Jika kebijakan sistem dari Application Real-Time Monitoring Service (ARMS) tidak memenuhi persyaratan bisnis Anda, Anda dapat membuat kebijakan kustom untuk menerapkan prinsip hak istimewa minimal. Gunakan kebijakan kustom untuk mengelola izin secara lebih rinci dan meningkatkan keamanan akses sumber daya. Topik ini menjelaskan cara melampirkan kebijakan kustom ke pengguna RAM.
Apa itu kebijakan kustom?
Kebijakan Manajemen Akses Sumber Daya (RAM) diklasifikasikan menjadi kebijakan sistem dan kebijakan kustom. Anda dapat mengelola kebijakan kustom sesuai dengan persyaratan bisnis Anda.
Setelah membuat kebijakan kustom, Anda harus melampirkannya ke pengguna RAM, grup pengguna RAM, atau peran RAM agar izin yang ditentukan dalam kebijakan dapat diberikan kepada entitas utama.
Anda dapat menghapus kebijakan RAM yang tidak dilampirkan ke entitas utama. Namun, jika kebijakan RAM telah dilampirkan, Anda harus melepasnya terlebih dahulu sebelum dapat menghapusnya.
Kebijakan kustom mendukung kontrol versi. Anda dapat mengelola versi kebijakan kustom menggunakan mekanisme manajemen versi yang disediakan oleh RAM.
Referensi
Prasyarat
Secara default, akun Alibaba Cloud yang mengaktifkan ARMS setelah pukul 00:00 pada 1 April 2022 dapat melampirkan kebijakan kustom ke pengguna RAM. Akun lainnya harus submit a ticket.
Anda memiliki pengetahuan dasar tentang elemen, struktur, dan sintaksis kebijakan sebelum membuat kebijakan kustom. Untuk informasi lebih lanjut, lihat Elemen Dasar Kebijakan.
Kebijakan sistem ReadOnlyAccess atau AliyunARMSReadOnlyAccess dilampirkan ke pengguna RAM untuk memastikan bahwa pengguna RAM dapat masuk ke konsol ARMS.
PentingUntuk memberikan izin baca-saja pada semua fitur ARMS ke grup sumber daya tertentu, Anda harus melampirkan kebijakan AliyunARMSReadOnlyAccess dan memberikan izin ReadTraceApp ke grup sumber daya tersebut. Jika tidak, ARMS tidak dapat menampilkan daftar aplikasi yang termasuk dalam grup sumber daya yang diautentikasi.
Kebijakan sistem AliyunARMSFullAccess tidak dilampirkan ke pengguna RAM.
Informasi latar belakang
Kebijakan sistem yang disediakan oleh ARMS bersifat kasar. Jika kebijakan sistem tidak memenuhi persyaratan Anda, buatlah kebijakan kustom untuk menerapkan kontrol akses yang lebih rinci. Misalnya, jika Anda perlu memberikan izin operasi pada aplikasi tertentu kepada pengguna RAM, Anda harus membuat kebijakan kustom untuk memenuhi kebutuhan tersebut.
Langkah 1: Buat kebijakan kustom
Masuk ke konsol RAM sebagai pengguna RAM dengan hak administratif.
Di panel navigasi di sebelah kiri, pilih .
Di halaman Policies, klik Create Policy.
Di halaman Create Policy, klik tab JSON. Konfigurasikan kebijakan izin di editor.
Untuk informasi lebih lanjut, lihat Elemen Kebijakan.
Contoh berikut menunjukkan izin baca-saja pada aplikasi yang berada di wilayah China (Hangzhou) dan terkait dengan tag
key0: value01ataukey0: value02.{ "Version": "1", "Statement": [ { "Action": [ "arms:ReadTraceApp" ], "Resource": "acs:arms:cn-hangzhou:*:armsapp/*", "Effect": "Allow", "Condition": { "StringEquals": { "arms:tag/key0":[ "value01", "value02" ] } } } ] }Klik Optimize di bagian atas. Di pesan Optimalkan, klik Perform untuk mengoptimalkan kebijakan.
Sistem melakukan operasi berikut selama optimasi tingkat lanjut:
Memisahkan sumber daya atau kondisi yang tidak kompatibel dengan tindakan.
Mempersempit sumber daya.
Menghilangkan duplikat atau menggabungkan pernyataan kebijakan.
Di halaman Create Policy, klik OK.
Di kotak dialog Create Policy, konfigurasikan parameter Name dan Description, lalu klik OK.
Langkah 2: Lampirkan kebijakan kustom
Lampirkan kebijakan kustom ke pengguna RAM
Masuk ke konsol RAM sebagai administrator RAM.
Di panel navigasi di sebelah kiri, pilih .
Di halaman Users, temukan pengguna RAM yang diperlukan, dan klik Add Permissions di kolom Actions.
Anda juga dapat memilih beberapa pengguna RAM dan klik Add Permissions di bagian bawah halaman untuk memberikan izin kepada pengguna RAM sekaligus.
Di panel Grant Permission, berikan izin kepada pengguna RAM.
Konfigurasikan parameter Account.
Account: Otorisasi berlaku untuk akun Alibaba Cloud saat ini.
Resource Group: Otorisasi berlaku untuk grup sumber daya tertentu.
PentingJika Anda memilih Grup Sumber Daya untuk parameter Cakupan Sumber Daya, pastikan layanan cloud yang diperlukan mendukung grup sumber daya. Untuk informasi lebih lanjut, lihat Layanan yang Bekerja dengan Grup Sumber Daya. Untuk informasi lebih lanjut tentang cara memberikan izin pada grup sumber daya, lihat Gunakan Grup Sumber Daya untuk Memberikan Izin kepada Pengguna RAM Mengelola Instance ECS Tertentu.
Konfigurasikan parameter Principal.
Principal adalah pengguna RAM yang ingin Anda berikan izin. Pengguna RAM saat ini dipilih secara otomatis.
Konfigurasikan parameter Kebijakan.
Kebijakan berisi satu set izin. Kebijakan dapat diklasifikasikan menjadi kebijakan sistem dan kebijakan kustom. Anda dapat memilih beberapa kebijakan sekaligus.
Kebijakan sistem: kebijakan yang dibuat oleh Alibaba Cloud. Anda dapat menggunakan tetapi tidak dapat mengubah kebijakan ini. Pembaruan versi kebijakan dipertahankan oleh Alibaba Cloud. Untuk informasi lebih lanjut, lihat Layanan yang Bekerja dengan RAM.
CatatanSistem secara otomatis mengidentifikasi kebijakan sistem berisiko tinggi, seperti AdministratorAccess dan AliyunRAMFullAccess. Kami merekomendasikan agar Anda tidak memberikan izin yang tidak perlu dengan melampirkan kebijakan berisiko tinggi.
Kebijakan kustom: Anda dapat mengelola dan memperbarui kebijakan kustom berdasarkan persyaratan bisnis Anda. Anda dapat membuat, memperbarui, dan menghapus kebijakan kustom. Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom.
Klik Grant permissions.
Klik Close.
Lampirkan kebijakan kustom ke peran RAM
Masuk ke konsol RAM sebagai administrator RAM.
Di panel navigasi di sebelah kiri, pilih .
Di halaman Roles, temukan peran RAM yang ingin Anda kelola dan klik Grant Permission di kolom Actions.
Anda juga dapat memilih beberapa peran RAM dan klik Grant Permission di bagian bawah daftar peran RAM untuk memberikan izin kepada beberapa peran RAM sekaligus.
Di panel Grant Permission, berikan izin kepada peran RAM.
Konfigurasikan parameter Cakupan Sumber Daya.
Account: Otorisasi berlaku untuk akun Alibaba Cloud saat ini.
Resource Group: Otorisasi berlaku untuk grup sumber daya tertentu.
CatatanJika Anda memilih Grup Sumber Daya untuk parameter Cakupan Sumber Daya, pastikan layanan cloud yang diperlukan mendukung grup sumber daya. Untuk informasi lebih lanjut, lihat Layanan yang Bekerja dengan Grup Sumber Daya.
Konfigurasikan parameter Principal.
Principal adalah peran RAM yang ingin Anda berikan izin. Peran RAM saat ini dipilih secara otomatis.
Konfigurasikan parameter Kebijakan.
Kebijakan adalah satu set izin akses. Anda dapat memilih beberapa kebijakan sekaligus.
Kebijakan sistem: kebijakan yang dibuat oleh Alibaba Cloud. Anda dapat menggunakan tetapi tidak dapat mengubah kebijakan ini. Pembaruan versi kebijakan dipertahankan oleh Alibaba Cloud. Untuk informasi lebih lanjut, lihat Layanan yang Bekerja dengan RAM.
CatatanSistem secara otomatis mengidentifikasi kebijakan sistem berisiko tinggi, seperti AdministratorAccess dan AliyunRAMFullAccess. Kami merekomendasikan agar Anda tidak memberikan izin yang tidak perlu dengan melampirkan kebijakan berisiko tinggi.
Kebijakan kustom: Anda dapat mengelola dan memperbarui kebijakan kustom berdasarkan persyaratan bisnis Anda. Anda dapat membuat, memperbarui, dan menghapus kebijakan kustom. Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom.
Klik Grant permissions.
Klik Close.
Setelah melampirkan kebijakan ke peran RAM, Anda dapat menggunakan peran RAM untuk masuk ke konsol ARMS. Untuk informasi lebih lanjut, lihat Asumsikan Peran RAM.
Elemen kebijakan
Effect
Menentukan apakah hasil pernyataan adalah izin eksplisit atau penolakan eksplisit. Nilai valid: Allow dan Deny.
Action
Action | Deskripsi |
arms:ReadTraceApp | Izin baca-saja pada aplikasi yang ditentukan, termasuk izin untuk melihat informasi seperti gambaran aplikasi, panggilan antarmuka, dan diagnosis aplikasi. |
arms:EditTraceApp | Izin edit pada aplikasi yang ditentukan, termasuk izin untuk menerapkan konfigurasi kustom dan menyetel parameter kustom. |
arms:DeleteTraceApp | Izin untuk menghapus aplikasi yang ditentukan. |
Resource
Menentukan sumber daya tempat kebijakan berlaku.
Contoh pernyataan:
"Resource": [
"acs:arms:<regionid>:*:armsapp/<appname>"
]Ganti
<regionid>dengan ID wilayah yang ditentukan. Jika Anda ingin memberikan izin pada sumber daya di semua wilayah, ganti <regionid> dengan*.Ganti
<appname>dengan nama aplikasi yang ditentukan. Jika Anda ingin memberikan izin pada semua aplikasi, ganti <appname> dengan*. Jika Anda ingin menentukan aplikasi yang memiliki awalan nama yang sama, ganti <appname> denganAwalan Nama*. Contoh:k8s*.
Condition
Blok kondisi berisi satu atau lebih kondisi. Setiap kondisi terdiri dari operator, kunci, dan nilai. 
Deskripsi:
Anda dapat menentukan satu atau lebih nilai untuk kunci kondisi. Jika nilai dalam permintaan cocok dengan salah satu nilai yang ditentukan, kondisi terpenuhi.
Kondisi dapat memiliki beberapa kunci yang dilampirkan ke operator kondisional tunggal. Jenis kondisi ini hanya terpenuhi jika semua persyaratan untuk kunci terpenuhi.
Blok kondisi hanya terpenuhi jika semua kondisi terpenuhi.
Anda dapat menentukan sumber daya menggunakan pasangan kunci-nilai. Untuk informasi lebih lanjut tentang cara melampirkan tag ke aplikasi, lihat Kelola Tag.
Pasangan kunci-nilai mendukung operator berikut:
StringEquals
StringNotEquals
StringEqualsIgnoreCase
StringNotEqualsIgnoreCase
StringLike
StringNotLike
Kunci kondisi: arms:tag
Nilai kunci kondisi: pasangan kunci-nilai
Contoh berikut menunjukkan kondisi yang cocok dengan aplikasi yang terkait dengan tag key0: value01 atau key0: value02.
"Condition": {
"StringEquals": { // Operator.
"arms:tag/key0":[ // Kunci kondisi.
"value01", // Nilai kunci kondisi.
"value02"
]
}
}Referensi
Untuk menggunakan kebijakan kustom, Anda harus memahami persyaratan kontrol izin bisnis Anda dan informasi otorisasi ARMS. Untuk informasi lebih lanjut, lihat Otorisasi RAM.