Berikan izin pengguna RAM pada Hologres - Hologres

Berikan izin Resource Access Management (RAM) kepada pengguna untuk mengakses resource yang diperlukan guna menerapkan prinsip hak istimewa minimal. Praktik ini mengurangi risiko keamanan dengan menghindari berbagi kredensial Akun Alibaba Cloud atau Pasangan Kunci Akses. Topik ini menjelaskan cara memberikan izin kepada pengguna RAM dari Akun Alibaba Cloud Anda serta fungsi setiap izin tersebut.

Informasi latar belakang

Resource Access Management (RAM) adalah sistem pengelolaan izin yang disediakan oleh Alibaba Cloud.

RAM terutama digunakan untuk mengontrol izin dalam sistem akun Anda.

Anda dapat menggunakan RAM untuk membuat pengguna RAM dalam cakupan izin Akun Alibaba Cloud Anda dan memberikan izin berbeda kepada setiap pengguna RAM. Izin tersebut dapat mencakup tindakan seperti membeli atau menghapus instans, melakukan peningkatan dan penurunan resource instans, mengubah jenis jaringan, serta melihat informasi instans.

Kontrol akses untuk izin pengembangan pengguna RAM pada suatu instans bekerja sebagai berikut:

Jika Akun Alibaba Cloud tidak memberikan izin kepada pengguna RAM, pengguna tersebut tidak dapat melihat atau mengelola instans di Konsol.
Akun Alibaba Cloud dapat langsung memberikan izin pengembangan pada suatu instans kepada pengguna RAM. Meskipun pengguna RAM tidak dapat mengelola instans di Konsol, mereka tetap dapat terhubung ke alat pengembangan untuk pengembangan data. Untuk informasi selengkapnya, lihat Grant a RAM user development permissions on an instance.

Berikan izin kepada pengguna RAM

Login ke RAM console sebagai administrator RAM.
Di panel navigasi sebelah kiri, pilih Identities > Groups.
Pada halaman Groups, temukan grup pengguna RAM yang ingin Anda kelola lalu klik Add Permissions di kolom Actions.
Anda juga dapat memilih beberapa grup pengguna RAM sekaligus dan mengklik Add Permissions di bagian bawah halaman untuk memberikan izin kepada grup pengguna RAM tersebut secara bersamaan.

Tambahkan izin.

Pada kotak dialog Add Permissions, konfigurasikan parameter berikut.

Catatan

Karena HoloWeb tidak dapat termasuk dalam kelompok sumber daya, Anda tidak dapat login atau menggunakan HoloWeb jika izin diberikan berdasarkan kelompok sumber daya tertentu.
Izin yang disebutkan di bawah ini hanya menentukan apakah pengguna RAM dapat login dan menggunakan HoloWeb. Jika pengguna RAM perlu terhubung dan menggunakan instans Hologres, Anda harus memberikan izin pada halaman detail instans. Untuk informasi selengkapnya, lihat Grant a RAM user development permissions on an instance.

Pilih cakupan resource.
- Account Level: Izin berlaku dalam Akun Alibaba Cloud saat ini.
- Resource Group Level: Izin berlaku dalam kelompok sumber daya yang ditentukan.
  
  Penting
  Anda hanya dapat memberikan izin berdasarkan kelompok sumber daya jika layanan Alibaba Cloud dan jenis resource yang bersangkutan mendukung kelompok sumber daya. Untuk informasi selengkapnya, lihat Alibaba Cloud services that support resource groups. Untuk contoh otorisasi berbasis kelompok sumber daya, lihat Use a resource group to control the permissions of a RAM user on specified ECS instances.
Pilih entitas otorisasi.

Entitas otorisasi adalah pengguna RAM yang akan diberikan izin. Sistem secara otomatis memilih pengguna RAM saat ini.

Pilih kebijakan akses.

Kebijakan akses adalah kumpulan izin akses. Kebijakan akses dikategorikan menjadi dua jenis. Anda dapat memilih beberapa kebijakan akses sekaligus.

Kebijakan sistem: Kebijakan ini dibuat dan dikelola oleh Alibaba Cloud. Anda dapat menggunakan tetapi tidak dapat mengubah kebijakan ini. Untuk informasi selengkapnya, lihat Alibaba Cloud services that support RAM.

Catatan

Sistem secara otomatis mengidentifikasi kebijakan sistem berisiko tinggi, seperti AdministratorAccess dan AliyunRAMFullAccess. Saat memberikan izin, hindari pemberian kebijakan akses berisiko tinggi yang tidak diperlukan.

Anda dapat memberikan kebijakan akses berikut kepada pengguna RAM untuk memberikan semua izin sebagaimana dijelaskan dalam tabel berikut.

Access policy	Description
AliyunHologresFullAccess	Izin untuk mengelola layanan Hologres. Catatan Kebijakan akses ini tidak mencakup izin untuk menggunakan instans. Superuser harus membuat pengguna dalam instans sebelum pengguna tersebut dapat login dan menggunakan instans Hologres. Untuk informasi selengkapnya, lihat FAQ about RAM user permissions related to instance usage. Setelah izin ini diberikan, pengguna RAM memiliki izin berikut: Menampilkan informasi semua instans di Konsol, termasuk daftar instans, detail instans, dan halaman Pemantauan. Menjalankan operasi terkait penagihan, seperti membeli, melakukan peningkatan dan penurunan, memperpanjang, menghentikan, dan menghapus instans. Login dan menggunakan HoloWeb. Setelah pengguna RAM membeli instans, pengguna RAM tersebut menjadi superuser instans tersebut dan memiliki semua izin atas instans tersebut. Akun Alibaba Cloud juga menjadi superuser instans tersebut. Untuk instans yang dibuat oleh Akun Alibaba Cloud, pengguna RAM tidak memiliki izin atas instans tersebut secara default. Akun Alibaba Cloud harus memberikan izin yang diperlukan kepada pengguna RAM dalam instans tersebut. Untuk informasi selengkapnya, lihat Grant a RAM user development permissions on an instance. Pengguna RAM tidak memiliki izin untuk melihat semua pengguna di halaman Users Konsol. Anda harus memberikan izin `listuser` (AliyunRAMReadOnlyAccess) kepada pengguna RAM agar pengguna tersebut dapat melihat informasi pengguna di halaman Users Konsol.
AliyunHologresWarehouseFullAccess	Izin untuk mengelola kelompok komputasi Hologres. Catatan Kebijakan akses ini tidak mencakup izin untuk menggunakan instans. Superuser harus membuat pengguna dalam instans sebelum pengguna tersebut dapat login dan menggunakan instans Hologres. Untuk informasi selengkapnya, lihat FAQ about RAM user permissions related to instance usage. Setelah izin ini diberikan, pengguna RAM memiliki izin berikut: Mengelola kelompok komputasi, termasuk membuat, menghapus, menambah kapasitas (scaling out), mengurangi kapasitas (scaling in), menghentikan, dan melanjutkan kelompok komputasi. Mengonfigurasi fitur penjadwalan penskalaan. Login dan menggunakan HoloWeb.
AliyunBSSOrderAccess	Izin untuk melihat, membayar, dan membatalkan pesanan di User Center (BSS). Setelah izin ini diberikan, pengguna RAM dapat melakukan peningkatan dan penurunan konfigurasi instans serta memperpanjang instans di Konsol.
AliyunRAMReadOnlyAccess	Izin baca-saja pada Resource Access Management (RAM). Setelah izin ini diberikan, pengguna RAM dapat melihat semua pengguna RAM dan Peran RAM di bawah Akun Alibaba Cloud saat ini saat menambahkan pengguna di halaman Users HoloWeb.
AliyunHologresReadOnlyAccess	Izin baca-saja pada Hologres. Setelah izin ini diberikan, pengguna RAM memiliki izin berikut: Menampilkan semua informasi instans di Konsol, termasuk daftar instans dan detail instans. Login dan menggunakan HoloWeb. Tidak memiliki izin untuk menjalankan operasi terkait penagihan, seperti membeli, meningkatkan, atau menurunkan spesifikasi instans. Tidak memiliki izin untuk mengelola instans. Akun Alibaba Cloud harus memberikan izin tingkat instans kepada pengguna RAM. Pengguna RAM tidak dapat melihat semua pengguna RAM di bawah Akun Alibaba Cloud saat ini di halaman Manajemen Pengguna Konsol atau HoloWeb. Untuk melihat pengguna RAM tersebut, Anda harus memberikan izin `AliyunRAMReadOnlyAccess`.

Catatan

Untuk instans yang dibeli oleh pengguna RAM, baik Akun Alibaba Cloud maupun pengguna RAM tersebut secara default menjadi superuser.
Untuk instans yang dibeli oleh Akun Alibaba Cloud, pengguna RAM hanya dapat menggunakan instans tersebut setelah diberikan izin oleh Akun Alibaba Cloud.

Kebijakan kustom: Kebijakan ini dikelola oleh Anda. Anda dapat membuat, memperbarui, menghapus, dan mengelola versi kebijakan. Untuk informasi selengkapnya, lihat Create a custom policy.

Penting

Saat mengonfigurasi kebijakan akses untuk pengguna, pastikan untuk menyertakan kebijakan AliyunRAMReadOnlyAccess agar pengguna dapat mengakses Konsol.

Anda dapat membuat kebijakan kustom dalam mode skrip.

Izin kustom berikut didukung oleh Hologres:

Penting

Saat menggunakan kode, Anda harus menghapus komentar. Jika tidak, kode tersebut tidak dapat digunakan.

{
    "Statement": [
        {  // Berikan semua izin sekaligus. Jika Anda mengonfigurasi pernyataan ini, Anda tidak perlu mengonfigurasi izin lain di bawah ini.
            "Effect": "Allow",
            "Action": "hologram:*",// Semua operasi diizinkan.
            "Resource": "acs:hologram:*:<AccountID>:instance/*"// Untuk semua instans di semua wilayah. Tanda bintang (*) tidak boleh diganti dengan ID instans.
        },
        {   // Berikan izin pengguna RAM untuk menjalankan semua operasi (hologram:*) pada semua instans Hologres (instance/*) milik Akun Alibaba Cloud (<AccountID>) di wilayah tertentu (cn-<region>).
            "Effect": "Allow",
            "Action": "hologram:*",
            "Resource": "acs:hologram:cn-<region>:<AccountID>:instance/*"
        },
        {   // Menghapus instans.
            "Effect": "Allow",
            "Action": "hologram:DeleteInstance",
            "Resource": "acs:hologram:cn-<region>:<AccountID>:instance/*"// Ini harus dikonfigurasi untuk menghapus instans. Jika tidak dikonfigurasi, Anda tidak dapat menghapus instans, tetapi pesan sukses tetap ditampilkan.
        },
        {   // Izin pembelian untuk pengguna RAM. Pengguna RAM hanya dapat membeli instans setelah izin ini dikonfigurasi.
            "Effect": "Allow",
            "Action": "bss:PayOrder",
            "Resource": "acs:hologram:cn-<region>:<AccountID>:instance/*"// Pengujian gagal.
        },
        {   // Menampilkan detail instans.
            "Effect": "Allow",
            "Action": "hologram:GetInstance",
            "Resource": "acs:hologram:cn-<region>:<AccountID>:instance/*" // Tanda bintang (*) dapat diganti dengan ID instans.
        },
        { // Menampilkan daftar instans.
            "Effect": "Allow",
            "Action": "hologram:ListInstances",
            "Resource": "acs:hologram:cn-<region>:<AccountID>:instance/*"// Tanda bintang (*) tidak boleh diganti dengan ID instans.
        },
        {  // Menjeda instans.
            "Effect": "Allow",
            "Action": "hologram:StopInstance",
            "Resource": "acs:hologram:cn-<region>:<AccountID>:instance/*"
        },
        {  // Melanjutkan instans.
            "Effect": "Allow",
            "Action": "hologram:ResumeInstance",
            "Resource": "acs:hologram:cn-<region>:<AccountID>:instance/*"
        },
        {  // Mengubah jenis jaringan.
            "Effect": "Allow",
            "Action": "hologram:UpdateInstanceNetworkType",
            "Resource": "acs:hologram:cn-<region>:<AccountID>:instance/*"
        }.
        {  // Mengakses HoloWeb.
            "Effect": "Allow",
            "Action": "hologram:HoloWebAccess",
            "Resource": "*"
        }      
    ],
    "Version": "1"
}

Tabel berikut menjelaskan parameter tersebut.

Parameter	Description
<region>	Wilayah, seperti beijing.
<AccountID>	ID Akun Alibaba Cloud.
*	Menunjukkan semua instans dalam Akun Alibaba Cloud. Anda juga dapat mengganti tanda bintang (*) dengan ID instans tertentu.

Berikut adalah contoh pernyataan.

acs:hologram:cn-beijing:4322xxxxx:instance/hhhgggxxxx

Penting

Untuk opsi otorisasi berikut, tanda bintang (*) dalam instance/* tidak boleh diganti dengan ID instans tertentu. Nilainya harus diatur sebagai *:

{
    "Statement": [
        {  // Berikan semua izin sekaligus. Jika Anda mengonfigurasi pernyataan ini, Anda tidak perlu mengonfigurasi izin lain di bawah ini.
            "Effect": "Allow",
            "Action": "hologram:*",// Semua operasi diizinkan.
            "Resource": "acs:hologram:*:<AccountID>:instance/*"// Untuk semua instans di semua wilayah.
        },
        {   // Berikan izin pengguna RAM untuk menjalankan semua operasi (hologram:*) pada semua instans Hologres (instance/*) milik Akun Alibaba Cloud (<AccountID>) di wilayah tertentu (cn-<region>).
            "Effect": "Allow",
            "Action": "hologram:*",
            "Resource": "acs:hologram:cn-<region>:<AccountID>:instance/*"
        },
        {   // Menghapus instans.
            "Effect": "Allow",
            "Action": "hologram:DeleteInstance",
            "Resource": "acs:hologram:cn-<region>:<AccountID>:instance/*"
        },
        {   // Izin pembelian untuk pengguna RAM. Pernyataan ini harus ditambahkan jika pengguna perlu membeli instans.
            "Effect": "Allow",
            "Action": "bss:PayOrder",
            "Resource": "acs:hologram:cn-<region>:<AccountID>:instance/*"
        },
        { // Menampilkan daftar instans.
            "Effect": "Allow",
            "Action": "hologram:ListInstances",
            "Resource": "acs:hologram:cn-<region>:<AccountID>:instance/*"
        },
        {  // Menjeda instans.
            "Effect": "Allow",
            "Action": "hologram:StopInstance",
            "Resource": "acs:hologram:cn-<region>:<AccountID>:instance/*"
        },
        {  // Melanjutkan instans.
            "Effect": "Allow",
            "Action": "hologram:ResumeInstance",
            "Resource": "acs:hologram:cn-<region>:<AccountID>:instance/*"
        },
        {  // Menampilkan peringatan pemantauan instans.
            "Effect": "Allow",
            "Action": "cms:DescribeMetricList", "cms:QueryMetricList"
            "Resource": "acs:hologram:cn-<region>:<AccountID>:instance/*"
        },
        {  // Mengubah jenis jaringan.
            "Effect": "Allow",
            "Action": "hologram:UpdateInstanceNetworkType",
            "Resource": "acs:hologram:cn-<region>:<AccountID>:instance/*"
        }
    ],
    "Version": "1"
}

Klik Confirm Authorization Policy lalu klik Disable.

FAQ tentang izin pengguna RAM terkait Konsol

Konsol Hologres mengintegrasikan autentikasi RAM dan beberapa izin pengembangan untuk instans. Berikut adalah pertanyaan umum mengenai izin terkait Konsol Hologres:

Pengguna RAM tidak dapat melihat daftar instans atau ID instans.
- Gejala
  
  Pengguna RAM memilih wilayah yang benar tetapi tidak dapat melihat instans yang telah dibeli. Pesan kesalahan berikut ditampilkan: You are not authorized to view all instances. Contact your Alibaba Cloud account to go to the RAM console and grant the hologram:ListInstances permission on the "xxx/*" resource to the current user.
- Penyebab
  
  Pengguna RAM saat ini tidak memiliki izin untuk melihat daftar instans.
- Solusi
  
  Login ke RAM console menggunakan Akun Alibaba Cloud Anda dan berikan izin AliyunHologresReadOnlyAccess kepada pengguna RAM untuk menampilkan daftar instans.
Pengguna RAM tidak memiliki izin untuk mengelola instans.
- Gejala
  
  Pengguna RAM yang diberikan izin superuser tidak dapat membeli, meningkatkan, atau menurunkan spesifikasi instans, atau mengubah metode penagihan instans dari Pay-as-you-go ke subscription. Pesan kesalahan berikut ditampilkan: RAM user authentication failed.
- Penyebab
  
  Operasi seperti pembelian, peningkatan, penurunan, dan perubahan metode penagihan melibatkan tagihan dan dikontrol oleh Akun Alibaba Cloud. Pengguna RAM saat ini tidak memiliki izin yang diperlukan.
- Solusi
  
  Login ke RAM console menggunakan Akun Alibaba Cloud Anda dan berikan izin AliyunHologresFullAccess dan AliyunBSSOrderAccess, yang terkait dengan biaya instans, kepada pengguna RAM.

FAQ tentang izin pengguna RAM terkait penggunaan instans

Tidak dapat login dan menggunakan instans Hologres.
- Gejala
  
  Kesalahan berikut dilaporkan: role "<role_name>" does not exist.
- Penyebab
  
  Setelah Anda membuat instans Hologres, hanya Akun Alibaba Cloud dan pengguna RAM yang membeli instans tersebut yang secara default dibuat sebagai superuser instans tersebut. Pengguna RAM lainnya harus dibuat sebagai pengguna instans oleh superuser sebelum mereka dapat login dan menggunakan instans Hologres.
- Solusi
  
  Catatan
  Anda dapat menjalankan perintah select * from pg_user; untuk melihat superuser instans saat ini.
  - Di halaman Users HoloWeb, Anda dapat menambahkan pengguna dan memberikan izin kepada pengguna tersebut. Untuk informasi selengkapnya, lihat User management.
  - Anda dapat login ke instans dan menjalankan pernyataan create user "<role_name>". Untuk informasi selengkapnya, lihat Hologres permission model.
Tidak dapat melihat halaman Manajemen Pengguna dan Manajemen DB.
- Gejala
  
  Pengguna RAM login ke Konsol tetapi tidak dapat melihat konten apa pun di halaman Users dan DB Management. Kesalahan berikut ditampilkan: You are not authorized. Contact a superuser to add the current account to the instance.
- Penyebab
  
  Pengguna RAM saat ini tidak memiliki izin pengembangan pada instans tersebut. Anda harus memberikan izin pengembangan spesifik untuk menampilkan informasi yang relevan.
- Solusi
  
  Gunakan Akun Alibaba Cloud Anda atau pengguna RAM dengan izin superuser untuk memberikan izin pengembangan pada instans tersebut kepada pengguna RAM ini. Untuk informasi selengkapnya, lihat Grant a RAM user development permissions on an instance.
Superuser terhapus secara tidak sengaja
- Gejala
  
  Semua superuser suatu instans secara tidak sengaja diubah menjadi pengguna biasa.
  
  Catatan
  Jika semua superuser suatu instans secara tidak sengaja diubah menjadi pengguna biasa, Anda tidak dapat menjalankan sebagian besar operasi, termasuk manajemen pengguna dan operasi terkait instans.
- Solusi
  
  Anda dapat bergabung dengan grup DingTalk resmi Hologres untuk menghubungi dukungan teknis. Untuk informasi selengkapnya, lihat Online support.