Elastic Compute Service：Identitas

Pengguna RAM

Pengguna RAM dapat dibuat menggunakan akun Alibaba Cloud atau pengguna RAM dan peran RAM dengan hak administratif. Setelah diberi izin yang diperlukan, pengguna RAM dapat menggunakan Konsol Manajemen Alibaba Cloud atau memanggil Operasi API untuk mengakses sumber daya Alibaba Cloud dalam akun tempat mereka berada.

Perhatikan hal-hal berikut:

• Gunakan akun Alibaba Cloud untuk membuat pengguna RAM dan berikan hak administratif kepada pengguna tersebut. Selanjutnya, gunakan pengguna RAM ini untuk membuat dan mengelola pengguna RAM lainnya.

• Pisahkan pengguna RAM untuk individu dari pengguna RAM untuk program.

  Saat membuat pengguna RAM, pilih Console Access, Using permanent AccessKey to access, atau keduanya untuk parameter Access Mode.

  Pengguna RAM dengan akses konsol masuk ke Konsol Manajemen Alibaba Cloud menggunakan nama pengguna dan kata sandi, sedangkan pengguna RAM dengan akses berbasis pasangan AccessKey melakukan panggilan API. Pisahkan pengguna RAM untuk individu dari pengguna RAM untuk program guna mencegah dampak operasi yang tidak disengaja. Aktifkan otentikasi multi-faktor (MFA) untuk pengguna RAM dengan akses konsol.

• Berikan izin kepada pengguna RAM berdasarkan prinsip hak istimewa minimal.

  Hak istimewa minimal adalah izin minimum yang diperlukan untuk menjalankan suatu operasi. Prinsip ini meningkatkan keamanan data dan mencegah penyalahgunaan izin.

• Jangan sematkan ID AccessKey atau Rahasia AccessKey dalam kode untuk mencegah kebocoran pasangan AccessKey. Kebocoran pasangan AccessKey dapat menimbulkan risiko keamanan bagi semua sumber daya dalam akun Anda. Gunakan Token Layanan Keamanan (STS) atau konfigurasikan variabel lingkungan untuk mendapatkan izin akses.

• Aktifkan Single Sign-On (SSO) untuk pengguna RAM jika memungkinkan, sehingga pengguna RAM dapat masuk dan mengakses sumber daya Alibaba Cloud melalui sistem manajemen identitas perusahaan mereka.

Grup pengguna RAM

Jika Anda membuat beberapa pengguna RAM menggunakan akun Alibaba Cloud, kelompokkan pengguna RAM tersebut untuk mempermudah pengelolaan izin. Misalnya, berikan izin yang sama kepada pengguna RAM dalam grup pengguna RAM yang sama. Perhatikan hal-hal berikut:

• Berikan izin kepada grup pengguna RAM berdasarkan prinsip hak istimewa minimal.

• Hapus pengguna RAM dari grup pengguna RAM jika tugas kerja mereka berubah.

• Cabut izin dari grup pengguna RAM jika grup tersebut tidak lagi membutuhkan izin tersebut.

Peran RAM

Peran RAM adalah identitas virtual yang dapat dilampiri kebijakan. Peran RAM tidak memiliki kredensial identitas permanen seperti kata sandi logon atau pasangan AccessKey. Peran RAM hanya dapat digunakan setelah diasumsikan oleh entitas tepercaya. Setelah diasumsikan, entitas tepercaya tersebut dapat memperoleh token Layanan Keamanan (STS) dan menggunakannya untuk mengakses sumber daya Alibaba Cloud sebagai peran RAM.

Perhatikan hal-hal berikut:

• Hindari sering mengubah entitas tepercaya peran RAM setelah peran RAM dibuat. Mengubah entitas tepercaya dapat menyebabkan hilangnya izin, yang memengaruhi bisnis Anda. Menambahkan entitas tepercaya juga dapat menimbulkan risiko keamanan karena peningkatan hak istimewa. Pastikan perubahan diuji sepenuhnya sebelum diterapkan.

• Setelah entitas tepercaya diberi izin, entitas tersebut dapat memanggil operasi AssumeRole untuk memperoleh token STS, yang digunakan untuk mengasumsikan peran RAM. Untuk informasi lebih lanjut, lihat AssumeRole. Token STS hanya valid untuk periode waktu terbatas. Tetapkan periode validitas sesuai kebutuhan untuk mengurangi risiko keamanan.

  Catatan

  Masa berlaku maksimum token STS adalah durasi sesi maksimum yang ditentukan untuk peran RAM. Tetapkan durasi sesi maksimum untuk peran RAM sesuai kebutuhan untuk mengurangi risiko keamanan.

• Aktifkan SSO untuk peran RAM jika memungkinkan, sehingga peran RAM dapat masuk dan mengakses sumber daya Alibaba Cloud melalui sistem manajemen identitas perusahaan mereka.