Alibaba Cloud DNS:Manajemen Identitas

Pengguna RAM

Pengguna RAM dapat dibuat melalui akun Alibaba Cloud atau dengan menggunakan pengguna RAM dan peran RAM yang memiliki hak administratif. Setelah diberi izin yang diperlukan, pengguna RAM dapat menggunakan Konsol Manajemen Alibaba Cloud atau memanggil Operasi API untuk mengakses sumber daya dalam akun Alibaba Cloud tempat mereka berada.

Perhatikan hal-hal berikut:

• Gunakan akun Alibaba Cloud untuk membuat pengguna RAM dan berikan hak administratif kepada pengguna tersebut. Selanjutnya, gunakan pengguna RAM ini untuk membuat dan mengelola pengguna RAM lainnya.

• Pisahkan pengguna RAM untuk individu dari pengguna RAM untuk program.

  Saat membuat pengguna RAM, pilih Console Access, Using permanent AccessKey to access, atau keduanya untuk parameter Access Mode.

  Pengguna RAM dengan akses konsol masuk ke Konsol Manajemen Alibaba Cloud menggunakan nama pengguna dan kata sandi, sedangkan pengguna RAM dengan akses berbasis pasangan AccessKey melakukan panggilan API. Pisahkan pengguna RAM untuk individu dari pengguna RAM untuk program guna mencegah dampak operasi yang tidak disengaja. Aktifkan autentikasi multi-faktor (MFA) untuk pengguna RAM dengan akses konsol.

• Berikan izin kepada pengguna RAM berdasarkan prinsip Hak istimewa minimal.

  Hak istimewa minimal adalah izin minimum yang diperlukan untuk menjalankan suatu operasi. Prinsip ini meningkatkan keamanan data dan mencegah penyalahgunaan izin.

• Jangan sematkan ID AccessKey atau Rahasia AccessKey di dalam kode untuk mencegah kebocoran pasangan AccessKey. Kebocoran pasangan AccessKey dapat menimbulkan risiko keamanan bagi semua sumber daya dalam akun Anda. Gunakan Token Layanan Keamanan (STS) atau konfigurasikan variabel lingkungan untuk mendapatkan izin akses.

• Aktifkan Single Sign-On (SSO) untuk pengguna RAM jika memungkinkan, sehingga mereka dapat masuk dan mengakses sumber daya Alibaba Cloud dari sistem manajemen identitas perusahaan mereka.

Grup pengguna RAM

Jika Anda menggunakan akun Alibaba Cloud untuk membuat beberapa pengguna RAM, kelompokkan pengguna tersebut agar lebih mudah mengelola izin. Misalnya, berikan izin yang sama kepada pengguna RAM dalam grup yang sama. Perhatikan hal-hal berikut:

• Berikan izin kepada grup pengguna RAM berdasarkan prinsip Hak istimewa minimal.

• Hapus pengguna RAM dari grup jika tugas kerja mereka berubah.

• Cabut izin dari grup pengguna RAM jika izin tersebut tidak lagi diperlukan.

Peran RAM

Peran RAM adalah identitas virtual yang dapat memiliki kebijakan terlampir. Peran RAM tidak memiliki kredensial permanen seperti kata sandi logon atau pasangan AccessKey. Peran RAM hanya dapat digunakan setelah diasumsikan oleh entitas tepercaya. Setelah diasumsikan, entitas tepercaya dapat memperoleh Token Layanan Keamanan (STS) dan menggunakannya untuk mengakses sumber daya Alibaba Cloud sebagai peran RAM.

Perhatikan hal-hal berikut:

• Hindari sering mengubah entitas tepercaya peran RAM setelah pembuatan. Perubahan dapat menyebabkan hilangnya izin, yang memengaruhi bisnis Anda. Penambahan entitas tepercaya juga dapat menimbulkan risiko keamanan karena peningkatan hak istimewa. Pastikan perubahan diuji sepenuhnya sebelum diterapkan.

• Setelah entitas tepercaya diberi izin, entitas tersebut dapat memanggil operasi AssumeRole untuk memperoleh token STS, yang digunakan untuk mengasumsikan peran RAM. Untuk informasi lebih lanjut, lihat AssumeRole. Token STS hanya valid untuk periode waktu tertentu. Tetapkan periode validitas sesuai kebutuhan untuk mengurangi risiko keamanan.

  Catatan

  Masa berlaku maksimum token STS adalah durasi sesi maksimum yang ditentukan untuk peran RAM. Tetapkan durasi sesi maksimum sesuai kebutuhan untuk mengurangi risiko keamanan.

• Aktifkan SSO untuk peran RAM jika memungkinkan, sehingga peran tersebut dapat masuk dan mengakses sumber daya Alibaba Cloud dari sistem manajemen identitas perusahaan.