全部产品
Search

搜索本产品

    Application Real-Time Monitoring Service:Gunakan pengguna RAM untuk mengelola izin

    文档中心

    Application Real-Time Monitoring Service:Gunakan pengguna RAM untuk mengelola izin

    更新时间:Jul 02, 2025

    Dengan fitur pengguna RAM dari Resource Access Management (RAM), Anda dapat membagi izin, memberikan izin berbeda kepada pengguna RAM sesuai kebutuhan, serta menghindari risiko keamanan akibat paparan kunci akun Alibaba Cloud.

    Informasi latar belakang

    Untuk alasan keamanan, Anda dapat membuat pengguna RAM untuk akun Alibaba Cloud dan memberikan izin yang berbeda kepada pengguna RAM tersebut sesuai kebutuhan. Dengan cara ini, pengguna RAM dapat menjalankan tugas mereka tanpa mengekspos kunci akun Alibaba Cloud. Misalnya, jika Perusahaan A ingin mengizinkan beberapa karyawan menangani tugas O&M rutin, perusahaan tersebut dapat membuat pengguna RAM dan memberikan izin yang sesuai. Setelah itu, karyawan dapat menggunakan pengguna RAM untuk masuk ke konsol atau memanggil operasi API.

    Application Real-Time Monitoring Service (ARMS) menyediakan dua kebijakan sistem untuk memberikan izin penuh atau izin hanya-baca. Anda dapat memilih kebijakan sistem berdasarkan kebutuhan bisnis Anda.

    • AliyunARMSFullAccess: Memberikan izin penuh kepada pengguna RAM pada ARMS. Pengguna RAM dapat melihat, mengedit, atau menghapus instance dari semua layanan sub.

      Catatan

      Setelah Anda melampirkan kebijakan AliyunARMSFullAccess ke pengguna RAM, Anda tidak perlu melampirkan kebijakan AliyunARMSReadOnlyAccess.

    • AliyunARMSReadOnlyAccess: Memberikan izin hanya-baca kepada pengguna RAM pada ARMS. Pengguna RAM dapat melihat informasi instance dari setiap layanan sub tetapi tidak dapat memodifikasi atau menghapus informasi tersebut.

      Penting

      Untuk memberikan izin hanya-baca pada semua fitur ARMS ke grup sumber daya tertentu, Anda harus melampirkan kebijakan AliyunARMSReadOnlyAccess dan memberikan izin ReadTraceApp ke grup sumber daya. Jika tidak, ARMS tidak dapat menampilkan daftar aplikasi yang termasuk dalam grup sumber daya yang diautentikasi.

    Prasyarat

    • ARMS telah diaktifkan. Untuk informasi lebih lanjut, lihat Aktifkan ARMS.

    • RAM telah diaktifkan. Untuk informasi lebih lanjut, lihat Aktifkan RAM.

    Langkah 1: Buat pengguna RAM

    Prosedur

    1. Masuk ke Konsol RAM menggunakan akun Alibaba Cloud atau pengguna RAM dengan hak administratif.

    2. Di panel navigasi sisi kiri, pilih Identities > Users.

    3. Di halaman Users, klik Create User.image

    4. Di bagian User Account Information pada halaman Create User, konfigurasikan parameter berikut:

      • Logon Name: Nama masuk dapat mencapai hingga 64 karakter dan dapat berisi huruf, angka, titik (.), tanda hubung (-), serta garis bawah (_).

      • Display Name: Nama tampilan dapat mencapai hingga 128 karakter.

      • Tag: Klik ikon edit dan masukkan kunci tag serta nilai tag. Anda dapat menambahkan satu atau lebih tag ke pengguna RAM untuk mempermudah pengelolaan berdasarkan tag.

      Catatan

      Anda dapat mengklik Add User untuk membuat beberapa pengguna RAM sekaligus.

    5. Di bagian Access Mode, pilih mode akses dan konfigurasikan parameter yang diperlukan.

      Untuk memastikan keamanan akun Alibaba Cloud, kami sarankan Anda memilih hanya satu mode akses untuk pengguna RAM. Dengan cara ini, pengguna RAM individu dipisahkan dari pengguna RAM program.

      • Console Access

        Jika pengguna RAM mewakili individu, kami sarankan Anda memilih Akses Konsol untuk pengguna RAM. Dengan cara ini, pengguna RAM dapat menggunakan nama pengguna dan kata sandi untuk mengakses Alibaba Cloud. Jika Anda memilih Akses Konsol, konfigurasikan parameter berikut:

        • Atur Kata Sandi Konsol: Anda dapat memilih Secara Otomatis Membuat Ulang Kata Sandi Default atau Atur Ulang Kata Sandi Kustom. Jika Anda memilih Atur Ulang Kata Sandi Kustom, Anda harus menentukan kata sandi yang memenuhi persyaratan kompleksitas. Untuk informasi lebih lanjut, lihat Konfigurasikan kebijakan kata sandi untuk pengguna RAM.

        • Reset Kata Sandi: Tentukan apakah pengguna RAM diharuskan mereset kata sandi saat masuk berikutnya.

        • Aktifkan MFA: Tentukan apakah akan mengaktifkan otentikasi multi-faktor (MFA) untuk pengguna RAM. Setelah mengaktifkan MFA, Anda harus mengikat perangkat MFA ke pengguna RAM. Untuk informasi lebih lanjut, lihat Ikat perangkat MFA ke pengguna RAM.

      • Using permanent AccessKey to access

        Jika pengguna RAM mewakili program, Anda dapat memilih Gunakan AccessKey permanen untuk mengakses untuk pengguna RAM. Dengan cara ini, pengguna RAM dapat menggunakan pasangan AccessKey untuk mengakses Alibaba Cloud. Jika Anda memilih OpenAPI Access, sistem secara otomatis menghasilkan ID AccessKey dan Rahasia AccessKey untuk pengguna RAM. Untuk informasi lebih lanjut, lihat Dapatkan pasangan AccessKey.

        Penting

        • Rahasia AccessKey untuk pengguna RAM hanya ditampilkan saat Anda membuat pasangan AccessKey. Anda tidak dapat menanyakan Rahasia AccessKey dalam operasi selanjutnya. Oleh karena itu, Anda harus mencadangkan Rahasia AccessKey Anda.

        • Pasangan AccessKey adalah kredensial permanen untuk akses aplikasi. Jika pasangan AccessKey dari akun Alibaba Cloud bocor, sumber daya yang dimiliki akun tersebut terpapar pada risiko potensial. Untuk mencegah risiko kebocoran kredensial, kami sarankan Anda menggunakan Token Layanan Keamanan (STS). Untuk informasi lebih lanjut, lihat Praktik terbaik untuk menggunakan kredensial akses untuk memanggil operasi API.

    6. Klik OK.

    7. Lengkapi verifikasi keamanan sesuai petunjuk.

    Langkah 2: Berikan izin kepada pengguna RAM

    1. Masuk ke Konsol RAM sebagai administrator RAM.

    2. Di panel navigasi sisi kiri, pilih Identities > Users.

    3. Di halaman Users, temukan pengguna RAM yang diperlukan, dan klik Add Permissions di kolom Actions.

      image

      Anda juga dapat memilih beberapa pengguna RAM dan klik Add Permissions di bagian bawah halaman untuk memberikan izin kepada pengguna RAM sekaligus.

    4. Di panel Grant Permission, berikan izin kepada pengguna RAM.

      1. Konfigurasikan parameter Resource Scope.

      2. Konfigurasikan parameter Principal.

        Principal adalah pengguna RAM yang ingin Anda berikan izin. Pengguna RAM saat ini dipilih secara otomatis.

      3. Konfigurasikan parameter Kebijakan.

        Kebijakan berisi satu set izin. Kebijakan dapat diklasifikasikan menjadi kebijakan sistem dan kebijakan kustom. Anda dapat memilih beberapa kebijakan sekaligus.

        • Kebijakan sistem: Kebijakan yang dibuat oleh Alibaba Cloud. Anda dapat menggunakan tetapi tidak dapat memodifikasi kebijakan ini. Pembaruan versi kebijakan dipertahankan oleh Alibaba Cloud. Untuk informasi lebih lanjut, lihat Layanan yang bekerja dengan RAM.

          Catatan

          Sistem secara otomatis mengidentifikasi kebijakan sistem berisiko tinggi, seperti AdministratorAccess dan AliyunRAMFullAccess. Kami sarankan Anda tidak memberikan izin yang tidak perlu dengan melampirkan kebijakan berisiko tinggi.

        • Kebijakan kustom: Anda dapat mengelola dan memperbarui kebijakan kustom berdasarkan kebutuhan bisnis Anda. Anda dapat membuat, memperbarui, dan menghapus kebijakan kustom. Untuk informasi lebih lanjut, lihat Buat kebijakan kustom.

      4. Klik Grant permissions.

    5. Klik Close.

    Apa yang harus dilakukan selanjutnya

    Setelah Anda membuat pengguna RAM menggunakan akun Alibaba Cloud, Anda dapat membagikan nama masuk dan kata sandi atau pasangan AccessKey dari pengguna RAM dengan pengguna lain. Pengguna dapat melakukan langkah-langkah berikut untuk masuk ke Konsol Manajemen Alibaba Cloud atau memanggil operasi API sebagai pengguna RAM.

    Masuk ke Konsol Manajemen Alibaba Cloud

    1. Akses halaman Logon Pengguna RAM sebagai pengguna RAM.

    2. Di halaman RAM User Logon, masukkan nama pengguna pengguna RAM dan klik Next.

      image

      • Nama masuk 1: nama domain default. Format nama masuk pengguna RAM adalah <UserName>@<AccountAlias>.onaliyun.com, seperti usern***@company-alias.onaliyun.com.

        Catatan

        <UserName> menunjukkan nama pengguna pengguna RAM. <AccountAlias>.onaliyun.com menunjukkan nama domain default. Untuk informasi lebih lanjut, lihat Istilah dan Lihat dan modifikasi nama domain default.

      • Nama masuk 2: alias akun. Format nama masuk pengguna RAM adalah <UserName>@<AccountAlias>, seperti username@company-alias.

        Catatan

        <UserName> menunjukkan nama pengguna pengguna RAM. <AccountAlias> menunjukkan alias akun. Untuk informasi lebih lanjut, lihat Istilah dan Lihat dan modifikasi nama domain default.

      • Nama masuk 3: alias domain. Jika Anda mengonfigurasi alias domain, Anda dapat menggunakan nama masuk ini. Format nama masuk pengguna RAM adalah <UserName>@<DomainAlias>, seperti username@example.com.

        Catatan

        <UserName> menunjukkan nama pengguna pengguna RAM. <DomainAlias> menunjukkan alias domain. Untuk informasi lebih lanjut, lihat Istilah dan Buat dan verifikasi alias domain.

    3. Masukkan kata sandi masuk dan klik Log On.

    4. Opsional. Jika otentikasi multi-faktor (MFA) diaktifkan, lulus autentikasi.

      Untuk informasi lebih lanjut, lihat otentikasi multi-faktor (MFA) dan Ikat perangkat MFA ke pengguna RAM.

    Gunakan pasangan AccessKey pengguna RAM untuk memanggil operasi API

    Saat memanggil operasi API, tentukan ID AccessKey dan Rahasia AccessKey pengguna RAM dalam kode.