Topik ini menjelaskan cara membuat pengguna Resource Access Management (RAM). Untuk mencegah masalah keamanan data dalam proyek Anda, buat pengguna RAM dan tetapkan kepada pengguna lain. Hal ini memungkinkan Anda menggunakan RAM untuk mengontrol izin pengguna yang berpartisipasi dalam proyek MaxCompute secara ketat.
Pengenalan pengguna RAM
Resource Access Management (RAM) adalah layanan Alibaba Cloud yang memungkinkan Anda mengelola identitas pengguna dan izin akses sumber daya secara terpusat. Dengan RAM, Anda dapat membuat dan mengelola berbagai identitas serta memberikan izin detail halus kepada mereka, sehingga menjamin akses aman ke sumber daya cloud Anda.
Pengguna RAM termasuk dalam Akun Alibaba Cloud. Mereka tidak memiliki sumber daya sendiri dan tidak memiliki mekanisme penagihan independen.
Biaya yang timbul dari operasi pengguna RAM pada layanan Alibaba Cloud akan ditagihkan ke Akun Alibaba Cloud tempat pengguna RAM tersebut terdaftar.
Prosedur
Anda memiliki Akun Alibaba Cloud.
Buat pengguna RAM menggunakan layanan RAM.
Buat AccessKey untuk pengguna RAM. AccessKey diperlukan untuk menjalankan pekerjaan yang diajukan oleh pengguna RAM.
(Opsional) Langkah 3: Berikan izin kepada pengguna RAM
Agar pengguna RAM dapat menggunakan DataWorks untuk membuat proyek secara visual, Akun Alibaba Cloud harus memberikan izin AliyunDataWorksFullAccess kepada pengguna RAM.
Agar pengguna RAM dapat mengelola proyek dan kuota di Konsol MaxCompute yang baru, Akun Alibaba Cloud harus memberikan izin AliyunMaxComputeFullAccess atau kebijakan RAM kustom kepada pengguna RAM. Untuk informasi selengkapnya, lihat Izin RAM.
Langkah 4: Serahkan akun pengguna RAM kepada pengguna lain
Berikan informasi akun dan AccessKey pengguna RAM yang baru dibuat kepada pengguna yang dituju.
Langkah 1: Buat pengguna RAM
-
Login ke Konsol RAM.
-
Di bilah navigasi kiri, pilih .
-
Di halaman Users, klik Create User.
-
Di halaman Create User, konfigurasikan informasi pengguna.
-
Di bagian User Account Information, konfigurasikan pengaturan berikut:
-
Logon Name: The name must be 1 to 128 characters in length and can contain letters, numbers, periods (.), underscores (_), and hyphens (-).
-
Display name: Maksimal 128 karakter.
-
Tag: Tambahkan tag ke pengguna RAM untuk memudahkan manajemen pengguna berbasis tag selanjutnya.
-
Add User: Opsional. Klik Add User untuk membuat beberapa pengguna RAM sekaligus.
-
-
Di bagian Access Mode, konfigurasikan pengaturan berikut:
-
Console Access: Atur kata sandi login konsol, kebijakan reset kata sandi, dan kebijakan autentikasi multi-faktor (MFA).
-
Access with a permanent AccessKey: AccessKey akan dibuat secara otomatis untuk pengguna RAM agar dapat mengakses Alibaba Cloud melalui API atau alat pengembangan lainnya.
-
-
Klik OK untuk menyelesaikan pembuatan.
-
Di halaman User Information, klik Download CSV File atau klik Copy di kolom Actions untuk menyimpan nama login dan kata sandi login pengguna RAM.
Langkah 2: Buat AccessKey
Jika Akun Alibaba Cloud induk dikonfigurasi untuk mengizinkan pengguna RAM mengelola AccessKey mereka sendiri, pengguna RAM dapat membuat AccessKey. Pengguna RAM dapat memiliki maksimal dua AccessKey. Langkah-langkah berikut menjelaskan prosedurnya.
-
Login ke Konsol RAM.
-
Di bilah navigasi kiri, pilih .
-
Pada halaman Users, klik target User Logon Name/Display Name untuk membuka halaman detail pengguna.
-
Di halaman detail pengguna, klik tab Authentication.
-
Pada tab Authentication, di bagian Access Key, klik Create AccessKey.
-
Di kotak dialog Confirm that the current accessKey creation is for rotation purposes, tinjau skenario penggunaan dan rekomendasi untuk memilih solusi kredensial yang lebih sesuai. Setelah Anda memilih skenario penggunaan yang sesuai, pilih kotak centang I confirm that it is necessary to create an AccessKey, lalu klik Create More.
Lakukan verifikasi keamanan seperti diminta dan simpan ID AccessKey dan Rahasia AccessKey.
Untuk informasi selengkapnya tentang cara mengelola AccessKey Anda sendiri, lihat Kelola pengaturan keamanan pengguna RAM.
(Opsional) Langkah 3: Berikan izin kepada pengguna RAM
-
Di bilah navigasi kiri, pilih .
-
Di halaman Users, klik Add Permissions di kolom Actions untuk User Logon Name/Display Name.
-
Di panel Grant Permission, pilih kebijakan yang akan diberikan kepada pengguna, lalu klik OK.
Anda juga dapat memilih beberapa Pengguna RAM dan mengeklik Add Permissions di bawah daftar pengguna untuk memberikan izin kepada mereka secara batch.
Resource Scope
Agar otorisasi kelompok sumber daya berlaku, layanan cloud dan jenis sumber daya harus mendukung kelompok sumber daya. Untuk informasi selengkapnya, lihat Layanan cloud yang mendukung kelompok sumber daya. Untuk contoh otorisasi kelompok sumber daya, lihat Gunakan kelompok sumber daya untuk membatasi pengguna RAM dalam mengelola instance ECS tertentu.
Account: Izin berlaku di dalam akun Alibaba Cloud saat ini.
Resource Group: Izin berlaku dalam kelompok sumber daya yang ditentukan.
Principal: Pihak yang berwenang adalah pengguna RAM yang akan Anda beri izin. Sistem secara otomatis memilih pengguna RAM saat ini.
Policies: Kebijakan adalah kumpulan izin akses dan dikategorikan ke dalam dua jenis berikut. Anda dapat memilih beberapa kebijakan.
Sistem secara otomatis mengidentifikasi kebijakan sistem berisiko tinggi, seperti AdministratorAccess dan AliyunRAMFullAccess. Saat memberikan izin, hindari memberikan kebijakan berisiko tinggi yang tidak diperlukan.
Kebijakan sistem: Kebijakan yang dibuat dan dikelola oleh Alibaba Cloud. Anda dapat menggunakan kebijakan sistem tetapi tidak dapat mengubahnya. Untuk informasi selengkapnya, lihat Layanan cloud yang mendukung RAM.
Kebijakan kustom: Kebijakan yang Anda kelola sendiri. Anda dapat membuat, memperbarui, dan menghapus kebijakan kustom. Untuk informasi selengkapnya, lihat Buat kebijakan kustom.
-
Dalam daftar nama kebijakan, pilih kebijakan yang diperlukan dan tambahkan ke daftar yang dipilih.
Jika pengguna RAM perlu mengaktifkan layanan MaxCompute nanti, Akun Alibaba Cloud harus memberikan izin AliyunBSSOrderAccess kepada pengguna RAM.
-
AliyunDataWorksFullAccess: Kebijakan ini diperlukan jika pengguna RAM perlu mengaktifkan MaxCompute atau menambah dan menghapus proyek di konsol lama.
-
AliyunMaxComputeFullAccess: Kebijakan ini, atau kebijakan kustom, dapat diberikan jika pengguna RAM perlu mengelola proyek dan melakukan manajemen kuota di Konsol MaxCompute yang baru. Untuk informasi tentang izin RAM yang didukung oleh konsol baru, lihat Izin RAM.
Langkah 4: Serahkan akun pengguna RAM kepada pengguna lain
Saat menyerahkan akun pengguna RAM kepada pengguna lain, berikan informasi berikut:
Informasi akun pengguna RAM, yang mencakup:
Metode login dan tautan login untuk pengguna RAM.
Pengguna RAM dapat login ke Konsol Manajemen Alibaba Cloud dengan memasukkan informasi akun mereka di URL login umum atau di alamat login khusus. Untuk informasi selengkapnya, lihat Login ke Konsol Manajemen Alibaba Cloud sebagai pengguna RAM.
-
Nama domain Akun Alibaba Cloud tempat pengguna RAM terdaftar.
Masuk ke konsol RAM. Di bilah navigasi kiri, klik Overview dan dapatkan Default Domain dari bagian Basic Information.
Langkah selanjutnya
Setelah membuat pengguna RAM, Anda dapat mengaktifkan layanan MaxCompute. Untuk informasi selengkapnya, lihat Aktifkan MaxCompute dan DataWorks.