Identitas secara unik mengidentifikasi seorang pengguna dalam sistem. Sistem menentukan izin pengguna berdasarkan identitas tersebut. Alibaba Cloud mendukung jenis-jenis identitas berikut: akun Alibaba Cloud, Pengguna Resource Access Management (RAM), dan Peran RAM.
Akun Alibaba Cloud
Akun Alibaba Cloud adalah entitas dasar untuk kepemilikan sumber daya Alibaba Cloud, serta pengukuran dan penagihan penggunaan sumber daya. Akun ini dikenakan biaya atas semua penggunaan sumber daya di dalamnya dan memiliki izin penuh terhadap sumber daya tersebut. Kecuali untuk skenario tertentu yang memerlukan penggunaan akun Alibaba Cloud, kami merekomendasikan agar Anda menggunakan Pengguna RAM atau Peran RAM untuk masuk ke Konsol Manajemen Alibaba Cloud dan memanggil Operasi API.
Pengguna RAM
Pengguna RAM adalah identitas fisik dengan ID tetap dan informasi kredensial. Identitas ini mewakili individu atau aplikasi. Pengguna RAM memiliki karakteristik berikut:
Pengguna RAM dapat dibuat oleh akun Alibaba Cloud, yang membuat mereka menjadi milik akun tersebut. Pengguna RAM juga dapat dibuat oleh Pengguna RAM atau Peran RAM dengan hak administratif, yang membuat mereka menjadi milik akun Alibaba Cloud tempat entitas pembuat berada.
Pengguna RAM tidak memiliki sumber daya. Biaya penggunaan sumber daya oleh Pengguna RAM ditagihkan kepada akun Alibaba Cloud tempat Pengguna RAM tersebut berada. Pengguna RAM tidak menerima tagihan individu dan tidak dapat melakukan pembayaran.
Sebelum Pengguna RAM dapat masuk ke Konsol Manajemen Alibaba Cloud atau memanggil operasi, mereka harus diberi otorisasi oleh akun Alibaba Cloud. Setelah diberi otorisasi, Pengguna RAM dapat mengakses sumber daya yang dimiliki oleh akun Alibaba Cloud.
Pengguna RAM memiliki kata sandi logon independen atau pasangan AccessKey untuk autentikasi.
Akun Alibaba Cloud dapat membuat beberapa Pengguna RAM, yang dapat digunakan untuk mewakili karyawan, sistem, dan aplikasi dalam sebuah perusahaan.
Untuk informasi lebih lanjut, lihat Ikhtisar Pengguna RAM.
Saran
Buat Pengguna RAM terpisah untuk setiap pengembang
Anda dapat membuat beberapa Pengguna RAM untuk pengembang yang berbeda berdasarkan wilayah, layanan, lingkungan pengembangan, dan organisasi mereka. Pemisahan ini memberikan batas-batas yang jelas untuk kepemilikan bisnis, yang memfasilitasi identifikasi dan analisis operasi.
Kerugian dari berbagi Pengguna RAM:
Jika operasi abnormal dilakukan, sulit untuk mengidentifikasi organisasi atau individu spesifik yang bertanggung jawab karena Pengguna RAM tersebut dibagikan oleh beberapa pihak.
Jika pasangan AccessKey Pengguna RAM bocor, Anda harus menonaktifkannya sesegera mungkin. Namun, jika Pengguna RAM tersebut dibagikan oleh beberapa pengembang dan pasangan AccessKey tersebut di-hardcode dalam aplikasi, Anda tidak dapat menonaktifkannya sampai kode tersebut diperbarui. Ini menciptakan ancaman serius bagi sistem.
Pisahkan pengguna konsol dari pengguna API
Kami merekomendasikan agar Anda tidak membuat kata sandi logon untuk operasi konsol dan pasangan AccessKey untuk operasi API pada Pengguna RAM secara bersamaan. Hal ini mencegah bisnis Anda terpengaruh oleh kesalahan operasi Pengguna RAM.
Rekomendasi:
Untuk mengizinkan aplikasi mengakses sumber daya dengan memanggil Operasi API, cukup ajukan pasangan AccessKey untuk Pengguna RAM aplikasi tersebut.
Untuk mengizinkan karyawan mengelola sumber daya di konsol, cukup tetapkan kata sandi logon untuk Pengguna RAM karyawan tersebut.
Peran RAM
Peran RAM adalah identitas virtual yang dapat memiliki kebijakan yang dilampirkan padanya. Peran RAM tidak memiliki kredensial identitas permanen, seperti kata sandi logon atau pasangan AccessKey. Peran RAM hanya dapat digunakan setelah diasumsikan oleh entitas tepercaya. Setelah diasumsikan, entitas tepercaya dapat memperoleh Token Layanan Keamanan (STS) dan menggunakan token tersebut untuk mengakses sumber daya Alibaba Cloud sebagai Peran RAM.
Sebagai contoh, Akun Alibaba Cloud A membuat Peran RAM a_rr1, memberikan izin FullAccess pada Object Storage Service (OSS) kepada Peran RAM, dan kemudian menetapkan Peran RAM kepada Pengguna RAM b_ru1 dari Akun Alibaba Cloud B. Dengan cara ini, pengembang dapat masuk ke konsol sebagai Pengguna RAM b_ru1 dan mengelola sumber daya OSS Akun A dengan mengasumsikan Peran RAM a_rr1.
Jenis-jenis Peran RAM
Peran RAM diklasifikasikan berdasarkan entitas tepercaya:
Peran RAM dengan entitas tepercaya berupa akun Alibaba Cloud: Pengguna RAM dalam akun Alibaba Cloud dapat mengasumsikan jenis Peran RAM ini. Pengguna RAM yang mengasumsikan Peran RAM ini dapat berasal dari akun pemiliknya atau akun lain. Jenis ini digunakan untuk akses lintas akun dan otorisasi sementara.
Peran RAM dengan entitas tepercaya berupa layanan Alibaba Cloud: Layanan Alibaba Cloud dapat mengasumsikan jenis Peran RAM ini. Peran RAM yang dapat diasumsikan oleh layanan tepercaya diklasifikasikan menjadi dua jenis: peran layanan normal dan peran layanan tertaut. Untuk informasi lebih lanjut tentang peran layanan tertaut, lihat peran layanan tertaut. Jenis ini digunakan untuk mengotorisasi akses lintas layanan Alibaba Cloud.
Peran RAM dengan entitas tepercaya berupa penyedia identitas (IdP): Pengguna IdP tepercaya dapat mengasumsikan jenis Peran RAM ini. Jenis ini digunakan untuk mengimplementasikan Single Sign-On (SSO) berbasis peran antara Alibaba Cloud dan IdP tepercaya.
Skenario
Otorisasi akses sementara
Dalam kebanyakan kasus, kami merekomendasikan agar Anda memanggil Operasi API di server untuk mencegah kebocoran pasangan AccessKey. Namun, dalam beberapa skenario, kami merekomendasikan agar Anda langsung mengunggah file dari klien untuk menghindari overhead transfer sumber daya melalui server. Dalam hal ini, server dapat menerbitkan token STS, dan klien dapat menggunakan token tersebut untuk mentransfer sumber daya secara langsung.
Untuk informasi lebih lanjut, lihat Gunakan token STS untuk mengotorisasi aplikasi seluler mengakses sumber daya Alibaba Cloud.
Berikan izin lintas akun Alibaba Cloud
Sebagai contoh, Anda memiliki akun Alibaba Cloud Akun A dan Akun B, dan Anda ingin Akun A mengakses sumber daya tertentu dari Akun B. Anda dapat membuat Peran RAM dengan entitas tepercaya Akun A di dalam Akun B dan mengotorisasi Pengguna RAM atau Peran RAM dari Akun A untuk mengasumsikan Peran RAM tersebut. Kemudian, Anda dapat menggunakan Peran RAM tersebut untuk mengakses sumber daya tertentu dari Akun B.
Untuk informasi lebih lanjut, lihat Gunakan Peran RAM untuk memberikan izin lintas akun Alibaba Cloud.
Berikan izin lintas layanan Alibaba Cloud
Dalam beberapa skenario, layanan Alibaba Cloud perlu diberi otorisasi untuk mengakses layanan lain dan menggunakan fitur tertentu. Sebagai contoh, untuk mengambil daftar sumber daya dan data log dari Elastic Compute Service (ECS) dan ApsaraDB RDS, Cloud Config memerlukan izin akses pada ECS dan ApsaraDB RDS. Dalam hal ini, Anda dapat membuat Peran RAM dengan entitas tepercaya berupa layanan Alibaba Cloud. Kami merekomendasikan agar Anda menggunakan peran layanan tertaut. Untuk layanan yang tidak mendukung peran layanan tertaut, gunakan peran layanan normal.
Untuk informasi lebih lanjut, lihat Layanan yang bekerja sama dengan peran layanan tertaut.
Implementasikan SSO berbasis peran
Jika Alibaba Cloud dan sistem manajemen identitas suatu perusahaan bekerja sama untuk mengimplementasikan SSO berbasis peran, Alibaba Cloud bertindak sebagai penyedia layanan (SP), dan sistem manajemen identitas bertindak sebagai IdP. SSO berbasis peran memungkinkan perusahaan mengelola pengguna di IdP lokal tanpa perlu menyinkronkan pengguna ke Alibaba Cloud. Selain itu, karyawan perusahaan dapat mengakses Alibaba Cloud dengan menggunakan Peran RAM tertentu. Dalam hal ini, Anda dapat membuat Peran RAM dengan entitas tepercaya berupa IdP.
Untuk informasi lebih lanjut, lihat Ikhtisar SSO berbasis SAML dan Ikhtisar SSO berbasis OIDC.