Elastic Compute Service：Identitas dan Kontrol Akses

Aktifkan MFA

• Pengenalan Fitur

  MFA adalah model autentikasi yang mudah digunakan dan efektif, yang menambahkan lapisan perlindungan tambahan di atas penggunaan nama pengguna dan kata sandi. MFA memverifikasi pengguna yang memulai logon konsol atau melakukan operasi sensitif, memastikan keamanan akun Alibaba Cloud Anda. MFA tidak memengaruhi pemanggilan operasi API dengan menggunakan pasangan AccessKey. Untuk informasi lebih lanjut, lihat Apa itu Multi-Factor Authentication?.

• Metode Konfigurasi

  Kami sarankan tidak menggunakan pasangan AccessKey dari akun Alibaba Cloud Anda untuk masuk ke instance ECS. Sebagai gantinya, aktifkan MFA untuk menambahkan lapisan keamanan tambahan selain menggunakan nama pengguna dan kata sandi untuk melindungi akun Anda. Setelah mengaktifkan MFA untuk akun Alibaba Cloud Anda, Anda akan diminta memasukkan kode autentikasi dari perangkat MFA saat masuk ke instance ECS. Untuk informasi lebih lanjut, lihat Mengikat Perangkat MFA ke Akun Alibaba Cloud.

Gunakan Pengguna RAM alih-alih akun Alibaba Cloud dan lampirkan kebijakan RAM yang diperlukan ke Pengguna RAM

Pastikan izin akses pada sumber daya ECS diberikan kepada Pengguna RAM berdasarkan prinsip hak istimewa minimal. Jangan berbagi akun atau memberikan lebih banyak izin daripada yang diperlukan.

Jika Anda membeli beberapa instance ECS dan beberapa pengguna di organisasi Anda, seperti karyawan, sistem, atau aplikasi, perlu menggunakan instance tersebut, Anda dapat membuat Pengguna RAM untuk pengguna di organisasi Anda dan melampirkan kebijakan RAM untuk memberikan izin kepada Pengguna RAM mengakses instance tersebut. Ini menghilangkan risiko kebocoran pasangan AccessKey dan mencapai kontrol akses granular tingkat akun pada sumber daya ECS. Untuk informasi lebih lanjut, lihat Pengguna RAM.

Cegah kebocoran pasangan AccessKey

Pasangan AccessKey adalah kredensial untuk akun Alibaba Cloud untuk mengakses API dan harus disimpan di lokasi yang aman. Untuk mencegah ancaman keamanan yang disebabkan oleh penggunaan jahat, jangan mengekspos pasangan AccessKey Anda dengan cara apa pun, seperti GitHub. Jika pasangan AccessKey dari akun Alibaba Cloud terungkap, sumber daya di akun tersebut terpapar pada risiko. Anda dapat merujuk pada saran keamanan berikut untuk meminimalkan risiko kebocoran pasangan AccessKey:

• Jangan sematkan pasangan AccessKey dalam kode.

• Putar pasangan AccessKey secara berkala.

• Cabut pasangan AccessKey yang tidak diperlukan secara berkala.

• Gunakan Pengguna RAM berdasarkan prinsip hak istimewa minimal.

• Konfigurasikan parameter acs:SourceIp untuk mengontrol akses dari alamat IP publik tertentu ke API Alibaba Cloud.

• Tetapkan parameter acs:SecureTransport menjadi true, yang menentukan bahwa fitur dan sumber daya diakses melalui HTTPS.

Berikan izin kepada pengguna dengan tanggung jawab berbeda

RAM memungkinkan Anda menjaga kerahasiaan ketat akun Alibaba Cloud dan pasangan AccessKey Anda saat beberapa pengguna di perusahaan Anda mengelola sumber daya secara kolaboratif. RAM juga memungkinkan Anda memberikan pengguna izin minimum yang diperlukan untuk memastikan keamanan tinggi.

Secara default, akun Alibaba Cloud memiliki semua izin pada sumber daya di akun tersebut, dan Pengguna RAM yang dibuat oleh akun Alibaba Cloud tidak memiliki izin. Akun Alibaba Cloud harus memberikan izin kepada Pengguna RAM. Untuk memberikan izin kepada Pengguna RAM atau Peran, lakukan langkah-langkah berikut:

1. Pilih atau buat kebijakan.

   RAM mendukung kebijakan sistem dan kebijakan kustom. Kebijakan sistem dibuat dan dipelihara oleh Alibaba Cloud. Anda dapat menggunakan kebijakan sistem tetapi tidak dapat memodifikasi kebijakan tersebut. Kebijakan kustom adalah kebijakan yang ditentukan pengguna. Anda dapat membuat, memperbarui, dan menghapus kebijakan kustom.

   • Untuk informasi tentang kebijakan sistem untuk ECS, lihat Kebijakan Sistem untuk ECS.

   • Untuk informasi tentang kebijakan kustom untuk ECS, lihat Kebijakan Kustom untuk ECS.

2. Berikan izin kepada Pengguna RAM atau Peran.

   Anda dapat melampirkan satu atau lebih kebijakan sistem atau kustom untuk memberikan izin kepada Pengguna RAM atau Peran di akun Alibaba Cloud. Anda dapat memberikan izin kepada Pengguna RAM atau Peran pada semua sumber daya di akun Alibaba Cloud atau semua sumber daya di grup sumber daya tertentu di akun Alibaba Cloud.

   • Untuk informasi tentang cara memberikan izin kepada Pengguna RAM, lihat Pengguna RAM.

   • Untuk informasi tentang cara memberikan izin kepada Peran RAM, lihat Peran RAM.

Gunakan grup sumber daya untuk mengelola sumber daya secara lebih rinci

• Pengenalan Fitur

  Grup sumber daya memungkinkan Anda mengorganisir sumber daya Alibaba Cloud Anda ke dalam grup berdasarkan kriteria berbeda, seperti penggunaan, izin, dan pemilik sumber daya. Anda dapat membuat grup sumber daya untuk mengelola sumber daya di beberapa pengguna dan proyek secara hierarkis. Setiap sumber daya cloud hanya dapat termasuk dalam satu grup sumber daya. Menambahkan sumber daya ke grup sumber daya tidak mengubah asosiasi antara sumber daya. Misalnya, Anda dapat menambahkan instance yang digunakan di lingkungan produksi ke grup sumber daya bernama Lingkungan Produksi dan instance yang digunakan di lingkungan staging ke grup sumber daya bernama Lingkungan Uji. Untuk informasi lebih lanjut, lihat Apa itu Grup Sumber Daya?

• Metode Konfigurasi

  • Untuk informasi tentang cara membuat grup sumber daya, lihat Buat Grup Sumber Daya.

  • Tambahkan instance ECS ke grup sumber daya.

    • Anda dapat menambahkan instance ECS ke grup sumber daya saat Anda membuat instance tersebut. Untuk informasi lebih lanjut, lihat Buat Instance di Tab Peluncuran Kustom.

    • Anda dapat memindahkan instance ECS yang ada dari satu grup sumber daya ke grup sumber daya lain. Untuk informasi lebih lanjut, lihat Lakukan Transfer Sumber Daya Manual Lintas Grup Sumber Daya.

  • Untuk contoh penggunaan tentang cara mengategorikan dan mengelola sumber daya ECS menggunakan grup sumber daya, lihat Gunakan Grup Sumber Daya untuk Memberikan Izin kepada Pengguna RAM Mengelola Instance ECS Tertentu dan Alokasikan Biaya Instance ECS Berdasarkan Grup Sumber Daya.

Gunakan tag untuk mengelola sumber daya secara lebih rinci

• Pengenalan Fitur

  Tag memungkinkan Anda mengategorikan sumber daya dari dimensi berbeda, seperti wilayah, departemen, dan lingkungan, dengan cara yang lebih fleksibel daripada grup sumber daya. Anda dapat menambahkan beberapa tag ke setiap sumber daya dan mengontrol akses ke sumber daya ECS berdasarkan tag. Untuk informasi lebih lanjut, lihat Apa itu Tag?

• Metode Konfigurasi

  • Untuk informasi tentang cara membuat tag dan menambahkan tag ke instance ECS, lihat Tag.

  • Untuk contoh penggunaan tentang cara mengategorikan dan mengelola sumber daya ECS menggunakan tag, lihat Gunakan Tag untuk Memberikan Akses ke Instance ECS Berdasarkan Grup dan Gunakan Tag untuk Memungkinkan Pengguna RAM Mengelola Hanya Instance ECS yang Diizinkan.

Gunakan peran RAM instance alih-alih pasangan AccessKey

• Pengenalan Fitur

  Dalam banyak kasus, aplikasi yang diterapkan pada instance ECS mengakses API layanan Alibaba Cloud lainnya dengan menggunakan pasangan AccessKey dari akun Alibaba Cloud atau Pengguna RAM. Sebelum menggunakan pasangan AccessKey pada instance ECS untuk memanggil operasi API, Anda harus mengonfigurasi pasangan AccessKey di instance tersebut. Misalnya, Anda dapat menulis pasangan AccessKey ke file konfigurasi instance. Namun, praktik ini memberikan pengguna lebih dari izin yang diperlukan dan dapat menyebabkan masalah, seperti kebocoran informasi dan peningkatan kompleksitas pemeliharaan. Untuk menyelesaikan masalah tersebut, Alibaba Cloud menyediakan peran RAM instance. Dengan menggunakan peran RAM instance, Anda dapat memastikan keamanan pasangan AccessKey Anda dan menggunakan RAM untuk melakukan kontrol akses dan manajemen izin secara lebih rinci.

• Metode Konfigurasi

  Anda dapat melampirkan peran RAM instance ke instance ECS untuk mendapatkan token STS sebagai kredensial akses sementara dan kemudian menggunakan kredensial akses sementara tersebut di instance untuk mengakses API layanan Alibaba Cloud lainnya. Anda dapat memperoleh kredensial akses sementara hanya dari dalam instance ECS tanpa perlu menyediakan pasangan AccessKey. Ini memastikan keamanan pasangan AccessKey akun Alibaba Cloud Anda dan memungkinkan Anda melakukan kontrol akses dan manajemen izin secara lebih rinci dengan menggunakan RAM. Untuk informasi lebih lanjut, lihat Peran RAM Instance.

Aktifkan ActionTrail

• Pengenalan Fitur

  ActionTrail memantau dan mencatat operasi akun Alibaba Cloud Anda. Anda dapat menggunakan layanan ini untuk melakukan analisis keamanan, pelacakan perubahan sumber daya, dan audit kepatuhan. ActionTrail dapat mengirimkan acara manajemen ke penyimpanan log di Layanan Log Sederhana atau bucket OSS. Dengan cara ini, Anda dapat mengaudit acara secara real-time dan mengidentifikasi penyebab masalah. Untuk informasi lebih lanjut, lihat Apa itu ActionTrail?

  Di konsol ActionTrail, Anda dapat menanyakan acara manajemen yang dihasilkan saat Anda mengelola sumber daya ECS. Untuk informasi lebih lanjut, lihat Acara Audit ECS. Jika terjadi kesalahan saat Anda melakukan operasi pada instance ECS, Anda dapat menanyakan detail acara terkait untuk memperoleh informasi seperti waktu terjadinya acara, wilayah tempat acara terjadi, dan instance ECS yang terlibat.

• Metode Konfigurasi

  Secara default, ECS terintegrasi dengan ActionTrail dan ActionTrail diaktifkan. Anda tidak perlu mengonfigurasi ActionTrail secara manual.