Resource Access Management (RAM) adalah layanan dari Alibaba Cloud yang digunakan untuk mengelola identitas pengguna dan izin akses sumber daya. RAM memungkinkan Anda membuat dan mengelola beberapa pengguna RAM dalam satu akun Alibaba Cloud. Topik ini menjelaskan cara menggunakan kebijakan RAM untuk mengontrol akses pengguna RAM ke sumber daya Alibaba Cloud. Sebagai contoh, Anda dapat memberi otorisasi kepada pengguna RAM untuk mengelola sistem file NAS File Storage tertentu.
Saat memberikan izin kepada pengguna RAM, disarankan untuk memberikan izin minimal. Pemberian izin berlebih dapat menimbulkan risiko keamanan.
Prosedur
Buat pengguna RAM. Untuk informasi lebih lanjut, lihat Buat Pengguna RAM.
Pilih kebijakan izin yang ingin diberikan kepada pengguna RAM.
Kebijakan izin mencakup system policies dan custom policies.
System policies: Kebijakan izin default yang disediakan oleh Alibaba Cloud. Kebijakan sistem berikut sering digunakan dalam File Storage NAS:
AliyunNASFullAccess (tidak direkomendasikan): Memberikan akses penuh kepada pengguna RAM ke sistem file NAS. Untuk memastikan keamanan sistem file NAS Anda, disarankan agar tidak memberikan izin ini kepada pengguna RAM.
AliyunNASReadOnlyAccess: Memberikan akses baca-saja kepada pengguna RAM ke sistem file NAS.
Custom policies: Kebijakan izin yang disesuaikan. Kebijakan kustom memungkinkan pengelolaan izin secara lebih rinci dan fleksibel.
Anda dapat membuat kebijakan kustom dengan menulis skrip sesuai kebutuhan bisnis. Contoh berikut disediakan sebagai referensi. Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom.
Berikan izin kepada pengguna RAM.
Lampirkan kebijakan izin yang dipilih di Langkah 2 kepada pengguna RAM. Untuk informasi lebih lanjut, lihat Berikan Izin kepada Pengguna RAM.
Contoh 1: Berikan izin kepada pengguna RAM pada sistem file NAS
Berikan akses penuh kepada pengguna RAM ke sistem file NAS
07d****294 adalah ID sistem file. Ganti ID tersebut dengan nilai sebenarnya.
Anda tidak dapat memberikan izin kepada pengguna RAM untuk melihat sistem file NAS tertentu. Jika ingin memberikan akses penuh kepada pengguna RAM ke sistem file NAS tertentu, berikan izin untuk melihat semua sistem file NAS, lalu berikan izin untuk menghapus dan memodifikasi sistem file NAS tertentu.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": "nas:*",
"Resource": [
"acs:nas:*:*:filesystem/07d****294"
]
},
{
"Effect": "Allow",
"Action": "nas:CreateMountTarget",
"Resource": "acs:vpc:*:*:vswitch/*"
},
{
"Effect": "Allow",
"Action": "cms:Query*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "nas:DescribeFileSystems",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"nas:DescribeAccessGroups",
"nas:DescribeAccessRules"
],
"Resource": "acs:nas:*:*:accessgroup/*"
},
{
"Effect": "Allow",
"Action": [
"vpc:DescribeVpcs",
"vpc:DescribeVSwitches"
],
"Resource": "*"
}
]
}Berikan izin kepada pengguna RAM untuk memodifikasi sistem file NAS
07d****294 adalah ID sistem file. Ganti ID tersebut dengan nilai sebenarnya.
{
"Statement": [{
"Effect": "Allow",
"Action": [
"nas:DescribeFileSystems",
"nas:ModifyFileSystem"
],
"Resource": "acs:nas:*:*:filesystem/07d****294"
}],
"Version": "1"
}Berikan izin kepada pengguna RAM untuk melihat semua sistem file NAS
{
"Statement": [{
"Effect": "Allow",
"Action": "nas:DescribeFileSystems",
"Resource": "*"
}],
"Version": "1"
}Contoh 2: Berikan izin kepada pengguna RAM pada target mount sistem file NAS
Kode sampel berikut menunjukkan cara memberikan akses penuh kepada pengguna RAM ke target mount sistem file NAS dengan ID 07d****294.
{
"Statement": [{
"Effect": "Allow",
"Action": [
"nas:CreateMountTarget",
"nas:DescribeMountTargets",
"nas:ModifyMountTarget",
"nas:DeleteMountTarget"
],
"Resource": [
"acs:nas:*:*:filesystem/07d****294",
"acs:vpc:*:*:vswitch/*"
]
}],
"Version": "1"
}Contoh 3: Berikan izin kepada pengguna RAM pada grup izin sistem file NAS
Kode sampel berikut menunjukkan cara memberikan akses penuh kepada pengguna RAM ke grup izin sistem file NAS.
{
"Statement": [{
"Effect": "Allow",
"Action": [
"nas:CreateAccessGroup",
"nas:DescribeAccessGroups",
"nas:ModifyAccessGroup",
"nas:DeleteAccessGroup",
"nas:CreateAccessRule",
"nas:DescribeAccessRules",
"nas:ModifyAccessRule",
"nas:DeleteAccessRule"
],
"Resource": "acs:nas:*:*:accessgroup/*"
}],
"Version": "1"
}Contoh 4: Berikan izin kepada pengguna RAM untuk melihat metrik pemantauan semua sistem file NAS
Kode sampel berikut menunjukkan cara memberikan izin kepada pengguna RAM untuk melihat metrik pemantauan semua sistem file NAS.
{
"Statement": [{
"Effect": "Allow",
"Action": "cms:Query*",
"Resource": "*"
}],
"Version": "1"
}Contoh 5: Berikan izin kepada pengguna RAM untuk mengelola tempat sampah sistem file NAS
Berikan akses penuh kepada pengguna RAM ke tempat sampah sistem file NAS
07d****294 adalah ID sistem file. Ganti ID tersebut dengan nilai sebenarnya.
{
"Statement": [{
"Effect": "Allow",
"Action": [
"nas:EnableRecycleBin",
"nas:DisableAndCleanRecycleBin ",
"nas:UpdateRecycleBinAttribute",
"nas:GetRecycleBinAttribute",
"nas:CreateRecycleBinRestoreJob",
"nas:CreateRecycleBinDeleteJob",
"nas:CancelRecycleBinJob",
"nas:ListRecycleBinJobs",
"nas:ListRecycledDirectoriesAndFiles",
"nas:ListRecentlyRecycledDirectories"
],
"Resource": [
"acs:nas:*:*:filesystem/07d****294"
]
}
],
"Version": "1"
}Berikan izin kepada pengguna RAM untuk memulihkan file yang disimpan sementara di tempat sampah sistem file NAS
07d****294 adalah ID sistem file. Ganti ID tersebut dengan nilai sebenarnya.
{
"Statement": [{
"Effect": "Allow",
"Action": [
"nas:GetRecycleBinAttribute",
"nas:CreateRecycleBinRestoreJob",
"nas:CancelRecycleBinJob",
"nas:ListRecycleBinJobs",
"nas:ListRecycledDirectoriesAndFiles",
"nas:ListRecentlyRecycledDirectories"
],
"Resource": [
"acs:nas:*:*:filesystem/07d****294"
]
}
],
"Version": "1"
}Berikan izin kepada pengguna RAM untuk menghapus file secara permanen dari tempat sampah sistem file NAS
07d****294 adalah ID sistem file. Ganti ID tersebut dengan nilai sebenarnya.
{
"Statement": [{
"Effect": "Allow",
"Action": [
"nas:GetRecycleBinAttribute",
"nas:CreateRecycleBinDeleteJob",
"nas:CancelRecycleBinJob",
"nas:ListRecycleBinJobs",
"nas:ListRecycledDirectoriesAndFiles",
"nas:ListRecentlyRecycledDirectories"
],
"Resource": [
"acs:nas:*:*:filesystem/07d****294"
]
}
],
"Version": "1"
}Berikan izin kepada pengguna RAM untuk memodifikasi konfigurasi tempat sampah sistem file NAS
07d****294 adalah ID sistem file. Ganti ID tersebut dengan nilai sebenarnya.
{
"Statement": [{
"Effect": "Allow",
"Action": [
"nas:EnableRecycleBin",
"nas:UpdateRecycleBinAttribute",
"nas:DisableAndCleanRecycleBin",
"nas:GetRecycleBinAttribute"
],
"Resource": [
"acs:nas:*:*:filesystem/07d****294"
]
}
],
"Version": "1"
}Lampiran: Kebijakan kustom
Anda dapat menggunakan konsol RAM untuk membuat kebijakan kustom. Jika mengatur Configuration Mode ke Script, konfigurasikan parameter di bagian Dokumen Kebijakan berdasarkan template JSON. Tabel berikut mencantumkan nilai parameter Action dan Resource. Untuk informasi lebih lanjut, lihat Elemen Dasar Kebijakan.
API | Action | Resource | Deskripsi | |
Sistem file | CreateFileSystem | nas:CreateFileSystem | acs:nas:<region>:<account-id>:filesystem/* | Membuat sistem file. |
DeleteFileSystem | nas:DeleteFileSystem | acs:nas:<region>:<account-id>:filesystem/<filesystemid> | Menghapus sistem file. | |
ModifyFileSystem | nas:ModifyFileSystem | acs:nas:<region>:<account-id>:filesystem/<filesystemid> | Memodifikasi sistem file. | |
DescribeFileSystems | nas:DescribeFileSystems | acs:nas:<region>:<account-id>:filesystem/<filesystemid> | Mengquery sistem file. | |
Target mount | CreateMountTarget | nas:CreateMountTarget |
| Membuat target mount. |
DeleteMountTarget | nas:DeleteMountTarget | acs:nas:<region>:<account-id>:filesystem/<filesystemid> | Menghapus target mount. | |
ModifyMountTarget | nas:ModifyMountTarget | acs:nas:<region>:<account-id>:filesystem/<filesystemid> | Memodifikasi target mount. | |
DescribeMountTargets | nas:DescribeMountTargets | acs:nas:<region>:<account-id>:filesystem/<filesystemid> | Mengquery target mount dari sistem file. | |
Grup izin | CreateAccessGroup | nas:CreateAccessGroup | acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> | Membuat grup izin. |
DeleteAccessGroup | nas:DeleteAccessGroup | acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> | Menghapus grup izin. | |
ModifyAccessGroup | nas:ModifyAccessGroup | acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> | Memodifikasi grup izin. | |
DescribeAccessGroups | nas:DescribeAccessGroups | acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> | Mengquery grup izin dari sistem file. | |
CreateAccessRule | nas:CreateAccessRule | acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> | Membuat aturan untuk grup izin. | |
DeleteAccessRule | nas:DeleteAccessRule | acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> | Menghapus aturan dari grup izin. | |
ModifyAccessRule | nas:ModifyAccessRule | acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> | Memodifikasi aturan dari grup izin. | |
DescribeAccessRule | nas:DescribeAccessRule | acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> | Mengquery aturan dari grup izin. | |