全部产品
Search

搜索本产品

    Elastic Container Instance:Gunakan grup sumber daya untuk mengontrol izin pengguna RAM

    文档中心

    Elastic Container Instance:Gunakan grup sumber daya untuk mengontrol izin pengguna RAM

    更新时间:Jun 29, 2025

    Saat membuat sumber daya Elastic Container Instance, Anda dapat menentukan grup sumber daya untuk setiap sumber daya. Ini memungkinkan pengelolaan sumber daya berdasarkan grup. Topik ini menjelaskan cara memberikan izin kepada pengguna Resource Access Management (RAM) pada grup sumber daya, sehingga pengguna RAM hanya dapat mengelola sumber daya dalam grup sumber daya yang mereka miliki izinnya.

    Informasi latar belakang

    Grup sumber daya digunakan untuk mengategorikan dan mengelola sumber daya di akun Alibaba Cloud Anda, menyederhanakan manajemen sumber daya dan izin akun. Perhatikan hal-hal berikut saat menggunakan grup sumber daya:

    • Grup sumber daya dapat mencakup sumber daya cloud dari wilayah berbeda. Sebagai contoh, Grup Sumber Daya A dapat berisi instance dari wilayah China (Beijing) dan China (Hangzhou).

    • Jika sumber daya dalam grup sumber daya berbeda di akun yang sama berada di wilayah yang sama, sumber daya tersebut dapat saling terhubung. Contohnya, sebuah instance di wilayah China (Beijing) dari Grup Sumber Daya A dapat ditambahkan ke virtual private cloud (VPC) di wilayah China (Beijing) dari Grup Sumber Daya B.

    • Grup sumber daya mewarisi izin global pengguna RAM. Misalnya, jika pengguna RAM diberi otorisasi untuk mengelola semua sumber daya Alibaba Cloud, semua grup sumber daya di akun tersebut akan terlihat oleh pengguna RAM tersebut.

    Skenario

    Sumber daya Elastic Container Instance mencakup instance kontainer elastis dan cache gambar. Setiap sumber daya Elastic Container Instance harus dimiliki oleh satu grup sumber daya saja. Saat membuat sumber daya Elastic Container Instance, Anda dapat menentukan grup sumber daya untuk sumber daya tersebut. Jika tidak ada grup sumber daya yang ditentukan, sumber daya akan ditambahkan ke grup sumber daya default.

    Catatan

    Untuk mengubah grup sumber daya tempat sumber daya Elastic Container Instance yang sudah ada berada, buka halaman Resource Groups di Konsol RAM. Untuk informasi lebih lanjut, lihat Melakukan Transfer Manual Sumber Daya Antar Grup Sumber Daya.

    Anda dapat menambahkan sumber daya Elastic Container Instance yang digunakan untuk tujuan berbeda ke grup sumber daya tertentu. Kemudian, Anda dapat menentukan pengguna RAM yang berbeda sebagai administrator untuk grup sumber daya ini guna mengelola sumber daya secara desentralisasi.

    Sebagai contoh, jika Anda memiliki satu instance kontainer elastis untuk lingkungan produksi dan instance lainnya untuk lingkungan pengujian, Anda dapat menambahkan kedua instance tersebut ke grup sumber daya masing-masing di lingkungan produksi dan pengujian. Kemudian, Anda dapat memberi otorisasi kepada Pengguna RAM A untuk melakukan operasi pada instance di grup sumber daya lingkungan produksi dan Pengguna RAM B untuk melakukan operasi pada instance di grup sumber daya lingkungan pengujian. Untuk pengujian produk, Pengguna RAM B melakukan operasi pada instance di grup sumber daya lingkungan pengujian. Untuk meluncurkan produk, Pengguna RAM A melakukan operasi pada instance di grup sumber daya lingkungan produksi. Kedua lingkungan dikelola oleh pengguna RAM yang berbeda, mempermudah kontrol izin dan membantu mencegah kesalahan operasi.

    Prosedur

    Dalam skenario sampel berikut, dua grup sumber daya dibuat untuk mengelompokkan sumber daya Elastic Container Instance, dan pengguna RAM diberi otorisasi untuk melakukan operasi pada sumber daya dalam grup sumber daya tertentu.

    • Dua grup sumber daya dibuat: satu untuk lingkungan produksi dan satu lagi untuk lingkungan pengujian.

    • Dua pengguna RAM dibuat. Pengguna RAM A memiliki izin AliyunECIFullAccess pada lingkungan produksi, dan Pengguna RAM B memiliki izin AliyunECIFullAccess pada lingkungan pengujian.

      Catatan

      AliyunECIFullAccess adalah kebijakan sistem yang disediakan oleh RAM dan mencakup semua izin untuk melakukan operasi pada sumber daya Elastic Container Instance.

    Lakukan langkah-langkah berikut:

    1. Buat dua grup sumber daya. Untuk informasi lebih lanjut, lihat Buat Grup Sumber Daya.

    2. Buat dua pengguna RAM. Untuk informasi lebih lanjut, lihat Buat Pengguna RAM.

    3. Tetapkan setiap pengguna RAM sebagai administrator hanya untuk satu grup sumber daya. Untuk informasi lebih lanjut, lihat Berikan Izin pada Grup Sumber Daya kepada Identitas RAM.

      Saat memberikan izin kepada dua pengguna RAM, pilih izin AliyunECIFullAccess.

    4. Buat instance kontainer elastis dengan grup sumber dayanya ditentukan.

      • Jika Anda membuat instance kontainer elastis di halaman pembelian instance di Konsol Elastic Container Instance, tentukan grup sumber daya pada langkah Other Settings (Optional).

      • Jika Anda membuat instance kontainer elastis dengan memanggil Operasi API CreateContainerGroup, masukkan ResourceGroupId untuk menentukan ID grup sumber daya.

    Hasil yang Diharapkan

    Hasil yang diharapkan:

    • Di Konsol Elastic Container Instance, pengguna RAM hanya dapat melihat dan melakukan operasi pada instance kontainer elastis dalam grup sumber daya yang dimiliki izinnya.

    • Jika pengguna RAM memanggil operasi API, pengguna RAM hanya dapat melihat dan melakukan operasi pada instance kontainer elastis dalam grup sumber daya yang dimiliki izinnya. Contoh:

      • CreateContainerGroup

        Untuk membuat instance kontainer elastis, pengguna RAM harus menentukan ID grup sumber daya untuk autentikasi. Jika tidak ada ID grup sumber daya yang ditentukan atau ID grup sumber daya yang ditentukan salah, autentikasi gagal.

        Catatan

        Jika pengguna RAM memiliki izin pada grup sumber daya default, pengguna RAM tidak perlu menentukan ID grup sumber daya. Instance kontainer elastis secara otomatis ditambahkan ke grup sumber daya default.

      • DescribeContainerGroups

        Untuk menanyakan informasi tentang instance kontainer elastis, pengguna RAM harus menentukan ID grup sumber daya untuk autentikasi. Jika tidak ada ID grup sumber daya yang ditentukan atau ID grup sumber daya yang ditentukan salah, autentikasi gagal.

        Catatan

        Jika ID instance kontainer elastis yang ditentukan tidak cocok dengan ID grup sumber daya, instance kontainer elastis tidak termasuk dalam grup sumber daya. Dalam hal ini, pengguna RAM tidak dapat melihat informasi tentang instance kontainer elastis meskipun ID grup sumber daya benar.

      • DescribeContainerLog

        Untuk menanyakan log instance kontainer elastis, pengguna RAM tidak perlu menentukan ID grup sumber daya. Sistem secara otomatis mengambil grup sumber daya tempat instance kontainer elastis berada dan mengautentikasi permintaan.

      • DeleteContainerGroup

        Untuk menghapus instance kontainer elastis, pengguna RAM tidak perlu menentukan ID grup sumber daya. Sistem secara otomatis mengambil grup sumber daya tempat instance kontainer elastis berada dan mengautentikasi permintaan.