Gunakan Peran RAM untuk Mengakses Sumber Daya Lintas Akun Alibaba Cloud - Application Real-Time Monitoring Service

Anda dapat menggunakan akun Alibaba Cloud dari Perusahaan A untuk membuat peran RAM, memberikan izin kepada peran tersebut, dan menetapkannya ke Perusahaan B. Dengan cara ini, akun Alibaba Cloud dari Perusahaan B atau pengguna RAM yang termasuk dalam akun tersebut dapat mengakses sumber daya Alibaba Cloud dari Perusahaan A.

Informasi latar belakang

Jika Perusahaan A telah membeli berbagai sumber daya cloud untuk menjalankan bisnis dan perlu memberikan otorisasi kepada Perusahaan B untuk menjalankan beberapa bisnis atas namanya, Anda dapat menggunakan peran RAM untuk mencapai tujuan ini. Peran RAM tidak memiliki kata sandi logon tertentu atau pasangan AccessKey. Peran RAM hanya dapat digunakan setelah diasumsikan oleh entitas tepercaya. Untuk memenuhi kebutuhan Perusahaan A, ikuti langkah-langkah berikut:

Perusahaan A membuat peran RAM.
Perusahaan A menambahkan izin ke peran RAM.
Perusahaan B membuat pengguna RAM.
Perusahaan B menambahkan izin AliyunSTSAssumeRoleAccess ke pengguna RAM.
Pengguna RAM dari Perusahaan B mengakses sumber daya Perusahaan A melalui konsol atau API.

Application Real-Time Monitoring Service (ARMS) menyediakan dua kebijakan sistem untuk memberikan izin penuh atau izin baca saja. Anda dapat memilih kebijakan sistem berdasarkan kebutuhan bisnis Anda.

AliyunARMSFullAccess: Memberikan izin penuh kepada pengguna RAM pada ARMS. Pengguna RAM dapat melihat, mengedit, atau menghapus instance dari semua layanan sub.
Catatan
Setelah Anda melampirkan kebijakan AliyunARMSFullAccess ke pengguna RAM, Anda tidak perlu melampirkan kebijakan AliyunARMSReadOnlyAccess ke pengguna RAM tersebut.
AliyunARMSReadOnlyAccess: Memberikan izin baca saja kepada pengguna RAM pada ARMS. Pengguna RAM dapat melihat informasi instance dari setiap layanan sub dan tidak dapat memodifikasi atau menghapus informasi tersebut.
Penting
Untuk memberikan izin baca saja pada semua fitur ARMS ke grup sumber daya tertentu, Anda harus melampirkan kebijakan AliyunARMSReadOnlyAccess dan memberikan izin ReadTraceApp ke grup sumber daya tersebut. Jika tidak, ARMS tidak dapat menampilkan daftar aplikasi yang termasuk dalam grup sumber daya yang diautentikasi.

Langkah 1: Buat peran RAM dengan akun Perusahaan A

Gunakan akun Alibaba Cloud dari Perusahaan A untuk masuk ke Konsol RAM dan buat peran RAM.

Masuk ke Konsol RAM sebagai pengguna RAM yang memiliki hak administratif.
Di panel navigasi di sebelah kiri, pilih Identities > Roles.
Di halaman Roles, klik Create Role.
Di halaman Create Role, atur parameter Principal Type menjadi Cloud Account, tentukan akun Alibaba Cloud, dan klik OK.
- Current Account: Jika Anda ingin pengguna RAM atau peran RAM yang termasuk dalam akun Alibaba Cloud Anda mengasumsikan peran RAM, pilih Current Account.
- Other Account: Jika Anda ingin pengguna RAM atau peran RAM yang termasuk dalam akun Alibaba Cloud lain mengasumsikan peran RAM, pilih Other Account dan masukkan ID akun Alibaba Cloud. Opsi ini disediakan untuk memberikan izin pada sumber daya yang termasuk dalam akun Alibaba Cloud yang berbeda. Untuk informasi lebih lanjut, lihat Gunakan peran RAM untuk memberikan izin lintas akun Alibaba Cloud. Anda dapat melihat ID akun Alibaba Cloud Anda di halaman Pengaturan Keamanan.
Opsional. Jika Anda ingin peran RAM diasumsikan hanya oleh pengguna RAM atau peran RAM tertentu yang termasuk dalam akun Alibaba Cloud tepercaya, klik Switch to Policy Editor dan modifikasi kebijakan kepercayaan peran RAM di editor.
Editor mendukung mode Editor Visual dan JSON. Dalam contoh berikut, hanya pengguna RAM Alice dalam akun Alibaba Cloud dengan ID 100******0719 yang dapat mengasumsikan peran RAM.
- Editor Visual
  Tentukan pengguna RAM untuk elemen Principal.
- JSON
  Tentukan pengguna RAM untuk bidang RAM dari parameter Principal.
```
{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "RAM": "acs:ram::100******0719:user/Alice"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```
Di kotak dialog Create Role, konfigurasikan parameter Role Name dan klik OK.

Langkah 2: Berikan izin ke peran RAM dengan akun Perusahaan A

Peran RAM yang dibuat di Langkah 1 tidak memiliki izin. Oleh karena itu, Perusahaan A harus memberikan izin ke peran RAM.

Masuk ke Konsol RAM sebagai administrator RAM.
Di panel navigasi di sebelah kiri, pilih Identities > Roles.
Di halaman Roles, temukan peran RAM yang ingin Anda kelola dan klik Grant Permission di kolom Actions.
Anda juga dapat memilih beberapa peran RAM dan klik Grant Permission di bagian bawah daftar peran RAM untuk memberikan izin ke beberapa peran RAM sekaligus.
Di panel Grant Permission, berikan izin ke peran RAM.
1. Konfigurasikan parameter Ruang Lingkup Sumber Daya.
  - Account: Otorisasi berlaku untuk akun Alibaba Cloud yang sedang digunakan.
  - ResourceGroup: Otorisasi berlaku untuk grup sumber daya tertentu.
    Catatan
    Jika Anda memilih Grup Sumber Daya untuk parameter Ruang Lingkup Sumber Daya, pastikan layanan cloud yang diperlukan mendukung grup sumber daya. Untuk informasi lebih lanjut, lihat Layanan yang bekerja dengan Grup Sumber Daya.
2. Konfigurasikan parameter Principal.
  Principal adalah peran RAM yang ingin Anda berikan izin. Peran RAM saat ini dipilih secara otomatis.
3. Konfigurasikan parameter Kebijakan.
  Kebijakan adalah sekumpulan izin akses. Anda dapat memilih beberapa kebijakan sekaligus.
  - Kebijakan sistem: kebijakan yang dibuat oleh Alibaba Cloud. Anda dapat menggunakan tetapi tidak dapat memodifikasi kebijakan ini. Pembaruan versi kebijakan dipertahankan oleh Alibaba Cloud. Untuk informasi lebih lanjut, lihat Layanan yang bekerja dengan RAM.
    Catatan
    Sistem secara otomatis mengidentifikasi kebijakan sistem berisiko tinggi, seperti AdministratorAccess dan AliyunRAMFullAccess. Kami merekomendasikan agar Anda tidak memberikan izin yang tidak perlu dengan melampirkan kebijakan berisiko tinggi.
  - Kebijakan kustom: Anda dapat mengelola dan memperbarui kebijakan kustom berdasarkan kebutuhan bisnis Anda. Anda dapat membuat, memperbarui, dan menghapus kebijakan kustom. Untuk informasi lebih lanjut, lihat Buat kebijakan kustom.
4. Klik Grant permissions.
Klik Close.

Langkah 3: Buat pengguna RAM dengan akun Perusahaan B

Gunakan akun Alibaba Cloud dari Perusahaan B untuk masuk ke Konsol RAM dan buat pengguna RAM.

Masuk ke Konsol RAM menggunakan akun Alibaba Cloud atau pengguna RAM yang memiliki hak administratif.
Di panel navigasi di sebelah kiri, pilih Identities > Users.
Di halaman Users, klik Create User.
Di bagian User Account Information dari halaman Create User, konfigurasikan parameter berikut:
- Logon Name: Nama logon dapat memiliki panjang hingga 64 karakter, dan dapat berisi huruf, angka, titik (.), tanda hubung (-), dan garis bawah (_).
- Display Name: Nama tampilan dapat mencapai panjang hingga 128 karakter.
- Tag: Klik ikon dan masukkan kunci tag dan nilai tag. Anda dapat menambahkan satu atau lebih tag ke pengguna RAM. Dengan cara ini, Anda dapat mengelola pengguna RAM berdasarkan tag.
Catatan
Anda dapat mengklik Add User untuk membuat beberapa pengguna RAM sekaligus.
Di bagian Access Mode, pilih mode akses dan atur parameter yang diperlukan.
Untuk memastikan keamanan akun Alibaba Cloud Anda, kami merekomendasikan agar Anda hanya memilih satu mode akses untuk pengguna RAM. Dengan cara ini, pengguna RAM untuk individu dipisahkan dari pengguna RAM untuk program.
- Console Access
  Jika pengguna RAM mewakili individu, kami merekomendasikan agar Anda memilih Akses Konsol untuk pengguna RAM. Dengan cara ini, pengguna RAM dapat menggunakan nama pengguna dan kata sandi untuk mengakses Alibaba Cloud. Jika Anda memilih Akses Konsol, Anda harus mengkonfigurasi parameter berikut:
  - Atur Kata Sandi Konsol: Anda dapat memilih Secara Otomatis Membuat Ulang Kata Sandi Default atau Setel Ulang Kata Sandi Kustom. Jika Anda memilih Setel Ulang Kata Sandi Kustom, Anda harus menentukan kata sandi. Kata sandi harus memenuhi persyaratan kompleksitas. Untuk informasi lebih lanjut, lihat Konfigurasikan kebijakan kata sandi untuk pengguna RAM.
  - Reset Kata Sandi: Menentukan apakah pengguna RAM diharuskan mereset kata sandi saat logon berikutnya.
  - Aktifkan MFA: Menentukan apakah akan mengaktifkan autentikasi multi-faktor (MFA) untuk pengguna RAM. Setelah Anda mengaktifkan MFA, Anda harus mengikat perangkat MFA ke pengguna RAM. Untuk informasi lebih lanjut, lihat Ikat perangkat MFA ke pengguna RAM.
- Using permanent AccessKey to access
  Jika pengguna RAM mewakili program, Anda dapat memilih Menggunakan AccessKey permanen untuk mengakses untuk pengguna RAM. Dengancara ini, pengguna RAM dapat menggunakan pasangan AccessKey untuk mengakses Alibaba Cloud. Jika Anda memilih OpenAPI Access, sistem secara otomatis menghasilkan AccessKey ID dan Rahasia AccessKey untuk pengguna RAM. Untuk informasi lebih lanjut, lihat Dapatkan pasangan AccessKey.
  Penting
  Rahasia AccessKey untuk pengguna RAM hanya ditampilkan saat Anda membuat pasangan AccessKey. Anda tidak dapat menanyakan Rahasia AccessKey dalam operasi selanjutnya. Oleh karena itu, Anda harus mencadangkan Rahasia AccessKey Anda.
  Pasangan AccessKey adalah kredensial permanen untuk akses aplikasi. Jika pasangan AccessKey dari akun Alibaba Cloud bocor, sumber daya yang termasuk dalam akun tersebut terpapar pada risiko potensial. Untuk mencegah risiko kebocoran kredensial, kami merekomendasikan agar Anda menggunakan Token Layanan Keamanan (STS). Untuk informasi lebih lanjut, lihat Praktik terbaik untuk menggunakan kredensial akses untuk memanggil operasi API.
Klik OK.
Lengkapi verifikasi keamanan sesuai petunjuk.

Langkah 4: Berikan izin ke pengguna RAM dengan akun Perusahaan B

Perusahaan B harus melampirkan kebijakan izin AliyunSTSAssumeRoleAccess ke pengguna RAM sehingga pengguna RAM dapat mengasumsikan peran RAM yang dibuat oleh Perusahaan A.

Masuk ke Konsol RAM sebagai administrator RAM.
Di panel navigasi di sebelah kiri, pilih Identities > Users.
Di halaman Users, temukan pengguna RAM yang diperlukan, dan klik Add Permissions di kolom Actions.
Anda juga dapat memilih beberapa pengguna RAM dan klik Add Permissions di bagian bawah halaman untuk memberikan izin ke pengguna RAM sekaligus.
Di panel Grant Permission, berikan izin ke pengguna RAM.
1. Konfigurasikan parameter Resource Scope.
  - Account: Otorisasi berlaku untuk akun Alibaba Cloud saat ini.
  - ResourceGroup: Otorisasi berlaku untuk grup sumber daya tertentu.
    Penting
    Jika Anda memilih Grup Sumber Daya untuk parameter Ruang Lingkup Sumber Daya, pastikan layanan cloud yang diperlukan mendukung grup sumber daya. Untuk informasi lebih lanjut, lihat Layanan yang bekerja dengan Grup Sumber Daya. Untuk informasi lebih lanjut tentang cara memberikan izin pada grup sumber daya, lihat Gunakan grup sumber daya untuk memberikan pengguna RAM izin untuk mengelola instance ECS tertentu.
2. Konfigurasikan parameter Principal.
  Principal adalah pengguna RAM yang ingin Anda berikan izin. Pengguna RAM saat ini dipilih secara otomatis.
3. Konfigurasikan parameter Kebijakan.
  Kebijakan berisi sekumpulan izin. Kebijakan dapat diklasifikasikan menjadi kebijakan sistem dan kebijakan kustom. Anda dapat memilih beberapa kebijakan sekaligus.
  - Kebijakan sistem: kebijakan yang dibuat oleh Alibaba Cloud. Anda dapat menggunakan tetapi tidak dapat memodifikasi kebijakan ini. Pembaruan versi kebijakan dipertahankan oleh Alibaba Cloud. Untuk informasi lebih lanjut, lihat Layanan yang bekerja dengan RAM.
    Catatan
    Sistem secara otomatis mengidentifikasi kebijakan sistem berisiko tinggi, seperti AdministratorAccess dan AliyunRAMFullAccess. Kami merekomendasikan agar Anda tidak memberikan izin yang tidak perlu dengan melampirkan kebijakan berisiko tinggi.
  - Kebijakan kustom: Anda dapat mengelola dan memperbarui kebijakan kustom berdasarkan kebutuhan bisnis Anda. Anda dapat membuat, memperbarui, dan menghapus kebijakan kustom. Untuk informasi lebih lanjut, lihat Buat kebijakan kustom.
4. Klik Grant permissions.
Klik Close.

Apa yang harus dilakukan selanjutnya

Setelah operasi sebelumnya selesai, pengguna RAM dari Perusahaan B dapat masuk ke konsol atau memanggil operasi API untuk mengakses sumber daya cloud dari Perusahaan A. Untuk mengakses sumber daya cloud dari Perusahaan A, lakukan langkah-langkah berikut:

Masuk ke konsol

Akses halaman Logon Pengguna RAM sebagai pengguna RAM.
Di halaman RAM User Logon, masukkan nama pengguna dari pengguna RAM dan klik Next.
- Nama logon 1: nama domain default. Format nama logon untuk pengguna RAM adalah <NamaPengguna>@<AliasAkun>.onaliyun.com, seperti usern***@company-alias.onaliyun.com.
  Catatan
  <NamaPengguna> menunjukkan nama pengguna dari pengguna RAM. <AliasAkun>.onaliyun.com menunjukkan nama domain default. Untuk informasi lebih lanjut, lihat Istilah dan Lihat dan modifikasi nama domain default.
- Nama logon 2: alias akun. Format nama logon untuk pengguna RAM adalah <NamaPengguna>@<AliasAkun>, seperti username@company-alias.
  Catatan
  <NamaPengguna> menunjukkan nama pengguna dari pengguna RAM. <AliasAkun> menunjukkan alias akun. Untuk informasi lebih lanjut, lihat Istilah dan Lihat dan modifikasi nama domain default.
- Nama logon 3: alias domain. Jika Anda mengonfigurasi alias domain, Anda dapat menggunakan nama logon ini. Format nama logon untuk pengguna RAM adalah <NamaPengguna>@<AliasDomain>, seperti username@example.com.
  Catatan
  <NamaPengguna> menunjukkan nama pengguna dari pengguna RAM. <AliasDomain> menunjukkan alias domain. Untuk informasi lebih lanjut, lihat Istilah dan Buat dan verifikasi alias domain.
Masukkan kata sandi logon dan klik Log On.
Opsional. Jika autentikasi multi-faktor (MFA) diaktifkan, lulus autentikasi tersebut.
Untuk informasi lebih lanjut, lihat autentikasi multi-faktor (MFA) dan Ikat perangkat MFA ke pengguna RAM.

Panggil operasi API

Untuk mengakses sumber daya cloud dari Perusahaan A dengan memanggil operasi API sebagai pengguna RAM dari Perusahaan B, Anda harus menentukan AccessKeyId, AccessKeySecret, dan SecurityToken dari pengguna RAM dalam kode. Untuk informasi lebih lanjut tentang cara mendapatkan token keamanan sementara menggunakan Layanan Token Keamanan (STS), lihat AssumeRole.