全部产品
Search

搜索本产品

    :Buat peran RAM dan lampirkan kebijakan yang diperlukan ke peran tersebut

    文档中心

    :Buat peran RAM dan lampirkan kebijakan yang diperlukan ke peran tersebut

    更新时间:Jul 06, 2025

    Peran Manajemen Akses Sumber Daya (RAM) adalah identitas virtual yang dapat memiliki kebijakan terlampir. Peran RAM tidak memiliki kredensial identitas permanen, seperti kata sandi logon atau sepasang AccessKey. Peran RAM hanya dapat digunakan setelah diasumsikan oleh entitas tepercaya. Setelah diasumsikan oleh entitas tepercaya, entitas tersebut dapat memperoleh Token Layanan Keamanan (STS) dan menggunakan token STS untuk mengakses sumber daya Alibaba Cloud sebagai peran RAM.

    Jenis-jenis peran RAM

    Peran RAM diklasifikasikan berdasarkan entitas tepercaya:

    • Peran RAM dengan Entitas Tepercaya adalah Akun Alibaba Cloud: Pengguna RAM dalam akun Alibaba Cloud dapat mengasumsikan jenis peran ini. Pengguna RAM yang mengasumsikan peran ini dapat berasal dari akun pemilik mereka atau akun Alibaba Cloud lainnya. Jenis peran ini digunakan untuk akses lintas akun dan otorisasi sementara.

    • Peran RAM dengan Entitas Tepercaya adalah Layanan Alibaba Cloud: Layanan Alibaba Cloud dapat mengasumsikan jenis peran ini. Peran RAM yang dapat diasumsikan oleh layanan tepercaya diklasifikasikan menjadi dua jenis: peran layanan normal dan peran layanan tertaut. Untuk informasi lebih lanjut tentang peran layanan tertaut, lihat peran layanan tertaut. Jenis peran ini digunakan untuk mengotorisasi akses di seluruh layanan Alibaba Cloud.

    • Peran RAM dengan Entitas Tepercaya adalah Penyedia Identitas (IdP): Pengguna IdP tepercaya dapat mengasumsikan jenis peran ini. Jenis peran ini digunakan untuk menerapkan single sign-on (SSO) berbasis peran antara Alibaba Cloud dan IdP tepercaya.

    Langkah 1: Buat peran RAM

    Metode pembuatan peran RAM bervariasi berdasarkan jenis peran. Contoh berikut menjelaskan cara membuat peran RAM dengan entitas tepercaya sebagai akun Alibaba Cloud. Untuk informasi lebih lanjut, lihat Buat Peran RAM untuk Akun Alibaba Cloud Tepercaya, Buat Peran RAM untuk Layanan Alibaba Cloud Tepercaya, dan Buat Peran RAM untuk IdP Tepercaya.

    1. Masuk ke Konsol RAM sebagai pengguna RAM dengan hak administratif.

    2. Di panel navigasi sebelah kiri, pilih Identities > Roles.

    3. Di halaman Roles, klik Create Role.

      image

    4. Di halaman Create Role, atur parameter Principal Type ke Cloud Account, tentukan akun Alibaba Cloud, lalu klik OK.

      image

      • Current Account: Jika Anda ingin pengguna RAM atau peran RAM dalam akun Alibaba Cloud Anda mengasumsikan peran RAM, pilih Current Account.

      • Other Account: Jika Anda ingin pengguna RAM atau peran RAM dalam akun Alibaba Cloud lain mengasumsikan peran RAM, pilih Other Account dan masukkan ID akun Alibaba Cloud. Opsi ini disediakan untuk memberikan izin pada sumber daya milik akun Alibaba Cloud lain. Untuk informasi lebih lanjut, lihat Gunakan Peran RAM untuk Memberikan Izin Lintas Akun Alibaba Cloud. Anda dapat melihat ID akun Alibaba Cloud Anda di halaman Pengaturan Keamanan.

    5. Opsional. Jika Anda ingin peran RAM diasumsikan hanya oleh pengguna RAM atau peran RAM tertentu dalam akun Alibaba Cloud tepercaya, klik Switch to Policy Editor dan ubah kebijakan kepercayaan peran RAM di editor.

      Editor mendukung mode Editor Visual dan JSON. Dalam contoh berikut, hanya pengguna RAM Alice dalam akun Alibaba Cloud dengan ID 100******0719 yang dapat mengasumsikan peran RAM.

      • Editor Visual

        Tentukan pengguna RAM untuk elemen Principal.

        image

        image

      • JSON

        Tentukan pengguna RAM untuk bidang RAM dari parameter Principal.

        {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "RAM": "acs:ram::100******0719:user/Alice"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    6. Di kotak dialog Create Role, konfigurasikan parameter Role Name dan klik OK.

    Langkah 2: (Opsional) Buat kebijakan kustom

    RAM menyediakan kebijakan sistem dan kebijakan kustom. Kebijakan sistem disediakan oleh Alibaba Cloud dan tidak dapat diubah. Jika kebijakan sistem tidak memenuhi kebutuhan bisnis Anda, Anda dapat membuat kebijakan kustom untuk menerapkan kontrol akses yang lebih rinci.

    Anda dapat membuat kebijakan kustom dengan metode berbeda. Dalam contoh ini, kebijakan kustom dibuat di tab Editor Visual. Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom.

    1. Masuk ke Konsol RAM sebagai pengguna RAM dengan hak administratif.

    2. Di panel navigasi sebelah kiri, pilih Permissions > Policies.

    3. Di halaman Policies, klik Create Policy.

      image

    4. Di halaman Create Policy, klik tab Visual editor.

      image

    5. Konfigurasikan kebijakan.

      Untuk informasi lebih lanjut, lihat Elemen Dasar Kebijakan.

      1. Di bagian Effect, pilih Allow atau Deny.

      2. Di bagian Service, pilih layanan Alibaba Cloud.

        Catatan

        Layanan Alibaba Cloud yang dapat dipilih ditampilkan di bagian Layanan.

      3. Di bagian Action, pilih All action(s) atau Select action(s).

        Sistem menampilkan aksi yang dapat dikonfigurasi berdasarkan layanan Alibaba Cloud yang dipilih di langkah sebelumnya. Jika Anda memilih Select action(s), Anda harus memilih aksi.

      4. Di bagian Resource, pilih All resource(s) atau Specified resource(s).

        Sistem menampilkan sumber daya yang dapat dikonfigurasi berdasarkan aksi yang dipilih di langkah sebelumnya. Jika Anda memilih Specified resource(s), Anda harus mengklik Add resource untuk mengonfigurasi satu atau lebih Nama Sumber Daya Alibaba Cloud (ARN). Anda juga dapat mengklik Match all untuk memilih semua sumber daya untuk setiap aksi yang dipilih.

        Catatan

        ARN sumber daya yang diperlukan untuk suatu aksi ditandai dengan Required. Kami sangat menyarankan Anda mengonfigurasi ARN sumber daya yang ditandai dengan Diperlukan. Ini memastikan bahwa kebijakan kustom berfungsi sesuai harapan.

      5. Di bagian Condition, klik Add condition untuk mengonfigurasi kondisi.

        Kondisi mencakup kondisi umum Alibaba Cloud dan kondisi spesifik layanan. Sistem menampilkan kondisi yang dapat dikonfigurasi berdasarkan layanan Alibaba Cloud dan aksi yang dipilih. Anda hanya perlu memilih kunci kondisi dan mengonfigurasi parameter Operator dan Value.

      6. Klik Add statement dan ulangi langkah-langkah sebelumnya untuk mengonfigurasi beberapa pernyataan kebijakan kustom.

    6. Klik Optimize di bagian atas. Di pesan Optimalkan, klik Perform untuk mengoptimalkan kebijakan.

      Sistem melakukan operasi berikut selama optimasi tingkat lanjut:

      • Pisahkan sumber daya atau kondisi yang tidak kompatibel dengan aksi.

      • Persempit sumber daya.

      • Hapus duplikat atau gabungkan pernyataan kebijakan.

    7. Di halaman Create Policy, klik OK.

    8. Di kotak dialog Create Policy, konfigurasikan parameter Name dan Description dan klik OK.

    Langkah 3: Berikan izin ke peran RAM

    Saat memberikan izin ke peran RAM, kami sarankan Anda hanya memberikan izin yang diperlukan berdasarkan prinsip hak istimewa minimal.

    1. Masuk ke Konsol RAM sebagai administrator RAM.

    2. Di panel navigasi sebelah kiri, pilih Identities > Roles.

    3. Di halaman Roles, temukan peran RAM yang ingin dikelola dan klik Grant Permission di kolom Actions.

      image

      Anda juga dapat memilih beberapa peran RAM dan klik Grant Permission di bagian bawah daftar peran RAM untuk memberikan izin ke beberapa peran RAM sekaligus.

    4. Di panel Grant Permission, berikan izin ke peran RAM.

      1. Konfigurasikan parameter Ruang Lingkup Sumber Daya.

        • Account: Otorisasi berlaku untuk akun Alibaba Cloud saat ini.

        • Resource Group: Otorisasi berlaku untuk grup sumber daya tertentu.

          Catatan

          Jika Anda memilih Grup Sumber Daya untuk parameter Ruang Lingkup Sumber Daya, pastikan layanan cloud yang diperlukan mendukung grup sumber daya. Untuk informasi lebih lanjut, lihat Layanan yang Bekerja dengan Grup Sumber Daya.

      2. Konfigurasikan parameter Principal.

        Principal adalah peran RAM yang ingin diberikan izin. Peran RAM saat ini dipilih secara otomatis.

      3. Konfigurasikan parameter Kebijakan.

        Kebijakan adalah sekumpulan izin akses. Anda dapat memilih beberapa kebijakan sekaligus.

        • Kebijakan sistem: kebijakan yang dibuat oleh Alibaba Cloud. Anda dapat menggunakan tetapi tidak dapat mengubah kebijakan ini. Pembaruan versi kebijakan dipertahankan oleh Alibaba Cloud. Untuk informasi lebih lanjut, lihat Layanan yang Bekerja dengan RAM.

          Catatan

          Sistem secara otomatis mengidentifikasi kebijakan sistem berisiko tinggi, seperti AdministratorAccess dan AliyunRAMFullAccess. Kami menyarankan Anda untuk tidak memberikan izin yang tidak perlu dengan melampirkan kebijakan berisiko tinggi.

        • Kebijakan kustom: Anda dapat mengelola dan memperbarui kebijakan kustom sesuai kebutuhan bisnis Anda. Anda dapat membuat, memperbarui, dan menghapus kebijakan kustom. Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom.

      4. Klik Grant permissions.

    5. Klik Close.

    Langkah 4: Asumsikan peran RAM untuk mengakses Alibaba Cloud menggunakan entitas tepercaya

    1. Peroleh token STS untuk peran RAM di Konsol Manajemen Alibaba Cloud atau dengan memanggil operasi. Untuk informasi lebih lanjut, lihat topik-topik berikut:

    2. Asumsikan peran RAM untuk mengakses sumber daya Alibaba Cloud tertentu.