Resource Access Management (RAM) adalah layanan dari Alibaba Cloud untuk mengelola identitas pengguna dan izin akses sumber daya. Security Token Service (STS) memungkinkan Anda mengelola kredensial sementara untuk sumber daya Apsara Stack. RAM memungkinkan Anda membuat dan mengelola identitas berikut untuk akun Alibaba Cloud: pengguna RAM dan peran RAM. Peran RAM tidak memiliki kredensial identitas permanen dan hanya dapat digunakan untuk mengakses sumber daya Apsara Stack melalui token STS. Saat token STS diterbitkan, Anda dapat menentukan periode validitas dan izin aksesnya.
Untuk informasi lebih lanjut tentang fitur dan manfaat RAM dan STS, lihat Apa itu RAM? dan Apa itu STS?.
Latar Belakang
RAM dan STS memungkinkan Anda memberikan izin tanpa mengekspos pasangan AccessKey dari akun Alibaba Cloud Anda. Kebocoran pasangan AccessKey menimbulkan risiko keamanan yang tinggi karena pihak yang mendapatkannya dapat mengelola semua sumber daya akun tersebut dan mencuri informasi penting.
RAM adalah layanan kontrol akses yang digunakan untuk mengelola izin jangka panjang. Pemilik akun Alibaba Cloud dapat membuat beberapa pengguna RAM dan memberikan izin berbeda kepada mereka. Pasangan AccessKey pengguna RAM harus dijaga kerahasiaannya. Namun, jika terjadi kebocoran, hanya informasi terbatas yang mungkin terpapar. Pengguna RAM berlaku untuk jangka waktu yang lama.
STS memungkinkan Anda memberikan izin sementara. Anda dapat menggunakan STS untuk mendapatkan pasangan AccessKey sementara dan token. Pasangan AccessKey sementara dan token ini dapat dikirim ke pengguna sementara untuk mengakses sumber daya tertentu. Izin yang diperoleh dengan menggunakan STS dibatasi secara ketat dan memiliki periode validitas, sehingga meminimalkan dampak dari kebocoran informasi.
Untuk informasi lebih lanjut tentang cara menggunakan RAM dan STS, lihat Contoh.
Istilah
Sebelum menggunakan RAM dan STS, kami sarankan Anda memahami istilah terkait. Untuk informasi lebih lanjut, lihat Istilah untuk kontrol akses.
Hubungan antara pengguna RAM dan peran RAM mirip dengan hubungan antara individu dan identitas mereka. Seorang individu dapat memiliki beberapa identitas spesifik untuk skenario yang berbeda. Misalnya, seseorang adalah seorang karyawan saat bekerja tetapi seorang ayah di rumah. Ketika seorang individu mengasumsikan suatu identitas, individu tersebut memiliki izin dari identitas tersebut. Peran RAM bukanlah entitas nyata melainkan sebuah identitas. Peran RAM saja tidak dapat melakukan operasi; Anda harus menetapkan peran RAM kepada pengguna untuk menjalankan izin peran RAM tersebut. Peran RAM dapat ditetapkan kepada beberapa pengguna.
Contoh
Untuk mencegah risiko keamanan akibat kebocoran pasangan AccessKey dari akun Alibaba Cloud, administrator akun Alibaba Cloud membuat dua pengguna RAM: Pengguna A dan Pengguna B. Pasangan AccessKey independen dihasilkan untuk setiap pengguna RAM. Pengguna A memiliki izin baca, sedangkan Pengguna B memiliki izin tulis. Administrator dapat mencabut izin dari pengguna RAM kapan saja di konsol RAM.
Untuk memenuhi persyaratan bisnis, Anda ingin memberikan pengguna izin sementara untuk mengakses API IoT Platform. Dalam hal ini, alih-alih mengungkapkan pasangan AccessKey Pengguna A, kami sarankan Anda membuat peran RAM, Peran C, dan memberikan Peran C izin untuk mengakses API IoT Platform. Perlu dicatat bahwa Peran C tidak dapat digunakan langsung karena tidak memiliki pasangan AccessKey. Peran C hanyalah entitas virtual yang memiliki izin untuk mengakses API IoT Platform.
Anda harus memanggil operasi AssumeRole dari STS untuk mendapatkan kredensial identitas sementara yang diperlukan untuk mengakses API IoT Platform. Saat memanggil operasi AssumeRole, Anda harus menyetel parameter RoleArn ke Alibaba Cloud Resource Name (ARN) dari Peran C. Jika pemanggilan berhasil, STS mengembalikan ID AccessKey sementara, rahasia AccessKey, dan token sebagai kredensial identitas sementara. Periode validitas kredensial ini dapat ditentukan saat Anda memanggil operasi AssumeRole. Setelah Anda menyerahkan kredensial ini kepada pengguna, pengguna tersebut dapat memperoleh izin sementara untuk mengakses API IoT Platform.
Mengapa penggunaan RAM dan STS begitu rumit?
Istilah dan penggunaan RAM dan STS sedikit rumit, tetapi keamanan akun dan kontrol akses yang fleksibel dijamin.
RAM memungkinkan Anda membuat pengguna RAM dan peran RAM untuk memisahkan entitas yang melakukan operasi dari entitas virtual yang mendefinisikan satu set izin. Pengguna yang memerlukan beberapa izin, seperti izin baca dan tulis, mungkin hanya menggunakan satu izin pada satu waktu. Dalam hal ini, Anda dapat membuat dua peran RAM dan memberikan satu peran izin baca serta peran lainnya izin tulis. Kemudian, Anda dapat membuat pengguna RAM dan menetapkan kedua peran tersebut kepada pengguna RAM. Saat pengguna RAM membutuhkan izin baca, pengguna RAM tersebut mengasumsikan peran RAM yang memiliki izin baca. Saat pengguna RAM membutuhkan izin tulis, pengguna RAM tersebut mengasumsikan peran RAM yang memiliki izin tulis. Ini mengurangi risiko izin berlebihan. Selain itu, Anda dapat menetapkan peran RAM kepada akun Alibaba Cloud lainnya dan pengguna RAM untuk memfasilitasi kolaborasi.
Anda dapat menggunakan STS untuk menerapkan kontrol akses dengan cara yang lebih fleksibel. Misalnya, Anda dapat mengonfigurasi periode validitas untuk kredensial. Jika kredensial jangka panjang diperlukan, Anda dapat menggunakan pengguna RAM saja.
Topik berikut memberikan panduan dan contoh tentang cara menggunakan RAM dan STS. Untuk informasi tentang kode RAM dan STS, lihat API RAM dan API STS.