Otorisasi RAM - Elastic Compute Service - Alibaba Cloud Documentation Center

Resource Access Management (RAM) adalah layanan Alibaba Cloud yang dirancang untuk manajemen identitas pengguna dan kontrol izin akses resource. Melalui RAM, Anda dapat menerapkan prinsip least privilege tanpa perlu membagikan kunci akun Alibaba Cloud Anda kepada pengguna lain. RAM menggunakan kebijakan izin untuk menentukan otorisasi. Topik ini menjelaskan struktur umum kebijakan RAM, serta elemen pernyataan kebijakan (Action, Resource, dan Condition) yang didefinisikan oleh Elastic Compute Service (ECS) untuk kebijakan izin RAM. Kode RAM (RamCode) untuk Elastic Compute Service (ECS) adalah ecs,vpc , dan granularitas otorisasi yang didukung adalah Tingkat sumber daya .

Struktur umum kebijakan

Kebijakan izin menggunakan format JSON dengan struktur umum berikut:

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "<Effect>",
      "Action": "<Action>",
      "Resource": "<Resource>",
      "Condition": {
        "<Condition_operator>": {
          "<Condition_key>": [
            "<Condition_value>"
          ]
        }
      }
    }
  ]
}

Berikut adalah penjelasan untuk setiap field dalam kebijakan

Version: Menentukan nomor versi kebijakan. Nilainya tetap 1.
Statement:
- Effect: Menentukan hasil otorisasi. Nilai yang valid: Allow dan Deny.
- Action: Menentukan satu atau beberapa operasi yang diizinkan atau ditolak.
- Resource: Menentukan objek spesifik yang terpengaruh oleh operasi tersebut. Anda dapat menggunakan Alibaba Cloud Resource Names (ARNs) untuk mengidentifikasi resource tertentu.
- Condition: Menentukan kondisi agar otorisasi berlaku. Field ini bersifat opsional.
  - Condition operator: Menentukan operator kondisional. Setiap jenis kondisi mendukung operator kondisional yang berbeda.
  - Condition_key: Menentukan condition key.
  - Condition_value: Menentukan nilai kondisi.

Action

Tabel berikut mencantumkan action yang didefinisikan oleh Elastic Compute Service (ECS). Setiap kolom dalam tabel dijelaskan sebagai berikut:

Action: Dapat digunakan dalam elemen Action pada pernyataan kebijakan RAM untuk memberikan izin guna melakukan operasi tersebut.
API: API yang dipanggil untuk melakukan action tersebut.
Access level: Tingkat akses yang telah ditentukan untuk setiap API. Nilai yang valid: create, list, get, update, dan delete.
Resource type: Jenis resource yang mendukung otorisasi untuk melakukan action tersebut. Ini menunjukkan apakah action tersebut mendukung izin tingkat resource. Resource yang ditentukan harus kompatibel dengan action tersebut; jika tidak, kebijakan tidak akan berlaku.
- Untuk API dengan izin tingkat resource, jenis resource yang diperlukan ditandai dengan tanda bintang (*). Tentukan ARN yang sesuai dalam elemen Resource pada kebijakan.
- Untuk API tanpa izin tingkat resource, ini ditampilkan sebagai All Resources. Gunakan tanda bintang (*) dalam elemen Resource kebijakan.
Condition key: Ditentukan oleh layanan. Kunci ini memungkinkan kontrol yang lebih terperinci, yang berlaku baik untuk action saja maupun untuk action yang terkait dengan resource tertentu. Selain condition key spesifik layanan, Alibaba Cloud menyediakan serangkaian condition key umum yang berlaku di seluruh layanan yang terintegrasi dengan RAM. Untuk informasi lebih lanjut, lihat Common condition keys.
Dependent action: Action dependen yang diperlukan untuk menjalankan action tersebut. Agar action dapat dieksekusi dengan sukses, RAM user atau RAM role harus memiliki izin atas semua action dependen tersebut.

Action	API	Level akses	Tipe resource	Condition key	Action dependen
ecs:ReleaseDedicatedHost	ReleaseDedicatedHost	delete	*DedicatedHost `acs:ecs:{#regionId}:{#accountId}:ddh/{#ddhId}`	None	None
ecs:ModifyDedicatedHostAutoRenewAttribute	ModifyDedicatedHostAutoRenewAttribute	update	*DedicatedHost `acs:ecs:{#regionId}:{#accountId}:ddh/{#ddhId}`	None	None
ecs:DescribeDedicatedHostClusters	DescribeDedicatedHostClusters	get	DedicatedHostCluster `acs:ecs:{#regionId}:{#accountId}:ddhcluster/{#ddhclusterId}` DedicatedHostCluster `acs:ecs:{#regionId}:{#accountId}:ddhcluster/*`	None	None
ecs:AllocateDedicatedHosts	AllocateDedicatedHosts	create	DedicatedHost `acs:ecs:{#regionId}:{#accountId}:ddh/`	None	None
ecs:EnableNetworkInterfaceQoS	EnableNetworkInterfaceQoS	update	*NetworkInterface `acs:ecs:{#regionId}:{#accountId}:eni/{#eniId}`	None	None
ecs:DeletePlanMaintenanceWindow	DeletePlanMaintenanceWindow	delete	Semua Sumber Daya ``	None	None
ecs:DescribeDedicatedHosts	DescribeDedicatedHosts	get	DedicatedHost `acs:ecs:{#regionId}:{#accountId}:ddh/*` DedicatedHost `acs:ecs:{#regionId}:{#accountId}:ddh/{#ddhId}`	None	None
ecs:DescribeDedicatedHostAutoRenew	DescribeDedicatedHostAutoRenew	get	*DedicatedHost `acs:ecs:{#regionId}:{#accountId}:ddh/{#ddhId}`	None	None
ecs:CreatePlanMaintenanceWindow	CreatePlanMaintenanceWindow	create	Semua Sumber Daya ``	None	None
ecs:ModifyDedicatedHostAttribute	ModifyDedicatedHostAttribute	update	*DedicatedHost `acs:ecs:{#regionId}:{#accountId}:ddh/{#ddhId}` DedicatedHostCluster `acs:ecs:{#regionId}:{#accountId}:ddhcluster/{#ddhclusterId}`	None	None
ecs:RedeployDedicatedHost	RedeployDedicatedHost	update	*DedicatedHost `acs:ecs:{#regionId}:{#accountId}:ddh/{#ddhId}`	None	None
ecs:DisableNetworkInterfaceQoS	DisableNetworkInterfaceQoS	update	*NetworkInterface `acs:ecs:{#regionId}:{#accountId}:eni/{#eniId}`	None	None
ecs:ModifyDedicatedHostsChargeType	ModifyDedicatedHostsChargeType	update	Semua Sumber Daya ``	None	None
ecs:DescribePlanMaintenanceWindows	DescribePlanMaintenanceWindows	list	Semua Sumber Daya ``	None	None
ecs:ModifyDedicatedHostClusterAttribute	ModifyDedicatedHostClusterAttribute	update	*ddhcluster `acs:ecs:{#regionId}:{#accountId}:ddhcluster/{#ddhclusterId}`	None	None
ecs:CreateDedicatedHostCluster	CreateDedicatedHostCluster	create	Semua Sumber Daya ``	None	None
ecs:ModifyDedicatedHostAutoReleaseTime	ModifyDedicatedHostAutoReleaseTime	update	*DedicatedHost `acs:ecs:{#regionId}:{#accountId}:ddh/{#ddhId}`	None	None
ecs:ModifyPlanMaintenanceWindow	ModifyPlanMaintenanceWindow	update	Semua Sumber Daya ``	None	None
ecs:RenewDedicatedHosts	RenewDedicatedHosts	update	*DedicatedHost `acs:ecs:{#regionId}:{#accountId}:ddh/{#ddhId}`	None	None
ecs:DeleteDedicatedHostCluster	DeleteDedicatedHostCluster	delete	*DedicatedHostCluster `acs:ecs:{#regionId}:{#accountId}:ddhcluster/{#ddhclusterId}`	None	None

Resource

Tabel berikut mencantumkan resource yang ditentukan oleh Elastic Compute Service (ECS). Tentukan resource tersebut dalam elemen Resource pada pernyataan kebijakan RAM untuk memberikan izin terhadap operasi tertentu. Resource tersebut diidentifikasi secara unik menggunakan ARN dengan format: acs:{#ramcode}:{#regionId}:{#accountId}:{#resourceType}:

acs: Singkatan dari Alibaba Cloud service, yang menunjukkan cloud publik Alibaba Cloud.
{#ramcode}: Kode yang digunakan dalam RAM untuk menunjukkan layanan Alibaba Cloud.
{#regionId}: region ID. Jika resource mencakup semua wilayah, atur nilainya menjadi tanda bintang (*).
{#accountId}: ID akun Alibaba Cloud. Jika resource mencakup semua akun Alibaba Cloud, atur nilainya menjadi tanda bintang (*).
{#resourceType}: Identifier resource yang ditentukan oleh layanan. Mendukung struktur hierarkis, mirip dengan path file. Jika pernyataan mencakup resource global, atur nilainya menjadi tanda bintang (*).

Tipe resource	ARN
DedicatedHost	acs:ecs:{#regionId}:{#accountId}:ddh/{#ddhId} acs:ecs:{#regionId}:{#accountId}:ddh/*
Instance	acs:ecs:{#regionId}:{#accountId}:instance/{#instanceId} acs:ecs:{#regionId}:{#accountId}:instance/* acs:vpc:{#regionId}:{#accountId}:instance/{#InstanceId}
AutoSnapshotPolicy	acs:ecs:{#regionId}:{#accountId}:snapshotpolicy/* acs:ecs:{#regionId}:{#accountId}:snapshotpolicy/{#snapshotpolicyId}
Image	acs:ecs:{#regionId}:{#accountId}:image/{#imageId} acs:ecs:{#regionId}:{#accountId}:image/*
KeyPair	acs:ecs:{#regionId}:{#accountId}:keypair/{#keypairName} acs:ecs:{#regionId}:{#accountId}:keypair/{#keypairId} acs:ecs:{#regionId}:{#accountId}:keypair/*
SecurityGroup	acs:ecs:{#regionId}:{#accountId}:securitygroup/{#securitygroupId} acs:ecs:{#regionId}:{#accountId}:securitygroup/*
PortRangeList	acs:ecs:{#regionId}:{#accountId}:portrangelist/* acs:ecs:{#regionId}:{#accountId}:portrangelist/{#portRangeListId}
ReservedInstance	acs:ecs:{#regionId}:{#accountId}:reservedinstance/* acs:ecs:{#regionId}:{#accountId}:reservedinstance/{#ReservedInstanceId}
Snapshot	acs:ecs:{#regionId}:{#accountId}:snapshot/{#snapshotId} acs:ecs:{#regionId}:{#accountId}:snapshot/* acs:ecs::{#accountId}:snapshot/* acs:ecs:{#regionId}:{#accountId}:snapshotpolicy/{#autoSnapshotPolicyId}
LaunchTemplate	acs:ecs:{#regionId}:{#accountId}:launchtemplate/{#launchtemplateId} acs:ecs:{#regionId}:{#accountId}:launchtemplate/*
Disk	acs:ecs:{#regionId}:{#accountId}:disk/{#diskId} acs:ecs:{#regionId}:{#accountId}:disk/* acs:ecs:{#regionId}:{#accountId}:disk/{#SourceDiskId}
NetworkInterface	acs:ecs:{#regionId}:{#accountId}:eni/{#eniId} acs:ecs:{#regionId}:{#accountId}:eni/*
DedicatedHostCluster	acs:ecs:{#regionId}:{#accountId}:ddhcluster/{#ddhclusterId} acs:ecs:{#regionId}:{#accountId}:ddhcluster/*
ImagePipeline	acs:ecs:{#regionId}:{#accountId}:imagepipeline/* acs:ecs:{#regionId}:{#accountId}:imagepipeline/{#imagepipelineId}
Command	acs:ecs:{#regionId}:{#accountId}:command/{#commandId} acs:ecs:{#regionId}:{#accountId}:command/*
VSwitch	acs:vpc:{#regionId}:{#accountId}:vswitch/{#vswitchId} acs:vpc:{#regionId}:{#accountId}:vswitch/*
CapacityReservation	acs:ecs:{#regionId}:{#accountId}:capacityreservation/{#CapacityReservationId} acs:ecs:{#regionId}:{#accountId}:capacityreservation/*
PrefixList	acs:ecs:{#regionId}:{#accountId}:prefixlist/{#PrefixListId}
VPC	acs:vpc:{#regionId}:{#accountId}:vpc/{#vpcId} acs:vpc:{#regionId}:{#accountId}:vpc/*
Role	acs:ram:{#regionId}:{#accountId}:role/{#roleName}
ElasticityAssurance	acs:ecs:{#regionId}:{#accountId}:elasticityassurance/{#ElasticityAssuranceId} acs:ecs:{#regionId}:{#accountId}:elasticityassurance/*
snapshotpolicy	acs:ecs:{#regionId}:{#accountId}:snapshotpolicy/{#snapshotpolicyId}
DiskEncryptionDefaultConfig	acs:ecs:{#regionId}:{#accountId}:diskencryptiondefaultconfig/*
Activation	acs:ecs:{#regionId}:{#accountId}:activation/* acs:ecs:{#regionId}:{#accountId}:activation/{#ActivationId}
SnapshotGroup	acs:ecs:{#regionId}:{#accountId}:snapshotgroup/* acs:ecs:{#regionId}:{#accountId}:snapshotgroup/{#snapshotgroupId}
StorageCapacityUnit	acs:ecs:{#regionId}:{#accountId}:scu/* acs:ecs:{#regionId}:{#accountId}:scu/{#scuId}
AutoProvisioningGroup	acs:ecs:{#regionId}:{#accountId}:autoprovisioninggroup/{#autoprovisioninggroupId} acs:ecs:{#regionId}:{#accountId}:autoprovisioninggroup/*
Invocation	acs:ecs:{#regionId}:{#accountId}:invocation/{#invocationId}
ddhcluster	acs:ecs:{#regionId}:{#accountId}:ddhcluster/{#ddhclusterId} acs:ecs:{#regionId}:{#accountId}:ddhcluster/*
DeploymentSet	acs:ecs:{#regionid}:{#accountId}:deploymentset/{#deploymentSetId} acs:ecs:{#regionId}:{#accountId}:deploymentset/*
HpcCluster	acs:ecs:{#regionId}:{#accountId}:hpc/{#hpcClusterId} acs:ecs:{#regionId}:{#accountId}:hpc/*
ServiceSettings	acs:ecs:{#regionId}:{#accountId}:servicesettings/{#servicesettingId}
activation	acs:ecs:{#regionId}:{#accountId}:activation/{#activationId}
autoprovisioninggroup	acs:ecs:{#regionId}:{#accountId}:autoprovisioninggroup/{#autoprovisioninggroupId}
ImageComponent	acs:ecs:{#regionId}:{#accountId}:imagecomponent/* acs:ecs:{#regionId}:{#accountId}:imagecomponent/{#imagecomponentId}
Fleet	acs:ecs:{#regionId}:{#accountId}:fleet/*
ImagePipelineExecution	acs:ecs:{#regionId}:{#accountId}:imagepipelineexecution/* acs:ecs:{#regionId}:{#accountId}:imagepipelineexecution/{#ImagePipelineExecutionId}
ForwardTable	acs:vpc:{#regionId}:{#accountId}:forwardtable/{#ForwardTableId}
RouterInterface	acs:vpc:{#regionId}:{#accountId}:routerinterface/{#RouterInterfaceId} acs:vpc:{#regionId}:{#accountId}:routerinterface/*
HaVip	acs:vpc:{#regionId}:{#accountId}:havip/{#HaVipId} acs:vpc:{#regionId}:{#accountId}:havip/*
PhysicalConnection	acs:vpc:{#regionId}:{#accountId}:physicalconnection/{#PhysicalConnectionId} acs:vpc:{#regionId}:{#accountId}:physicalconnection/*
VirtualBorderRouter	acs:vpc:{#regionId}:{#accountId}:virtualborderrouter/{#VirtualBorderRouterId} acs:vpc:{#regionId}:{#accountId}:virtualborderrouter/{#VbrId} acs:vpc:{#regionId}:{#AccountId}:virtualborderrouter/*
Address	acs:vpc:{#regionId}:{#accountId}:eip/{#AllocationId} acs:vpc:{#regionId}:{#accountId}:eip/*
NatGateway	acs:vpc:{#regionId}:{#accountId}:natgateway/{#natgatewayid} acs:vpc:{#regionId}:{#accountId}:natgateway/*
RouteTable	acs:vpc:{#regionId}:{#accountId}:routetable/{#RouteTableId}
BandwidthPackage	acs:vpc:{#regionId}:{#accountId}:bandwidthpackage/{#BandwidthPackageId} acs:vpc:{#regionId}:{#accountId}:bandwidthpackage/*
VRouter	acs:vpc:{#regionId}:{#accountId}:vrouter/* acs:vpc:{#regionId}:{#accountId}:vrouter/{#VRouterId}
Association	acs:vpc:{#regionId}:{#accountId}:havip/{#HaVipId}

Condition

Tabel berikut mencantumkan condition key tingkat produk yang didefinisikan oleh Elastic Compute Service (ECS). Anda juga dapat menggunakan Common condition keys dari Alibaba Cloud. Tentukan kunci-kunci ini dalam elemen Condition pada pernyataan kebijakan RAM untuk menetapkan aturan otorisasi yang lebih terperinci. Dalam condition key, tentukan nilai kondisi dalam elemen Condition_value pada kebijakan.

Setiap condition key memiliki tipe data tertentu, seperti string, number, Boolean, atau alamat IP. Tipe data tersebut menentukan operator kondisional mana yang dapat digunakan untuk membandingkan nilai permintaan dengan nilai kebijakan. Anda harus menentukan operator kondisional yang kompatibel dengan tipe data condition key tersebut. Operator yang tidak sesuai akan membuat kebijakan tidak berlaku. Lihat Condition operator untuk kombinasi yang valid.

Condition key	Deskripsi	Tipe data
ecs:ImagePlatform	Jenis sistem operasi image.	String
ecs:SecurityEnhancementStrategy	Apakah Penguatan Keamanan diaktifkan.	String
vpc:CreateDefaultVpc	Apakah VPC default dapat dibuat.	Boolean
ecs:AssociatePublicIpAddress	Apakah alamat IP publik dapat ditetapkan ke sumber daya selama pembuatan sumber daya atau perubahan konfigurasi. Parameter ini menunjukkan apakah sumber daya dapat dikonfigurasi dengan bandwidth publik lebih besar dari 0 Mbit/s.	Boolean
ecs:PasswordInherit	Apakah akan menggunakan password yang telah diatur sebelumnya di image	Boolean
vpc:IsDefaultVSwitch	Apakah vSwitch adalah vSwitch default dan apakah vSwitch default dapat digunakan.	Boolean
ecs:IsSystemDiskEncrypted	Apakah disk sistem dienkripsi.	String
ecs:IsSystemDiskByokEncrypted	Apakah akan mengenkripsi disk sistem menggunakan kunci utama.	String
ecs:ImageSource	Sumber image.	String
ecs:PasswordCustomized	Apakah akan menggunakan kata sandi kustom.	Boolean
ecs:CommandRunAs	Pengguna sistem operasi yang menjalankan perintah Asisten Cloud.	String
ecs:SecurityHardeningMode	Apakah mode hardened (IMDSv2) diperlukan saat mengakses metadata instans.	Boolean
ecs:SecurityGroupSourceCidrIps	Blok CIDR IPv4 sumber yang diberi izin akses oleh grup keamanan.	Array
vpc:VPC	Deskripsi: Nama Sumber Daya Alibaba Cloud resource VPC. Contoh: acs:vpc:cn-shanghai:1234567890:vpc/vpc-abc0123efg4567***.	String
ecs:IsDiskEncrypted	Apakah disk data dienkripsi.	String
ecs:InstanceTypeFamily	keluarga instans.	String
ecs:InstanceChargeType	Metode penagihan instans.	String
ecs:ImageOwnerId	UID pemilik image.	String
ecs:SecurityGroupIpProtocols	Protokol lapisan transport yang diaktifkan oleh grup keamanan.	Array
vpc:IsDefaultVpc	Apakah VPC merupakan VPC default.	Boolean
ecs:LoginAsNonRoot	Apakah instans dimasuki oleh pengguna non-root.	Boolean
ecs:IsDiskByokEncrypted	Apakah akan mengenkripsi disk data menggunakan kunci utama.	String
ecs:InstanceType	Tipe instans	String
ecs:NotSpecifySecurityGroupId	Apakah tidak ada ID grup keamanan yang ditentukan.	Boolean

Cara membuat kebijakan RAM kustom?

Anda dapat membuat kebijakan kustom dan memberikannya kepada RAM user, RAM user group, atau RAM role. Untuk caranya, lihat: