Dalam skenario di mana beberapa pengguna mengakses sumber daya secara bersamaan, Anda dapat membuat beberapa pengguna Resource Access Management (RAM) dan memberikan izin kepada pengguna RAM berdasarkan peran mereka. Dengan cara ini, pengguna RAM yang berbeda dapat mengakses dan mengelola sumber daya yang berbeda, meningkatkan efisiensi manajemen serta mengurangi risiko kebocoran informasi. Topik ini menjelaskan cara memberikan izin berbeda kepada pengguna RAM pada sumber daya Auto Scaling berdasarkan otentikasi sumber daya.
Informasi latar belakang
Alibaba Cloud menyediakan kontrol akses berbasis kebijakan. Anda dapat mengonfigurasi kebijakan RAM sesuai dengan peran pengguna RAM. Setiap kebijakan dapat mencakup beberapa izin tingkat sumber daya dan dapat dilampirkan ke satu atau lebih pengguna RAM atau grup pengguna RAM. Untuk informasi lebih lanjut tentang kebijakan, lihat Ikhtisar Kebijakan.
RAM tidak mendukung otentikasi tingkat sumber daya, yang mungkin menyebabkan ketidaknyamanan saat mengelola sumber daya Auto Scaling. Misalnya, mengelola izin pada sumber daya Auto Scaling di suatu wilayah dengan granularitas kasar mungkin tidak efisien. Auto Scaling memungkinkan Anda mengonfigurasi kebijakan yang mencakup izin tingkat sumber daya dan melampirkannya ke pengguna RAM, sehingga memfasilitasi pengelolaan sumber daya Auto Scaling secara fleksibel.
CatatanUntuk informasi lebih lanjut tentang RAM, lihat Apa itu RAM?
Skenario
Tabel berikut menjelaskan skenario di mana Anda dapat mengonfigurasi kebijakan yang mencakup izin tingkat sumber daya.
Skenario | Kebijakan |
Contoh:
| Pengguna RAM hanya memiliki izin pada sumber daya tertentu di Grup Penskalaan 1. Pengguna RAM tidak memiliki izin pada sumber daya di Grup Penskalaan 2. |
Pengguna RAM memiliki izin untuk membuat grup penskalaan hanya di wilayah tertentu, seperti wilayah China (Hangzhou). Pengguna RAM tidak memiliki izin untuk membuat grup penskalaan di wilayah lain, seperti wilayah China (Beijing). |
Operasi API yang tidak mendukung otentikasi tingkat sumber daya
Setelah melampirkan kebijakan yang mencakup izin tingkat sumber daya ke pengguna RAM, pengguna RAM tidak dapat memanggil operasi API yang dijelaskan dalam tabel berikut.
Operasi | Tidak didukung untuk otentikasi sumber daya |
DescribeRegions | Ya |
Operasi yang terkait dengan tugas terjadwal:
| Ya |
Operasi yang terkait dengan tugas yang dipicu oleh acara:
| Ya |
Prosedur
Pengguna RAM telah dibuat. Untuk informasi lebih lanjut tentang cara membuat pengguna RAM, lihat Buat Pengguna RAM.
Skenario 1: Buat grup penskalaan dan kemudian konfigurasikan kebijakan yang mencakup izin tingkat sumber daya
Buat dua grup penskalaan.
Untuk informasi lebih lanjut, lihat Kelola Grup Penskalaan.
Grup Penskalaan 1: Nama grup penskalaan adalah asg-001 dan ID grup penskalaan adalah asg-bp17np35ywjwh2cx****.
Grup Penskalaan 2: Nama grup penskalaan adalah asg-002 dan ID grup penskalaan adalah asg-bp1c5pl2qc6ozgbl****.
Masuk ke Konsol RAM.
Buat Kebijakan Kustom.
Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom.
Kebijakan kustom yang Anda buat dalam langkah ini memungkinkan pengguna RAM untuk melihat, memodifikasi, dan menghapus grup penskalaan asg-001 menggunakan Konsol Auto Scaling atau memanggil operasi API. Namun, pengguna RAM tidak dapat melakukan operasi pada grup penskalaan asg-002.
Contoh kebijakan kustom:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "ess:*", "Resource": "acs:ess:cn-hangzhou:160998252992****:scalinggroup/asg-bp17np35ywjwh2cx****" }, { "Effect": "Deny", "Action": "ess:*", "Resource": "acs:ess:cn-hangzhou:160998252992***8:scalinggroup/asg-bp1c5pl2qc6ozgbl****" }, { "Effect": "Allow", "Action": [ "ess:DescribeRegions", "ess:CreateScheduledTask", "ess:ModifyScheduledTask", "ess:DescribeScheduledTasks", "ess:DeleteScheduledTask", "ess:CreateAlarm", "ess:DescribeAlarms", "ess:ModifyAlarm", "ess:EnableAlarm", "ess:DeleteAlarm" ], "Resource": "*" } ] }Lampirkan kebijakan kustom ke pengguna RAM yang ingin Anda kelola izin akses sumber daya Auto Scaling-nya.
Untuk informasi lebih lanjut, lihat Berikan Izin kepada Pengguna RAM.
Lihat, modifikasi, dan hapus grup penskalaan asg-001 dan asg-002 menggunakan Konsol Auto Scaling atau memanggil operasi API sebagai pengguna RAM.
Anda dapat melihat, memodifikasi, dan menghapus grup penskalaan asg-001, tetapi Anda tidak dapat melihat, memodifikasi, atau menghapus grup penskalaan asg-002. Jika pesan kesalahan yang ditunjukkan dalam gambar berikut muncul, kebijakan tersebut berlaku.
Skenario 2: Konfigurasikan kebijakan yang mencakup izin tingkat sumber daya dan kemudian buat grup penskalaan
Masuk ke Konsol RAM.
Buat Kebijakan Kustom.
Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom.
Kebijakan kustom yang Anda buat dalam langkah ini memungkinkan pengguna RAM untuk membuat grup penskalaan di wilayah China (Hangzhou) menggunakan Konsol Auto Scaling atau memanggil operasi API. Namun, pengguna RAM tidak memiliki izin untuk membuat grup penskalaan di wilayah China (Beijing).
Contoh kebijakan kustom:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "ess:*", "Resource": "acs:ess:cn-hangzhou:160998252992****:*" }, { "Effect": "Deny", "Action": "ess:*", "Resource": "acs:ess:cn-beijing:160998252992****:*" }, { "Effect": "Allow", "Action": [ "ess:DescribeRegions", "ess:CreateScheduledTask", "ess:ModifyScheduledTask", "ess:DescribeScheduledTasks", "ess:DeleteScheduledTask", "ess:CreateAlarm", "ess:DescribeAlarms", "ess:ModifyAlarm", "ess:EnableAlarm", "ess:DeleteAlarm" ], "Resource": "*" } ] }Lampirkan kebijakan kustom ke pengguna RAM yang ingin Anda kelola izin akses sumber daya Auto Scaling-nya.
Untuk informasi lebih lanjut, lihat Berikan Izin kepada Pengguna RAM.
Buat grup penskalaan menggunakan Konsol Auto Scaling atau memanggil operasi API sebagai pengguna RAM.
Anda dapat membuat grup penskalaan di wilayah China (Hangzhou), tetapi Anda tidak dapat membuat grup penskalaan di wilayah China (Beijing). Jika pesan kesalahan yang ditunjukkan dalam gambar berikut muncul, kebijakan tersebut berlaku.
Referensi
Untuk informasi tentang cara memberikan izin kepada pengguna RAM dengan memanggil operasi API, lihat AttachPolicyToUser.
Untuk informasi tentang cara membuat kebijakan kustom dengan memanggil operasi API, lihat CreatePolicy.
Untuk informasi tentang cara membuat satu atau lebih grup penskalaan dengan memanggil operasi API, lihat CreateScalingGroup.
Untuk informasi tentang cara mengelola sumber daya Auto Scaling berdasarkan otentikasi berbasis tag, lihat Kelola Sumber Daya Auto Scaling Berdasarkan Otentikasi Berbasis Tag.
Untuk informasi tentang cara membuat grup sumber daya dan mengelola sumber daya cloud berdasarkan grup sumber daya, lihat Gunakan Grup Sumber Daya untuk Mengelola Grup Penskalaan Secara Halus.