Topik ini menjelaskan apa itu pasangan AccessKey dan cara membuatnya untuk Pengguna Resource Access Management (RAM) atau Akun Alibaba Cloud.
Apa Itu Pasangan AccessKey
Pasangan AccessKey adalah kredensial akses jangka panjang yang disediakan Alibaba Cloud kepada pengguna. Pasangan ini terdiri dari ID AccessKey dan Rahasia AccessKey.
AccessKey ID: Pengidentifikasi publik unik untuk pasangan AccessKey.
AccessKey secret: Bagian rahasia dari pasangan AccessKey yang digunakan untuk menandatangani permintaan API guna memverifikasi keaslian dan integritas permintaan tersebut. Anda harus menjaga kerahasiaan AccessKey secret Anda secara ketat.
Untuk mengurangi risiko kebocoran, AccessKey secret hanya ditampilkan sekali saat Anda membuatnya. Anda tidak dapat mengambilnya kembali di kemudian hari. Pastikan untuk menyimpannya dengan aman.
Cara Menggunakan Pasangan AccessKey
Anda tidak dapat menggunakan pasangan AccessKey untuk login ke Konsol. Sebagai gantinya, Anda dapat menggunakannya untuk memanggil API Alibaba Cloud secara programatik melalui alat seperti command-line interface (CLI), software development kits (SDKs), atau Terraform.
Sebagai praktik terbaik, aplikasi atau layanan sebaiknya menghindari penggunaan langsung pasangan AccessKey untuk mengakses resource Alibaba Cloud bila memungkinkan. Alibaba Cloud menyediakan berbagai solusi yang tidak memerlukan pasangan AccessKey dan memungkinkan penggunaan kredensial sementara yang lebih aman, seperti token Security Token Service (STS), untuk mengakses resource. Untuk kasus penggunaan spesifik, lihat Skenario pengembangan aplikasi.
Jika Anda harus membuat dan menggunakan pasangan AccessKey, lihat praktik terbaik penggunaannya: Simpan dan gunakan pasangan AccessKey yang tidak dapat dihindari dengan benar.
Cara Kerja Pasangan AccessKey
Resource Access Management (RAM) menghasilkan ID AccessKey dan Rahasia AccessKey menggunakan algoritma tertentu. Alibaba Cloud mengenkripsi kredensial ini baik saat penyimpanan maupun transmisi.
Ketika sebuah aplikasi menggunakan pasangan AccessKey untuk membuat permintaan, permintaan tersebut mencakup ID AccessKey dan signature. Signature dihasilkan dengan mengenkripsi konten permintaan menggunakan Rahasia AccessKey. Saat Alibaba Cloud menerima permintaan tersebut, sistem melakukan verifikasi identitas dan memvalidasi legalitas permintaan. Untuk informasi lebih lanjut tentang mekanisme signature spesifik yang digunakan Alibaba Cloud, lihat Body permintaan dan mekanisme signature V3.
Kategori Pasangan AccessKey
Pasangan AccessKey dapat dimiliki oleh Akun Alibaba Cloud atau Pengguna RAM. Pasangan AccessKey dikategorikan berdasarkan pemiliknya:
Pasangan AccessKey Akun Alibaba Cloud (Tidak disarankan)
Jenis pasangan AccessKey ini dibuat langsung oleh Akun Alibaba Cloud. Secara default, pasangan ini memiliki izin penuh atas semua resource di bawah akun tersebut dan dapat melakukan operasi apa pun. Kebocoran pasangan AccessKey root menimbulkan risiko keamanan yang sangat tinggi. Kami sangat menyarankan agar Anda tidak membuat atau menggunakan pasangan AccessKey untuk Akun Alibaba Cloud Anda.
Pasangan AccessKey Pengguna RAM (Disarankan)
Ini adalah kredensial akses programatik untuk Pengguna RAM. Anda harus membuat Pengguna RAM terlebih dahulu sebelum dapat membuat pasangan AccessKey untuk pengguna tersebut. Pasangan AccessKey Pengguna RAM mewarisi izin pengguna tersebut, sehingga memungkinkan manajemen akses berbasis prinsip least privilege. Kami menyarankan agar Anda menetapkan Pengguna RAM dan pasangan AccessKey terpisah untuk setiap aplikasi bisnis independen. Praktik ini mencegah pemberian izin berlebihan atau peningkatan risiko kebocoran akibat berbagi kredensial.
Persyaratan Izin
Akun Alibaba Cloud memiliki izin yang berlebihan. Oleh karena itu, Anda sebaiknya menghindari penggunaannya untuk membuat pasangan AccessKey di lingkungan produksi. Sebagai gantinya, gunakan Pengguna RAM yang diberikan izin yang diperlukan untuk membuat dan mengelola pasangan AccessKey, kecuali pasangan AccessKey milik Akun Alibaba Cloud.
Anda dapat menyambungkan kebijakan sistem
AliyunRAMFullAccess(administrator RAM) ke administrator agar mereka dapat membuat dan mengelola pasangan AccessKey untuk Pengguna RAM.Anda juga dapat mengizinkan pengguna mengelola pasangan AccessKey mereka sendiri dengan mengaktifkan opsi Allow users to manage their own AccessKeys di pengaturan keamanan global RAM. Untuk informasi selengkapnya, lihat Kelola pengaturan keamanan untuk Pengguna RAM.
CatatanMengaktifkan pengaturan ini memungkinkan semua Pengguna RAM mengelola pasangan AccessKey mereka sendiri. Ini mencakup semua operasi terkait, seperti membuat, menonaktifkan, dan menghapus pasangan AccessKey, kecuali jika administrator menyambungkan kebijakan yang secara eksplisit melarang operasi tersebut.
Kami tidak menyarankan mengaktifkan pengaturan ini di lingkungan produksi. Untuk mengizinkan pengguna tertentu mengelola pasangan AccessKey mereka sendiri, kami menyarankan Anda menggunakan kebijakan kustom dan membatasi
Resourcehanya untuk pengguna tersebut. Kebijakan contoh berikut disediakan sebagai referensi:Izinkan pengguna membuat pasangan AccessKey mereka sendiri
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ram:CreateAccessKey", "ram:ListAccessKeys" ], "Resource": "acs:ram:*:ACCOUNT_ID:user/USER_NAME" } ] }Izinkan pengguna mengelola pasangan AccessKey mereka sendiri
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ram:CreateAccessKey", "ram:ListAccessKeys", "ram:UpdateAccessKey", "ram:DeleteAccessKey", "ram:GetAccessKeyLastUsed", "ram:ListAccessKeysInRecycleBin" ], "Resource": "acs:ram:*:ACCOUNT_ID:user/USER_NAME" } ] }
Buat Pasangan AccessKey untuk Pengguna RAM
Administrator RAM (AliyunRAMFullAccess) dapat melakukan operasi berikut. Jika Anda belum memiliki Pengguna RAM di bawah akun Anda, lihat Buat Pengguna RAM.
Langkah-langkah bagi Pengguna RAM untuk membuat pasangan AccessKey mereka sendiri sama dengan langkah-langkah untuk membuat pasangan AccessKey untuk Akun Alibaba Cloud.
Konsol
Login ke Konsol RAM. Di panel navigasi kiri, pilih .
Di daftar pengguna, klik username RAM user yang dituju.
Di tab Authentication, pada bagian AccessKey, klik Create AccessKey.
CatatanSetiap Pengguna RAM dapat memiliki maksimal dua pasangan AccessKey. Satu digunakan secara rutin, dan satu lagi dibuat untuk rotasi guna menggantikan yang lama.
Di kotak dialog yang muncul, tinjau skenario dan rekomendasi penggunaan pasangan AccessKey. Kami menyarankan Anda memilih solusi kredensial yang lebih sesuai. Jika Anda harus membuat pasangan AccessKey, pilih skenario, centang I confirm that I must create an AccessKey, lalu klik Continue to Create. Skenario yang Anda pilih tidak memengaruhi pasangan AccessKey yang dibuat.
Lakukan verifikasi keamanan sesuai petunjuk.
Di kotak dialog Create AccessKey, simpan ID AccessKey dan Rahasia AccessKey, lalu klik OK.
Konfigurasikan kebijakan pembatasan akses jaringan untuk pasangan AccessKey (Opsional): Anda dapat membatasi alamat IP sumber untuk permintaan API yang menggunakan pasangan AccessKey ini. Hal ini meningkatkan keamanan dengan membatasi akses ke pasangan AccessKey hanya dari lingkungan jaringan tepercaya. Kami menyarankan Anda mengidentifikasi lingkungan jaringan tempat pasangan AccessKey digunakan, lalu klik Configure Network Access Policy. Untuk informasi selengkapnya, lihat Konfigurasikan kebijakan pembatasan akses jaringan tingkat AccessKey untuk Pengguna RAM.
PentingUntuk mengurangi risiko kebocoran, AccessKey secret hanya ditampilkan sekali saat Anda membuatnya. Anda tidak dapat mengambilnya kembali di kemudian hari. Pastikan untuk menyimpannya dengan aman.
OpenAPI
Panggil operasi CreateAccessKey untuk membuat pasangan AccessKey dan tentukan parameter berikut:
UserPrincipalName: Nama login pengguna yang menjadi pemilik pasangan AccessKey. Formatnya adalah test@example.onaliyun.com. Anda dapat menemukan nama login pengguna di Konsol RAM.
Untuk mengurangi risiko kebocoran, AccessKey secret hanya ditampilkan saat Anda memanggil operasi CreateAccessKey. Anda tidak dapat mengambilnya kembali di kemudian hari. Pastikan untuk menyimpannya dengan aman.
Buat Pasangan AccessKey untuk Akun Alibaba Cloud (Tidak Disarankan)
Kecuali benar-benar diperlukan, kami sangat menyarankan agar Anda tidak membuat atau menggunakan pasangan AccessKey untuk Akun Alibaba Cloud Anda. Sebelum melanjutkan, evaluasi apakah Anda dapat menggunakan pasangan AccessKey Pengguna RAM sebagai gantinya.
Login ke Alibaba Cloud Management Console menggunakan Akun Alibaba Cloud Anda.
Arahkan kursor ke foto profil Anda di pojok kanan atas, lalu klik AccessKey Management.
Di kotak dialog Using the AccessKey of an Alibaba Cloud account is not recommended, tinjau risiko membuat pasangan AccessKey untuk Akun Alibaba Cloud Anda. Untuk melanjutkan, centang I understand the security risks of using the AccessKey of an Alibaba Cloud account, lalu klik Continue to use the AccessKey of an Alibaba Cloud account.
Di halaman AccessKey Management, klik Create AccessKey.
CatatanAkun Alibaba Cloud dapat memiliki maksimal dua pasangan AccessKey. Satu digunakan secara rutin, dan satu lagi dibuat untuk rotasi guna menggantikan yang lama.
Di kotak dialog Create AccessKey for Alibaba Cloud Account, tinjau kembali risiko keamanan dan batasan. Untuk membuat pasangan AccessKey, centang I understand the security risks of using the AccessKey of an Alibaba Cloud account, lalu klik Continue to use the AccessKey of an Alibaba Cloud account.
Di kotak dialog Create AccessKey, simpan ID AccessKey dan Rahasia AccessKey, centang I have saved the AccessKey Secret, lalu klik OK.
Konfigurasikan kebijakan pembatasan akses jaringan untuk pasangan AccessKey (Disarankan): Anda dapat membatasi alamat IP sumber untuk permintaan API yang menggunakan pasangan AccessKey ini. Hal ini membatasi akses ke pasangan AccessKey hanya dari lingkungan jaringan tepercaya dan meningkatkan keamanan. Kami menyarankan Anda mengidentifikasi lingkungan jaringan tempat pasangan AccessKey digunakan, lalu klik Configure Network Access Policy. Untuk informasi selengkapnya, lihat Konfigurasikan kebijakan pembatasan akses jaringan tingkat AccessKey untuk Akun Alibaba Cloud.
PentingUntuk mengurangi risiko kebocoran, Rahasia AccessKey Akun Alibaba Cloud hanya ditampilkan saat Anda membuatnya. Anda tidak dapat mengambilnya kembali di kemudian hari. Pastikan untuk menyimpannya dengan aman.