource Scope.
  - Account: Otorisasi berlaku untuk akun Alibaba Cloud saat ini.
  - ResourceGroup: Otorisasi berlaku untuk grup sumber daya tertentu.
    Penting
    Jika Anda memilih Grup Sumber Daya untuk parameter Cakupan Sumber Daya, pastikan layanan cloud yang diperlukan mendukung grup sumber daya. Untuk informasi lebih lanjut, lihat Layanan yang bekerja dengan Grup Sumber Daya. Untuk informasi lebih lanjut tentang cara memberikan izin pada grup sumber daya, lihat Gunakan grup sumber daya untuk memberikan izin kepada pengguna RAM untuk mengelola instance ECS tertentu.
2. Konfigurasikan parameter Principal.
  Principal adalah pengguna RAM yang ingin Anda beri izin. Pengguna RAM saat ini dipilih secara otomatis.
3. Konfigurasikan parameter Kebijakan.
  Kebijakan berisi serangkaian izin. Kebijakan dapat diklasifikasikan menjadi kebijakan sistem dan kebijakan kustom. Anda dapat memilih beberapa kebijakan sekaligus.
  - Kebijakan sistem: kebijakan yang dibuat oleh Alibaba Cloud. Anda dapat menggunakan tetapi tidak dapat memodifikasi kebijakan ini. Pembaruan versi kebijakan dipertahankan oleh Alibaba Cloud. Untuk informasi lebih lanjut, lihat Layanan yang bekerja dengan RAM.
    Catatan
    Sistem secara otomatis mengidentifikasi kebijakan sistem berisiko tinggi, seperti AdministratorAccess dan AliyunRAMFullAccess. Kami sarankan Anda tidak memberikan izin yang tidak perlu dengan melampirkan kebijakan berisiko tinggi.
  - Kebijakan kustom: Anda dapat mengelola dan memperbarui kebijakan kustom berdasarkan kebutuhan bisnis Anda. Anda dapat membuat, memperbarui, dan menghapus kebijakan kustom. Untuk informasi lebih lanjut, lihat Buat kebijakan kustom.
4. Klik Grant permissions.
Klik Close.

Metode 2: Berikan izin kepada pengguna RAM di halaman Grants

Masuk ke Konsol RAM sebagai administrator RAM.
Di panel navigasi sisi kiri, pilih Permissions > Grants.
Di halaman Permission, klik Grant Permission.
Di panel Grant Permission, berikan izin kepada pengguna RAM.
1. Konfigurasikan parameter Cakupan Sumber Daya.
  - Account: Otorisasi berlaku untuk akun Alibaba Cloud saat ini.
  - Resource Group: Otorisasi berlaku untuk grup sumber daya tertentu.
    Penting
    Jika Anda memilih Grup Sumber Daya untuk parameter Cakupan Sumber Daya, pastikan layanan cloud yang diperlukan mendukung grup sumber daya. Untuk informasi lebih lanjut, lihat Layanan yang bekerja dengan Grup Sumber Daya. Untuk informasi lebih lanjut tentang cara memberikan izin pada grup sumber daya, lihat Gunakan grup sumber daya untuk memberikan izin kepada pengguna RAM untuk mengelola instance ECS tertentu.
2. Konfigurasikan parameter Principal.
  Principal adalah pengguna RAM yang ingin Anda beri izin. Anda dapat memilih beberapa pengguna RAM sekaligus.
3. Konfigurasikan parameter Kebijakan.
  Kebijakan berisi serangkaian izin. Kebijakan dapat diklasifikasikan menjadi kebijakan sistem dan kebijakan kustom. Anda dapat memilih beberapa kebijakan sekaligus.
  - Kebijakan sistem: kebijakan yang dibuat oleh Alibaba Cloud. Anda dapat menggunakan tetapi tidak dapat memodifikasi kebijakan ini. Pembaruan versi kebijakan dipertahankan oleh Alibaba Cloud. Untuk informasi lebih lanjut, lihat Layanan yang bekerja dengan RAM.
    Catatan
    Sistem secara otomatis mengidentifikasi kebijakan sistem berisiko tinggi, seperti AdministratorAccess dan AliyunRAMFullAccess. Kami sarankan Anda tidak memberikan izin yang tidak perlu dengan melampirkan kebijakan berisiko tinggi.
  - Kebijakan kustom: Anda dapat mengelola dan memperbarui kebijakan kustom berdasarkan kebutuhan bisnis Anda. Anda dapat membuat, memperbarui, dan menghapus kebijakan kustom. Untuk informasi lebih lanjut, lihat Buat kebijakan kustom.
4. Klik Grant permissions.
Klik Close.

Apa yang harus dilakukan selanjutnya

Karyawan Perusahaan A dapat menggunakan pengguna RAM untuk mengakses ApsaraMQ for Kafka dengan metode berikut:

Konsol
1. Buka halaman Log Masuk Pengguna RAM di browser.
2. Di halaman RAM User Logon, masukkan nama masuk pengguna RAM, klik Next, masukkan kata sandi, dan kemudian klik Log On.
  Catatan
  Nama masuk pengguna RAM dalam format <$username>@<$AccountAlias> atau <$username>@<$AccountAlias>.onaliyun.com. <$AccountAlias> adalah alias pengguna RAM. Jika tidak ada alias yang diatur, gunakan ID akun Alibaba Cloud.
API
Gunakan ID AccessKey dan Rahasia AccessKey pengguna RAM di kode untuk membuat permintaan API guna mengakses ApsaraMQ for Kafka.