全部产品
Search

搜索本产品

    OpenAPI Explorer:Identitas, kredensial, dan otorisasi

    文档中心

    OpenAPI Explorer:Identitas, kredensial, dan otorisasi

    更新时间:Jul 02, 2025

    Identitas secara unik mengidentifikasi pengguna dalam sistem. Kredensial adalah informasi yang digunakan untuk memverifikasi identitas pengguna. Otorisasi adalah proses pemberian izin akses ke sumber daya tertentu kepada pengguna dengan identitas terverifikasi. Anda dapat menggunakan identitas, kredensial, dan otorisasi untuk memastikan keamanan identitas pengguna serta mengontrol akses pengguna ke sumber daya.

    Identitas

    Identitas secara unik mengidentifikasi pengguna dalam sistem. Sistem menentukan izin pengguna berdasarkan identitasnya. Alibaba Cloud mendukung jenis-jenis identitas berikut: Akun Alibaba Cloud, Pengguna Resource Access Management (RAM), dan Peran RAM.

    • Akun Alibaba Cloud

      Akun Alibaba Cloud adalah entitas dasar untuk kepemilikan sumber daya Alibaba Cloud, serta pengukuran dan penagihan atas penggunaan sumber daya. Akun ini dikenakan biaya untuk semua penggunaan sumber daya di dalam akun dan memiliki izin penuh atas sumber daya tersebut. Kecuali untuk skenario tertentu, kami merekomendasikan agar Anda masuk ke Konsol Manajemen Alibaba Cloud dan memanggil Operasi API sebagai Pengguna RAM atau dengan mengasumsikan Peran RAM.

    • Pengguna RAM

      Identitas fisik dengan ID tetap dan informasi kredensial. Pengguna RAM mewakili individu atau aplikasi. Untuk informasi lebih lanjut, lihat Ikhtisar Pengguna RAM.

    • Peran RAM

      Peran RAM adalah identitas virtual yang dapat ditambahkan kebijakan. Peran RAM tidak memiliki kredensial permanen seperti kata sandi logon atau pasangan AccessKey. Peran RAM hanya dapat digunakan setelah diasumsikan oleh entitas tepercaya. Setelah diasumsikan, entitas tepercaya dapat memperoleh Token Layanan Keamanan (STS) dan menggunakan token STS untuk mengakses sumber daya Alibaba Cloud sebagai Peran RAM.

      Sebagai contoh, Akun Alibaba Cloud A membuat Peran RAM a_rr1, memberikan izin FullAccess pada Object Storage Service (OSS) kepada peran tersebut, dan menetapkan Peran RAM kepada Pengguna RAM b_ru1 dari Akun Alibaba Cloud B. Dengan cara ini, pengembang dapat masuk sebagai Pengguna RAM b_ru1 dan mengelola sumber daya OSS Akun A dengan mengasumsikan Peran RAM a_rr1.

      Untuk informasi lebih lanjut, lihat Ikhtisar Peran RAM.

    Kredensial

    Kredensial adalah informasi yang digunakan untuk memverifikasi identitas pengguna. Saat masuk ke sistem, Anda harus menyediakan kredensial valid untuk menyelesaikan autentikasi identitas. Jenis-jenis kredensial berikut umumnya digunakan di Alibaba Cloud:

    • Pasangan AccessKey dari akun Alibaba Cloud atau Pengguna RAM. Pasangan AccessKey berlaku secara permanen dan terdiri dari ID AccessKey dan Rahasia AccessKey.

      Peringatan

      Pasangan AccessKey dari akun Alibaba Cloud memiliki akses penuh ke semua sumber daya dalam akun. Kebocoran pasangan AccessKey menimbulkan ancaman serius terhadap sumber daya dalam akun Alibaba Cloud. Kami merekomendasikan agar Anda menggunakan pasangan AccessKey dari Pengguna RAM dan secara berkala memutar pasangan AccessKey. Untuk informasi tentang cara membuat pasangan AccessKey untuk Pengguna RAM, lihat Buat pasangan AccessKey.

    • Token Layanan Keamanan (STS) dari Peran RAM. Token STS adalah kredensial sementara. Anda dapat menentukan periode validitas dan izin akses dari token STS. Untuk informasi lebih lanjut, lihat Apa itu STS?

      Catatan

      Token STS memiliki periode validitas. Anda harus memperbarui token STS setelah kedaluwarsa.

    • Token bearer. Ini digunakan untuk autentikasi identitas dan otorisasi. Hanya Cloud Call Center yang mengizinkan Anda menggunakan token bearer untuk menginisialisasi klien Credentials. Untuk menggunakan token bearer, pilih BearerToken untuk parameter Configure Authentication Mode.

    Kebocoran kredensial menimbulkan ancaman serius terhadap sumber daya cloud dan bisnis Anda. Berikan perhatian khusus pada keamanan kredensial selama pemeliharaan rutin. Untuk informasi lebih lanjut, lihat Solusi keamanan kredensial.

    Otorisasi

    Otorisasi adalah proses di mana administrator sistem atau pemilik sumber daya memberikan izin akses sumber daya kepada pengguna. Setelah sistem memverifikasi identitas pengguna, sistem menentukan apakah pengguna diizinkan melakukan operasi tertentu berdasarkan izin yang dimiliki.

    Izin minimum tertentu diperlukan untuk memanggil setiap Operasi API Alibaba Cloud. Sebelum memanggil Operasi API, pastikan Anda memiliki izin yang diperlukan. Anda dapat melihat izin minimum yang diperlukan untuk Operasi API di halaman API Docs dari Operasi API di OpenAPI Explorer. Gambar berikut menunjukkan informasi otorisasi dari operasi RunInstances dari Elastic Compute Service (ECS).

    image

    • Akun Alibaba Cloud

      Akun Alibaba Cloud memiliki izin penuh atas semua sumber daya cloud di dalam akun. Anda tidak perlu memberikan izin kepada akun Alibaba Cloud, dan izin akun Alibaba Cloud tidak dapat dimodifikasi. Namun, jika akun Alibaba Cloud termasuk dalam direktori sumber daya, akun tersebut mungkin dibatasi oleh kebijakan kontrol akses direktori sumber daya. Untuk informasi lebih lanjut, lihat Ikhtisar.

    • Pengguna RAM

      Anda dapat memberikan izin yang ditampilkan di halaman API Docs dari Operasi API kepada Pengguna RAM. Untuk informasi lebih lanjut, lihat Berikan izin kepada Pengguna RAM.

    • Peran RAM

      Dibandingkan dengan otorisasi untuk Pengguna RAM, otorisasi untuk Peran RAM memerlukan langkah tambahan.

      1. Tentukan entitas tepercaya. Anda dapat menentukan akun Alibaba Cloud, Pengguna RAM, atau Peran RAM lain sebagai entitas tepercaya dari Peran RAM.

      2. Berikan izin yang diperlukan. Untuk informasi lebih lanjut, lihat Ikhtisar Peran RAM.

      Catat skenario berikut saat memberikan izin kepada Peran RAM:

      Skenario 1: Rantai otorisasi

      Sebagai contoh, Pengguna RAM aRamUser1 dari Akun A diberi otorisasi untuk mengasumsikan Peran RAM bRamRole1 dari Akun B, dan Peran RAM bRamRole1 dari Akun B diberi otorisasi untuk mengasumsikan Peran RAM cRamRole1 dari Akun C. Meskipun Pengguna RAM aRamUser1 dari Akun A tidak diberi otorisasi langsung untuk mengasumsikan Peran RAM cRamRole1 dari Akun C, Pengguna RAM aRamUser1 dari Akun A dapat mengakses sumber daya Akun C dengan mengasumsikan Peran RAM bRamRole1 yang diberi otorisasi untuk mengasumsikan Peran RAM cRamRole1. Ini disebut efek rantai otorisasi.

      Skenario 2: Otorisasi implisit

      Jika Anda memilih akun Alibaba Cloud saat ini sebagai entitas tepercaya saat membuat Peran RAM di dalam akun Alibaba Cloud, setiap Pengguna RAM atau Peran RAM yang memiliki izin assumeRole di dalam akun Alibaba Cloud diizinkan untuk mengasumsikan Peran RAM secara default. Jika Peran RAM diberi izin tinggi, setiap Pengguna RAM atau Peran RAM yang hanya memiliki izin assumeRole dapat memperoleh izin tinggi tersebut.