Cara memberikan izin kepada pengguna RAM di konsol - Simple Message Queue (formerly MNS)

Simple Message Queue (formerly MNS) memungkinkan Akun Alibaba Cloud memberikan izin tingkat sumber daya kepada pengguna Resource Access Management (RAM). Praktik ini mencegah risiko keamanan yang dapat timbul akibat terbukanya Pasangan Kunci Akses (AccessKey pair) Akun Alibaba Cloud. Hanya pengguna RAM yang berwenang yang dapat mengelola sumber daya di konsol Simple Message Queue (formerly MNS), serta menerbitkan dan berlangganan pesan menggunakan kit pengembangan perangkat lunak (SDK) atau dengan memanggil operasi API.

Skenario

Perusahaan A membeli layanan Simple Message Queue (formerly MNS). Karyawan Perusahaan A perlu mengelola sumber daya untuk layanan ini, seperti Antrian dan Topik. Karena tanggung jawab pekerjaan karyawan berbeda-beda, mereka memerlukan izin yang berbeda pula.

Pertimbangkan skenario berikut:

Karena alasan keamanan atau kepercayaan, Perusahaan A tidak ingin langsung memberikan Pasangan Kunci Akses Akun Alibaba Cloud-nya kepada karyawan. Sebagai gantinya, Perusahaan A ingin membuat akun pengguna untuk karyawannya.
Akun pengguna hanya dapat mengoperasikan sumber daya setelah mendapatkan otorisasi yang sesuai. Penagihan tidak dihitung secara terpisah untuk akun pengguna. Semua biaya dibebankan ke Akun Alibaba Cloud milik Perusahaan A.
Perusahaan A dapat mencabut izin dari akun pengguna atau menghapus akun pengguna tersebut kapan saja.

Dalam skenario ini, Akun Alibaba Cloud milik Perusahaan A dapat memberikan izin detail halus pada sumber daya yang perlu diakses oleh karyawan.

Metode 1: Memberikan izin kepada pengguna RAM di halaman Pengguna

Masuk ke Konsol RAM sebagai administrator RAM.
Di panel navigasi sebelah kiri, pilih Identities > Users.
Pada halaman Users, temukan pengguna RAM yang diperlukan, lalu klik Add Permissions di kolom Actions.
Anda juga dapat memilih beberapa pengguna RAM sekaligus dan mengklik Add Permissions di bagian bawah halaman untuk memberikan izin kepada pengguna RAM tersebut sekaligus.
Di panel Grant Permission, berikan izin kepada pengguna RAM.
1. Konfigurasikan parameter Resource Scope.
  - Account: Otorisasi berlaku untuk Akun Alibaba Cloud saat ini.
  - ResourceGroup: Otorisasi berlaku untuk kelompok sumber daya tertentu.
    Penting
    Jika Anda memilih Resource Group untuk parameter Resource Scope, pastikan layanan cloud yang diperlukan mendukung kelompok sumber daya. Untuk informasi selengkapnya, lihat Layanan yang bekerja dengan Resource Group. Untuk informasi lebih lanjut tentang cara memberikan izin pada kelompok sumber daya, lihat Gunakan kelompok sumber daya untuk memberikan izin kepada pengguna RAM agar dapat mengelola Instance ECS tertentu.
2. Konfigurasikan parameter Principal.
  Principal adalah pengguna RAM yang akan diberikan izin. Pengguna RAM saat ini dipilih secara otomatis.
3. Konfigurasikan parameter Policy.
  Kebijakan berisi serangkaian izin. Kebijakan dapat diklasifikasikan menjadi kebijakan sistem dan kebijakan kustom. Anda dapat memilih beberapa kebijakan sekaligus.
  - Kebijakan sistem: kebijakan yang dibuat oleh Alibaba Cloud. Anda dapat menggunakan tetapi tidak dapat mengubah kebijakan ini. Pembaruan versi kebijakan dikelola oleh Alibaba Cloud. Untuk informasi selengkapnya, lihat Layanan Alibaba Cloud yang mendukung RAM.
    Catatan
    Sistem secara otomatis mengidentifikasi kebijakan sistem berisiko tinggi, seperti AdministratorAccess dan AliyunRAMFullAccess. Kami menyarankan agar Anda tidak memberikan izin yang tidak perlu dengan menyambungkan kebijakan berisiko tinggi.
  - Kebijakan kustom: Anda dapat mengelola dan memperbarui kebijakan kustom sesuai kebutuhan bisnis Anda. Anda dapat membuat, memperbarui, dan menghapus kebijakan kustom. Untuk informasi selengkapnya, lihat Membuat kebijakan kustom.
4. Klik Grant permissions.
Klik Close.

Metode 2: Memberikan izin kepada pengguna RAM di halaman Grant Permission

Masuk ke Konsol RAM sebagai administrator RAM.
Di panel navigasi sebelah kiri, pilih Permissions > Grants.
Pada halaman Permission, klik Grant Permission.
Di panel Grant Permission, berikan izin kepada pengguna RAM.
1. Konfigurasikan parameter Resource Scope.
  - Account: Otorisasi berlaku untuk Akun Alibaba Cloud saat ini.
  - Resource Group: Otorisasi berlaku untuk kelompok sumber daya tertentu.
    Penting
    Jika Anda memilih Resource Group untuk parameter Resource Scope, pastikan layanan cloud yang diperlukan mendukung kelompok sumber daya. Untuk informasi selengkapnya, lihat Layanan yang bekerja dengan Resource Group. Untuk informasi lebih lanjut tentang cara memberikan izin pada kelompok sumber daya, lihat Gunakan kelompok sumber daya untuk memberikan izin kepada pengguna RAM agar dapat mengelola Instance ECS tertentu.
2. Konfigurasikan parameter Principal.
  Principal adalah pengguna RAM yang akan diberikan izin. Anda dapat memilih beberapa pengguna RAM sekaligus.
3. Pilih kebijakan akses.
  Kebijakan akses adalah kumpulan izin akses. Kebijakan akses diklasifikasikan menjadi tipe-tipe berikut. Anda dapat memilih beberapa kebijakan akses.
  - Kebijakan sistem: kebijakan yang dibuat oleh Alibaba Cloud. Anda dapat menggunakan tetapi tidak dapat mengubah kebijakan ini. Pembaruan versi kebijakan dikelola oleh Alibaba Cloud. Untuk informasi selengkapnya, lihat Layanan Alibaba Cloud yang mendukung RAM.
    Catatan
    Sistem secara otomatis mengidentifikasi kebijakan sistem berisiko tinggi, seperti AdministratorAccess dan AliyunRAMFullAccess. Kami menyarankan agar Anda tidak memberikan izin yang tidak perlu dengan menyambungkan kebijakan berisiko tinggi.
  - Kebijakan kustom: Anda dapat membuat, memperbarui, dan menghapus kebijakan kustom. Anda juga bertanggung jawab untuk mengelola kebijakan ini beserta versinya. Untuk informasi selengkapnya, lihat Referensi kebijakan izin kustom.
4. Klik Grant permissions.
Klik Close.

Langkah selanjutnya

Setelah Anda membuat pengguna RAM, berikan nama log masuk dan kata sandi atau Informasi AccessKey kepada pengguna tersebut. Pengguna kemudian dapat menggunakan kredensial pengguna RAM untuk masuk ke konsol atau memanggil operasi API sebagai berikut:

Masuk ke konsol.
1. Buka halaman RAM User Logon di browser.
2. Pada halaman RAM User Logon, masukkan nama log masuk pengguna RAM, klik Next, masukkan kata sandi pengguna RAM, lalu klik Log On.
  Catatan
  Nama log masuk pengguna RAM memiliki format <$username>@<$AccountAlias> atau <$username>@<$AccountAlias>.onaliyun.com. <$AccountAlias> adalah alias akun. Jika tidak ada alias akun yang ditetapkan, ID Akun Alibaba Cloud digunakan secara default.
3. Di halaman Konsol Manajemen Alibaba Cloud, klik produk yang telah diberi otorisasi untuk mengakses konsolnya.
Panggil operasi API menggunakan Pasangan Kunci Akses pengguna RAM.
Gunakan ID AccessKey dan Rahasia AccessKey pengguna RAM dalam kode Anda.