All Products
Search

This Product

    Object Storage Service:Akses lintas akun ke OSS menggunakan peran RAM

    Document Center

    Object Storage Service:Akses lintas akun ke OSS menggunakan peran RAM

    Last Updated:May 07, 2026

    Secara default, hanya pemilik sumber daya Object Storage Service (OSS) yang dapat mengaksesnya. Anda dapat menggunakan peran Resource Access Management (RAM) dan fitur asumsi peran untuk memberikan akses lintas akun ke sumber daya OSS secara aman. Pendekatan ini berguna dalam skenario bisnis yang memerlukan kolaborasi antardepartemen internal atau akses bagi mitra eksternal.

    Ikhtisar solusi

    Sebagai contoh, untuk memberikan akses Akun Alibaba Cloud B ke sumber daya yang dimiliki oleh Akun A, ikuti langkah-langkah inti berikut:

    1. Akun A membuat peran RAM yang memercayai Akun B dan memberikan izin kepada peran tersebut untuk mengakses OSS.

    2. Akun B memberikan izin kepada pengguna RAM untuk mengasumsikan peran tersebut. Pengguna tersebut kemudian mengasumsikan peran RAM milik Akun A guna mengakses sumber daya OSS tertentu.

    Implementasi

    Langkah 1: Buat peran RAM dan berikan izin

    Akun A harus membuat peran RAM yang memercayai Akun B dan menetapkan izin akses OSS kepada peran tersebut. Setelah dikonfigurasi, Akun B dapat mengakses sumber daya OSS milik Akun A secara aman dengan mengasumsikan peran ini.

    1. Buat peran RAM

      1. Buka halaman RAM Roles dan klik Create Role.

      2. Untuk Principal Type, pilih Cloud Account. Untuk Principal Name, pilih Other Alibaba Cloud Account, lalu masukkan ID Akun Alibaba Cloud B, misalnya 170593091407****.

        Catatan

        Setelah peran RAM dibuat, peran tersebut dapat diasumsikan oleh semua pengguna RAM dan peran RAM dalam Akun B secara default. Jika Anda hanya ingin mengizinkan pengguna atau peran RAM tertentu untuk mengasumsikan peran ini, ubah kebijakan kepercayaan peran RAM tersebut. Untuk informasi selengkapnya, lihat Modify the trusted entity of a RAM role to an Alibaba Cloud account.

      3. Klik OK. Masukkan nama peran, lalu klik OK untuk membuat peran.

    2. Berikan izin kepada peran RAM

      Langkah-langkah berikut menjelaskan cara memberikan izin menggunakan kebijakan sistem read-only untuk OSS. Untuk memberikan kebijakan kustom, lihat Grant a custom policy.

      1. Buka halaman RAM Roles. Temukan peran RAM yang dituju, lalu pada kolom Actions-nya, klik Attach Policy.

      2. Cari dan pilih kebijakan AliyunOSSReadOnlyAccess, lalu klik OK.

    Langkah 2: Asumsikan peran RAM untuk akses lintas akun

    Akun B harus membuat pengguna RAM atau menggunakan pengguna yang sudah ada, serta memberikan izin kepada pengguna tersebut untuk mengasumsikan peran. Setelah izin diberikan, pengguna RAM dapat mengasumsikan peran RAM milik Akun A untuk mengakses sumber daya OSS.

    1. Buat Pengguna RAM

      1. Buka halaman RAM Users dan klik Create User.

      2. Masukkan Logon Name dan pilih Access Mode. Untuk contoh ini, pilih Console Access.

      3. Klik OK untuk membuat pengguna.

    2. Berikan izin kepada pengguna RAM untuk mengasumsikan peran

      1. Buka halaman RAM Users. Temukan pengguna RAM yang dituju, lalu pada kolom Actions-nya, klik Add Permissions.

      2. Cari dan pilih kebijakan AliyunSTSAssumeRoleAccess, lalu klik OK.

    Langkah 3: Verifikasi akses lintas akun

    Setelah mengonfigurasi izin, Anda dapat menggunakan pengguna RAM dari Akun B untuk mengakses sumber daya OSS milik Akun A. Langkah-langkah berikut menjelaskan cara memverifikasi akses dari Konsol.

    1. Buka Alibaba Cloud logon page dan login sebagai pengguna RAM dari Akun B.

    2. Di pojok kanan atas, klik foto profil Anda lalu klik Switch Identity. Masukkan informasi Akun Alibaba Cloud A dan nama peran RAM, lalu klik Submit.

    3. Buka halaman Buckets untuk mengakses sumber daya OSS yang telah diotorisasi oleh Akun A.

    Referensi

    Use a bucket policy for cross-department data sharing