全部产品
Search

搜索本产品

    Enterprise Distributed Application Service:Gantikan izin yang ditentukan EDAS dengan kebijakan RAM

    文档中心

    Enterprise Distributed Application Service:Gantikan izin yang ditentukan EDAS dengan kebijakan RAM

    更新时间:Jul 02, 2025

    Untuk mengelola izin pada layanan Alibaba Cloud, termasuk Enterprise Distributed Application Service (EDAS), dalam satu sistem kontrol akses, Anda dapat mengganti izin yang ditentukan EDAS dengan kebijakan Resource Access Management (RAM). Topik ini menjelaskan cara melakukan penggantian tersebut.

    Informasi latar belakang

    Untuk informasi tentang struktur dan sintaksis kebijakan RAM, lihat Struktur dan Sintaksis Kebijakan.

    Parameter

    Deskripsi

    Effect

    Menentukan apakah hasil pernyataan adalah izin eksplisit atau penolakan eksplisit. Nilai valid: Allow dan Deny.

    Action

    Menggambarkan satu atau lebih operasi API yang diizinkan atau ditolak. Anda dapat menentukan satu atau lebih operasi. Atur nilainya menjadi nama operasi untuk sumber daya. Format: <service-name>:<action-name>.

    • service-name: nama layanan Alibaba Cloud.

    • action-name: nama operasi untuk layanan tersebut.

    Resource

    Menentukan satu atau lebih objek yang dicakup oleh pernyataan. Sintaksis: acs:<service-name>:<region>:<account-id>:<relative-id>. Sintaksis ini sama dengan format Nama Sumber Daya Alibaba Cloud (ARN).

    Condition (opsional)

    Menentukan kondisi yang diperlukan agar kebijakan berlaku. Blok kondisi terdiri dari satu atau lebih klausa kondisi. Klausa kondisi terdiri dari kunci, operator, dan nilai.

    Langkah 1: Buat kebijakan untuk izin yang ditentukan EDAS

    Anda dapat menggunakan salah satu metode berikut untuk membuat atau menanyakan kebijakan untuk izin yang ditentukan EDAS:

    Metode 1: Menanyakan pustaka kebijakan dan izin sampel

    Anda dapat menanyakan kebijakan RAM dan izin yang ditentukan EDAS di pustaka. Untuk informasi lebih lanjut, lihat Kebijakan RAM.

    Metode 2: Gunakan asisten izin untuk membuat kebijakan

    Skenario dalam contoh berikut hanya melibatkan operasi dasar. Untuk informasi lebih lanjut, lihat Gunakan Asisten Izin EDAS untuk Membuat Kebijakan RAM.

    1. Masuk ke .

    2. Di panel navigasi sebelah kiri, pilih System Management > Permission Assistant.

    3. Di halaman Permission Assistant, klik New permission Strategy.

    4. Di panel New permission Strategy, konfigurasikan parameter.

      1. Pada langkah Create a new custom permission policy, konfigurasikan parameter dan klik next step. Tabel berikut menjelaskan parameter tersebut.

        Parameter

        Deskripsi

        Name of strategy

        Masukkan nama kustom untuk kebijakan.

        note

        Masukkan catatan untuk kebijakan.

        New permission statement

        1. Klik New permission statement. Anda dapat menambahkan satu atau beberapa pernyataan.

        2. Pada panel Add authorization statement, konfigurasikan parameter Permissions for dan Operations and resource authorization. Lalu, klik yes.

          Penting

          Saat membuat kebijakan, Anda hanya dapat memilih salah satu dari efek berikut: Allow dan Deny.

        3. Pada langkah Create a new custom permission policy, temukan pernyataan dalam daftar pernyataan dan klik duplikat, edit, atau hapus di kolom operasi untuk menyalin, mengubah, atau menghapus pernyataan sesuai kebutuhan.

      2. Pada langkah Strategy to preview, pratinjau kebijakan. Klik copy di pojok kanan atas editor kode dan klik Finish di pojok kiri bawah.

        Pesan berikut muncul: New policy authorization succeeded. Anda dapat mengklik Return to list view untuk melihat dan mengelola kebijakan yang telah dibuat.

    5. Temukan kebijakan yang telah dibuat dan klik View Detail. Di pesan view detail, klik salin untuk menyalin kebijakan yang telah dibuat.

    Metode 3: Buat kebijakan RAM berdasarkan izin yang ditentukan EDAS

    Jika Anda telah menentukan pengguna RAM yang diberi izin yang ditentukan EDAS, Anda dapat membuat kebijakan RAM berdasarkan izin tersebut di Konsol EDAS.

    1. Masuk ke .

    2. Di panel navigasi sebelah kiri, pilih System Management > RAM User.

    3. Di halaman RAM User, temukan pengguna RAM yang diberi izin yang ditentukan EDAS dan klik Create RAM Permission Policy di kolom RAM Authorization.

    4. Dalam pesan RAM Permission Policy, salin kebijakan tersebut dan klik OK.

    Langkah 2: Buat kebijakan di RAM

    1. Masuk ke Konsol RAM dengan akun Alibaba Cloud.

    2. Di panel navigasi sebelah kiri, pilih Permissions > Policies.

    3. Di halaman Policies, klik Create Policy.

    4. Di halaman Create Policy, klik tab JSON.

      image

    5. Di editor kode, masukkan kebijakan kustom dan klik Next to edit policy information.

      Catatan

      Tempelkan kebijakan yang Anda salin di Langkah 1.

    6. Di kotak dialog Create Policy, konfigurasikan parameter Name dan Description dan klik OK.

    Langkah 3: Buat pengguna RAM dan lampirkan kebijakan ke pengguna RAM

    1. Masuk ke Konsol RAM menggunakan akun Alibaba Cloud atau pengguna RAM yang memiliki hak administratif.

    2. Di panel navigasi sebelah kiri, pilih Identities > Users.

    3. Di halaman Users, klik Create User.image

    4. Di bagian User Account Information pada halaman Create User, konfigurasikan parameter berikut:

      • Logon Name: Nama logon dapat mencapai panjang hingga 64 karakter dan hanya boleh berisi huruf, angka, titik (.), tanda hubung (-), serta garis bawah (_).

      • Display Name: Nama tampilan dapat mencapai panjang hingga 128 karakter.

      • Tag: Klik ikon edit dan masukkan kunci tag dan nilai tag. Anda dapat menambahkan satu atau lebih tag ke pengguna RAM. Dengan cara ini, Anda dapat mengelola pengguna RAM berdasarkan tag-tag tersebut.

      Catatan

      Anda dapat mengklik Add User untuk membuat beberapa pengguna RAM sekaligus.

    5. Di bagian Access Mode, pilih mode akses dan konfigurasikan parameter yang diperlukan.

      Untuk memastikan keamanan akun Alibaba Cloud Anda, kami menyarankan agar Anda hanya memilih satu mode akses untuk pengguna RAM. Dengan cara ini, pengguna RAM untuk individu dipisahkan dari pengguna RAM untuk program.

      • Console Access

        Jika pengguna RAM mewakili individu, kami menyarankan agar Anda memilih Console Access untuk pengguna RAM tersebut. Dengan cara ini, pengguna RAM dapat menggunakan nama pengguna dan kata sandi untuk mengakses Alibaba Cloud. Jika Anda memilih Console Access, Anda harus mengonfigurasi parameter berikut:

        • Setel Kata Sandi Konsol: Anda dapat memilih Otomatis Regenerasi Kata Sandi Default atau Setel Ulang Kata Sandi Kustom. Jika Anda memilih Setel Ulang Kata Sandi Kustom, Anda harus menentukan kata sandi. Kata sandi tersebut harus memenuhi persyaratan kompleksitas. Untuk informasi lebih lanjut, lihat Konfigurasikan Kebijakan Kata Sandi untuk Pengguna RAM.

        • Reset Kata Sandi: Menentukan apakah pengguna RAM diharuskan untuk mereset kata sandi pada login berikutnya.

        • Aktifkan MFA: Menentukan apakah akan mengaktifkan otentikasi multi-faktor (MFA) untuk pengguna RAM. Setelah Anda mengaktifkan MFA, Anda harus mengaitkan perangkat MFA dengan pengguna RAM. Untuk informasi lebih lanjut, lihat Kaitkan Perangkat MFA dengan Pengguna RAM.

      • Using permanent AccessKey to access

        Jika pengguna RAM mewakili program, Anda dapat memilih Menggunakan AccessKey permanen untuk mengakses untuk pengguna RAM tersebut. Dengan cara ini, pengguna RAM dapat menggunakan pasangan AccessKey untuk mengakses Alibaba Cloud. Jika Anda memilih OpenAPI Access, sistem secara otomatis menghasilkan ID AccessKey dan Rahasia AccessKey untuk pengguna RAM. Untuk informasi lebih lanjut, lihat Dapatkan Pasangan AccessKey.

        Penting

        • Rahasia AccessKey untuk pengguna RAM hanya ditampilkan saat Anda membuat pasangan AccessKey. Anda tidak dapat menanyakan Rahasia AccessKey dalam operasi selanjutnya. Oleh karena itu, Anda harus mencadangkan Rahasia AccessKey Anda.

        • Pasangan AccessKey adalah kredensial permanen untuk akses aplikasi. Jika pasangan AccessKey akun Alibaba Cloud bocor, sumber daya yang dimiliki oleh akun tersebut terpapar pada risiko potensial. Untuk mencegah risiko kebocoran kredensial, kami menyarankan agar Anda menggunakan Token Layanan Keamanan (STS). Untuk informasi lebih lanjut, lihat Praktik Terbaik untuk Menggunakan Kredensial Akses untuk Memanggil Operasi API.

    6. Klik OK.

    7. Di halaman Users, temukan pengguna RAM yang telah dibuat dan klik Add Permissions di kolom Actions.

    8. Di panel Add Permissions, lampirkan kebijakan yang Anda buat di Langkah 2 ke pengguna RAM dan klik OK.

      添加权限

      Parameter

      Deskripsi

      Authorized Scope

      Nilai yang valid: Alibaba Cloud Account dan Specific Resource Group. Pilih ruang lingkup otorisasi berdasarkan kebutuhan bisnis Anda.

      Principal

      Secara default, pengguna RAM saat ini dipilih.

      Select Policy

      Klik tab Custom Policy. Masukkan nama kebijakan di kotak pencarian untuk mencari kebijakan tersebut. Lalu, klik nama kebijakan di kolom Authorization Policy Name.

    Langkah 4: Gantikan izin yang ditentukan EDAS dengan kebijakan RAM untuk pengguna RAM di konsol EDAS

    1. Masuk ke .

    2. Di panel navigasi sebelah kiri, pilih System Management > RAM User.

    3. Di halaman RAM User, temukan pengguna RAM yang ingin Anda kelola dan klik Switch to RAM User di kolom RAM Authorization.

      Catatan

      • Setelah izin yang ditentukan oleh EDAS digantikan oleh kebijakan RAM untuk pengguna RAM, tombol RAM Authorization di kolom akan menjadi redup.

      • Anda tidak dapat mengganti kembali kebijakan RAM dengan izin yang ditentukan oleh EDAS. Setelah izin yang ditentukan oleh EDAS digantikan oleh kebijakan RAM, pengguna RAM tidak dapat lagi menggunakan izin yang ditentukan oleh EDAS.

      Setelah Anda mengklik Switch to RAM User, EDAS memeriksa apakah pengguna RAM diberikan izin pada EDAS di Konsol RAM.

      • Jika pengguna RAM diberikan izin pada EDAS, klik OK di pesan yang muncul.

      • Jika pengguna RAM tidak diberikan izin pada EDAS, Anda harus terlebih dahulu memberikan izin di Konsol RAM.