All Products
Search

This Product

    Resource Access Management:Identifikasi akses eksternal

    Document Center

    Resource Access Management:Identifikasi akses eksternal

    Last Updated:May 28, 2026

    Gunakan external access analyzer untuk mendeteksi resource yang dibagikan dengan identitas di luar direktori sumber daya atau akun Anda.

    Ikhtisar

    Apa itu external access analyzer?

    External access analyzer mengidentifikasi resource yang dibagikan dengan akun eksternal dalam akun atau direktori sumber daya Anda. Beberapa resource Alibaba Cloud, seperti bucket OSS dan RAM role, mendukung kebijakan berbasis resource yang memberikan akses kepada identitas eksternal. Analyzer ini terus-menerus memantau resource tersebut dan menghasilkan findings untuk setiap pembagian eksternal. Setiap finding menjelaskan identitas eksternal dan izin yang diberikan.

    Trust zone

    Saat membuat analyzer, Anda memilih cakupan analisis berupa Current Account atau Resource Directory. Cakupan ini menentukan trust zone analyzer tersebut. Analyzer memantau resource yang didukung di dalam trust zone dan menganggap akses dari identitas apa pun di dalam zona ini sebagai tepercaya. Jika trust zone-nya adalah Current Account, hanya identitas dalam akun tersebut yang dianggap tepercaya. Jika trust zone-nya adalah Resource Directory, identitas dari semua akun dalam direktori tersebut dianggap tepercaya, sedangkan identitas di luar direktori tidak.

    Jenis resource yang didukung

    • OSS buckets

      Analyzer mengevaluasi ACL dan kebijakan bucket terhadap pengaturan Block Public Access. Jika sebuah bucket mengizinkan akses dari entitas di luar trust zone, seperti pengguna anonim, analyzer akan menghasilkan finding aktif.

    • RAM roles

      Analyzer mengevaluasi kebijakan kepercayaan (trust policy) dari RAM role. Trust policy menentukan entitas mana yang dapat mengasumsikan role tersebut. Jika entitas di luar trust zone dapat mengasumsikan RAM role di dalam trust zone, analyzer akan menghasilkan finding aktif.

    Buat external access analyzer

    1. Masuk ke RAM console sebagai RAM user yang memiliki hak administratif.

    2. Di panel navigasi kiri, pilih Access Analysis > Analyzers.

    3. Di bilah navigasi atas, pilih wilayah.

      Catatan

      Analyzer hanya memantau resource di wilayahnya sendiri. Untuk mencakup wilayah lain, buat analyzer di setiap wilayah tersebut. Resource yang dideploy di wilayah pusat, seperti RAM role, dapat dianalisis dari wilayah mana pun.

    4. Klik Create Analyzer, masukkan nama, pilih External Access sebagai tipe, atur cakupan, lalu klik Create Analyzer..

      Catatan

      Analyzer dengan cakupan Resource Directory hanya dapat dibuat menggunakan management account dari resource directory.

      Anda juga harus memilih Region, misalnya China (Hangzhou). Tindakan ini secara otomatis membuat service-linked role AliyunServiceRoleForAccessAnalyzer.

    Setelah dibuat, analyzer mulai mendeteksi akses eksternal dalam cakupannya. Pembuatan findings mungkin memerlukan waktu.

    Lihat dan kelola temuan

    Lihat findings

    Lihat findings di halaman Analyzers atau halaman Findings.

    Di halaman Analyzers, klik nama analyzer untuk melihat detailnya. Halaman tersebut menampilkan Analyzer Name, status berjalan, Analyzer Type, Analyzer Scope, waktu pembuatan, ARN, dan waktu analisis terakhir. Tab Findings mencantumkan findings dengan kolom Finding ID, Resource, resource owner, status, Update Time, dan Actions (seperti archive). Anda dapat menyaring findings berdasarkan filter key dan match type.

    Di halaman Findings, pada tab Findings, atur kriteria filter menggunakan filter key dan match type (misalnya, status sama dengan active). Tabel hasil menampilkan Finding ID, Resource, resource owner, status, Update Time, dan Actions. Klik archive untuk mengarsipkan finding, atau klik Save as Archive Rule untuk menyimpan filter saat ini sebagai aturan.

    Saring findings

    Saring findings berdasarkan Resource, Resource Type, Resource Owner, atau Status.

    Catatan

    Kondisi filter yang ditampilkan di konsol berlaku.

    Misalnya, untuk memeriksa akses publik:

    Atur filter key menjadi public access, match type menjadi equals, dan filter value menjadi true. Lalu, tambahkan kondisi filter di mana status sama dengan active.

    Lihat detail finding

    Dalam daftar findings, klik Finding ID untuk melihat detailnya.

    Halaman detail finding menampilkan bagian Basic Information dan Details. Informasi Dasar mencakup Analyzer Name, Finding Type, status, Resource Type, Resource ARN, resource owner, serta waktu pembuatan, analisis, dan pembaruan. Tab Details menunjukkan apakah resource tersebut Is Public dan mencantumkan tabel External Principal dengan kolom jenis principal, identifier, aksi yang diizinkan, dan kondisi akses. Tombol Rescan tersedia di pojok kanan atas.

    Berdasarkan finding tersebut, lakukan salah satu tindakan berikut:

    • Jika pembagian tersebut disengaja, klik Archive untuk mengarsipkan finding.

    • Jika pembagian tersebut tidak disengaja, klik Go for Governance (untuk resource di akun saat ini) atau Copy Resource URL (untuk resource di luar akun saat ini) untuk membuka halaman resource dan memperbaiki pengaturan aksesnya.

    Secara Otomatis Arsipkan Temuan

    Selain mengarsipkan findings satu per satu secara manual, Anda dapat membuat aturan arsip (archive rules) untuk secara otomatis mengarsipkan findings yang tidak memerlukan tata kelola.

    Buat dan simpan aturan arsip di halaman Findings. Findings baru yang sesuai dengan kriteria aturan akan secara otomatis diarsipkan.

    Di halaman Findings List, atur kriteria filter menggunakan dropdown filter key, match type, dan filter value, lalu klik Save as Archive Rule.

    Aturan ini tidak berlaku untuk findings yang sudah ada. Untuk menerapkannya secara retroaktif, buka halaman detail Analyzers dan klik Apply Archive Rule di kolom Actions pada daftar aturan arsip.