Saat beberapa perusahaan berkolaborasi menggunakan EventBridge, pemilik resource sering perlu mendelegasikan operasi tertentu—seperti memublikasikan event ke event bus—ke akun lain tanpa berbagi kredensial. Resource Access Management (RAM) mengatasi hal ini melalui asumsi role lintas akun: pemilik resource membuat RAM role, memberikan izin EventBridge yang diperlukan, dan menetapkan entitas tepercaya ke akun yang diotorisasi. Pengguna di bawah akun yang diotorisasi kemudian mengasumsikan role tersebut untuk mengakses resource milik pemilik.
Pendekatan ini memberikan tiga keuntungan:
Tidak ada berbagi kredensial: Pemilik resource mendelegasikan tugas sambil tetap mempertahankan kontrol penuh atas izin dan resource.
Manajemen pengguna independen: Ketika karyawan bergabung atau meninggalkan akun yang diotorisasi, pemilik resource tidak perlu memperbarui izin apa pun. Akun yang diotorisasi mengelola RAM user-nya sendiri dan mengontrol akses mereka ke resource milik pemilik.
Pencabutan instan: Pemilik resource dapat mencabut semua akses yang didelegasikan kapan saja dengan menghapus RAM role atau melepas kebijakannya.
Skenario
Perusahaan A (si pemilik resource) memiliki resource EventBridge dan ingin mengizinkan Perusahaan B (si akun yang diotorisasi) untuk melakukan operasi tertentu, seperti memublikasikan event ke event bus.
Langkah-langkah berikut menjelaskan proses penyiapan lengkap, bergantian antara kedua akun:
| Langkah | Dilakukan oleh | Aksi |
|---|---|---|
| 1 | Perusahaan A | Membuat RAM role yang dipercaya oleh Perusahaan B |
| 2 (opsional) | Perusahaan A | Membuat kebijakan kustom untuk kontrol detail halus |
| 3 | Perusahaan A | Lampirkan kebijakan ke peran RAM |
| 4 | Perusahaan B | Membuat RAM user |
| 5 | Perusahaan B | Memberikan izin kepada RAM user untuk mengasumsikan role tersebut |
| 6 | Perusahaan B | Mengakses resource EventBridge milik Perusahaan A |
Langkah 1: Membuat RAM role (Perusahaan A)
Masuk ke Konsol RAM menggunakan akun Alibaba Cloud Perusahaan A dan buat RAM role dengan akun Alibaba Cloud Perusahaan B sebagai entitas tepercaya.
Untuk langkah-langkah terperinci, lihat Membuat RAM role untuk akun Alibaba Cloud tepercaya.
Langkah 2 (opsional): Membuat kebijakan kustom (Perusahaan A)
Jika kebijakan sistem yang tersedia tidak memenuhi kebutuhan Anda, buat kebijakan kustom untuk kontrol akses detail halus. EventBridge mendukung izin tingkat resource.
Untuk daftar lengkap aksi dan resource yang didukung, lihat Kebijakan.
Untuk langkah-langkah membuat kebijakan kustom, lihat Membuat kebijakan kustom.
Langkah 3: Menyambungkan kebijakan ke RAM role (Perusahaan A)
RAM role yang baru dibuat tidak memiliki izin apa pun. Sambungkan kebijakan sistem atau kebijakan kustom yang Anda buat pada Langkah 2.
Untuk langkah-langkah terperinci, lihat Memberikan izin kepada RAM role.
Ikuti prinsip hak istimewa minimal. Berikan hanya izin yang dibutuhkan Perusahaan B untuk tugas spesifiknya. Hindari menyambungkan kebijakan luas seperti AdministratorAccess ke role lintas akun.
Langkah 4: Membuat RAM user (Perusahaan B)
Masuk ke Konsol RAM menggunakan akun Alibaba Cloud Perusahaan B dan buat RAM user.
Untuk langkah-langkah terperinci, lihat Membuat RAM user.
Langkah 5: Memberikan izin AssumeRole (Perusahaan B)
Sambungkan kebijakan sistem AliyunSTSAssumeRoleAccess ke RAM user yang dibuat pada Langkah 4. Kebijakan ini memungkinkan RAM user memanggil operasi Security Token Service (STS) AssumeRole untuk mengasumsikan RAM role yang dibuat oleh Perusahaan A.
Untuk langkah-langkah terperinci, lihat Memberikan izin kepada RAM user.
Langkah 6: Mengakses resource Perusahaan A (Perusahaan B)
Setelah menyelesaikan Langkah 1 hingga 5, RAM user Perusahaan B dapat mengakses resource EventBridge milik Perusahaan A melalui konsol atau API.
Akses melalui konsol
Buka portal masuk RAM user di browser Anda.
Masukkan nama RAM user dan klik Next. Lalu masukkan password dan klik Login.
CatatanNama RAM user menggunakan format
<$username>@<$AccountAlias>atau<$username>@<$AccountAlias>.onaliyun.com.<$AccountAlias>adalah alias akun. Jika tidak ada alias yang ditetapkan, ID akun Alibaba Cloud default akan digunakan.Di halaman utama konsol, arahkan kursor ke gambar profil di pojok kanan atas dan klik Switch Role.
Di halaman Switch Role, masukkan Enterprise Alias/Default Domain Name Perusahaan A dan Role Name, lalu klik Switch.
Lakukan operasi pada resource EventBridge milik Perusahaan A.
Akses melalui API
Untuk memanggil operasi API sebagai RAM user Perusahaan B, peroleh kredensial temporary dengan memanggil operasi AssumeRole menggunakan ARN RAM role milik Perusahaan A. Sertakan kredensial temporary berikut yang dikembalikan oleh AssumeRole dalam permintaan API Anda:
| Kredensial | Deskripsi |
|---|---|
AccessKeyId | ID AccessKey temporary yang dikembalikan oleh AssumeRole |
AccessKeySecret | Rahasia AccessKey temporary yang dikembalikan oleh AssumeRole |
SecurityToken | Token keamanan temporary yang dikembalikan oleh AssumeRole |
Kredensial temporary yang dikembalikan oleh STS memiliki waktu kedaluwarsa. Perbarui sebelum kedaluwarsa untuk menghindari kegagalan permintaan.