Untuk memastikan keamanan akun dan sumber daya, disarankan agar Anda tidak menggunakan akun Alibaba Cloud untuk mengakses CloudQuotation. Sebaiknya akses CloudQuotation dilakukan sebagai Pengguna Resource Access Management (RAM) atau Peran RAM.
Pengguna RAM
Pengguna RAM dapat dibuat menggunakan akun Alibaba Cloud atau dengan pengguna RAM dan peran RAM yang memiliki hak administratif. Setelah diberi izin yang diperlukan, pengguna RAM dapat menggunakan Konsol Manajemen Alibaba Cloud atau memanggil Operasi API untuk mengakses sumber daya Alibaba Cloud dalam akun tempat pengguna RAM tersebut berada.
Perhatikan hal-hal berikut:
Gunakan akun Alibaba Cloud Anda untuk membuat pengguna RAM dan berikan pengguna RAM tersebut hak administratif. Selanjutnya, gunakan pengguna RAM ini untuk membuat dan mengelola pengguna RAM lainnya.
Pisahkan pengguna RAM untuk individu dari pengguna RAM untuk program.
Saat membuat pengguna RAM, pilih Console Access, Using permanent AccessKey to access, atau keduanya untuk parameter Access Mode.
Untuk mengakses sumber daya, pengguna RAM yang ditunjuk untuk akses konsol masuk ke Konsol Manajemen Alibaba Cloud menggunakan nama pengguna dan kata sandinya, sedangkan pengguna RAM yang ditunjuk untuk akses berbasis pasangan AccessKey melakukan pemanggilan API. Pisahkan pengguna RAM untuk individu dari pengguna RAM untuk program untuk mencegah dampak dari operasi yang tidak disengaja. Aktifkan autentikasi multi-faktor (MFA) untuk pengguna RAM yang ditunjuk untuk akses konsol.
Berikan izin kepada pengguna RAM berdasarkan prinsip hak istimewa minimal.
Hak istimewa minimal adalah izin minimum yang diperlukan untuk menjalankan suatu operasi. Prinsip ini meningkatkan keamanan data dan mencegah penyalahgunaan izin.
Jangan sematkan ID AccessKey atau Rahasia AccessKey di dalam kode untuk mencegah kebocoran pasangan AccessKey. Kebocoran pasangan AccessKey menyebabkan risiko keamanan bagi semua sumber daya dalam akun Anda. Gunakan Token Layanan Keamanan (STS) atau konfigurasikan variabel lingkungan untuk mendapatkan izin akses.
Jika memungkinkan, aktifkan Single Sign-On (SSO) untuk pengguna RAM agar mereka dapat masuk dan mengakses sumber daya Alibaba Cloud dari sistem manajemen identitas perusahaan mereka.
Operasi terkait
Grup pengguna RAM
Jika Anda menggunakan akun Alibaba Cloud untuk membuat beberapa pengguna RAM, kelompokkan pengguna RAM tersebut untuk mempermudah manajemen izin. Misalnya, berikan izin yang sama kepada pengguna RAM dalam grup pengguna RAM yang sama. Perhatikan hal-hal berikut:
Berikan izin kepada grup pengguna RAM berdasarkan prinsip hak istimewa minimal.
Hapus pengguna RAM dari grup pengguna RAM jika tugas kerja pengguna RAM tersebut berubah.
Cabut izin dari grup pengguna RAM jika grup pengguna RAM tersebut tidak lagi membutuhkan izin tersebut.
Operasi terkait
Peran RAM
Peran RAM adalah identitas virtual yang dapat dilampiri kebijakan. Peran RAM tidak memiliki kredensial identitas permanen seperti kata sandi logon atau pasangan AccessKey. Peran RAM hanya dapat digunakan setelah diasumsikan oleh entitas tepercaya. Setelah diasumsikan oleh entitas tepercaya, entitas tersebut dapat memperoleh Token Layanan Keamanan (STS). Kemudian, entitas tepercaya tersebut dapat menggunakan token STS untuk mengakses sumber daya Alibaba Cloud sebagai peran RAM.
Perhatikan hal-hal berikut:
Hindari sering mengubah entitas tepercaya dari peran RAM setelah peran RAM tersebut dibuat. Mengubah entitas tepercaya dapat menyebabkan hilangnya izin, yang memengaruhi bisnis Anda. Menambahkan entitas tepercaya juga dapat menimbulkan risiko keamanan karena peningkatan hak istimewa. Pastikan perubahan sepenuhnya diuji sebelum diterapkan pada peran RAM.
Setelah entitas tepercaya diberi izin, entitas tersebut dapat memanggil operasi AssumeRole untuk memperoleh token STS, yang dapat digunakan untuk mengasumsikan peran RAM. Untuk informasi lebih lanjut, lihat AssumeRole. Token STS hanya valid untuk jangka waktu tertentu. Tetapkan periode validitas ke nilai yang sesuai untuk mengurangi risiko keamanan.
CatatanMasa berlaku maksimum token STS adalah durasi sesi maksimum yang ditentukan untuk peran RAM. Tetapkan durasi sesi maksimum untuk peran RAM ke nilai yang sesuai untuk mengurangi risiko keamanan.
Jika memungkinkan, aktifkan SSO untuk peran RAM agar peran RAM tersebut dapat masuk dan mengakses sumber daya Alibaba Cloud dari sistem manajemen identitas perusahaan mereka.