Dengan fitur pengguna RAM dari Resource Access Management (RAM), Anda dapat membagi izin, memberikan izin berbeda kepada pengguna RAM sesuai kebutuhan, serta menghindari risiko keamanan akibat paparan kunci akun Alibaba Cloud.
Skenario
Berikut ini adalah contoh penggunaan RAM untuk menerapkan kontrol akses:
Menggunakan pengguna RAM untuk mengelola izin
Perusahaan A telah membeli berbagai produk Alibaba Cloud untuk sebuah proyek (Proyek-X), seperti Instance ECS, Instance RDS, Instance SLB, dan Bucket OSS. Beberapa karyawan perlu melakukan operasi pada sumber daya cloud tersebut. Setiap karyawan memerlukan izin yang berbeda untuk melaksanakan tugasnya. Perusahaan A memiliki persyaratan berikut:
- Untuk alasan keamanan atau kepercayaan, A tidak ingin langsung mengungkapkan kunci akun cloud kepada karyawan, tetapi ingin membuat akun independen untuk setiap karyawan.
- Pengguna RAM hanya dapat melakukan operasi pada sumber daya setelah diberikan izin yang sesuai. A dapat mencabut izin pada akun pengguna kapan saja, atau menghapus akun pengguna yang dibuatnya kapan saja.
- Tidak perlu melakukan pemantauan dan penagihan terpisah untuk akun pengguna, karena semua biaya ditanggung oleh A.
Untuk memenuhi persyaratan di atas, Anda dapat menggunakan fungsi manajemen otorisasi RAM untuk menerapkan desentralisasi pengguna dan manajemen sumber daya terpadu.
Menggunakan peran RAM untuk mengakses sumber daya lintas akun
Akun Alibaba Cloud A dan Akun Alibaba Cloud B mewakili perusahaan yang berbeda. A membeli berbagai sumber daya cloud untuk menjalankan bisnis, seperti Instance ECS, Instance RDS, Instance SLB, dan Bucket OSS.
- Perusahaan A ingin fokus pada sistem bisnis dan menugaskan tugas-tugas seperti O&M sumber daya cloud, pemantauan, dan manajemen kepada Perusahaan B.
- Perusahaan B dapat menetapkan izin akses sumber daya A kepada satu atau lebih karyawannya, serta mengontrol izin operasi karyawan tersebut pada sumber daya dengan halus.
- Jika hubungan O&M antara A dan B dihentikan, A dapat mencabut otorisasi kepada B kapan saja.
Untuk memenuhi persyaratan di atas, Anda dapat menggunakan peran RAM untuk menerapkan otorisasi lintas akun dan kontrol akses sumber daya.
Kebijakan
Tabel berikut mencantumkan kebijakan sistem yang didukung oleh ARMS.
Kebijakan izin | Tipe | Deskripsi |
AliyunARMSFullAccess | Sistem | Izin akses penuh ARMS |
AliyunARMSReadOnlyAccess | Sistem | Izin baca-saja ARMS Penting Untuk memberikan izin baca-saja pada semua fitur ARMS ke grup sumber daya tertentu, Anda harus melampirkan kebijakan AliyunARMSReadOnlyAccess dan memberikan izin ReadTraceApp ke grup sumber daya tersebut. Jika tidak, ARMS tidak dapat menampilkan daftar aplikasi yang termasuk dalam grup sumber daya yang diautentikasi. |