Berikan izin kepada pengguna RAM - EventBridge

EventBridge memungkinkan akun Alibaba Cloud memberikan izin pada sumber daya kepada Pengguna Manajemen Akses Sumber Daya (RAM). Hal ini mencegah risiko terpaparnya pasangan AccessKey dari akun Alibaba Cloud. Hanya pengguna RAM yang berwenang yang diizinkan untuk mengelola sumber daya di konsol EventBridge dan mempublikasikan peristiwa menggunakan SDK serta Operasi API.

Skenario

Perusahaan A telah membeli layanan EventBridge, dan karyawan Perusahaan A perlu mengelola sumber daya terkait layanan ini, seperti aturan peristiwa dan bus peristiwa. Karyawan dengan tugas berbeda memerlukan izin yang berbeda.

Berikut adalah pengenalan skenario spesifik:

Alasan keamanan, Perusahaan A tidak ingin mengungkapkan pasangan AccessKey dari akun Alibaba Cloud mereka kepada karyawan. Sebagai gantinya, Perusahaan A lebih memilih untuk membuat pengguna RAM yang berbeda untuk karyawan dan memberikan izin yang berbeda kepada pengguna RAM tersebut.
Pengguna RAM hanya dapat menggunakan sumber daya di bawah otorisasi. Penggunaan sumber daya dan biaya tidak dihitung secara terpisah untuk pengguna RAM. Semua biaya ditagihkan ke akun Alibaba Cloud milik Perusahaan A.
Perusahaan A dapat mencabut izin yang diberikan kepada pengguna RAM dan menghapus pengguna RAM kapan saja.

Dalam skenario ini, akun Alibaba Cloud milik Perusahaan A dapat memberikan izin granular pada sumber daya kepada karyawan sesuai kebutuhan.

Metode 1: Berikan izin kepada pengguna RAM di halaman Pengguna

Masuk ke konsol RAM sebagai administrator RAM.
Di panel navigasi sisi kiri, pilih Identities > Users.
Di halaman Users, temukan pengguna RAM yang diperlukan, lalu klik Add Permissions di kolom Actions.
Anda juga dapat memilih beberapa pengguna RAM dan klik Add Permissions di bagian bawah halaman untuk memberikan izin kepada pengguna RAM sekaligus.
Di panel Grant Permission, berikan izin kepada pengguna RAM.
1. Konfigurasikan parameter Resource Scope.
  - Account: Otorisasi berlaku untuk akun Alibaba Cloud saat ini.
  - ResourceGroup: Otorisasi berlaku untuk grup sumber daya tertentu.
    Penting
    Jika Anda memilih Grup Sumber Daya untuk parameter Cakupan Sumber Daya, pastikan bahwa layanan cloud yang diperlukan mendukung grup sumber daya. Untuk informasi lebih lanjut, lihat Layanan yang bekerja dengan Grup Sumber Daya. Untuk informasi lebih lanjut tentang cara memberikan izin pada grup sumber daya, lihat Gunakan grup sumber daya untuk memberikan izin kepada pengguna RAM mengelola Instance ECS tertentu.
2. Konfigurasikan parameter Principal.
  Principal adalah pengguna RAM yang ingin Anda berikan izin. Pengguna RAM saat ini dipilih secara otomatis.
3. Konfigurasikan parameter Kebijakan.
  Kebijakan berisi satu set izin. Kebijakan dapat diklasifikasikan menjadi kebijakan sistem dan kebijakan kustom. Anda dapat memilih beberapa kebijakan sekaligus.
  - Kebijakan sistem: kebijakan yang dibuat oleh Alibaba Cloud. Anda dapat menggunakan tetapi tidak dapat memodifikasi kebijakan ini. Pembaruan versi kebijakan dipertahankan oleh Alibaba Cloud. Untuk informasi lebih lanjut, lihat Layanan yang bekerja dengan RAM.
    Catatan
    Sistem secara otomatis mengidentifikasi kebijakan sistem berisiko tinggi, seperti AdministratorAccess dan AliyunRAMFullAccess. Kami menyarankan agar Anda tidak memberikan izin yang tidak perlu dengan melampirkan kebijakan berisiko tinggi.
  - Kebijakan kustom: Anda dapat mengelola dan memperbarui kebijakan kustom berdasarkan kebutuhan bisnis Anda. Anda dapat membuat, memperbarui, dan menghapus kebijakan kustom. Untuk informasi lebih lanjut, lihat Buat kebijakan kustom.
4. Klik Grant permissions.
Klik Close.

Metode 2: Berikan izin kepada pengguna RAM di halaman Grants

Masuk ke konsol RAM sebagai administrator RAM.
Di panel navigasi sisi kiri, pilih Permissions > Grants.
Di halaman Permission, klik Grant Permission.
Di panel Grant Permission, berikan izin kepada pengguna RAM.
1. Konfigurasikan parameter Cakupan Sumber Daya.
  - Account: Otorisasi berlaku untuk akun Alibaba Cloud saat ini.
  - Resource Group: Otorisasi berlaku untuk grup sumber daya tertentu.
    Penting
    Jika Anda memilih Grup Sumber Daya untuk parameter Cakupan Sumber Daya, pastikan bahwa layanan cloud yang diperlukan mendukung grup sumber daya. Untuk informasi lebih lanjut, lihat Layanan yang bekerja dengan Grup Sumber Daya. Untuk informasi lebih lanjut tentang cara memberikan izin pada grup sumber daya, lihat Gunakan grup sumber daya untuk memberikan izin kepada pengguna RAM mengelola Instance ECS tertentu.
2. Konfigurasikan parameter Principal.
  Principal adalah pengguna RAM yang ingin Anda berikan izin. Anda dapat memilih beberapa pengguna RAM sekaligus.
3. Konfigurasikan parameter Kebijakan.
  Kebijakan berisi satu set izin. Kebijakan dapat diklasifikasikan menjadi kebijakan sistem dan kebijakan kustom. Anda dapat memilih beberapa kebijakan sekaligus.
  - Kebijakan sistem: kebijakan yang dibuat oleh Alibaba Cloud. Anda dapat menggunakan tetapi tidak dapat memodifikasi kebijakan ini. Pembaruan versi kebijakan dipertahankan oleh Alibaba Cloud. Untuk informasi lebih lanjut, lihat Layanan yang bekerja dengan RAM.
    Catatan
    Sistem secara otomatis mengidentifikasi kebijakan sistem berisiko tinggi, seperti AdministratorAccess dan AliyunRAMFullAccess. Kami menyarankan agar Anda tidak memberikan izin yang tidak perlu dengan melampirkan kebijakan berisiko tinggi.
  - Kebijakan kustom: Anda dapat mengelola dan memperbarui kebijakan kustom berdasarkan kebutuhan bisnis Anda. Anda dapat membuat, memperbarui, dan menghapus kebijakan kustom. Untuk informasi lebih lanjut, lihat Buat kebijakan kustom.
4. Klik Grant permissions.
Klik Close.

Referensi

Apa itu RAM?

Apa yang harus dilakukan selanjutnya

Setelah Anda membuat pengguna RAM menggunakan akun Alibaba Cloud, Anda dapat mendistribusikan nama pengguna RAM dan kata sandi atau informasi pasangan AccessKey dari pengguna RAM kepada karyawan lainnya. Karyawan lainnya dapat masuk ke konsol atau memanggil operasi API layanan sebagai pengguna RAM berdasarkan langkah-langkah berikut:

Masuk ke konsol EventBridge.
1. Buka portal logon pengguna RAM di browser Anda.
2. Di halaman RAM User Logon, masukkan nama pengguna RAM lalu klik Next. Masukkan kata sandi pengguna RAM lalu klik Login.
  Catatan Nama pengguna RAM dalam format <$username>@<$AccountAlias> atau <$username>@<$AccountAlias>.onaliyun.com. <$AccountAlias> adalah alias akun. Jika alias akun tidak disetel, ID akun Alibaba Cloud digunakan secara default.
3. Di halaman utama konsol, klik layanan yang diotorisasi untuk mengakses konsol layanan ini.
Panggil operasi API menggunakan pasangan AccessKey dari pengguna RAM.
Gunakan ID AccessKey dan Rahasia AccessKey dari pengguna RAM dalam kode.