全部产品
Search

搜索本产品

    IoT Platform:Otorisasi pengguna RAM dari akun lain untuk menggunakan langganan sisi server

    文档中心

    IoT Platform:Otorisasi pengguna RAM dari akun lain untuk menggunakan langganan sisi server

    更新时间:Jul 02, 2025

    Anda dapat menggunakan peran Resource Access Management (RAM) untuk mengotorisasi pengguna RAM dari akun Alibaba Cloud lain agar dapat menggunakan fitur langganan sisi server dari IoT Platform. Sebagai contoh, Perusahaan A menggunakan akun Alibaba Cloud-nya untuk membuat peran RAM, memberikan izin kepada peran tersebut, dan menetapkan peran ini ke akun Alibaba Cloud milik Perusahaan B. Dengan cara ini, akun Alibaba Cloud dan pengguna RAM milik Perusahaan B dapat mengakses sumber daya langganan sisi server milik Perusahaan A.

    Informasi latar belakang

    Security Token Service (STS) memungkinkan Anda mengelola kredensial sementara yang digunakan untuk mengakses sumber daya Alibaba Cloud Anda. RAM memungkinkan Anda membuat dan mengelola identitas berikut untuk akun Alibaba Cloud: pengguna RAM dan peran RAM.

    Peran RAM adalah identitas virtual yang dapat memiliki kebijakan terlampir. Peran RAM tidak memiliki kata sandi logon atau pasangan AccessKey. Peran RAM harus diasumsikan oleh entitas tepercaya, seperti pengguna RAM, layanan Alibaba Cloud, atau penyedia identitas (IdP). Jika entitas tepercaya mengasumsikan peran RAM, entitas tersebut dapat memperoleh dan menggunakan token STS dari peran RAM untuk mengakses sumber daya tempat peran RAM memiliki izin.

    Untuk informasi lebih lanjut tentang fitur dan manfaat STS, lihat Apa itu STS?

    Skenario

    Perusahaan A menggunakan akun Alibaba Cloud-nya untuk mengaktifkan IoT Platform dan ingin mengotorisasi akun Alibaba Cloud milik Perusahaan B untuk mengakses sumber daya langganan sisi server.

    Solusi

    Perusahaan A harus mengotorisasi karyawan Perusahaan B untuk mengakses sumber daya langganan sisi server dari IoT Platform. Dalam topik ini, Akun A menunjukkan akun Alibaba Cloud milik Perusahaan A dan Akun B menunjukkan akun Alibaba Cloud milik Perusahaan B. Untuk mengotorisasi Akun B mengakses sumber daya yang dimiliki Akun A, lakukan langkah-langkah berikut:

    1. Langkah 1: Buat Peran RAM dan Berikan Izin kepada Peran RAM

      Perusahaan A menggunakan Akun A untuk membuat peran RAM, melampirkan kebijakan terkait langganan sisi server ke peran RAM, dan kemudian mengizinkan pengguna RAM yang dimiliki Akun B untuk mengasumsikan peran ini.

    2. Langkah 2: Terima Pesan Langganan Sisi Server AMQP Lintas Akun

      Setelah izin yang diperlukan diberikan kepada peran RAM, pengguna RAM yang dimiliki Akun B mengasumsikan peran RAM milik Akun A untuk mendapatkan izin dari peran tersebut.

    Langkah 1: Buat peran RAM dan berikan izin kepada peran RAM

    1. Buat Peran RAM untuk Akun Alibaba Cloud Tepercaya: Perusahaan A menggunakan Akun A untuk masuk ke Konsol RAM dan membuat peran RAM untuk Akun B milik Perusahaan B.

      Dalam langkah Konfigurasi Peran dari wizard Buat Peran, pilih Other Alibaba Cloud Account untuk parameter Pilih Akun Alibaba Cloud Tepercaya dan masukkan ID Akun B.

    2. Buat Kebijakan Kustom pada Tab JSON: Perusahaan A menggunakan Akun A untuk membuat kebijakan kustom.

      Untuk memberikan izin menggunakan langganan sisi server, atur parameter Action menjadi iot:sub. Kode berikut menunjukkan isi kebijakan:

      {
  "Statement": [
    {
      "Action": "iot:sub",
      "Effect": "Allow",
      "Resource": "*"
    }
  ],
  "Version": "1"
}

    3. Berikan Izin kepada Peran RAM: Perusahaan A menggunakan Akun A untuk melampirkan kebijakan kustom yang dibuat pada langkah sebelumnya ke peran RAM.

    4. Buat Pengguna RAM: Perusahaan B menggunakan Akun B untuk masuk ke Konsol RAM dan membuat pengguna RAM.

    5. Berikan Izin kepada Pengguna RAM: Perusahaan B menggunakan Akun B untuk memberikan izin AliyunSTSAssumeRoleAccess kepada pengguna RAM yang dibuat pada langkah sebelumnya sehingga pengguna RAM milik Akun B dapat mengasumsikan peran RAM milik Akun A.

    Langkah 2: Terima pesan langganan sisi server AMQP lintas akun

    1. Konfigurasikan Langganan Sisi Server AMQP: Perusahaan A menggunakan Akun A untuk masuk ke Konsol IoT Platform dan mengonfigurasi langganan sisi server Advanced Message Queuing Protocol (AMQP).

    2. Konfigurasikan Klien AMQP untuk Menerima Pesan Langganan Sisi Server: Perusahaan B menghubungkan klien AMQP ke IoT Platform sebagai pengguna RAM yang dibuat untuk menerima pesan perangkat milik Perusahaan A dari IoT Platform dengan menggunakan fitur langganan sisi server.