Untuk memastikan keamanan akun dan sumber daya, kami menyarankan agar Anda tidak menggunakan akun Alibaba Cloud untuk mengakses CloudShell. Sebagai gantinya, gunakan Pengguna Resource Access Management (RAM) atau Peran RAM.
Pengguna RAM
Pengguna RAM dapat dibuat menggunakan akun Alibaba Cloud atau pengguna RAM dan peran RAM yang memiliki hak administratif. Setelah diberi izin yang diperlukan, pengguna RAM dapat menggunakan Konsol Manajemen Alibaba Cloud atau memanggil Operasi API untuk mengakses sumber daya Alibaba Cloud dalam akun tempat pengguna tersebut berada.
Perhatikan hal-hal berikut:
Gunakan akun Alibaba Cloud untuk membuat pengguna RAM dan berikan hak administratif. Kemudian, gunakan pengguna RAM tersebut untuk membuat dan mengelola pengguna RAM lainnya.
Pisahkan pengguna RAM untuk individu dari pengguna RAM untuk program.
Saat membuat pengguna RAM, pilih Console Access, Using permanent AccessKey to access, atau keduanya untuk parameter Access Mode.
Untuk mengakses sumber daya, pengguna RAM dengan akses konsol masuk ke Konsol Manajemen Alibaba Cloud menggunakan nama pengguna dan kata sandi mereka, sedangkan pengguna RAM dengan akses berbasis pasangan AccessKey melakukan panggilan API. Pisahkan pengguna RAM untuk individu dari pengguna RAM untuk program guna mencegah dampak operasi yang tidak disengaja. Aktifkan autentikasi multi-faktor (MFA) untuk pengguna RAM dengan akses konsol.
Berikan izin kepada pengguna RAM berdasarkan prinsip hak istimewa minimal.
Hak istimewa minimal adalah izin minimum yang diperlukan untuk menjalankan suatu operasi. Prinsip ini meningkatkan keamanan data dan mencegah penyalahgunaan izin.
Jangan sematkan ID AccessKey atau Rahasia AccessKey di dalam kode untuk mencegah kebocoran pasangan AccessKey. Kebocoran pasangan AccessKey menyebabkan risiko keamanan bagi semua sumber daya dalam akun Anda. Gunakan Token Layanan Keamanan (STS) atau konfigurasikan variabel lingkungan untuk mendapatkan izin akses.
Aktifkan Single Sign-On (SSO) untuk pengguna RAM jika berlaku, sehingga pengguna RAM dapat masuk dan mengakses sumber daya Alibaba Cloud melalui sistem manajemen identitas perusahaan mereka.
Operasi terkait
Grup pengguna RAM
Jika Anda menggunakan akun Alibaba Cloud untuk membuat beberapa pengguna RAM, kelompokkan pengguna RAM tersebut untuk mempermudah manajemen izin. Misalnya, berikan izin yang sama kepada pengguna RAM dalam grup yang sama. Perhatikan hal-hal berikut:
Berikan izin kepada grup pengguna RAM berdasarkan prinsip hak istimewa minimal.
Hapus pengguna RAM dari grup jika tugas kerja mereka berubah.
Cabut izin dari grup pengguna RAM jika grup tersebut tidak lagi membutuhkan izin tersebut.
Operasi terkait
Peran RAM
Peran RAM adalah identitas virtual yang dapat dilampiri kebijakan. Peran RAM tidak memiliki kredensial identitas permanen seperti kata sandi logon atau pasangan AccessKey. Peran RAM hanya dapat digunakan setelah diasumsikan oleh entitas tepercaya. Setelah diasumsikan, entitas tepercaya tersebut dapat memperoleh Token Layanan Keamanan (STS) dan menggunakannya untuk mengakses sumber daya Alibaba Cloud sebagai peran RAM.
Perhatikan hal-hal berikut:
Jangan sering-sering mengubah entitas tepercaya dari peran RAM setelah peran tersebut dibuat. Mengubah entitas tepercaya dapat menyebabkan hilangnya izin, yang memengaruhi bisnis Anda. Menambahkan entitas tepercaya juga dapat meningkatkan risiko keamanan karena peningkatan hak istimewa. Pastikan perubahan sepenuhnya diuji sebelum diterapkan.
Setelah entitas tepercaya diberi izin, entitas tersebut dapat memanggil operasi AssumeRole untuk mendapatkan token STS, yang dapat digunakan untuk mengasumsikan peran RAM. Untuk informasi lebih lanjut, lihat AssumeRole. Token STS hanya valid untuk jangka waktu tertentu. Tetapkan periode validitas ke nilai yang sesuai untuk mengurangi risiko keamanan.
CatatanMasa berlaku maksimum token STS adalah durasi sesi maksimum yang ditentukan untuk peran RAM. Tetapkan durasi sesi maksimum ke nilai yang sesuai untuk mengurangi risiko keamanan.
Aktifkan SSO untuk peran RAM jika berlaku, sehingga peran RAM dapat masuk dan mengakses sumber daya Alibaba Cloud melalui sistem manajemen identitas perusahaan mereka.