全部产品
Search

搜索本产品

    ApsaraMQ for RabbitMQ:Memberikan izin kepada pengguna RAM

    文档中心

    ApsaraMQ for RabbitMQ:Memberikan izin kepada pengguna RAM

    更新时间:Mar 08, 2026

    Resource Access Management (RAM) memungkinkan Anda mengelola izin Akun Alibaba Cloud dan pengguna RAM secara terpisah. Anda dapat memberikan izin yang berbeda kepada pengguna RAM sesuai kebutuhan bisnis, sehingga membantu mencegah risiko keamanan akibat kebocoran Pasangan Kunci Akses (AccessKey pair) Akun Alibaba Cloud.

    Informasi latar belakang

    Enterprise A telah mengaktifkan ApsaraMQ for RabbitMQ. Perusahaan tersebut meminta karyawannya untuk mengelola sumber daya ApsaraMQ for RabbitMQ, seperti instans, virtual host (vhost), antrian (queue), dan exchange. Karena tanggung jawab pekerjaan karyawan berbeda-beda, mereka memerlukan izin yang berbeda pula. Enterprise A memiliki persyaratan berikut:

    • Karena alasan keamanan, Enterprise A tidak ingin mengekspos Pasangan Kunci Akses (AccessKey pair) Akun Alibaba Cloud-nya kepada karyawan. Sebagai gantinya, perusahaan ingin membuat akun pengguna terpisah untuk setiap karyawan.

    • Akun pengguna hanya dapat mengelola sumber daya setelah diberikan izin yang diperlukan. Penggunaan sumber daya oleh setiap akun pengguna tidak diukur secara terpisah untuk penagihan. Semua biaya dibebankan ke Akun Alibaba Cloud perusahaan.

    • Perusahaan dapat mencabut izin akun pengguna atau menghapus akun pengguna tersebut kapan saja.

    Langkah 1: Buat pengguna RAM

    Masuk ke Konsol RAM menggunakan Akun Alibaba Cloud milik Enterprise A dan buat pengguna RAM untuk seorang karyawan.

    Prosedur

    Konsol

    1. Masuk ke Konsol RAM menggunakan Akun Alibaba Cloud Anda atau sebagai administrator RAM (misalnya dengan kebijakan AliyunRAMFullAccess).

    2. Di panel navigasi sebelah kiri, pilih Identity > Users.

    3. Pada halaman Users, klik Create User.

    4. Pada bagian User Account Information di halaman Create User, konfigurasikan informasi dasar pengguna.

      • Logon Name (wajib): Nama logon dapat berisi huruf, angka, titik (.), tanda hubung (-), dan garis bawah (_). Panjangnya maksimal 64 karakter.

      • Display Name (opsional): Nama tampilan dapat mencapai panjang maksimum 128 karakter.

      • Tag (opsional): Klik ikon edit dan masukkan kunci tag serta nilai tag. Tag membantu Anda mengkategorikan dan mengelola pengguna RAM.

      Catatan

      Klik Add User untuk membuat beberapa pengguna RAM sekaligus.

    5. Pada bagian Access Mode, pilih mode akses berdasarkan jenis pengguna.

      Penting

      • Sebagai praktik keamanan terbaik, kami merekomendasikan memilih hanya satu mode akses per pengguna. Hal ini menciptakan pemisahan yang jelas antara pengguna manusia yang memerlukan akses konsol dan aplikasi yang memerlukan akses programatik.

      • Pasangan AccessKey adalah kredensial jangka panjang untuk akses programatik. Jika Pasangan AccessKey bocor, keamanan seluruh sumber daya dalam akun Anda berisiko. Kami merekomendasikan penggunaan token Security Token Service (STS) sebagai kredensial sementara untuk mengurangi risiko kebocoran kredensial. Untuk informasi lebih lanjut, lihat Praktik terbaik penggunaan kredensial akses untuk memanggil operasi API.

      Console access

      Untuk pengguna manusia, seperti karyawan, pilih Console Access.

      • Set Logon Password: Pilih salah satu opsi kata sandi berikut:

      • Password Reset: Menentukan apakah pengguna RAM harus mengatur ulang kata sandi pada saat login berikutnya.

      • Enable MFA: Secara default, autentikasi multi-faktor (MFA) wajib digunakan saat login. Untuk mengubah pengaturan ini, lihat Kelola pengaturan keamanan pengguna RAM. Pengguna RAM harus mengikat perangkat MFA saat login pertama kali. Untuk informasi lebih lanjut, lihat Ikatan perangkat MFA ke pengguna RAM.

      Programmatic access

      Untuk aplikasi atau sistem, pilih Using permanent AccessKey to access.

      Setelah Anda mengaktifkan opsi ini, sistem secara otomatis membuat ID AccessKey dan Rahasia AccessKey (AccessKey secret) untuk pengguna RAM tersebut.

      Penting

      Rahasia AccessKey (AccessKey secret) hanya ditampilkan sekali saat pembuatan dan tidak dapat diambil kembali nanti. Ini adalah satu-satunya kesempatan Anda untuk melihat dan menyimpan rahasia tersebut. Anda harus menyalin dan menyimpan rahasia tersebut ke lokasi yang aman segera atau klik Download CSV File untuk mengunduh file tersebut. Jika Pasangan AccessKey bocor, keamanan seluruh sumber daya dalam akun Anda akan terganggu. Untuk informasi lebih lanjut, lihat Buat Pasangan AccessKey.

    API

    Buat pengguna RAM untuk akses konsol

    1. Panggil GetDefaultDomain untuk mendapatkan akhiran logon default akun Anda. Formatnya adalah <AccountAlias>.onaliyun.com.

    2. Panggil CreateUser untuk membuat pengguna RAM. Parameter yang diperlukan adalah sebagai berikut:

      1. UserPrincipalName: Nama logon pengguna RAM. Formatnya adalah <username>@<AccountAlias>.onaliyun.com. <username> adalah nama pengguna RAM, dan <AccountAlias>.onaliyun.com adalah akhiran logon default.

      2. DisplayName: Nama tampilan pengguna RAM. Nilainya dapat berbeda dari <username>.

    3. Panggil CreateLoginProfile untuk membuat profil login pengguna, yang memungkinkan akses konsol. Pengaturan yang direkomendasikan untuk beberapa parameter adalah sebagai berikut:

      1. UserPrincipalName: Nama logon pengguna RAM yang Anda buat pada langkah sebelumnya.

      2. Password: Tetapkan kata sandi yang memenuhi persyaratan kompleksitas kata sandi akun Anda. Anda dapat memanggil GetPasswordPolicy untuk menanyakan kebijakan kata sandi pengguna RAM.

      3. MFABindRequired: Kami merekomendasikan agar Anda mewajibkan MFA untuk pengguna RAM. Untuk melakukan ini, atur parameter ini ke true.

      4. Status: Menentukan apakah login berbasis kata sandi ke konsol diaktifkan. Pertahankan nilai default Active.

    Buat pengguna RAM untuk akses programatik

    1. Panggil GetDefaultDomain untuk mendapatkan akhiran logon default akun Anda dalam format <AccountAlias>.onaliyun.com.

    2. Panggil CreateUser untuk membuat pengguna RAM. Parameter yang diperlukan adalah sebagai berikut:

      1. UserPrincipalName: Nama logon pengguna RAM. Formatnya adalah <username>@<AccountAlias>.onaliyun.com. <username> adalah nama pengguna RAM, dan <AccountAlias>.onaliyun.com adalah akhiran logon default.

      2. DisplayName: Nama tampilan pengguna RAM. Nilainya dapat berbeda dari <username>.

    3. Panggil CreateAccessKey untuk membuat Pasangan AccessKey. Anda hanya perlu menentukan UserPrincipalName untuk pengguna RAM yang Anda buat pada langkah sebelumnya.

      Penting

      Operasi API CreateAccessKey mengembalikan ID AccessKey dan Rahasia AccessKey (AccessKey secret). Ini adalah satu-satunya kesempatan Anda untuk melihat dan menyimpan rahasia tersebut. Anda harus segera menyalin dan menyimpannya ke lokasi yang aman. Jika Pasangan AccessKey bocor, keamanan seluruh sumber daya dalam akun Anda akan terganggu. Untuk informasi lebih lanjut, lihat Buat AccessKey.

    Langkah 2: Berikan izin kepada pengguna RAM

    Berikan izin yang berbeda kepada pengguna RAM yang berbeda.

    1. Masuk ke Konsol RAM sebagai administrator RAM.

    2. Di panel navigasi sebelah kiri, pilih Identities > Users.

    3. Pada halaman Users, temukan pengguna RAM yang diperlukan, lalu klik Add Permissions di kolom Actions.

      image

      Anda juga dapat memilih beberapa pengguna RAM sekaligus dan klik Add Permissions di bagian bawah halaman untuk memberikan izin kepada pengguna RAM tersebut secara bersamaan.

    4. Pada panel Add Permissions, berikan izin kepada pengguna RAM.

      1. Pilih Authorized Scope.

        • Account: Izin berlaku untuk Akun Alibaba Cloud saat ini.

        • Resource Group Level: Izin dibatasi pada kelompok sumber daya tertentu.

          Catatan

          Izin pada kelompok sumber daya tertentu hanya berlaku jika layanan cloud mendukung kelompok sumber daya. Untuk informasi lebih lanjut, lihat Layanan yang kompatibel dengan Resource Group.

      2. Tentukan principal.

        Principal adalah pengguna RAM yang akan diberikan izin.

      3. Pilih Policy.

        Kebijakan akses adalah kumpulan izin akses. Terdapat dua jenis:

        • Kebijakan sistem: Kebijakan yang dibuat oleh Alibaba Cloud. Anda dapat menggunakan tetapi tidak dapat mengubah kebijakan ini. Alibaba Cloud mengelola versi kebijakan tersebut. Untuk informasi lebih lanjut, lihat Layanan yang kompatibel dengan RAM.

        • Kebijakan kustom: kebijakan yang Anda kelola. Anda dapat membuat, memperbarui, dan menghapus kebijakan kustom untuk mengelola versi-versinya. Untuk informasi selengkapnya, lihat Membuat kebijakan kustom.

        Catatan

        Sistem secara otomatis mengidentifikasi kebijakan sistem berisiko tinggi, seperti AdministratorAccess dan AliyunRAMFullAccess. Hindari menyambungkan kebijakan berisiko tinggi yang memberikan izin yang tidak diperlukan.

      4. Klik Confirm New Authorization.

    5. Klik Close.

    Langkah selanjutnya

    Setelah Enterprise A memberikan izin kepada pengguna RAM, karyawan yang menggunakan pengguna RAM tersebut dapat mengakses ApsaraMQ for RabbitMQ dengan salah satu cara berikut.

    • Konsol

      1. Buka browser, lalu akses halaman login pengguna RAM.

      2. Pada halaman RAM User Logon, masukkan nama pengguna RAM, klik Next, masukkan kata sandi pengguna RAM, lalu klik Log On.

        Catatan

        Nama login pengguna RAM berformat <$username>@<$AccountAlias> atau <$username>@<$AccountAlias>.onaliyun.com. <$AccountAlias> adalah alias akun. Jika tidak ada alias akun yang ditentukan, ID Akun Alibaba Cloud digunakan secara default.

    • API

      Dalam kode Anda, gunakan ID AccessKey dan Rahasia AccessKey (AccessKey secret) pengguna RAM untuk memanggil API guna mengakses ApsaraMQ for RabbitMQ.