全部产品
Search

搜索本产品

    OpenAPI Explorer:Identitas, kredensial, dan otorisasi

    文档中心

    OpenAPI Explorer:Identitas, kredensial, dan otorisasi

    更新时间:Jan 21, 2026

    Identitas secara unik mengidentifikasi pengguna dalam suatu sistem. Kredensial adalah sekumpulan informasi yang digunakan untuk memverifikasi identitas pengguna. Otorisasi adalah proses pemberian izin atas sumber daya tertentu kepada pengguna yang identitasnya telah diverifikasi. Anda dapat menggunakan identitas, kredensial, dan otorisasi untuk memastikan keamanan identitas pengguna serta mengontrol akses terhadap sumber daya.

    Identitas

    Identitas secara unik mengidentifikasi pengguna dalam suatu sistem. Sistem menentukan izin pengguna berdasarkan identitas tersebut. Alibaba Cloud mendukung jenis-jenis identitas berikut: Akun Alibaba Cloud, Pengguna Resource Access Management (RAM), dan Peran RAM.

    • Akun Alibaba Cloud

      Akun Alibaba Cloud merupakan entitas dasar untuk kepemilikan sumber daya Alibaba Cloud serta pengukuran dan penagihan penggunaan sumber daya. Akun ini dikenai biaya atas seluruh penggunaan sumber daya di dalamnya dan memiliki izin penuh atas sumber daya tersebut. Kecuali dalam skenario yang mengharuskan penggunaan Akun Alibaba Cloud, kami menyarankan Anda login ke Konsol Manajemen Alibaba Cloud dan memanggil operasi API sebagai Pengguna RAM atau dengan mengasumsikan Peran RAM.

    • Pengguna RAM

      Identitas fisik yang memiliki ID tetap dan informasi kredensial. Pengguna RAM merepresentasikan seseorang atau aplikasi. Untuk informasi selengkapnya, lihat Ikhtisar pengguna RAM.

    • Peran RAM

      Peran RAM adalah identitas virtual yang dapat dikaitkan dengan kebijakan (policy). Berbeda dengan Pengguna RAM, Peran RAM tidak memiliki kredensial identitas permanen, seperti kata sandi logon atau pasangan AccessKey (AccessKey pair). Peran RAM hanya dapat digunakan setelah diasumsikan oleh entitas tepercaya. Setelah diasumsikan, entitas tersebut memperoleh token Security Token Service (STS) dan dapat mengakses sumber daya Alibaba Cloud sebagai peran tersebut.

      Sebagai contoh, Akun Alibaba Cloud A membuat Peran RAM a_rr1, memberikan izin FullAccess pada Object Storage Service (OSS) kepada peran tersebut, lalu menetapkannya kepada Pengguna RAM b_ru1 dari Akun Alibaba Cloud B. Dengan demikian, pengembang dapat login ke konsol sebagai Pengguna RAM b_ru1 dan mengelola sumber daya OSS milik Akun A dengan mengasumsikan Peran RAM a_rr1.

      Untuk informasi selengkapnya, lihat Ikhtisar peran RAM.

    Kredensial

    Kredensial adalah sekumpulan informasi yang digunakan untuk memverifikasi identitas pengguna. Saat login ke sistem, Anda harus menyediakan kredensial yang valid untuk menyelesaikan otentikasi identitas. Jenis kredensial berikut umum digunakan di Alibaba Cloud:

    • Pasangan AccessKey dari Akun Alibaba Cloud atau Pengguna RAM. Pasangan AccessKey bersifat permanen dan terdiri atas ID AccessKey dan Rahasia AccessKey (AccessKey secret).

      Peringatan

      Pasangan AccessKey dari Akun Alibaba Cloud memiliki akses penuh ke seluruh sumber daya dalam akun tersebut. Kebocoran pasangan AccessKey menimbulkan ancaman kritis terhadap sumber daya dalam Akun Alibaba Cloud. Kami menyarankan Anda menggunakan pasangan AccessKey Pengguna RAM dan secara berkala memperbarui (rotate) pasangan tersebut. Untuk informasi tentang cara membuat pasangan AccessKey untuk Pengguna RAM, lihat Buat pasangan AccessKey.

    • Token Security Token Service (STS) dari Peran RAM. Token STS merupakan kredensial sementara. Anda dapat menentukan periode validitas dan izin akses token tersebut. Untuk informasi selengkapnya, lihat Apa itu STS?

      Catatan

      Token STS memiliki periode validitas. Anda harus memperbarui token tersebut setelah masa berlakunya habis.

    • Bearer token. Digunakan untuk otentikasi identitas dan otorisasi. Hanya Cloud Call Center yang memungkinkan Anda menggunakan bearer token untuk menginisialisasi client Credentials. Untuk menggunakan bearer token, pilih BearerToken untuk parameter Configure Authentication Mode.

    Kebocoran kredensial menimbulkan ancaman kritis terhadap sumber daya cloud dan bisnis Anda. Berikan perhatian khusus pada keamanan kredensial selama operasi dan pemeliharaan (O&M) rutin. Untuk informasi selengkapnya, lihat Solusi keamanan kredensial.

    Otorisasi

    Otorisasi adalah proses di mana administrator sistem atau pemilik sumber daya memberikan izin akses kepada pengguna. Setelah sistem memverifikasi identitas pengguna, sistem menentukan apakah pengguna diizinkan melakukan operasi tertentu berdasarkan izin yang dimiliki.

    Setiap operasi API Alibaba Cloud memerlukan izin minimum tertentu. Sebelum memanggil operasi API, pastikan Anda memiliki izin yang diperlukan. Anda dapat melihat izin minimum yang diperlukan untuk suatu operasi API pada halaman API Docs operasi tersebut di OpenAPI Explorer. Gambar berikut menunjukkan informasi otorisasi untuk operasi RunInstances dari Elastic Compute Service (ECS).

    image

    • Akun Alibaba Cloud

      Akun Alibaba Cloud memiliki izin penuh atas seluruh sumber daya cloud dalam akun tersebut. Anda tidak perlu memberikan izin kepada Akun Alibaba Cloud, dan izin tersebut tidak dapat diubah. Namun, jika akun termasuk dalam direktori sumber daya, akun tersebut mungkin dibatasi oleh kebijakan kontrol akses direktori sumber daya. Untuk informasi selengkapnya, lihat Ikhtisar.

    • Pengguna RAM

      Anda dapat memberikan izin yang ditampilkan pada halaman API Docs suatu operasi API kepada Pengguna RAM. Untuk informasi selengkapnya, lihat Berikan izin kepada pengguna RAM.

    • Peran RAM

      Dibandingkan dengan otorisasi untuk Pengguna RAM, otorisasi untuk Peran RAM memerlukan langkah tambahan.

      1. Tentukan entitas tepercaya. Anda dapat menetapkan Akun Alibaba Cloud, Pengguna RAM, atau Peran RAM lain sebagai entitas tepercaya dari suatu Peran RAM.

      2. Berikan izin yang diperlukan. Untuk informasi selengkapnya, lihat Ikhtisar peran RAM.

      Perhatikan skenario-skenario berikut saat memberikan izin kepada Peran RAM:

      Skenario 1: Rantai otorisasi

      Sebagai contoh, Pengguna RAM aRamUser1 dari Akun A diberi otorisasi untuk mengasumsikan Peran RAM bRamRole1 dari Akun B, dan Peran RAM bRamRole1 dari Akun B diberi otorisasi untuk mengasumsikan Peran RAM cRamRole1 dari Akun C. Meskipun Pengguna RAM aRamUser1 dari Akun A tidak diberi otorisasi langsung untuk mengasumsikan Peran RAM cRamRole1 dari Akun C, pengguna tersebut tetap dapat mengakses sumber daya Akun C dengan mengasumsikan Peran RAM bRamRole1 yang telah diberi otorisasi untuk mengasumsikan Peran RAM cRamRole1. Hal ini disebut efek rantai otorisasi.

      Skenario 2: Otorisasi implisit

      Jika Anda memilih Akun Alibaba Cloud saat ini sebagai entitas tepercaya saat membuat Peran RAM dalam akun tersebut, setiap Pengguna RAM atau Peran RAM yang memiliki izin assumeRole dalam akun tersebut secara default diizinkan untuk mengasumsikan peran tersebut. Jika peran tersebut diberikan izin tinggi, setiap Pengguna RAM atau Peran RAM yang hanya memiliki izin assumeRole dapat memperoleh izin tinggi tersebut.