Alibaba Cloud Resource Access Management (RAM) menyediakan fitur pengelolaan izin yang kuat dengan detail halus. Ini ideal untuk skenario di mana beberapa departemen atau peran dalam perusahaan perlu mengakses sumber daya Elastic Compute Service (ECS). Untuk melindungi informasi sensitif dan proses bisnis penting, Anda dapat memberikan izin akses berbeda berdasarkan tanggung jawab spesifik setiap departemen atau peran. Implementasi kebijakan pemisahan izin meningkatkan efisiensi manajemen dan mengurangi risiko kebocoran informasi. Topik ini menjelaskan cara mengontrol akses ke sumber daya ECS dengan mengelola izin pengguna RAM.
Deskripsi skenario
Misalkan perusahaan Anda menggunakan ECS untuk menampung aplikasi dan layanan. Manajer memimpin perencanaan arsitektur TI dan memiliki kontrol penuh atas semua sumber daya ECS. Tanggung jawab utama mereka mencakup pembuatan sumber daya, penyesuaian alokasi sumber daya, dan konfigurasi kebijakan keamanan. Pengembang bertanggung jawab atas iterasi proyek berkelanjutan dan inovasi fitur. Mereka juga menerapkan proyek ke Instance ECS. Insinyur Operasi dan Pemeliharaan (O&M) bertugas memastikan operasi sistem normal. Mereka memelihara layanan yang ada dengan membuat Snapshot, Citra, dan menjalankan skrip.
Berdasarkan kebutuhan ketiga peran tersebut, rencana izin berikut dirancang:
Manajer: Memiliki izin penuh untuk operasi ECS, seperti membuat dan menghapus Instance ECS serta memodifikasi aturan grup keamanan.
Pengembang: Dapat melihat informasi tentang semua Instance ECS tetapi tidak dapat memodifikasi pengaturan apa pun. Mereka juga dapat masuk ke Instance ECS untuk melakukan operasi.
Insinyur O&M: Memiliki izin untuk membuat sumber daya tertentu, seperti Snapshot dan Citra, serta menjalankan skrip. Mereka tidak memiliki izin untuk menghapus sumber daya.
Prosedur
1. Buat Pengguna RAM
Masuk ke Konsol Resource Access Management (RAM) menggunakan Akun Alibaba Cloud Anda. Buat tiga pengguna RAM: Manajer, Pengembang, dan Operator. Ini memungkinkan Anda memberikan izin yang sesuai kepada personel yang berbeda. Saat membuat pengguna RAM, pilih Logon Konsol. Untuk informasi lebih lanjut, lihat Buat Pengguna RAM.
2. Buat kebijakan akses
Buat tiga kebijakan kustom untuk mengimplementasikan kontrol akses dan manajemen yang lebih detail. Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom.
Manager_Policy
Kebijakan ini untuk manajer (Manager). Ini memberikan izin penuh untuk operasi ECS.
{
"Version": "1",
"Statement": [
{
"Action": "ecs:*",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"vpc:CheckCanAllocateVpcPrivateIpAddress",
"vpc:DescribeVpcs",
"vpc:DescribeVSwitches",
"bss:ModifyAgreementRecord"
],
"Resource": "*",
"Effect": "Allow"
}
]
}Developer_Policy
Kebijakan ini untuk pengembang (Developer). Ini memberikan izin untuk melihat sumber daya tertentu tetapi tidak untuk membuat atau memodifikasinya. Ini juga mengizinkan koneksi jarak jauh ke Instance ECS melalui Workbench.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:List*",
"ecs:Describe*",
"vpc:DescribeVpcs",
"vpc:DescribeVSwitches",
"ecs-workbench:LoginInstance"
],
"Resource": "*"
}
]
}Operator_Policy
Kebijakan ini untuk insinyur O&M (Operator). Ini memberikan izin untuk melihat sumber daya tertentu dan untuk membuat Citra, membuat Snapshot, serta menjalankan perintah.
{
"Version": "1",
"Statement": [
{
"Action": [
"ecs:Describe*",
"ecs:AttachDisk",
"ecs:CreateSnapshot",
"ecs:CreateImage",
"ecs:RunCommand",
"vpc:DescribeVpcs",
"vpc:DescribeVSwitches"
],
"Effect": "Allow",
"Resource": "*"
}
]
}3. Berikan izin kepada pengguna RAM
Tetapkan kebijakan kustom yang berbeda kepada pengguna RAM untuk secara tepat mengontrol akses mereka terhadap dan operasi pada sumber daya tertentu. Jika pengguna RAM melakukan operasi abnormal, Anda juga dapat mencabut otorisasi atau mempersempit cakupan izin untuk merespons dan menangani ancaman. Untuk informasi lebih lanjut, lihat Berikan Izin kepada Pengguna RAM.
Pengguna RAM | Kebijakan akses untuk diberikan |
Manager | Manager_Policy |
Developer | Developer_Policy |
Operator | Operator_Policy |
4. Uji kontrol akses
Pergi ke halaman logon pengguna RAM. Masuk sebagai masing-masing dari tiga pengguna RAM yang Anda buat.
Pergi ke Konsol ECS. Lakukan operasi, seperti melihat daftar Instance ECS, membuat Instance ECS, dan membuat Citra, untuk memverifikasi bahwa kontrol akses efektif.
Manajer
Dapat melihat daftar Instance ECS.
Dapat membuat Instance ECS.
Dapat menghapus Instance ECS.
Dapat membuat Citra.
Pengembang
Dapat melihat daftar Instance ECS.
Tidak memiliki izin untuk membuat Instance ECS.
Tidak memiliki izin untuk membuat Citra.
Dapat menggunakan Workbench untuk terhubung secara jarak jauh dan masuk ke Instance ECS. Setelah masuk, pengembang dapat menggunakan perintah untuk menerapkan proyek ke instans tersebut.
Operator
Dapat melihat daftar Instance ECS.
Tidak memiliki izin untuk membuat Instance ECS.
Dapat membuat Citra.
Referensi
Resource Access Management (RAM) adalah layanan Alibaba Cloud yang memungkinkan Anda mengelola identitas pengguna dan izin akses sumber daya. Untuk informasi lebih lanjut, lihat Apa itu RAM?.
Anda dapat melihat metode otentikasi multi-faktor (MFA), instruksi, dan batasan untuk pengguna RAM. Untuk informasi lebih lanjut, lihat MFA untuk Pengguna RAM.
Elastic Compute Service (ECS) menyediakan beberapa kebijakan kustom. Untuk informasi lebih lanjut, lihat Kebijakan Kustom.
Anda dapat menggunakan Workbench untuk masuk ke Instance ECS. Untuk informasi lebih lanjut, lihat Hubungkan ke Instans Menggunakan Workbench.