Untuk memastikan keamanan akun Alibaba Cloud dan sumber daya cloud Anda, hindari menggunakan akun Alibaba Cloud untuk mengakses layanan Alibaba Cloud kecuali diperlukan. Sebaiknya akses layanan Alibaba Cloud sebagai Pengguna Resource Access Management (RAM) atau dengan mengasumsikan Peran RAM.
Pengguna RAM
Pengguna RAM dibuat oleh akun Alibaba Cloud, pengguna RAM dengan izin administrator, atau Peran RAM dengan izin administrator. Setelah diberi izin yang diperlukan, pengguna RAM dapat masuk ke Konsol Manajemen Alibaba Cloud atau memanggil Operasi API untuk mengakses sumber daya dalam akun Alibaba Cloud tempat mereka berada.
Perhatikan hal-hal berikut:
Gunakan akun Alibaba Cloud untuk membuat pengguna RAM dan berikan izin administrator kepada pengguna tersebut. Selanjutnya, Anda dapat membuat dan mengelola pengguna RAM lainnya melalui pengguna RAM ini.
Pisahkan pengguna RAM untuk individu dari pengguna RAM untuk program.
Anda dapat membuat pengguna RAM di RAM console atau by calling an API operation. Jika menggunakan Konsol RAM, Anda harus menyediakan nama pengguna dan kata sandi akun Alibaba Cloud. Jika memanggil operasi API, Anda harus menentukan pasangan AccessKey. Kami menyarankan memisahkan pengguna RAM untuk individu dari pengguna RAM untuk program guna mencegah operasi yang tidak disengaja. Jika menggunakan Konsol RAM, aktifkan autentikasi multi-faktor (MFA) untuk meningkatkan keamanan.
Berikan izin kepada pengguna RAM berdasarkan prinsip hak istimewa minimal.
Hak istimewa minimal adalah izin minimum yang diperlukan untuk melakukan suatu operasi. Prinsip ini meningkatkan keamanan data dan mencegah penyalahgunaan izin.
Jangan sematkan ID AccessKey atau Rahasia AccessKey Anda dalam kode. Jika tidak, pasangan AccessKey Anda mungkin bocor, yang meningkatkan risiko keamanan untuk semua sumber daya dalam akun Anda. Gunakan Layanan Token Keamanan (STS) atau konfigurasikan variabel lingkungan untuk mendapatkan izin akses.
Aktifkan Single Sign-On (SSO) untuk pengguna RAM agar mereka dapat masuk ke Konsol Manajemen Alibaba Cloud dan mengakses sumber daya Alibaba Cloud dari sistem manajemen identitas perusahaan mereka.
Operasi terkait
Grup pengguna RAM
Jika Anda menggunakan akun Alibaba Cloud untuk membuat beberapa pengguna RAM, kelompokkan pengguna RAM tersebut untuk mempermudah manajemen izin. Misalnya, Anda dapat memberikan izin yang sama kepada semua pengguna RAM dalam grup pengguna RAM yang sama. Perhatikan hal-hal berikut:
Berikan izin kepada grup pengguna RAM berdasarkan prinsip hak istimewa minimal.
Hapus pengguna RAM dari grup pengguna RAM jika tugas kerja mereka berubah.
Cabut izin yang diberikan kepada grup pengguna RAM jika izin tersebut tidak lagi diperlukan.
Operasi terkait
Peran RAM
Peran RAM adalah identitas virtual yang dapat ditambahkan kebijakan. Peran RAM tidak memiliki kredensial identitas permanen, seperti kata sandi logon atau pasangan AccessKey. Peran RAM hanya dapat digunakan setelah diasumsikan oleh entitas tepercaya. Setelah diasumsikan, entitas tepercaya dapat memperoleh token Layanan Token Keamanan (STS). Token STS kemudian dapat digunakan untuk mengakses sumber daya Alibaba Cloud sebagai peran RAM.
Perhatikan hal-hal berikut:
Hindari sering mengubah entitas tepercaya peran RAM setelah peran RAM dibuat. Mengubah entitas tepercaya dapat menyebabkan hilangnya izin, yang memengaruhi bisnis Anda. Menambahkan entitas tepercaya juga dapat meningkatkan risiko keamanan karena peningkatan hak istimewa. Pastikan modifikasi sepenuhnya diuji sebelum diterapkan pada peran RAM.
Setelah pengguna RAM dari entitas tepercaya diberi izin yang diperlukan, entitas tepercaya dapat memanggil operasi AssumeRole untuk memperoleh token STS, yang dapat digunakan untuk mengasumsikan peran RAM. Untuk informasi lebih lanjut, lihat AssumeRole. Token STS hanya valid untuk periode waktu tertentu. Tetapkan periode validitas ke nilai yang sesuai untuk mengurangi risiko keamanan.
CatatanMasa berlaku maksimum token STS adalah durasi sesi terpanjang yang ditentukan untuk peran RAM. Tentukan durasi sesi yang sesuai untuk peran RAM guna mengurangi risiko keamanan.
Aktifkan SSO untuk peran RAM agar peran RAM dapat masuk ke Konsol Manajemen Alibaba Cloud dan mengakses sumber daya Alibaba Cloud dari sistem manajemen identitas perusahaan mereka.