Resource Access Management (RAM) memungkinkan Anda membuat akun pengguna terpisah untuk anggota tim dan memberikan masing-masing akun hanya izin yang diperlukan. Alih-alih membagikan pasangan AccessKey akun Alibaba Cloud—yang berisiko mengekspos kredensial—berikan pengguna RAM akses detail halus ke resource ApsaraMQ for RocketMQ seperti instance, topik, dan grup. Hanya pengguna RAM yang berwenang yang dapat mengelola resource di konsol ApsaraMQ for RocketMQ serta menerbitkan dan berlangganan pesan melalui SDK dan operasi API.
Manfaat:
Kontrol akses berbasis role. Berikan izin kepada developer untuk menerbitkan dan berlangganan pesan, sementara batasi operator hanya pada pembuatan dan pengelolaan resource.
Penagihan terpusat. Aktivitas pengguna RAM ditagihkan ke akun Alibaba Cloud induk tanpa pelacakan biaya terpisah.
Pencabutan instan. Hapus izin atau hapus pengguna RAM kapan saja.
Prasyarat
Sebelum memulai, pastikan Anda telah memiliki:
Akun Alibaba Cloud dengan ApsaraMQ for RocketMQ yang telah diaktifkan
Izin untuk mengelola pengguna RAM pada akun Alibaba Cloud
Untuk informasi latar belakang tentang RAM, lihat Apa itu RAM?.
Prosedur
Langkah 1: Buat pengguna RAM
Buat pengguna RAM untuk setiap anggota tim yang memerlukan akses ke ApsaraMQ for RocketMQ.
Untuk petunjuk lengkap, lihat Buat pengguna RAM.
Langkah 2 (Opsional): Buat kebijakan kustom
Buat kebijakan kustom untuk menentukan izin detail halus untuk instance, topik, dan grup.
Lihat Buat kebijakan kustom untuk petunjuk umum, dan Kebijakan kustom untuk ApsaraMQ for RocketMQ untuk contoh kebijakan spesifik produk ini.
Langkah 3: Lampirkan kebijakan ke pengguna RAM
Lampirkan kebijakan kustom ke pengguna RAM.
Untuk petunjuk langkah demi langkah, lihat Berikan izin kepada pengguna RAM.
Gunakan kredensial pengguna RAM
Setelah membuat pengguna RAM dan menetapkan izin, bagikan kredensial tersebut kepada anggota tim. Pengguna RAM dapat mengakses ApsaraMQ for RocketMQ melalui konsol atau API.
Masuk ke konsol
Buka halaman RAM User Logon.
Masukkan nama logon pengguna RAM, klik Next, masukkan password, lalu klik Login.
Catatan Nama logon menggunakan format<$username>@<$AccountAlias>atau<$username>@<$AccountAlias>.onaliyun.com.<$AccountAlias>adalah alias akun. Jika tidak ada alias akun yang ditetapkan, ID akun Alibaba Cloud akan digunakan sebagai gantinya.Di konsol Alibaba Cloud, cari ApsaraMQ for RocketMQ di bilah pencarian teratas untuk membuka konsol produk.
Panggil operasi API
Sertakan ID AccessKey dan rahasia AccessKey pengguna RAM dalam permintaan API Anda. Untuk membuat pasangan AccessKey bagi pengguna RAM, lihat Buat pasangan AccessKey.
Praktik terbaik
Terapkan prinsip least-privilege access. Berikan hanya izin minimum yang diperlukan untuk setiap tugas. Hindari pemberian akses administratif penuh kecuali benar-benar diperlukan.
Gunakan pengguna RAM terpisah untuk setiap orang. Jangan bagikan kredensial pengguna RAM antar anggota tim. Hal ini menghasilkan jejak audit yang akurat dan memudahkan pencabutan akses untuk individu tertentu.