Anda dapat membuat provisioning pengguna Resource Access Management (RAM) untuk anggota di direktori sumber daya Anda. Ini memungkinkan pembuatan pengguna RAM dengan nama yang sama seperti Pengguna CloudSSO yang digunakan. Dengan cara ini, Pengguna CloudSSO dapat mengakses sumber daya anggota sebagai pengguna RAM.
Informasi latar belakang
Topik ini memberikan contoh cara membuat provisioning pengguna RAM agar Pengguna CloudSSO dapat mengakses sumber daya MaxCompute yang dimiliki oleh akun RD dalam direktori sumber daya sebagai pengguna RAM. Contohnya, Anda perlu membuat pengguna RAM user1@xxx.onaliyun.com dengan nama yang sama seperti Pengguna CloudSSO user1 di dalam anggota Sandbox_Account, melampirkan kebijakan AliyunMaxComputeFullAccess kepada pengguna RAM tersebut untuk mengelola sumber daya MaxCompute, dan kemudian menggunakan Pengguna CloudSSO user1 untuk mengakses sumber daya MaxCompute milik anggota Sandbox_Account sebagai pengguna RAM.
Langkah 1: Buat provisioning pengguna RAM
Buat provisioning pengguna RAM menggunakan akun manajemen direktori sumber daya di Konsol CloudSSO.
Masuk ke Konsol CloudSSO.
Di panel navigasi sebelah kiri, klik Multi-account Permission Configuration.
Pada halaman Multi-account Permission Configuration, pilih akun yang diperlukan di direktori sumber daya Anda dan klik Configure RAM User Provisioning.
Dalam contoh ini, anggota Sandbox_Account dipilih.
Di panel Configure RAM User Provisioning, pilih Pengguna CloudSSO atau grup Pengguna CloudSSO yang diperlukan dan klik Next.
Dalam contoh ini, Pengguna CloudSSO user1 dipilih. Jika Anda memilih grup Pengguna CloudSSO, semua Pengguna CloudSSO dalam grup akan disinkronkan.
Konfigurasikan informasi dasar dan klik Next.
Masukkan deskripsi untuk provisioning pengguna RAM.
Konfigurasikan Handling Mode. Nilai valid:
Single Handling: Jika Anda memilih opsi ini, Anda perlu mengonfigurasi Kebijakan Konflik dan Kebijakan Penghapusan untuk beberapa anggota satu per satu.
Batch Handling: Jika Anda memilih opsi ini, Anda dapat mengonfigurasi Kebijakan Konflik dan Kebijakan Penghapusan untuk beberapa anggota sekaligus.
Konfigurasikan Conflict Policy dan Deletion Policy.
Conflict Policy: Kebijakan penanganan yang digunakan jika anggota yang dipilih sudah memiliki pengguna RAM dengan nama yang sama dengan Pengguna CloudSSO. Nilai valid:
Replace: Pengguna RAM baru menimpa pengguna RAM yang ada. Izin, informasi dasar, dan ID pengguna RAM tidak berubah. Metode login terpengaruh. Jika Anda menggunakan pengguna RAM yang disinkronkan, Anda hanya dapat masuk ke pengguna RAM menggunakan CloudSSO. Anda tidak dapat menggunakan nama pengguna atau kata sandi RAM untuk masuk ke pengguna RAM.
Retain Both: Sistem mengganti nama pengguna RAM baru dan menyimpan kedua pengguna RAM.
Deletion Policy: Kebijakan penanganan yang digunakan untuk menentukan apakah akan menyimpan pengguna RAM yang telah diprovisioning saat Anda menghapus provisioning pengguna RAM. Nilai valid:
Retain: Saat Anda menghapus provisioning pengguna RAM, sistem menyimpan pengguna RAM yang telah diprovisioning.
Delete: Saat Anda menghapus provisioning pengguna RAM, sistem menghapus pengguna RAM yang telah diprovisioning.
Klik Submit.
Klik Complete.
Setelah konfigurasi selesai, pengguna RAM dengan nama yang sama dengan Pengguna CloudSSO Anda dibuat di dalam anggota yang dipilih di direktori sumber daya. Dalam contoh ini, pengguna RAM user1@xxx.onaliyun.com dibuat di dalam anggota Sandbox_Account. Pengguna RAM memiliki nama yang sama dengan Pengguna CloudSSO user1.
Langkah 2: Berikan izin kepada pengguna RAM
Anda dapat mengakses anggota Sandbox_Account dan melampirkan kebijakan AliyunMaxComputeFullAccess kepada pengguna RAM user1@xxx.onaliyun.com untuk mengelola sumber daya MaxCompute.
Akses anggota Sandbox_Account.
Untuk informasi lebih lanjut, lihat Gunakan anggota untuk masuk ke Konsol Manajemen Alibaba Cloud.
Berikan izin kepada pengguna RAM user1@xxx.onaliyun.com.
Dalam contoh ini, kebijakan AliyunMaxComputeFullAccess dilampirkan kepada pengguna RAM user1@xxx.onaliyun.com. Kebijakan ini memberikan izin manajemen pada sumber daya MaxCompute. Untuk informasi lebih lanjut, lihat Berikan izin kepada pengguna RAM.
Untuk kenyamanan Anda, kami sarankan menentukan Pengguna CloudSSO sebagai administrator izin untuk memberikan izin kepada pengguna RAM yang diprovisioning di dalam anggota di direktori sumber daya. Sebagai contoh, Anda dapat membuat konfigurasi akses yang berisi kebijakan AliyunRAMFullAccess di CloudSSO. Kemudian, pilih beberapa anggota yang ingin Anda kelola dan administrator izin untuk memprovisioning konfigurasi akses tersebut. Dengan cara ini, administrator izin dapat memberikan izin kepada pengguna RAM yang diprovisioning di dalam anggota tersebut. Untuk informasi lebih lanjut, lihat Buat konfigurasi akses dan Tetapkan izin akses pada akun di direktori sumber daya.
Langkah 3: Gunakan Pengguna CloudSSO untuk mengakses sumber daya Alibaba Cloud
Pengguna CloudSSO user1 dapat mengakses sumber daya MaxCompute yang dimiliki oleh anggota Sandbox_Account sebagai pengguna RAM user1@xxx.onaliyun.com.
Masuk ke portal pengguna CloudSSO sebagai user1.
Untuk informasi lebih lanjut, lihat Langkah 1: Dapatkan URL portal pengguna CloudSSO dan Langkah 2: Masuk ke portal pengguna.
Akses sumber daya MaxCompute yang dimiliki oleh anggota Sandbox_Account sebagai pengguna RAM user1@xxx.onaliyun.com.
Untuk informasi lebih lanjut, lihat bagian RAM user-based logon di Langkah 3: Akses sumber daya akun di direktori sumber daya Anda.
