Gunakan pengguna RAM untuk melakukan operasi pada Cloud Backup - Cloud Backup

Untuk mengurangi risiko keamanan akun Alibaba Cloud Anda, Anda dapat mengelola sumber daya Cloud Backup sebagai Pengguna Resource Access Management (RAM). Topik ini menjelaskan cara membuat pengguna RAM dan memberi otorisasi kepada pengguna RAM untuk mengakses Cloud Backup serta melakukan operasi.

Informasi latar belakang

Dalam skenario nyata, Anda mungkin perlu melakukan operasi O&M pada Cloud Backup atau mengakses sumber daya Cloud Backup sebagai pengguna RAM. Dalam skenario tersebut, Anda dapat membuat pengguna RAM dan memberikan izin kepada pengguna RAM untuk mengakses atau mengelola sumber daya Cloud Backup. Untuk memastikan keamanan data, kami menyarankan Anda mengikuti prinsip hak istimewa minimal (PoLP) saat memberikan izin pada Cloud Backup kepada pengguna RAM. Untuk informasi lebih lanjut tentang pengguna RAM, lihat Pengenalan.

Langkah 1: Buat pengguna RAM

Untuk mengelola izin pengguna menggunakan RAM, Anda harus membuat pengguna RAM dan memberikan izin yang sesuai kepada setiap pengguna RAM.

Untuk membuat pengguna RAM, ikuti langkah-langkah berikut:

Langkah 2: Berikan izin kepada pengguna RAM

Secara default, pengguna RAM baru tidak memiliki izin apa pun. Sebelum menggunakan pengguna RAM untuk melakukan operasi di Konsol Manajemen Cloud Backup atau memanggil API, Anda harus memberikan izin yang diperlukan kepada pengguna RAM.

Cloud Backup menyediakan dua kebijakan sistem:

AliyunHBRFullAccess: Memberikan akses penuh kepada pengguna RAM pada Cloud Backup. Kebijakan ini dapat menyebabkan risiko tinggi. Lanjutkan dengan hati-hati.
AliyunHbrReadOnlyAccess: Memberikan izin baca-saja kepada pengguna RAM pada Cloud Backup.

Anda juga dapat melampirkan kebijakan kustom ke pengguna RAM di Konsol RAM untuk mencapai kontrol akses yang lebih rinci. Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom.

Dalam contoh ini, kebijakan AliyunHBRReadOnlyAccess dilampirkan ke pengguna RAM.

Masuk ke Konsol RAM sebagai administrator RAM.
Di halaman Users, temukan pengguna RAM yang diperlukan, dan klik Add Permissions di kolom Actions.
Anda juga dapat memilih beberapa pengguna RAM dan klik Add Permissions di bagian bawah halaman untuk memberikan izin kepada pengguna RAM sekaligus.
Di panel Grant Permission, cari dan pilih AliyunHBRReadOnlyAccess di Policy. Kebijakan dipilih ke bagian Kebijakan Terpilih di sebelah kanan.
Catatan
Di bagian Kebijakan Terpilih di sebelah kanan, Anda dapat mengklik tanda silang (×) di sebelah kebijakan untuk menghapus kebijakan.
Konfirmasi hasil otorisasi. Lalu, klik Grant permissions.

Langkah 3: Gunakan pengguna RAM untuk melakukan operasi cadangan

Masuk ke Konsol Manajemen Cloud Backup sebagai pengguna RAM dan lakukan operasi pencadangan dan pemulihan.

Masuk ke Konsol Cloud Backup.
Di bilah navigasi di sebelah kiri, pilih fitur pencadangan yang berbeda dan lakukan operasi pencadangan dan pemulihan.
Saat Anda mencadangkan sumber daya untuk pertama kalinya, Cloud Backup secara otomatis membuat peran terkait layanan untuk mendapatkan izin mengakses sumber daya tersebut. Ikuti langkah-langkah dalam panduan untuk membuat peran terkait layanan. Untuk informasi lebih lanjut, lihat Peran Terkait Layanan untuk Cloud Backup.

Referensi kebijakan lainnya

Anda dapat memberikan izin pada vault cadangan kepada pengguna RAM. Misalnya, Anda dapat mengizinkan pengguna RAM hanya untuk mencadangkan atau memulihkan data menggunakan vault cadangan.

Anda dapat memberikan izin menggunakan kebijakan sampel berikut. Untuk membuat kebijakan kustom, salin salah satu skrip dan tempelkan skrip tersebut di Konsol RAM. Kemudian, lampirkan kebijakan kustom ke pengguna RAM. Untuk informasi lebih lanjut, lihat Isolasikan Izin Pencadangan dan Izin Pemulihan.

Untuk melarang pengguna RAM memulihkan data dari vault cadangan, gunakan kebijakan sampel berikut:

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "hbr:CreateRestore",
                "hbr:CreateRestoreJob",
                "hbr:CreateHanaRestore",
                "hbr:CreateUniRestorePlan",
                "hbr:CreateSqlServerRestore"
            ],
            "Resource": [
                "acs:hbr:*:1178******531:vault/v-000******blx06",
                "acs:hbr:*:1178******531:vault/v-000******blx06/client/*"
            ]
        }
    ]
}

Untuk melarang pengguna RAM mencadangkan data ke vault cadangan, gunakan kebijakan sampel berikut:

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "hbr:CreateUniBackupPlan",
                "hbr:UpdateUniBackupPlan",
                "hbr:DeleteUniBackupPlan",
                "hbr:CreateHanaInstance",
                "hbr:UpdateHanaInstance",
                "hbr:DeleteHanaInstance",
                "hbr:CreateHanaBackupPlan",
                "hbr:UpdateHanaBackupPlan",
                "hbr:DeleteHanaBackupPlan",
                "hbr:CreateClient",
                "hbr:CreateClients",
                "hbr:UpdateClient",
                "hbr:UpdateClientSettings",
                "hbr:UpdateClientAlertConfig",
                "hbr:DeleteClient",
                "hbr:DeleteClients",
                "hbr:CreateJob",
                "hbr:UpdateJob",
                "hbr:CreateBackupPlan",
                "hbr:UpdateBackupPlan",
                "hbr:ExecuteBackupPlan",
                "hbr:DeleteBackupPlan",
                "hbr:CreateBackupJob",
                "hbr:CreatePlan",
                "hbr:UpdatePlan",
                "hbr:CreateTrialBackupPlan",
                "hbr:ConvertToPostPaidInstance",
                "hbr:KeepAfterTrialExpiration"
            ],
            "Resource": [
                "acs:hbr:*:1178******9531:vault/v-000******blx06",
                "acs:hbr:*:1178******9531:vault/v-000******blx06/client/*"
            ]
        }
    ]
}

Apa yang harus dilakukan selanjutnya

Masuk ke Konsol Manajemen Alibaba Cloud sebagai Pengguna RAM