全部产品
Search

搜索本产品

    OpenAPI Explorer:Berikan izin untuk diagnosis error API cross-account

    文档中心

    OpenAPI Explorer:Berikan izin untuk diagnosis error API cross-account

    更新时间:Jan 21, 2026

    Saat menggunakan alat diagnosis error, Anda mungkin tidak memiliki izin yang diperlukan untuk mengkueri informasi diagnosis API dari akun lain. Hal ini dapat menghambat analisis error API dan pencarian solusi. Topik ini menjelaskan cara memberikan izin untuk mengkueri informasi diagnosis API dari akun lain.

    Dalam akun Alibaba Cloud yang sama

    Anda dapat memberikan izin yang diperlukan kepada pengguna Resource Access Management (RAM) yang perlu melihat informasi diagnosis API. Hal ini memungkinkan pengguna RAM tersebut untuk melihat informasi diagnosis API milik pengguna RAM atau role RAM lainnya.

    Langkah 1: Buat kebijakan kustom

    1. Login ke menggunakan Akun Alibaba Cloud atau akun administrator RAM.

    2. Di panel navigasi sebelah kiri, pilih Permissions > Policies.

    3. Pada halaman Policies, klik Create Policy.

      image

    4. Pada halaman Create Policy, klik tab JSON.

      image

    5. Di editor, ganti konten yang ada dengan isi kebijakan berikut, lalu klik OK.

      {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "openapiexplorer:GetRequestLog",
                "ram:DecodeDiagnosticMessage"
            ],
            "Resource": "*"
        }
    ]
}
      Catatan

      Kebijakan ini memungkinkan pengguna untuk melihat semua log panggilan API dan detail error permission-denied untuk Akun Alibaba Cloud tersebut.

    6. Masukkan nama dan deskripsi untuk kebijakan tersebut, lalu klik OK.

    Langkah 2: Berikan izin kepada pengguna RAM

    Anda dapat memberikan izin kepada pengguna RAM dengan salah satu cara berikut:

    Langkah 3: Lihat hasil diagnosis API

    Buka halaman , masukkan RequestId, lalu klik Diagnose.

    image

    Antar akun Alibaba Cloud yang berbeda

    Untuk melihat informasi diagnosis API milik akun Alibaba Cloud lain, Anda dapat memperoleh izin yang diperlukan dengan mengasumsikan sebuah role.

    Prosesnya sebagai berikut:

    image

    Akun A: Akun yang mengalami error saat memanggil API.

    Akun B: Akun yang perlu melihat informasi diagnosis API tersebut.

    1. Di Akun A, buat role RAM yang mempercayai Akun B, sehingga memberikan izin kepada Akun B untuk mengasumsikan role tersebut.

    2. Di Akun B, buat pengguna RAM dan sambungkan kebijakan yang mengizinkan pengguna tersebut untuk mengasumsikan role di Akun A.

    3. Pengguna RAM dari Akun B mengasumsikan role di Akun A untuk mengkueri informasi diagnosis API menggunakan alat diagnosis error.

    Langkah 1: Buat role RAM dan berikan izin di Akun A

    1. Buat role RAM.

      Login ke Konsol RAM dengan Akun A. Buat role RAM dan atur Principal Type menjadi Cloud Account. Untuk informasi lebih lanjut, lihat Create a RAM role for a trusted Alibaba Cloud account.

      Catatan

      Pilih Other Account untuk Principal Name dan masukkan UID Akun B.

      image

    2. Buat kebijakan kustom.

      Untuk informasi lebih lanjut, lihat Step 1: Create a custom policy.

    3. Berikan izin kepada role RAM.

      Sambungkan kebijakan kustom yang telah Anda buat ke role RAM tersebut. Untuk informasi lebih lanjut, lihat Grant permissions to a RAM role.

    Langkah 2: Buat pengguna RAM dan berikan izin di Akun B

    1. Buat pengguna RAM.

      Login ke Konsol RAM dengan Akun B dan buat pengguna RAM. Untuk informasi lebih lanjut, lihat Create a RAM user.

      Catatan

      Untuk keamanan, konfigurasikan hanya satu mode akses sesuai kebutuhan. Pisahkan akses konsol dan akses programatik.

      image

    2. Berikan izin kepada pengguna RAM.

      Untuk mengizinkan pengguna RAM mengasumsikan role, sambungkan kebijakan AliyunSTSAssumeRoleAccess ke pengguna RAM tersebut. Kebijakan ini memberikan izin untuk mengasumsikan role apa pun. Untuk informasi lebih lanjut, lihat Grant permissions to a RAM user.

      Catatan

      Jika Anda ingin pengguna RAM hanya dapat mengasumsikan role RAM tertentu, lihat FAQ about RAM roles and STS tokens.

    Langkah 3: Asumsikan role RAM dan lihat informasi diagnosis API

    1. Gunakan pengguna RAM yang telah Anda buat di Akun B untuk login ke halaman login pengguna RAM.

    2. Arahkan kursor ke gambar profil di pojok kanan atas, lalu klik Switch Identity.image

    3. Pada halaman Switch Role, masukkan UID akun yang dituju dan nama role RAM, lalu klik Submit untuk login. Sebagai contoh, masukkan UID Akun A dan nama role RAM tersebut.image

    4. Lihat informasi diagnosis API.

      Buka halaman , masukkan RequestId, lalu klik Diagnose.

      image