Buat pasangan AccessKey - Resource Access Management

Topik ini menjelaskan apa itu pasangan AccessKey dan cara membuatnya untuk Pengguna Resource Access Management (RAM) atau Akun Alibaba Cloud.

Apa itu pasangan AccessKey?

Pasangan AccessKey adalah kredensial keamanan jangka panjang yang digunakan untuk mengautentikasi permintaan programatik ke API Alibaba Cloud. Pasangan ini terdiri dari ID AccessKey dan Rahasia AccessKey.

AccessKey ID: Pengidentifikasi publik unik untuk pasangan AccessKey.
AccessKey secret: Kunci rahasia yang digunakan untuk menghitung signature digital pada permintaan API. Signature ini memverifikasi keaslian dan integritas permintaan. Anda harus menjaga kerahasiaan AccessKey secret Anda secara ketat.

Penting

Untuk mengurangi risiko kebocoran, AccessKey secret hanya dapat dilihat atau diunduh pada saat pembuatannya. Anda tidak dapat mengambilnya kembali di kemudian hari. Pastikan untuk menyimpannya dengan aman.

Cara menggunakan pasangan AccessKey

Pasangan AccessKey hanya dimaksudkan untuk akses programatik ke Layanan Alibaba Cloud melalui alat seperti command-line interface (CLI), software development kits (SDKs), atau Terraform. Anda tidak dapat menggunakan pasangan AccessKey untuk login ke Konsol Alibaba Cloud.

Sebagai praktik terbaik, Anda sebaiknya tidak menyematkan pasangan AccessKey secara langsung dalam aplikasi Anda. Sebagai gantinya, kami menyarankan penggunaan kredensial keamanan sementara (token STS) yang dihasilkan dengan mengasumsikan Peran RAM. Pendekatan ini mengurangi risiko yang terkait dengan kredensial yang dikompromikan. Untuk kasus penggunaan spesifik, lihat Kapan saya menggunakan RAM?.

Jika kasus penggunaan Anda memerlukan pasangan AccessKey, lihat Praktik terbaik untuk manajemen identitas dan akses.

Cara kerja pasangan AccessKey

RAM menghasilkan ID AccessKey dan Rahasia AccessKey menggunakan algoritma tertentu. Kredensial ini dienkripsi selama penyimpanan maupun transmisi.

Saat sebuah aplikasi membuat permintaan, aplikasi tersebut menggunakan Rahasia AccessKey untuk menghitung signature digital dan menyertakan signature tersebut dalam permintaan. Saat Alibaba Cloud menerima permintaan tersebut, sistem menggunakan ID AccessKey untuk mencari rahasia tersebut dan memvalidasi signature-nya. Proses ini memverifikasi identitas pengirim dan integritas permintaan. Untuk informasi lebih lanjut tentang mekanisme signature spesifik yang digunakan Alibaba Cloud, lihat Sintaksis permintaan dan metode signature V3.

Kategori pasangan AccessKey

Pasangan AccessKey dapat dimiliki oleh Akun Alibaba Cloud atau Pengguna RAM. Pasangan AccessKey dikategorikan berdasarkan pemiliknya:

Pasangan AccessKey Akun Alibaba Cloud (Tidak disarankan)
Jenis pasangan AccessKey ini dimiliki oleh Akun Alibaba Cloud. Pasangan ini memiliki izin penuh atas semua resource dalam akun tersebut. Pasangan AccessKey yang dikompromikan menimbulkan risiko keamanan yang sangat tinggi. Kami sangat menyarankan agar Anda tidak membuat atau menggunakan pasangan AccessKey Akun Alibaba Cloud.
Pasangan AccessKey Pengguna RAM (Disarankan)
Jenis pasangan AccessKey ini dimiliki oleh Pengguna RAM. Pasangan ini hanya memiliki izin yang diberikan kepada pengguna tersebut, sehingga memungkinkan Anda menerapkan prinsip hak istimewa minimal. Sebagai praktik terbaik, buatlah Pengguna RAM dan pasangan AccessKey unik untuk setiap aplikasi. Hal ini mengurangi risiko eksposur akibat berbagi kredensial.

Persyaratan izin

Karena Akun Alibaba Cloud memiliki akses penuh ke semua resource, Anda sebaiknya menghindari penggunaannya untuk membuat pasangan AccessKey di lingkungan produksi. Sebagai praktik terbaik, gunakan Pengguna RAM yang hanya diberikan izin yang diperlukan untuk membuat dan mengelola pasangan AccessKey bagi Pengguna RAM lainnya.

Anda dapat menyambungkan Kebijakan sistem AliyunRAMFullAccess ke administrator RAM agar mereka dapat membuat dan mengelola pasangan AccessKey untuk Pengguna RAM.
Anda juga dapat mengizinkan Pengguna RAM untuk mengelola pasangan AccessKey mereka sendiri dengan mengaktifkan opsi Allow users to manage AccessKey di pengaturan keamanan global RAM. Untuk informasi lebih lanjut, lihat Kelola pengaturan keamanan.
Catatan
Mengaktifkan pengaturan ini memungkinkan semua Pengguna RAM untuk mengelola pasangan AccessKey mereka sendiri. Ini mencakup semua operasi terkait, seperti membuat, menonaktifkan, dan menghapus pasangan AccessKey, kecuali administrator menyambungkan kebijakan yang secara eksplisit menolak operasi tersebut.
Kami tidak menyarankan mengaktifkan pengaturan ini di lingkungan produksi. Untuk mengizinkan Pengguna RAM tertentu mengelola pasangan AccessKey mereka sendiri, kami menyarankan Anda menggunakan kebijakan kustom dan mengatur elemen Resource dalam kebijakan tersebut ke Nama Sumber Daya Alibaba Cloud (ARN) milik pengguna tersebut. Contoh kebijakan berikut disediakan sebagai referensi:
Izinkan Pengguna RAM membuat pasangan AccessKey mereka sendiri
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ram:CreateAccessKey", "ram:ListAccessKeys" ], "Resource": "acs:ram:*:ACCOUNT_ID:user/USER_NAME" } ] }
Izinkan Pengguna RAM mengelola pasangan AccessKey mereka sendiri
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ram:CreateAccessKey", "ram:ListAccessKeys", "ram:UpdateAccessKey", "ram:DeleteAccessKey", "ram:GetAccessKeyLastUsed", "ram:ListAccessKeysInRecycleBin" ], "Resource": "acs:ram:*:ACCOUNT_ID:user/USER_NAME" } ] }

Buat pasangan AccessKey untuk Pengguna RAM

Administrator RAM (pengguna dengan kebijakan AliyunRAMFullAccess yang disambungkan) dapat melakukan operasi berikut. Jika Anda belum memiliki Pengguna RAM di bawah akun Anda, buat satu terlebih dahulu.

Konsol

Login ke Konsol RAM.
Di panel navigasi sebelah kiri, pilih Identities > Users.
Temukan RAM user yang dituju dan klik username-nya.
Di tab AccessKey, klik Create AccessKey.
Catatan
Setiap Pengguna RAM dapat memiliki maksimal dua pasangan AccessKey. Satu untuk penggunaan reguler, dan satu lagi dibuat untuk rotasi guna menggantikan yang lama.
Pada kotak dialog yang muncul, tinjau kasus penggunaan dan saran untuk menggunakan pasangan AccessKey. Kami menyarankan Anda memilih solusi kredensial yang lebih sesuai. Jika Anda harus membuat pasangan AccessKey, pilih kasus penggunaan, centang I confirm that it is necessary to create an AccessKey, lalu klik Continue. Pilihan ini hanya untuk tujuan pengumpulan data dan tidak memengaruhi izin atau properti pasangan AccessKey yang dibuat.
Lengkapi verifikasi keamanan sesuai petunjuk.
Di kotak dialog Create AccessKey, simpan ID AccessKey dan Rahasia AccessKey, lalu klik OK.
(Opsional) Configure AccessKey Network Access Control: Anda dapat membatasi alamat IP sumber untuk permintaan API yang menggunakan pasangan AccessKey tersebut. Hal ini meningkatkan keamanan dengan membatasi akses pasangan AccessKey hanya pada lingkungan jaringan tepercaya. Kami menyarankan Anda mengidentifikasi lingkungan jaringan tempat pasangan AccessKey digunakan, lalu klik Go to Settings. Untuk informasi lebih lanjut, lihat Konfigurasikan kebijakan tingkat pasangan AccessKey untuk Pengguna RAM.
Penting
Untuk mengurangi risiko kebocoran, AccessKey secret hanya ditampilkan sekali saat Anda membuatnya. Anda tidak dapat mengambilnya kembali di kemudian hari. Pastikan untuk menyimpannya dengan aman.

API

Panggil operasi CreateAccessKey untuk membuat pasangan AccessKey dan tentukan parameter berikut:

UserPrincipalName: Nama login Pengguna RAM yang akan memiliki pasangan AccessKey tersebut. Formatnya adalah test@example.onaliyun.com. Anda dapat menemukan nama login Pengguna RAM di Konsol RAM.

Penting

Untuk mengurangi risiko kebocoran, AccessKey secret hanya ditampilkan saat Anda memanggil operasi CreateAccessKey. Anda tidak dapat mengambilnya kembali di kemudian hari. Pastikan untuk menyimpannya dengan aman.

Buat pasangan AccessKey untuk Akun Alibaba Cloud (Tidak disarankan)

Peringatan

Kecuali benar-benar diperlukan, kami sangat menyarankan agar Anda tidak membuat atau menggunakan pasangan AccessKey untuk Akun Alibaba Cloud Anda. Sebelum melanjutkan, evaluasi apakah Anda dapat menggunakan pasangan AccessKey Pengguna RAM sebagai gantinya.

Login ke Konsol RAM menggunakan Akun Alibaba Cloud Anda.
Arahkan kursor ke gambar profil di pojok kanan atas dan klik AccessKey.
Di kotak dialog Cloud Account AccessKey Pair Not Recommended, tinjau risiko membuat pasangan AccessKey untuk Akun Alibaba Cloud Anda. Untuk melanjutkan, centang I am aware of the security risks of using a main account AccessKey, lalu klik Use Cloud Account AccessKey.
Di halaman AccessKey, klik Create AccessKey.
Catatan
Akun Alibaba Cloud dapat memiliki maksimal dua pasangan AccessKey. Satu untuk penggunaan reguler, dan satu lagi dibuat untuk rotasi guna menggantikan yang lama.
Di kotak dialog Create Main Account AccessKey, tinjau kembali risiko keamanan dan batasan-batasannya. Untuk membuat pasangan AccessKey, centang I am aware of the security risks of using a main account AccessKey, lalu klik Use Main Account AccessKey.
Di kotak dialog Create AccessKey, simpan ID AccessKey dan Rahasia AccessKey, centang I have saved the AccessKey Secret, lalu klik OK.
(Opsional) Configure AccessKey Network Access Control: Anda dapat membatasi alamat IP sumber untuk permintaan API yang menggunakan pasangan AccessKey tersebut. Hal ini meningkatkan keamanan dengan membatasi akses pasangan AccessKey hanya pada lingkungan jaringan tepercaya. Kami menyarankan Anda mengidentifikasi lingkungan jaringan tempat pasangan AccessKey digunakan, lalu klik Go to Settings. Untuk informasi lebih lanjut, lihat Konfigurasikan kebijakan tingkat pasangan AccessKey untuk Akun Alibaba Cloud.
Penting
Untuk mengurangi risiko kebocoran, Rahasia AccessKey Akun Alibaba Cloud hanya ditampilkan saat Anda membuatnya. Anda tidak dapat mengambilnya kembali di kemudian hari. Pastikan untuk menyimpannya dengan aman.

Resource Access Management：Buat pasangan AccessKey