Sebelum mengakses Image Search sebagai pengguna RAM, Anda harus memberikan izin kepada pengguna tersebut. Topik ini menjelaskan cara memberikan izin kepada pengguna RAM untuk mengakses Image Search.
Informasi latar belakang
Resource Access Management (RAM) adalah layanan identitas dan kontrol akses yang disediakan oleh Alibaba Cloud. RAM memungkinkan Anda membuat dan mengelola pengguna RAM seperti individu, sistem, dan aplikasi. Anda dapat mengelola izin pengguna RAM untuk mengontrol akses ke sumber daya Alibaba Cloud. Jika beberapa pengguna di perusahaan Anda perlu mengakses sumber daya yang sama, Anda dapat menggunakan RAM untuk memberikan izin minimum kepada pengguna-pengguna tersebut. Ini menghilangkan kebutuhan untuk berbagi pasangan AccessKey dari akun Alibaba Cloud Anda dengan pengguna-pengguna tersebut dan mengurangi risiko keamanan.
Ikhtisar
Sebelum mengakses Image Search sebagai pengguna RAM, Anda harus memberikan izin kepada pengguna tersebut. Anda dapat memberikan izin dengan menggunakan kebijakan berikut:
Kebijakan Umum
Kebijakan Kustom
Kami merekomendasikan agar Anda melampirkan kebijakan umum kepada pengguna RAM untuk menghindari konfigurasi yang kompleks. Jika kebijakan umum tidak dapat memenuhi kebutuhan bisnis Anda, Anda dapat membuat kebijakan kustom.
Wilayah yang mendukung otorisasi pengguna RAM
Tabel berikut mencantumkan wilayah di mana Anda dapat memberikan izin kepada pengguna RAM dari Image Search.
Wilayah | RegionId |
Cina (Shanghai) | cn-shanghai |
Singapura (Singapura) | ap-southeast-1 |
Cina (Hong Kong) | cn-hongkong |
Jepang (Tokyo) | ap-northeast-1 |
Jerman (Frankfurt) | eu-central-1 |
Kebijakan umum
Image Search menyediakan dua jenis kebijakan umum berikut. Anda dapat memilih kebijakan umum berdasarkan kebutuhan bisnis Anda.
AliyunImagesearchReadOnlyAccess: Izin baca-saja untuk mengakses Image Search. Izin ini dapat diberikan kepada pengguna baca-saja.
AliyunImagesearchFullAccess: Izin untuk mengelola Image Search. Izin ini dapat diberikan kepada administrator.
Prosedurnya adalah sebagai berikut:
Masuk ke Konsol RAM sebagai administrator RAM.
Di panel navigasi sebelah kiri, pilih .
Di halaman Permission, klik Grant Permission.
Di panel Grant Permission, berikan izin kepada pengguna RAM.
Konfigurasikan parameter Ruang Lingkup Sumber Daya.
Account: Otorisasi berlaku pada akun Alibaba Cloud saat ini.
Resource Group: Otorisasi berlaku pada grup sumber daya tertentu.
PentingJika Anda memilih Grup Sumber Daya untuk parameter Ruang Lingkup Sumber Daya, pastikan bahwa layanan cloud yang diperlukan mendukung grup sumber daya. Untuk informasi lebih lanjut, lihat Layanan yang Bekerja dengan Grup Sumber Daya. Untuk informasi lebih lanjut tentang cara memberikan izin pada grup sumber daya, lihat Gunakan Grup Sumber Daya untuk Memberikan Izin kepada Pengguna RAM guna Mengelola Instance ECS Tertentu.
Konfigurasikan parameter Principal.
Principal adalah pengguna RAM yang ingin Anda berikan izin. Anda dapat memilih beberapa pengguna RAM sekaligus.
Konfigurasikan parameter Kebijakan.
Kebijakan berisi satu set izin. Kebijakan dapat diklasifikasikan menjadi kebijakan sistem dan kebijakan kustom. Anda dapat memilih beberapa kebijakan sekaligus.
Kebijakan Sistem: Kebijakan yang dibuat oleh Alibaba Cloud. Anda dapat menggunakan tetapi tidak dapat memodifikasi kebijakan ini. Pembaruan versi kebijakan dipertahankan oleh Alibaba Cloud. Untuk informasi lebih lanjut, lihat Layanan yang Bekerja dengan RAM.
CatatanSistem secara otomatis mengidentifikasi kebijakan sistem berisiko tinggi, seperti AdministratorAccess dan AliyunRAMFullAccess. Kami merekomendasikan agar Anda tidak memberikan izin yang tidak perlu dengan melampirkan kebijakan berisiko tinggi.
Kebijakan Kustom: Anda dapat mengelola dan memperbarui kebijakan kustom berdasarkan persyaratan bisnis Anda. Anda dapat membuat, memperbarui, dan menghapus kebijakan kustom. Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom.
Klik Grant permissions.
Klik Close.
Kebijakan kustom
Image Search hanya mendukung instance sebagai tipe sumber daya. Anda harus menentukan sumber daya dalam kebijakan dengan cara berikut:
Tipe Sumber Daya: Instance
Format Penentuan Sumber Daya dalam Kebijakan Otorisasi:
acs:imagesearch:$regionid:$accountid:instance/$instance$regionid: ID wilayah tempat Image Search berada. Jika opsi ini tidak diperlukan, Anda dapat menggunakan asterisk (*) sebagai karakter wildcard.$accountid: ID akun Alibaba Cloud, seperti123456789012****. Jika ID tidak diperlukan atau tersedia, Anda dapat menggunakan asterisk (*) sebagai gantinya.$instance: Nama instance, seperti demo123. Jika nama instance tidak diperlukan atau tersedia, Anda dapat menggunakan asterisk (*) sebagai gantinya.
Tabel 1. Izin Tindakan pada Sumber Daya yang Berbeda
Sumber Daya | Tindakan |
instance/* | Izin tindakan berikut dijelaskan:
|
instance/$instance | Izin tindakan berikut dijelaskan:
|
Prosedurnya adalah sebagai berikut:
Masuk ke Konsol RAM sebagai pengguna RAM yang memiliki hak administratif.
Di panel navigasi sebelah kiri, pilih .
Di halaman Policies, klik Create Policy.
Di halaman Create Policy, klik tab JSON.
Masukkan konten kebijakan.
Untuk informasi lebih lanjut tentang sintaks dan struktur kebijakan RAM, lihat Struktur dan Sintaks Kebijakan.
Klik Optimize di bagian atas. Di pesan Optimalkan, klik Perform untuk mengoptimalkan kebijakan.
Sistem melakukan operasi berikut selama optimasi lanjutan:
Membagi sumber daya atau kondisi yang tidak kompatibel dengan tindakan.
Mempersempit sumber daya.
Menghapus duplikat atau menggabungkan pernyataan kebijakan.
Di halaman Create Policy, klik OK.
Di kotak dialog Create Policy, konfigurasikan parameter Name dan Description dan klik OK.
Contoh kebijakan kustom
Contoh 1
Dalam contoh ini, kebijakan harus memenuhi persyaratan berikut:
ID akun Alibaba Cloud adalah 1234.
Wilayahnya adalah Cina (Shanghai).
Semua instance dapat diakses.
Semua izin kecuali izin untuk membersihkan dan menghapus instance akan diberikan di konsol Image Search.
Alamat IP tertentu dapat terhubung ke pengguna RAM.
Konten kebijakan berikut disediakan:
{ "Statement": [ { "Action": [ "imagesearch:ListInstance", "imagesearch:DescribeInstance", "imagesearch:IncreaseInstance", "imagesearch:InitInstance", "imagesearch:ListIncrement" ], "Condition": { "IpAddress": { "acs:SourceIp": "xxx.xx.xxx.x/xx" } }, "Effect": "Allow", "Resource": "acs:imagesearch:cn-shanghai:1234:instance/*" } ], "Version": "1" }Contoh 2
Dalam contoh ini, kebijakan harus memenuhi persyaratan berikut:
ID akun Alibaba Cloud adalah 1234.
Semua wilayah didukung.
Semua instance dapat diakses.
Semua izin untuk melakukan operasi di konsol atau memanggil semua operasi API akan diberikan.
Konten kebijakan berikut disediakan:
{ "Statement": [ { "Action": [ "imagesearch:*" ], "Effect": "Allow", "Resource": "acs:imagesearch:*:1234:instance/*" } ], "Version": "1" }Contoh 3
Dalam contoh ini, kebijakan harus memenuhi persyaratan berikut:
ID akun Alibaba Cloud adalah 1234.
Semua wilayah didukung.
Nama instance adalah instance12138.
Semua izin untuk melakukan operasi akan diberikan.
Konten kebijakan berikut disediakan:
{ "Statement": [ { "Action": [ "imagesearch:*", ], "Effect": "Allow", "Resource": "acs:imagesearch:*:1234:instance/instance12138" } ], "Version": "1" }