Alibaba Cloud merekomendasikan agar Anda mengaktifkan MFA, menonaktifkan AccessKey Akun Alibaba Cloud Anda, serta menggunakan Pengguna RAM dan SSO Cloud untuk menghindari operasi harian dengan Akun Alibaba Cloud Anda. Hal ini meningkatkan keamanan dan mengikuti prinsip hak istimewa minimal. - Elastic Compute Service

Akun Alibaba Cloud Anda adalah akun yang dibuat saat mendaftar di Alibaba Cloud. Akun ini memiliki izin administratif penuh untuk semua sumber daya Anda. Untuk memastikan keamanan akun, hindari menggunakan Akun Alibaba Cloud Anda untuk operasi sehari-hari. Kami merekomendasikan agar Anda tidak membuat AccessKey untuk Akun Alibaba Cloud Anda, menjaga kata sandi tetap aman, dan mengaktifkan otentikasi multi-faktor (MFA).

Risiko keamanan

Akun Alibaba Cloud Anda memiliki tingkat izin tertinggi untuk semua sumber daya Anda. Menggunakan Akun Alibaba Cloud Anda untuk operasi sehari-hari dapat menimbulkan risiko keamanan berikut:

Kerusakan jahat: Jika kredensial (kata sandi atau AccessKey) Akun Alibaba Cloud Anda bocor, penyerang dapat memperoleh kontrol administratif penuh atas lingkungan cloud Anda. Penyerang dapat menghapus semua server Anda, mencuri atau menahan data inti Anda untuk tebusan, memasang backdoor, atau menggunakan sumber daya Anda untuk aktivitas jahat seperti penambangan. Hal ini dapat menyebabkan kerugian bisnis yang tidak dapat diperbaiki dan pelanggaran data.
Pelanggaran prinsip keamanan inti: Menggunakan Akun Alibaba Cloud Anda untuk operasi sehari-hari secara langsung melanggar prinsip hak istimewa minimal. Prinsip ini mengharuskan setiap pengguna atau sistem hanya diberikan izin minimum yang diperlukan untuk menyelesaikan tugasnya. Izin Akun Alibaba Cloud tidak terbatas dan jauh melebihi apa yang diperlukan untuk operasi dan pemeliharaan (O&M) harian atau tugas pengembang.
Audit yang sulit: Saat semua operasi dilakukan oleh Akun Alibaba Cloud, sulit untuk melacak karyawan atau aplikasi mana yang melakukan operasi sensitif. Ini menjadi tantangan besar bagi audit keamanan dan respons insiden.
Kepatuhan Perlindungan Tingkat Keamanan Siber: Memisahkan izin untuk pengguna dan peran, mengikuti prinsip hak istimewa minimal, dan menghindari penggunaan Akun Alibaba Cloud tunggal yang kuat adalah persyaratan dasar standar kepatuhan keamanan utama, seperti ISO/IEC 27001 dan Perlindungan Tingkat Keamanan Siber Tiongkok.

Praktik terbaik

Perkuat perlindungan Akun Alibaba Cloud Anda

Aktifkan MFA: Pasang atau lepaskan perangkat MFA virtual untuk Akun Alibaba Cloud Anda. Ini menambahkan kode verifikasi dinamis, seperti token seluler atau kunci yang dilindungi perangkat keras, selain otentikasi kata sandi untuk mencegah akses tidak sah jika kata sandi Anda bocor.
Kelola perilaku logon Akun Alibaba Cloud Anda secara ketat:
- Aktifkan tata kelola risiko: Batasi frekuensi logon Akun Alibaba Cloud Anda. Masuk hanya saat diperlukan, seperti saat Anda membuat administrator RAM atau mengaktifkan layanan. Hindari masuk untuk operasi sehari-hari.
- Atur atau hapus masker logon: Izinkan hanya alamat IP tertentu untuk mengakses konsol.
- Atur durasi sesi untuk akun Anda: Ubah waktu sign-out otomatis dari default 48 jam menjadi 4 jam atau kurang.
Nonaktifkan AccessKey Akun Alibaba Cloud Anda: Jangan gunakan AccessKey Akun Alibaba Cloud Anda. Sebagai gantinya, buat Pengguna RAM dan berikan izin berdasarkan prinsip hak istimewa minimal.
Lakukan audit dan pemantauan rutin: Gunakan ActionTrail untuk memantau peristiwa logon Akun Alibaba Cloud Anda dan periksa perilaku abnormal secara berkala.
Gunakan Pengguna Manajemen Akses Sumber Daya (RAM) untuk operasi sehari-hari: Buat Pengguna RAM sebagai administrator akun. Buat Pengguna RAM terpisah untuk peran yang berbeda dan berikan izin sesuai kebutuhan.

Rencanakan Pengguna RAM dan konfigurasikan kebijakan kontrol akses

Untuk menerapkan manajemen izin detail halus dan prinsip hak istimewa minimal, Anda dapat membuat akun, peran, dan izin berdasarkan tanggung jawab pekerjaan. Bagian berikut memberikan contoh cara membuat akun dan menempelkan peran berdasarkan fungsi pekerjaan dalam skenario perusahaan tipikal:

Administrator Akun
Akun ini hanya digunakan untuk membuat Pengguna RAM dan peran, serta mendefinisikan dan menetapkan izin akses. Anda dapat memberikan izin AliyunRAMFullAccess kepada akun ini. Meskipun akun ini tidak dapat langsung mengelola sumber daya Layanan Alibaba Cloud lainnya, ia dapat membuat akun istimewa. Oleh karena itu, ini adalah akun yang sangat sensitif yang harus Anda lindungi dengan mengikuti praktik-praktik berikut:
- Jangan buat AccessKey untuk akun tersebut.
- Jangan buat Peran RAM dengan izin yang sama.
- Aktifkan MFA dan batasi alamat IP sumber untuk logon.
Administrator Sumber Daya
Anda dapat menggunakan akun ini untuk membuat dan mengelola sumber daya seperti Instance ECS, VPC, vSwitch, kartu antarmuka jaringan, disk, grup keamanan, snapshot, dan citra. Anda dapat memberikan kebijakan AliyunECSFullAccess, AliyunVPCFullAccess, dan AliyunEIPFullAccess. Untuk menempelkan Peran RAM ke Instance ECS, Anda juga harus memberikan izin sts:AssumeRole.
Saran: Jika Anda memiliki banyak sumber daya cloud, gunakan kelompok sumber daya untuk mengisolasi sumber daya. Buat akun administrator sumber daya ECS terpisah untuk setiap kelompok sumber daya untuk memisahkan izin secara horizontal.

Insinyur O&M

Akun ini diberikan kepada pengguna yang masuk dan mengoperasikan Instance ECS, misalnya, untuk memulai dan menghentikannya. Akun ini tidak diberikan izin untuk memodifikasi sumber daya, kartu antarmuka jaringan, atau disk. Anda dapat menyesuaikan izin RAM untuk pengguna ini:

{
  "Version": "1",
  "Statement": [
    // 1. Izin baca-saja untuk melihat status sumber daya
    {
      "Effect": "Allow",
      "Action": [
        // Lihat sumber daya ECS
        "ecs:DescribeInstances",        // Lihat status instance
        "ecs:DescribeInstanceStatus",   // Kueri informasi status instance
        "ecs:DescribeNetworkInterfaces", // Lihat status kartu antarmuka jaringan
        "ecs:DescribeDisks",            // Lihat status disk (disimpulkan dari konteks dokumen)
        "ecs:DescribeSecurityGroups",   // Lihat status grup keamanan
        "ecs:DescribeSecurityGroupReferences", // Kueri grup keamanan yang diotorisasi
        // Lihat VPC dan vSwitch
        "vpc:DescribeVpcs",             // Kueri status VPC
        "vpc:DescribeVSwitches",        // Kueri status vSwitch
        "vpc:DescribeVSwitchAttributes" // Kueri konfigurasi detail vSwitch
      ],
      "Resource": "*"  // Mengizinkan akses ke semua sumber daya
    },
    // 2. Izin Workbench (logon dan baca)
    {
      "Effect": "Allow",
      "Action": [
        "ecs-workbench:LoginInstance",  // Izin untuk masuk ke instance menggunakan Workbench
        "ecs:DescribeTerminalSessions"  // Lihat catatan sesi Workbench
      ],
      "Resource": "*"
    },
    // 3. Izin Asisten Cloud (baca, logon, dan jalankan perintah)
    {
      "Effect": "Allow",
      "Action": [
        // Izin baca untuk Asisten Cloud
        "ecs:DescribeCommands",         // Lihat daftar perintah
        "ecs:DescribeInvocations",       // Lihat catatan eksekusi perintah
        "ecs:DescribeInvocationResults", // Lihat hasil eksekusi perintah
        "ecs:DescribeCloudAssistantStatus", // Kueri status Asisten Cloud
        // Izin untuk menjalankan perintah menggunakan Asisten Cloud
        "ecs:InvokeCommand",             // Jalankan perintah
        "ecs:RunCommand"                 // Jalankan perintah segera
      ],
      "Resource": "*",
      // Membatasi eksekusi perintah untuk pengguna biasa (praktik keamanan terbaik)
      "Condition": {
        "StringNotEqualsIgnoreCase": {
          "ecs:CommandRunAs": ["system", "root"]  // Melarang penggunaan akun root atau system
        }
      }
    }
  ]
}

Catatan: Dalam kebijakan sebelumnya, "Resource": "*" menunjukkan bahwa semua instance dapat dikelola. Untuk mengurangi risiko,

kami merekomendasikan agar Anda:

Gunakan kelompok sumber daya atau tag untuk membatasi ruang lingkup operasi.
Gunakan ARN sumber daya lebih detail halus daripada karakter wildcard untuk memberikan izin sesuai kebutuhan.

Peran Aplikasi
Aplikasi mungkin juga perlu mengakses Layanan Alibaba Cloud, seperti OSS dan Layanan Log Sederhana (SLS). Anda harus membuat akun atau peran khusus untuk aplikasi tersebut. Jangan bagikan akun antara pengguna dan aplikasi, atau antara aplikasi yang berbeda:
- Larang akun aplikasi untuk masuk ke konsol.
- Jika aplikasi Anda diterapkan pada ECS (termasuk layanan kontainer), jangan gunakan AccessKey. Kami merekomendasikan agar Anda menempelkan Peran RAM ke instance untuk meningkatkan keamanan.

Gunakan CloudSSO untuk mengotentikasi akun

Jika Anda menghadapi skenario berikut, kami merekomendasikan agar Anda menggunakan CloudSSO untuk menerapkan manajemen identitas dan kontrol akses yang aman dan terpusat.

Anda perlu membuat akun RAM dengan izin yang sama untuk beberapa karyawan.
Banyak orang berbagi satu akun RAM.
Anda khawatir bahwa karyawan mungkin membocorkan kredensial platform cloud, seperti AccessKey atau kata sandi logon.

CloudSSO (Single Sign-On Cloud) adalah layanan manajemen identitas terpadu dan kontrol akses multi-akun yang disediakan oleh Alibaba Cloud berdasarkan Direktori Sumber Daya (RD). Ini memungkinkan pengguna masuk sekali dengan satu set kredensial dan kemudian mengakses beberapa aplikasi dan layanan cloud tanpa memasukkan kembali nama pengguna dan kata sandi mereka. Anda dapat menggunakan CloudSSO untuk mengelola secara terpusat pengguna yang menggunakan Alibaba Cloud di perusahaan Anda. Setelah Anda mengonfigurasikan Single Sign-On (SSO) antara sistem manajemen identitas perusahaan Anda dan Alibaba Cloud, Anda dapat mengonfigurasikan izin akses secara terpusat untuk semua pengguna ke akun di RD.

Tidak diperlukan kredensial cloud: Karyawan tidak lagi perlu mengetahui kata sandi logon Alibaba Cloud mereka atau AccessKey. Ini mengurangi risiko kebocoran kredensial.
Otentikasi identitas terpadu: Pengguna masuk dengan akun internal perusahaan mereka (seperti kotak surat perusahaan atau akun Direktori Aktif (AD)) dan kata sandi untuk pengalaman terintegrasi yang mulus.
Manajemen izin terpusat: Gunakan konfigurasi akses (Permission Sets) untuk menetapkan izin peran kepada pengguna atau kelompok pengguna secara terpusat. Kontrol detail halus didukung.
Dukungan untuk protokol standar: Berintegrasi dengan IdP perusahaan berdasarkan protokol SAML 2.0 untuk memastikan keamanan otentikasi.

Untuk informasi lebih lanjut, lihat Mulai dengan CloudSSO.

Kemampuan kepatuhan

Periksa operasi yang dilakukan oleh Akun Alibaba Cloud Anda

ECS Insight

Buka ECS Insight.
Klik tab Security. Klik item pemeriksaan Use of RAM Users and RAM Roles for Functional Operations. Anda dapat melihat instans di mana Akun Alibaba Cloud digunakan untuk masuk dan mengelola sumber daya cloud, serta melihat operasi frekuensi tinggi Akun Alibaba Cloud.

ActionTrail

Prasyarat: Anda harus membuat jejak dan mengirimkan peristiwa ke SLS. Untuk informasi lebih lanjut, lihat Buat jejak akun tunggal dan Buat jejak multi-akun.

Prosedur:

Pergi ke Konsol ActionTrail. Di panel navigasi di sebelah kiri, pilih Events > Advanced Event Query.
Di bagian Query Range, atur Trail ke jejak yang Anda buat.
Di bagian Query Range, pada tab Template Library, pilih System Template > Account/AccessKey Pair Events. Pilih Events of Console Logons by Using Cloud Account atau Events of Access by Using AccessKey Pair of Cloud Account.
Atur rentang waktu untuk kueri dan klik Run.
- Secara default, ActionTrail mengkueri peristiwa dari 7 hari terakhir.
- Anda dapat mengklik Event Alert di sebelah kanan untuk menetapkan peringatan untuk peristiwa saat ini. Untuk informasi lebih lanjut, lihat Buat aturan peringatan kustom.
- Anda dapat memodifikasi pernyataan SQL default templat sistem dan klik Save untuk menyimpannya sebagai templat kustom untuk digunakan di masa mendatang.
Lihat hasil kueri.
- Log Mentah: Pada tab Raw Log, klik View Details di kolom Actions dari peristiwa target untuk melihat informasi dasar dan format JSON dari peristiwa.
- Histogram: Pada tab Query Histogram, lihat histogram kemunculan peristiwa.