All Products
Search
Document Center

Microservices Engine:Otorisasi pusat registrasi dan konfigurasi

Last Updated:May 15, 2026

Microservices Engine (MSE) memungkinkan Anda memberikan izin operasional MSE kepada Pengguna RAM guna menghindari risiko keamanan akibat terpaparnya AccessKey Akun Alibaba Cloud. Dokumen ini menjelaskan cara membuat Pengguna RAM dan memberikan izin tersebut. Setelah diotorisasi, Pengguna RAM dapat menggunakan MSE.

Kasus penggunaan

Perusahaan Anda menggunakan Microservices Engine (MSE) dan perlu mengelola izin bagi karyawan berdasarkan peran masing-masing. Persyaratannya sebagai berikut:

  • Untuk alasan keamanan, Anda tidak ingin memaparkan AccessKey Akun Alibaba Cloud secara langsung kepada karyawan. Sebagai gantinya, Anda ingin memberikan izin ke akun masing-masing.

  • Pengguna hanya dapat mengakses resource yang telah diberi izin. Semua biaya ditagihkan ke akun perusahaan utama, sehingga akun individu tidak memerlukan penagihan terpisah.

  • Anda dapat mencabut izin dari akun pengguna atau menghapus akun tersebut kapan saja.

  • Sebagai produk terkelola, MSE melibatkan dua peran utama: developer dan personel operasional. Personel operasional bertanggung jawab mengelola kluster, namespace, dan izin, sedangkan developer bertanggung jawab mengelola konfigurasi dan layanan.

Penggunaan

Dokumen ini menjelaskan cara mengonfigurasi dan menggunakan izin akses untuk engine management link yang ditunjukkan pada gambar berikut. Setelah Akun Alibaba Cloud memberikan izin kepada Pengguna RAM, Pengguna RAM tersebut memperoleh izin yang sesuai di Konsol maupun melalui OpenAPI.

幻灯片1.JPG

Catatan

Untuk mengetahui cara mengonfigurasi dan menggunakan otentikasi akses untuk engine direct connection link, yang memungkinkan client Nacos mengakses engine Nacos MSE sebagai Pengguna RAM, lihat Otorisasi akses SDK.

Langkah 1: Buat Pengguna RAM

Login ke Konsol RAM dengan Akun Alibaba Cloud Anda dan buat Pengguna RAM.

  1. Login ke RAM console dengan Akun Alibaba Cloud (akun utama) atau Pengguna RAM yang memiliki izin administratif (AliyunRAMFullAccess).

  2. Di panel navigasi sebelah kiri, pilih Identities > Users.

  3. Di halaman Users, klik Create User.

  4. Di halaman Create User, pada bagian User Account Information, atur informasi dasar pengguna.

    • Logon Name (Wajib): Nama dapat berisi huruf, angka, titik (.), tanda hubung (-), dan garis bawah (_). Panjang maksimal 64 karakter.

    • Display Name (Opsional): Nama dapat memiliki panjang hingga 128 karakter.

    • Tag (Opsional): Klik edit, lalu masukkan kunci tag dan nilai tag. Tag membantu Anda mengelola pengguna.

    Catatan

    Klik Add User untuk membuat beberapa Pengguna RAM sekaligus.

  5. Di bagian Access Method, pilih Console Password Logon atau Programmatic Access.

    • Console Password Logon: Memungkinkan Anda mengonfigurasi pengaturan keamanan dasar untuk login konsol, seperti menghasilkan atau menyesuaikan password login secara otomatis, mewajibkan reset password saat login berikutnya, dan mewajibkan multi-factor authentication (MFA).

      Catatan

      Jika Anda menetapkan password login kustom, password tersebut harus memenuhi aturan kompleksitas yang dikonfigurasi di bawah Identities > Settings. Untuk informasi lebih lanjut tentang cara menetapkan aturan kompleksitas password, lihat Tetapkan kebijakan kata sandi untuk Pengguna RAM.

    • Programmatic Access: Pasangan AccessKey akan dibuat secara otomatis untuk Pengguna RAM. Pengguna RAM dapat menggunakan pasangan AccessKey tersebut untuk mengakses Alibaba Cloud melalui API atau alat pengembangan lainnya.

    Catatan

    Untuk alasan keamanan, kami menyarankan hanya memilih Console Access untuk Pengguna RAM. Hal ini mencegah pengguna yang telah meninggalkan organisasi Anda mengakses resource Alibaba Cloud menggunakan AccessKey.

  6. Klik OK.

Langkah 2: Tambahkan izin ke Pengguna RAM

Anda harus memberikan izin yang diperlukan kepada Pengguna RAM sebelum mereka dapat menggunakan layanan Alibaba Cloud.

  1. Login ke RAM console sebagai administrator RAM.

  2. Di panel navigasi sebelah kiri, pilih Identities > Users.

  3. Di halaman Users, temukan Pengguna RAM yang dituju dan klik Add Permissions di kolom Actions.

    Anda juga dapat memilih beberapa Pengguna RAM dan klik Add Permissions di bawah daftar pengguna untuk memberikan izin secara batch.

  4. Di panel Grant Permission, pilih Policies. Di kotak teks, masukkan nama kebijakan yang ingin Anda tambahkan, klik kebijakan tersebut dalam hasil pencarian, lalu klik OK.

    • Kebijakan sistem (coarse-grained authorization)

      MSE menyediakan dua kebijakan sistem untuk otorisasi coarse-grained.

      Policy name

      Description

      AliyunMSEFullAccess

      Kebijakan ini memberikan izin manajemen penuh kepada Pengguna RAM di konsol.

      AliyunMSEReadOnlyAccess

      Kebijakan ini memberikan akses read-only kepada Pengguna RAM untuk semua resource di bawah Akun Alibaba Cloud.

      Catatan

      Kami menyarankan agar Anda memberikan kebijakan AliyunMSEFullAccess kepada personel operasional untuk membuat dan menghapus resource. Berikan kebijakan AliyunMSEReadOnlyAccess kepada developer agar mereka dapat melihat resource tersebut tetapi tidak dapat membuat atau menghapusnya. Untuk kontrol izin developer yang lebih detail, gunakan kebijakan kustom.

    • Kebijakan kustom (otorisasi fine-grained)

      Catatan

      Tabel berikut memetakan aksi MSE ke izin RAM untuk membantu Anda membuat kebijakan kustom.

      Action

      Description

      Read-only

      CreateCluster

      Membuat kluster.

      No

      DeleteCluster

      Menghapus kluster.

      No

      QueryClusterDetail

      Mengambil detail kluster.

      Yes

      RestartCluster

      Me-restart kluster.

      No

      RetryCluster

      Mencoba ulang operasi kluster.

      No

      UpdateCluster

      Memperbarui kluster.

      No

      CreateNacosConfig

      Membuat konfigurasi Nacos.

      No

      DeleteNacosConfig

      Menghapus konfigurasi Nacos.

      No

      DeleteNacosConfigs

      Menghapus konfigurasi Nacos secara batch.

      No

      GetNacosConfig

      Mengambil konfigurasi Nacos.

      Yes

      GetNacosHistoryConfig

      Mengambil riwayat konfigurasi Nacos.

      Yes

      UpdateNacosConfig

      Memperbarui konfigurasi Nacos.

      No

      UpdateNacosInstance

      Memperbarui instans.

      No

      DeleteNacosService

      Menghapus layanan.

      No

      CreateNacosService

      Membuat layanan.

      No

      UpdateNacosService

      Memperbarui layanan.

      No

      CreateNacosInstance

      Membuat instans.

      No

      UpdateNacosCluster

      Memperbarui kluster layanan.

      No

      Operasi API berikut hanya mendukung otorisasi tingkat akun dan tidak mendukung pemfilteran berdasarkan instans.

      Action

      Description

      Read-only

      ListClusters

      Mengambil daftar kluster.

      Yes

      ListServiceQuotas

      Menanyakan dan menampilkan batas kuota. Kami menyarankan agar Anda memberikan izin ini.

      Yes

      Operasi API berikut hanya mendukung otorisasi tingkat instans dan tidak mendukung pemfilteran detail halus.

      Action

      Description

      Read-only

      ListNacosConfigs

      Mengambil daftar konfigurasi Nacos.

      Yes

      ListNacosHistoryConfigs

      Mengambil riwayat versi konfigurasi Nacos.

      Yes

      ListAnsServices

      Mengambil daftar semua layanan.

      Yes

      ListAnsServiceClusters

      Mengambil kluster dalam suatu layanan.

      Yes

      ListAnsInstances

      Mengambil instans suatu layanan.

      Yes

    Contoh 1: Berikan izin baca dan tulis kepada Pengguna RAM pada instans mse-cn-0pp1j8om80a.

    Catatan

    Dalam dokumen ini, mse-cn-0pp1j8om80a merujuk pada InstanceId, bukan ClusterId.

    {
      "Statement": [
        {
          "Action": "mse:ListClusters",
          "Resource": "acs:mse:*:*:*",
          "Effect": "Allow"
        },
        {
          "Action": "mse:*",
          "Resource": "acs:mse:*:*:instance/mse-cn-0pp1j8om80a",
          "Effect": "Allow"
        }
      ],
      "Version": "1"
    }

    Contoh 2: Berikan izin baca kepada Pengguna RAM untuk semua instans.

     {
      "Statement": [
        {
            "Action": [
            "mse:List*",
            "mse:Query*",
            "mse:Get*"
          ],
          "Resource": "acs:mse:*:*:*",
          "Effect": "Allow"
        }
      ],
      "Version": "1"
    }

    Contoh 3: Berikan izin baca dan tulis kepada Pengguna RAM untuk konfigurasi pada instans mse-cn-0pp1j8om80a, terbatas pada namespace 3fd98c48-a709-4061-bba1-e341d79d681b.

    Skenario kompleks ini memerlukan izin berikut:

    1. Izin untuk mendaftar kluster, yang memungkinkan pengguna menemukan kluster target.

    2. Semua izin baca pada kluster, yang memungkinkan pengguna mengakses instans dan melihat semua resource-nya.

    3. Izin untuk membuat dan memodifikasi konfigurasi di namespace yang ditentukan.

    {
        "Version": "1",
        "Statement": [{
                "Action": [
                    "mse:ListClusters"
                ],
                "Resource": [
                    "acs:mse:*:*:*"
                ],
                "Effect": "Allow"
            },
            {
                "Action": [
                    "mse:List*",
                    "mse:Query*",
                    "mse:Get*"
                ],
                "Resource": [
                    "acs:mse:*:*:instance/mse-cn-0pp1j8om8"
                ],
                "Effect": "Allow"
            },
            {
                "Action": [
                    "mse:CreateNacosConfig",
                    "mse:UpdateNacosConfig"
                ],
                "Resource": [
                    "acs:mse:*:*:instance/mse-cn-0pp1j8om8/3fd98c48-a709-4061-bba1-e341d79d681b"
                ],
                "Effect": "Allow"
            }
        ]
    }

    Contoh 4: Berikan izin baca dan tulis kepada Pengguna RAM untuk konfigurasi dengan DataId tertentu pada instans mse-cn-0pp1j8om80a.

    Skenario kompleks ini memerlukan izin berikut:

    1. Izin untuk mendaftar kluster, yang memungkinkan pengguna menemukan kluster target.

    2. Semua izin baca pada kluster, yang memungkinkan pengguna mengakses instans dan melihat semua resource-nya.

    3. Izin untuk membuat dan memodifikasi konfigurasi di namespace yang ditentukan.

    4. Izin untuk membuat dan memodifikasi konfigurasi di grup yang ditentukan.

    5. Format ARN resource: acs:mse:*:*:instance/${instanceId}/${namespaceId}/${groupId}/${dataId}

    {
        "Version": "1",
        "Statement": [{
                "Action": [
                    "mse:ListClusters"
                ],
                "Resource": [
                    "acs:mse:*:*:*"
                ],
                "Effect": "Allow"
            },
            {
                "Action": [
                    "mse:List*",
                    "mse:Query*",
                    "mse:Get*"
                ],
                "Resource": [
                    "acs:mse:*:*:instance/mse-cn-0pp1j8om8"
                ],
                "Effect": "Allow"
            },
            {
                "Action": [
                    "mse:CreateNacosConfig",
                    "mse:UpdateNacosConfig"
                ],
                "Resource": [
    
                    "acs:mse:*:*:instance/mse-cn-0pp1j8om8/3fd98c48-a709-4061-bba1-e341d79d681b/DEFAULT_GROUP/prod.yaml"
                ],
                "Effect": "Allow"
            }
        ]
    }

    Contoh 5: Berikan izin baca dan tulis kepada Pengguna RAM untuk konfigurasi layanan tertentu pada instans mse-cn-0pp1j8om80a.

    Skenario kompleks ini memerlukan izin berikut:

    1. Izin untuk mendaftar kluster, yang memungkinkan pengguna menemukan kluster target.

    2. Semua izin baca pada kluster, yang memungkinkan pengguna mengakses instans dan melihat semua resource-nya.

    3. Izin untuk membuat dan memodifikasi konfigurasi di namespace yang ditentukan.

    4. Izin untuk membuat dan memodifikasi konfigurasi di grup yang ditentukan.

    5. Format ARN resource: acs:mse:*:*:instance/${instanceId}/${namespaceId}/${groupId}/${serviceName}

      {
          "Version": "1",
          "Statement": [{
                  "Action": [
                      "mse:ListClusters"
                  ],
                  "Resource": [
                      "acs:mse:*:*:*"
                  ],
                  "Effect": "Allow"
              },
              {
                  "Action": [
                      "mse:List*",
                      "mse:Query*",
                      "mse:Get*"
                  ],
                  "Resource": [
                      "acs:mse:*:*:instance/mse-cn-0pp1j8om8"
                  ],
                  "Effect": "Allow"
              },
              {
                  "Action": [
                      "mse:CreateNacosConfig",
                      "mse:UpdateNacosConfig"
                  ],
                  "Resource": [
      
                      "acs:mse:*:*:instance/mse-cn-0pp1j8om8/3fd98c48-a709-4061-bba1-e341d79d681b/DEFAULT_GROUP/test-service"
                  ],
                  "Effect": "Allow"
              }
          ]
      }
  5. Di panel Grant Permission, setelah izin diberikan, klik Close.

Langkah selanjutnya

Setelah membuat Pengguna RAM, bagikan kredensial logon (username dan password) atau AccessKey-nya. Pengguna tersebut kemudian dapat menggunakan kredensial ini untuk login ke konsol atau melakukan panggilan API.

  • Login ke konsol

    1. Buka halaman RAM User Logon.

    2. Di halaman RAM User Logon, masukkan username RAM dan klik Next. Masukkan password Pengguna RAM, lalu klik Log On.

      Catatan

      Nama logon Pengguna RAM menggunakan format <$username>@<$AccountAlias> atau <$username>@<$AccountAlias>.onaliyun.com. <$AccountAlias> adalah alias akun. Jika tidak ada alias akun yang ditetapkan, ID Akun Alibaba Cloud digunakan secara default.

    3. Dari halaman utama pengguna, klik produk yang telah Anda otorisasi untuk diakses.

  • Lakukan panggilan operasi API

    Untuk melakukan panggilan API, gunakan ID AccessKey dan Secret AccessKey Pengguna RAM dalam kode Anda.