Topik ini menjelaskan cara membuat pengguna Resource Access Management (RAM) dan memberikan izin kepadanya untuk kontrol akses detail halus terhadap sumber daya cloud Anda.
Mengapa menggunakan pengguna RAM?
Akun Alibaba Cloud setara dengan pengguna root di Linux, yang memiliki hak istimewa tertinggi. Saat beberapa karyawan di perusahaan Anda perlu berkolaborasi dalam mengelola sumber daya cloud, Anda dapat membuat beberapa pengguna RAM di bawah akun Alibaba Cloud Anda, lalu memberikan izin minimum yang diperlukan bagi setiap pengguna untuk menjalankan tugasnya.
Item | Akun Alibaba Cloud | Pengguna RAM |
Peran identitas | Pemilik sumber daya. Memiliki kepemilikan penuh atas semua aset dan izin tertinggi. | Pengguna sumber daya dan layanan. Izin diberikan oleh akun Alibaba Cloud. Pengguna RAM biasanya mewakili orang atau aplikasi tertentu. |
Kepemilikan sumber daya cloud | Ya | Tidak. Sumber daya dimiliki oleh akun Alibaba Cloud. |
Izin default | Izin penuh. Tidak dapat dibatasi. | Tidak memiliki izin secara default. Harus diberikan izin oleh akun Alibaba Cloud. |
Penggunaan yang direkomendasikan | Hanya untuk operasi manajemen kritis, seperti otorisasi, pembayaran, dan manajemen akun. | Pengembangan harian, O&M, penerapan, dan tugas lainnya. |
Prosedur
Gunakan fitur mulai cepat untuk membuat pengguna RAM dengan izin Auditing Administrator.
Login ke Konsol RAM sebagai pengguna RAM yang telah Anda buat dan selesaikan konfigurasi awal.
Verifikasi bahwa izin telah berhasil diberikan kepada pengguna RAM.
Langkah 1: Buat pengguna RAM
Buat pengguna dan berikan izin secara cepat
Login ke Konsol RAM menggunakan akun Alibaba Cloud Anda.
Pada halaman Overview, klik tab Get Started. Di bagian Cloud functional users, klik Show All Workflows, lalu pilih alur kerja.
Topik ini memberikan contoh alur kerja Auditing Administrator. Seorang Auditing Administrator memiliki akses penuh ke Cloud Config, ActionTrail, dan Simple Log Service (SLS). Mereka juga dapat melakukan kueri status semua sumber daya Alibaba Cloud.
Lihat atau ubah parameter.
Anda dapat melihat semua parameter yang telah ditentukan sebelumnya, tetapi hanya dapat mengubah beberapa di antaranya. Parameter yang dapat diubah akan ditampilkan di konsol.
Klik Perform.
Setelah konfigurasi selesai, simpan username dan password pengguna RAM tersebut.
Anda dapat mengubah konfigurasi pengguna RAM yang dibuat menggunakan fitur mulai cepat.
Untuk membuat pengguna RAM dan memberikan izin secara manual, lihat Create a RAM user dan Grant permissions to a RAM user.
Tetapkan sufiks login untuk pengguna RAM (Direkomendasikan)
Nama login default untuk pengguna RAM adalah <UserName>@<AccountAlias>.onaliyun.com. Dalam format ini, <AccountAlias>.onaliyun.com adalah sufiks login default akun Alibaba Cloud, dan <AccountAlias> adalah alias akun. Secara default, alias akun adalah ID akun Alibaba Cloud. Kami menyarankan menetapkan alias yang mudah diingat untuk akun Alibaba Cloud Anda guna menyederhanakan proses login pengguna RAM. Alias ini menggantikan ID akun 16 digit default dalam nama login. Untuk hasil terbaik, tetapkan alias ini sebelum Anda membuat pengguna RAM.
Ikuti langkah-langkah berikut untuk mengubah sufiks login default:
Login ke Konsol RAM menggunakan akun Alibaba Cloud Anda.
Di panel navigasi sebelah kiri, klik Settings. Pada halaman Settings, klik Domain. Lalu, klik Edit di kolom Actions pada nama domain default.
Hanya akun Alibaba Cloud atau administrator RAM yang dapat menetapkan atau mengubah alias akun dan sufiks login.
Setelah alias ditetapkan, perubahan tersebut langsung berlaku. Nama login semua pengguna RAM baru akan menggunakan alias ini secara default.
Langkah 2: Login sebagai pengguna RAM
Pengguna RAM dapat menggunakan tautan berikut untuk login ke konsol. Gunakan URL login khusus agar tidak perlu memasukkan sufiks login default akun.
URL login umum
Gunakan pengguna RAM yang baru dibuat untuk login ke Alibaba Cloud Management Console.
CatatanHalaman login pengguna RAM berbeda dari halaman login akun Alibaba Cloud. Untuk informasi selengkapnya, lihat Log on to the Alibaba Cloud Management Console as a RAM user.
URL login khusus
Login ke Konsol RAM. Pada halaman Overview, Anda dapat menemukan URL login untuk pengguna RAM. URL ini memungkinkan mereka login ke Alibaba Cloud Management Console tanpa perlu memasukkan default logon suffix akun.
Pada halaman RAM User Logon, masukkan username RAM dan klik Next.
Masukkan kata sandi logon pengguna RAM dan klik Log On.
Saat login pertama kali, Anda harus bind perangkat multi-factor authentication (MFA). Pada login berikutnya, Anda akan diminta memasukkan kode MFA.
Atur ulang kata sandi pengguna RAM: Pengguna RAM yang dibuat menggunakan fitur mulai cepat wajib mengatur ulang kata sandinya saat login pertama kali.
Langkah 3: Verifikasi izin pengguna RAM
Auditing Administrator memiliki akses penuh ke Cloud Config, ActionTrail, dan SLS, serta dapat melakukan kueri status semua sumber daya Alibaba Cloud. Bagian ini menggunakan ActionTrail dan RAM sebagai contoh untuk memverifikasi bahwa izin telah diberikan.
Setelah Anda login ke konsol sebagai pengguna RAM, arahkan kursor ke foto profil di pojok kanan atas. Lalu, Anda dapat melihat informasi pengguna RAM tersebut.
Buka Konsol ActionTrail dan lakukan suatu operasi.
Misalnya, di panel navigasi sebelah kiri, pilih untuk melihat catatan event dari semua layanan.
Buka Konsol RAM.
Di panel navigasi sebelah kiri, pilih untuk melihat semua pengguna RAM.
Ulangi langkah-langkah dalam Create a RAM user. Pesan error "Access Denied" akan ditampilkan.
Pemecahan Masalah
Jika terjadi error akses ditolak saat pengguna RAM mencoba mengakses suatu sumber daya, lihat How do I troubleshoot an access denied error?