Anda dapat menggunakan Peran RAM untuk mengotorisasi pengguna RAM agar menggunakan fitur langganan sisi server IoT Platform. Topik ini menjelaskan cara menggunakan peran RAM untuk memberikan otorisasi kepada pengguna RAM menerima pesan langganan sisi server dari IoT Platform.
Informasi latar belakang
Security Token Service (STS) memungkinkan Anda mengelola kredensial sementara yang digunakan untuk mengakses sumber daya Alibaba Cloud Anda. Resource Access Management (RAM) memungkinkan Anda membuat dan mengelola identitas berikut untuk akun Alibaba Cloud: pengguna RAM dan peran RAM.
Peran RAM adalah identitas virtual yang dapat memiliki kebijakan terlampir. Peran RAM tidak memiliki kata sandi logon atau pasangan AccessKey. Peran RAM harus diasumsikan oleh entitas tepercaya, seperti pengguna RAM, layanan Alibaba Cloud, atau penyedia identitas (IdP). Jika entitas tepercaya mengasumsikan peran RAM, entitas tersebut dapat memperoleh dan menggunakan token STS dari peran RAM untuk mengakses sumber daya di mana peran RAM memiliki izin.
Untuk informasi lebih lanjut tentang fitur dan manfaat STS, lihat Apa itu STS?
Anda juga dapat langsung mengotorisasi pengguna RAM untuk mengakses sumber daya IoT Platform. Namun, lebih aman menggunakan peran RAM untuk memberikan otorisasi kepada pengguna RAM mengakses sumber daya di mana peran RAM memiliki izin.
Jika Anda menggunakan pengguna RAM, Anda harus melampirkan kebijakan RAM yang berisi tindakan iot:sub ke pengguna RAM. Dengan cara ini, pengguna RAM dapat menggunakan fitur langganan sisi server IoT Platform. Jika tidak, koneksi gagal. Untuk informasi lebih lanjut, lihat Pemetaan antara Operasi API IoT Platform dan Kebijakan RAM.
Langkah 1: Buat peran RAM dan berikan izin kepada peran RAM
Buat Peran RAM untuk Akun Alibaba Cloud Tepercaya: Masuk ke Konsol RAM menggunakan akun Alibaba Cloud Anda dan buat peran RAM untuk akun Alibaba Cloud saat ini.
Pada langkah Konfigurasi Peran dalam wizard Buat Peran, pilih Current Alibaba Cloud Account untuk parameter Pilih Akun Alibaba Cloud Tepercaya.
Buat Kebijakan Kustom pada Tab JSON: Gunakan akun Alibaba Cloud Anda untuk membuat kebijakan kustom.
Untuk memberikan izin menggunakan langganan sisi server, atur parameter Action menjadi
iot:sub. Kode berikut menunjukkan isi kebijakan:{ "Statement": [ { "Action": "iot:sub", "Effect": "Allow", "Resource": "*" } ], "Version": "1" }Berikan Izin kepada Peran RAM: Gunakan akun Alibaba Cloud Anda untuk melampirkan kebijakan kustom yang Anda buat pada langkah sebelumnya ke peran RAM.
Buat Pengguna RAM: Masuk ke Konsol RAM menggunakan akun Alibaba Cloud Anda dan buat pengguna RAM.
Berikan Izin kepada Pengguna RAM: Gunakan akun Alibaba Cloud Anda untuk memberikan izin AliyunSTSAssumeRoleAccess kepada pengguna RAM yang Anda buat pada langkah sebelumnya. Dengan cara ini, pengguna RAM dapat mengasumsikan peran RAM dari akun Alibaba Cloud Anda.
Langkah 2: Terima pesan langganan sisi server AMQP sebagai pengguna RAM
Konfigurasikan Langganan Sisi Server AMQP: Gunakan akun Alibaba Cloud Anda untuk masuk ke Konsol IoT Platform dan konfigurasikan langganan sisi server Advanced Message Queuing Protocol (AMQP).
Konfigurasikan Klien AMQP untuk Menerima Pesan Langganan Sisi Server: Hubungkan klien AMQP ke IoT Platform sebagai pengguna RAM yang Anda buat untuk menerima pesan perangkat dari IoT Platform dengan menggunakan fitur langganan sisi server.