Berikan izin pada Hologres kepada pengguna RAM - Hologres

Anda dapat memberikan izin yang diperlukan kepada pengguna RAM sesuai prinsip hak istimewa minimal untuk mencegah banyak pengguna berbagi akun Alibaba Cloud atau Pasangan Kunci Akses Anda, sehingga mengurangi risiko keamanan akses bagi perusahaan. Topik ini menjelaskan cara memberikan izin kepada pengguna RAM menggunakan akun Alibaba Cloud Anda serta rincian setiap izin tersebut.

Latar Belakang

Resource Access Management (RAM) adalah sistem pengelolaan izin yang disediakan oleh Alibaba Cloud.

RAM digunakan untuk mengontrol izin akun.

Anda dapat membuat pengguna RAM dalam akun Alibaba Cloud Anda dan memberikan izin berbeda pada Hologres. Misalnya, Anda dapat memberikan izin kepada pengguna RAM untuk membeli atau menghapus instans, melakukan peningkatan dan penurunan spesifikasi instans, mengubah jenis jaringan instans, serta melihat detail instans.

Pengguna RAM harus memperhatikan hal-hal berikut:

Untuk melihat atau mengelola instans di konsol Hologres, mereka memerlukan izin relevan yang diberikan oleh akun Alibaba Cloud.
Izin pengembangan pada instans Hologres memungkinkan penggunaan alat pengembangan untuk mengembangkan data, meskipun mereka tidak dapat mengelola instans di konsol Hologres. Untuk informasi selengkapnya, lihat Grant the development permissions on a Hologres instance to a RAM user.

Grant permissions on Hologres to a RAM user

Masuk ke RAM console sebagai administrator RAM.
Di panel navigasi sebelah kiri, pilih Identities > Users.
Pada halaman Users, temukan pengguna RAM yang diperlukan, lalu klik Add Permissions di kolom Actions.
Anda juga dapat memilih beberapa pengguna RAM sekaligus dan mengklik Add Permissions di bagian bawah halaman untuk memberikan izin kepada pengguna RAM tersebut secara bersamaan.

Berikan izin kepada pengguna RAM.

Pada panel Add Permissions, konfigurasikan parameter yang dijelaskan pada bagian berikut.

Catatan

Masuk dan menggunakan HoloWeb melalui kelompok sumber daya tidak didukung karena HoloWeb tidak termasuk dalam kelompok sumber daya.
Bagian ini mencakup pemberian izin pada HoloWeb. Untuk mengelola izin instans Hologres, buka halaman detail instans untuk otorisasi. Untuk informasi selengkapnya, lihat Grant the development permissions on a Hologres instance to a RAM user.

Tetapkan Resource Scope.
- Account: Otorisasi berlaku untuk akun Alibaba Cloud saat ini.
- ResourceGroup: Otorisasi berlaku untuk kelompok sumber daya tertentu.
  Penting
  Jika Anda memilih ResourceGroup untuk parameter Resource Scope, pastikan layanan cloud dan jenis resource Anda mendukung kelompok sumber daya. Untuk informasi selengkapnya, lihat Services that work with Resource Group. Untuk informasi lebih lanjut tentang cara memberikan izin pada kelompok sumber daya, lihat Use a resource group to grant a RAM user the permissions to manage a specific ECS instance.
Tetapkan Principal.
Pilih pengguna RAM untuk diberikan izin. Pengguna RAM saat ini akan dipilih secara otomatis.

Tetapkan Policy.

Kebijakan berisi serangkaian izin. Kebijakan dapat berupa kebijakan sistem atau kebijakan kustom. Anda dapat memilih beberapa kebijakan sekaligus.

Kebijakan sistem: kebijakan yang dibuat dan dikelola oleh Alibaba Cloud. Anda dapat menggunakan tetapi tidak dapat mengubah kebijakan ini. Untuk informasi selengkapnya, lihat Services that work with RAM.

Catatan

RAM memberi tag kebijakan sistem berisiko tinggi, seperti AdministratorAccess dan AliyunRAMFullAccess. Berikan kebijakan ini dengan hati-hati.

Tabel berikut menjelaskan kebijakan sistem Hologres. Menyambungkan kebijakan sistem ke pengguna RAM akan memberikan semua izin yang ditentukan dalam kebijakan tersebut.

Policy	Description
`AliyunHologresFullAccess`	Memberikan akses penuh untuk mengelola Hologres. Catatan Agar pengguna RAM dapat menggunakan instans, superuser harus menambahkan pengguna di HoloWeb dan memetakan pengguna tersebut ke identitas RAM. Untuk informasi selengkapnya, lihat FAQ about permissions on using instances. Izin meliputi: Menampilkan instans, detail instans, dan metrik. Menjalankan operasi yang menimbulkan biaya, seperti membuat, memperpanjang, menghentikan, menghapus, dan menskalakan instans. Masuk dan menggunakan konsol HoloWeb. Perhatikan hal berikut: Pembuat instans secara otomatis menjadi superuser instans tersebut dengan semua izin pada instans tersebut. Akun Alibaba Cloud merupakan superuser dari semua instans dalam akun tersebut. Untuk mengakses data dalam instans yang dibuat oleh akun Alibaba Cloud, pengguna RAM harus diberikan izin pengembangan data oleh akun Alibaba Cloud pada instans Hologres tersebut. Lihat Grant the development permissions on a Hologres instance to a RAM user. Untuk menampilkan semua izin pengguna pada halaman Security Center > User Management di konsol HoloWeb, pengguna RAM memerlukan kebijakan `AliyunRAMReadOnlyAccess` (yang mencakup izin `ListUser`).
`AliyunHologresWarehouseFullAccess`	Memberikan akses penuh untuk mengelola gudang virtual Hologres. Catatan Agar pengguna RAM dapat menggunakan instans, superuser harus menambahkan pengguna di HoloWeb dan memetakan pengguna tersebut ke identitas RAM. Untuk informasi selengkapnya, lihat FAQ about permissions on using instances. Kebijakan ini mencakup izin berikut: Membuat, menghapus, menskalakan, menghentikan, dan memulihkan gudang virtual. Menjadwalkan penskalaan. Masuk dan menggunakan konsol HoloWeb.
`AliyunBSSOrderAccess`	Memberikan izin untuk melihat, membayar, dan membatalkan pesanan di konsol Pengelolaan Penagihan. Menyambungkan kebijakan ini ke pengguna RAM memungkinkannya melakukan penskalaan dan perpanjangan instans di konsol Hologres.
`AliyunRAMReadOnlyAccess`	Memberikan izin read-only pada RAM. Menyambungkan kebijakan ini ke pengguna RAM memungkinkannya menampilkan identitas RAM dalam akun saat menambahkan pengguna pada halaman Security Center > User Management di konsol HoloWeb.
`AliyunHologresReadOnlyAccess`	Memberikan izin read-only pada Hologres. Kebijakan ini mencakup himpunan izin berikut: Menampilkan daftar instans dan melihat informasi detail instans di konsol Hologres. Menghubungkan dan menggunakan HoloWeb. Kebijakan ini tidak mencakup izin berikut: Menjalankan operasi yang menimbulkan biaya, seperti membuat dan menskalakan instans. Menjalankan operasi pada instans. Menampilkan identitas RAM dalam akun Alibaba Cloud.

Catatan

Pembuat instans Hologres secara otomatis menjadi superuser-nya. Selain itu, akun Alibaba Cloud merupakan superuser untuk semua instans dalam akun tersebut.
Untuk instans yang dibuat oleh akun Alibaba Cloud, pengguna RAM harus memperoleh izin yang diperlukan dari akun tersebut untuk menggunakan instans.

Kebijakan kustom: kebijakan yang dikelola dan diperbarui oleh Anda. Untuk informasi selengkapnya, lihat Create custom policies.

Penting

Saat menetapkan kebijakan kustom kepada pengguna RAM, pastikan Anda menyambungkan setidaknya kebijakan AliyunRAMReadOnlyAccess. Hal ini diperlukan agar pengguna RAM dapat mengakses konsol Hologres.

Di konsol RAM, navigasikan ke Permissions > Policies dan klik Create Policy. Pada halaman Create Policy, alihkan ke tab JSON, lalu konfigurasikan kebijakan kustom di editor kode. Untuk informasi selengkapnya, lihat Create custom policies.

Contoh:

Penting

Hapus komentar dari contoh kode berikut sebelum menjalankannya.

{
    "Statement": [
        {  // Lakukan semua operasi. Jika Anda memasukkan konfigurasi ini, Anda tidak perlu memasukkan konfigurasi berikutnya.
            "Effect": "Allow",
            "Action": "hologram:*",// Izin untuk melakukan semua operasi.
            "Resource": "acs:hologram:*:<Alibaba Cloud account ID>:instance/*"// Izin berlaku untuk semua instans di semua wilayah. <Tanda bintang (*) tidak dapat diganti dengan ID instans.>
        },
        {   // Izinkan pengguna untuk melakukan tindakan apa pun pada instans Hologres apa pun di suatu wilayah.
            "Effect": "Allow",
            "Action": "hologram:*",
            "Resource": "acs:hologram:cn-<region >:<Alibaba Cloud account ID>:instance/*"
        },
        {   // Hapus instans.
            "Effect": "Allow",
            "Action": "hologram:DeleteInstance",
            "Resource": "acs:hologram:cn-<region>:<Alibaba Cloud account ID>:instance/*"
        },
        {   // Buat instans.
            "Effect": "Allow",
            "Action": "bss:PayOrder",
            "Resource": "acs:hologram:cn-<region >:<Alibaba Cloud account ID>:instance/*"
        },
        {   // Lihat detail instans.
            "Effect": "Allow",
            "Action": "hologram:GetInstance",
            "Resource": "acs:hologram:cn-<region >:<Alibaba Cloud account ID>:instance/*" //<Tanda bintang (*) dapat diganti dengan ID instans.>
        },
        { // Lihat daftar instans.
            "Effect": "Allow",
            "Action": "hologram:ListInstances",
            "Resource": "acs:hologram:cn-<region >:<Alibaba Cloud account ID>:instance/*"//<Tanda bintang (*) tidak dapat diganti dengan ID instans.>
        },
        {  // Hentikan instans.
            "Effect": "Allow",
            "Action": "hologram:StopInstance",
            "Resource": "acs:hologram:cn-<region>:<Alibaba Cloud account ID>:instance/*"
        },
        {  // Lanjutkan instans.
            "Effect": "Allow",
            "Action": "hologram:ResumeInstance",
            "Resource": "acs:hologram:cn-<region>:<Alibaba Cloud account ID>:instance/*"
        },
        {  // Ubah jenis jaringan instans.
            "Effect": "Allow",
            "Action": "hologram:UpdateInstanceNetworkType",
            "Resource": "acs:hologram:cn-<region>:<Alibaba Cloud account ID>:instance/*"
        }.
        {  // Akses HoloWeb.
            "Effect": "Allow",
            "Action": "hologram:HoloWebAccess",
            "Resource": "*"
        }      
    ],
    "Version": "1"
}

Tabel berikut menjelaskan parameter dalam sintaks tersebut.

Parameter	Description
<region>	Wilayah tempat instans Hologres berada. Contoh: beijing.
<Alibaba Cloud account ID>	ID akun Alibaba Cloud Anda.
*	ID semua instans Hologres dalam akun Alibaba Cloud Anda. Anda juga dapat mengganti tanda bintang (*) dengan ID instans Hologres tertentu.

Contoh pernyataan:

acs:hologram:cn-beijing:4322xxxxx:instance/hhhgggxxxx

Penting

Tanda bintang (*) dalam instance/* pada konfigurasi berikut tidak dapat diganti dengan ID instans tertentu:

{
    "Statement": [
        {  // Lakukan semua operasi. Jika Anda memasukkan konfigurasi ini, Anda tidak perlu memasukkan konfigurasi berikutnya.
            "Effect": "Allow",
            "Action": "hologram:*",// Izin untuk melakukan semua operasi.
            "Resource": "acs:hologram:*:<Alibaba Cloud account ID>:instance/*"// Izin berlaku untuk semua instans di semua wilayah.
        },
        {   // Izinkan pengguna untuk melakukan tindakan apa pun pada instans Hologres apa pun di suatu wilayah.
            "Effect": "Allow",
            "Action": "hologram:*",
            "Resource": "acs:hologram:cn-<region >:<Alibaba Cloud account ID>:instance/*"
        },
        {   // Hapus instans.
            "Effect": "Allow",
            "Action": "hologram:DeleteInstance",
            "Resource": "acs:hologram:cn-<region>:<Alibaba Cloud account ID>:instance/*"
        },
        {   // Buat instans.
            "Effect": "Allow",
            "Action": "bss:PayOrder",
            "Resource": "acs:hologram:cn-<region>:<Alibaba Cloud account ID>:instance/*"
        },
        { // Lihat instans.
            "Effect": "Allow",
            "Action": "hologram:ListInstances",
            "Resource": "acs:hologram:cn-<region>:<Alibaba Cloud account ID>:instance/*"
        },
        {  // Hentikan instans.
            "Effect": "Allow",
            "Action": "hologram:StopInstance",
            "Resource": "acs:hologram:cn-<region>:<Alibaba Cloud account ID>:instance/*"
        },
        {  // Lanjutkan instans.
            "Effect": "Allow",
            "Action": "hologram:ResumeInstance",
            "Resource": "acs:hologram:cn-<region>:<Alibaba Cloud account ID>:instance/*"
        },
        {  // Lihat metrik pemantauan instans.
            "Effect": "Allow",
            "Action": "cms:DescribeMetricList", "cms:QueryMetricList"
            "Resource": "acs:hologram:cn-<region>:<Alibaba Cloud account ID>:instance/*"
        },
        {  // Ubah jenis jaringan instans.
            "Effect": "Allow",
            "Action": "hologram:UpdateInstanceNetworkType",
            "Resource": "acs:hologram:cn-<region>:<Alibaba Cloud account ID>:instance/*"
        }
    ],
    "Version": "1"
}

Klik Grant permissions lalu klik Close.

FAQ tentang izin pada konsol Hologres

Untuk mengakses konsol Hologres, pengguna memerlukan izin RAM dan izin pengembangan yang sesuai. Berikut jawaban atas beberapa pertanyaan umum:

Mengapa saya tidak dapat melihat instans sebagai pengguna RAM?
- Gejala
  Pengguna RAM tidak dapat melihat instans yang ada di wilayah yang dipilih, sering kali disertai pesan bahwa izin hologram:ListInstances tidak tersedia.
- Penyebab
  Pengguna RAM tidak memiliki izin yang diperlukan untuk menampilkan daftar instans di konsol Hologres.
- Solusi
  Masuk ke RAM console menggunakan akun Alibaba Cloud dan sambungkan kebijakan AliyunHologresReadOnlyAccess ke pengguna RAM tersebut.
Mengapa saya tidak dapat mengelola instans sebagai identitas RAM dengan peran superuser?
- Gejala
  Pengguna RAM dengan peran superuser tidak dapat membuat atau menskalakan instans, atau mengubah metode penagihan dari pay-as-you-go ke subscription. Pesan kesalahan menyatakan: An error occured while performing RAM authorization.
- Penyebab
  Izin untuk operasi terkait penagihan dikontrol oleh akun Alibaba Cloud. Tanpa izin yang sesuai, pengguna RAM tidak dapat membuat atau menskalakan instans, atau mengubah metode penagihan.
- Solusi
  Masuk ke RAM console menggunakan akun Alibaba Cloud dan sambungkan kebijakan AliyunHologresFullAccess atau AliyunBSSOrderAccess ke pengguna RAM tersebut.

FAQ tentang izin penggunaan instans

Mengapa saya tidak dapat terhubung ke HoloWeb atau menggunakan instans Hologres sebagai pengguna RAM?
- Gejala
  Anda tidak dapat terhubung dan menggunakan instans Hologres sebagai pengguna RAM, menerima pesan kesalahan seperti: role "<role_name>" does not exist.
- Penyebab
  Pengguna RAM, selain yang membuat instans, tidak secara otomatis menjadi pengguna instans. Mereka memerlukan izin eksplisit dari superuser (pembuat instans atau akun Alibaba Cloud) untuk mengakses instans tersebut.
- Solusi
  Catatan
  Untuk melihat superuser instans saat ini, jalankan perintah select * from pg_user;.
  - Di Security Center > User Management di konsol HoloWeb, tambahkan pengguna dan berikan izin yang diperlukan kepada pengguna tersebut. Untuk informasi selengkapnya, lihat Manager users.
  - Hubungkan ke instans dan jalankan pernyataan create user "<role_name>". Untuk informasi selengkapnya, lihat Overview.
Mengapa saya tidak dapat melihat informasi apa pun di halaman User Management dan Database Authorization?
- Gejala
  Saat masuk sebagai pengguna RAM, Anda tidak dapat melihat informasi di halaman User Management dan Database Authorization, serta menerima pesan kesalahan seperti you do not have the permissions and need to ask the superuser to grant permissions on the instance to your account.
- Penyebab
  Pengguna RAM saat ini tidak memiliki izin pengembangan pada instans tersebut.
- Solusi
  Minta superuser untuk memberikan izin pengembangan kepada Anda. Untuk informasi selengkapnya, lihat Grant the development permissions on a Hologres instance to RAM users.
Apa yang harus saya lakukan jika saya salah menghapus superuser?
- Gejala
  Semua superuser dalam suatu instans secara tidak sengaja diubah menjadi pengguna biasa.
  Peringatan
  Hal ini mencegah Anda melakukan manajemen pengguna dan sebagian besar operasi terkait instans.
- Solusi
  Bergabunglah dengan grup DingTalk Hologres untuk dukungan teknis. Untuk informasi selengkapnya, lihat Obtain online support for Hologres.