Seorang administrator mungkin memberikan izin berlebihan kepada identitas RAM (Resource Access Management), termasuk pengguna dan peran RAM. Fitur audit izin memungkinkan Anda memeriksa izin yang diberikan kepada identitas RAM serta waktu terakhir izin tersebut diakses. Berdasarkan informasi ini, Anda dapat mengidentifikasi dan mencabut izin yang tidak digunakan secara aman, sehingga menerapkan prinsip hak istimewa minimal untuk identitas RAM.
Catatan Penggunaan
Sebelum menggunakan fitur audit izin untuk memodifikasi izin identitas RAM, perhatikan instruksi berikut:
Periode Pelacakan
Hanya permintaan akses sejak 1 Februari 2024 yang dilacak. Data waktu akses terakhir mungkin tertunda hingga 24 jam.
Percobaan Akses
Semua permintaan akses ke layanan Alibaba Cloud dicatat, baik berhasil maupun gagal. Permintaan ini mencakup upaya masuk ke konsol layanan Alibaba Cloud, akses melalui CLI atau SDK, serta pemanggilan operasi API. Permintaan akses tak terduga yang terdeteksi oleh fitur audit izin tidak berarti akun Anda telah disusupi karena permintaan tersebut mungkin telah ditolak. Untuk detail lebih lanjut, Anda dapat memeriksa log ActionTrail.
Pemilik Laporan
Hanya entitas yang menghasilkan laporan audit izin yang dapat melihat catatan akses izin dalam laporan tersebut. Catatan akses izin tidak tersedia di Konsol Manajemen Alibaba Cloud sampai laporan berhasil dihasilkan. Untuk menggunakan API, SDK, atau CLI guna melihat catatan akses izin, kredensial akses harus sama dengan milik pemilik laporan. Jika token Layanan Keamanan (STS) sementara dari peran RAM digunakan untuk menghasilkan laporan, Anda harus menggunakan token STS sementara dari peran tersebut untuk melihat catatan akses izin.
Kebijakan yang Didukung
Fitur audit izin hanya menganalisis kebijakan berbasis identitas, yaitu kebijakan yang dilampirkan pada pengguna RAM, grup pengguna RAM, dan peran RAM. Fitur ini tidak menganalisis jenis kebijakan lainnya, seperti kebijakan bucket Object Storage Service (OSS), kebijakan kontrol direktori sumber daya, atau kebijakan sesi.
Granularitas Audit yang Didukung
Tingkat Layanan
Fitur audit izin menganalisis catatan akses izin identitas RAM pada tingkat layanan. Anda dapat melihat izin yang diberikan kepada identitas RAM pada layanan Alibaba Cloud, layanan yang diakses, serta waktu terakhir setiap layanan diakses. Ini membantu Anda mencabut kebijakan sistem yang tidak perlu atau menurunkan izin administrator menjadi izin manajemen pada layanan tertentu.
Untuk daftar layanan Alibaba Cloud yang didukung oleh fitur audit izin, lihat Layanan yang bekerja dengan fitur audit izin.
Tingkat Operasi
Selain granularitas layanan, fitur audit izin juga menganalisis catatan akses izin pada tingkat operasi API. Anda dapat melihat izin yang diberikan pada operasi API tertentu, operasi API yang diakses, serta waktu terakhir setiap operasi diakses. Ini membantu Anda melakukan kontrol izin halus dan membatasi izin berisiko tinggi.
Untuk daftar layanan Alibaba Cloud yang mendukung audit izin tingkat operasi, lihat tabel dalam topik Layanan yang bekerja dengan fitur audit izin. Dalam tabel, Operasi ditampilkan untuk layanan yang mendukung audit izin tingkat operasi di kolom Granularitas Audit.
PentingFitur audit izin hanya mendukung operasi API yang terintegrasi pada bidang kontrol ActionTrail, tetapi tidak mendukung operasi API yang disimpan pada bidang data layanan Alibaba Cloud, seperti operasi GetObject dari OSS.
Selain itu, fitur audit izin tidak mendukung operasi yang diberikan izin tetapi tidak terkait dengan API, seperti
ram:PassRole.
Skenario yang Tidak Didukung oleh Fitur Audit Izin
Dalam beberapa skenario, layanan Alibaba Cloud memeriksa izin pemanggil API atas nama pemanggil. Sebagai contoh, ketika pemanggil menggunakan Pusat Sumber Daya untuk mencari sumber daya di seluruh layanan dan wilayah, Pusat Sumber Daya memeriksa apakah pemanggil memiliki izin untuk menanyakan sumber daya dari layanan yang diperlukan dan hanya mengembalikan sumber daya yang pemanggil miliki izinnya. Operasi pemeriksaan izin ini tidak dimulai langsung oleh pemanggil dan karenanya tidak termasuk dalam informasi audit izin.
Tabel berikut mencantumkan operasi API yang melibatkan operasi pemeriksaan izin sebelumnya.
Layanan Alibaba Cloud | Kode Layanan | API |
Pusat Sumber Daya | resourcecenter | SearchResources |
GetResourceCounts | ||
GetResourceConfiguration | ||
ListResourceTypes | ||
ExecuteSQLQuery | ||
Manajemen Sumber Daya | resourcemanager | ListResources |
Layanan Tag | tag | ListTagResources |
ListTagKeys | ||
ListTagValues |
Lihat Catatan Akses Izin Pengguna RAM
Masuk ke Konsol RAM sebagai pengguna RAM dengan hak administratif.
Di panel navigasi sisi kiri, pilih .
Di halaman Users, klik nama pengguna RAM yang ingin Anda kelola.
Di halaman detail pengguna, klik tab Policy Access Beta.
Sistem mulai menghasilkan laporan audit izin untuk pengguna RAM. Tunggu hingga laporan berhasil dihasilkan.
Lihat catatan akses izin.
Anda dapat melihat layanan Alibaba Cloud yang dapat diakses oleh pengguna RAM, kebijakan yang dilampirkan, serta waktu terakhir setiap layanan diakses.
Untuk layanan yang mendukung audit izin tingkat operasi, klik View Actions di kolom Actions untuk melihat daftar operasi API yang diizinkan dan waktu terakhir setiap operasi diakses.
Lihat Catatan Akses Izin Peran RAM
Masuk ke Konsol RAM sebagai pengguna RAM dengan hak administratif.
Di panel navigasi sisi kiri, pilih .
Di halaman Roles, klik nama peran RAM yang ingin Anda kelola.
Di halaman detail peran, klik tab Policy Access Beta.
Sistem mulai menghasilkan laporan audit izin untuk peran RAM. Tunggu hingga laporan berhasil dihasilkan.
CatatanPeran terkait layanan tidak mendukung audit izin. Oleh karena itu, tab Policy Access Beta tidak ditampilkan untuk peran terkait layanan.
Lihat catatan akses izin.
Anda dapat melihat layanan Alibaba Cloud yang dapat diakses oleh peran RAM, kebijakan yang dilampirkan, serta waktu terakhir setiap layanan diakses.
Untuk layanan yang mendukung audit izin tingkat operasi, klik View Actions di kolom Actions untuk melihat daftar operasi API yang diizinkan dan waktu terakhir setiap operasi diakses.
FAQ tentang Audit Izin
Apa yang harus saya lakukan jika laporan audit izin kosong dikembalikan?
Laporan audit izin kosong mungkin dikembalikan karena alasan yang berbeda. Lakukan langkah-langkah berikut untuk memecahkan masalah:
Periksa apakah kebijakan berbasis identitas dilampirkan pada identitas RAM. Untuk pengguna RAM, pastikan setidaknya satu kebijakan dilampirkan pada pengguna atau diwarisi dari grup pengguna RAM. Untuk peran RAM, pastikan setidaknya satu kebijakan dilampirkan pada peran.
Periksa apakah kebijakan yang dilampirkan pada identitas RAM benar-benar diberi otorisasi. Sistem menganalisis semua kebijakan yang dilampirkan dan mengidentifikasi layanan Alibaba Cloud serta operasi API yang memiliki izin akses.
Periksa apakah layanan Alibaba Cloud atau operasi API yang memiliki izin akses didukung oleh fitur audit izin. Untuk informasi lebih lanjut, lihat Layanan yang bekerja dengan fitur audit izin.
Apa yang harus saya lakukan jika kesalahan InvalidParameter.Policy.Statement dilaporkan ketika saya mencoba melihat laporan audit izin?
Kesalahan ini dilaporkan karena format kebijakan tidak valid. Nama kebijakan dan penyebab kesalahan juga dikembalikan. Periksa detail kebijakan, perbaiki konten yang salah format, dan hasilkan laporan audit izin lagi.
Apa yang harus saya lakukan jika kesalahan InvalidParameter.Policy.NotAction dilaporkan ketika saya mencoba melihat laporan audit izin?
Kesalahan ini dilaporkan karena format elemen NotAction tidak valid. Nama kebijakan yang tidak dapat dianalisis juga dikembalikan. Periksa detail kebijakan, tentukan nilai yang valid untuk elemen tersebut, dan hasilkan laporan audit izin lagi.
Apa yang harus saya lakukan jika kesalahan LengthExceedLimit.Policy dilaporkan ketika saya mencoba melihat laporan audit izin?
Kesalahan ini dilaporkan karena dokumen kebijakan yang dilampirkan terlalu besar untuk dianalisis. Nama kebijakan yang tidak dapat dianalisis juga dikembalikan. Untuk menyelesaikan masalah ini, pisahkan kebijakan berdasarkan pernyataan dan hasilkan laporan audit izin lagi.
Referensi
Untuk informasi lebih lanjut tentang layanan Alibaba Cloud yang didukung oleh fitur audit izin dan granularitas audit, lihat Layanan yang bekerja dengan fitur audit izin.
Anda dapat menggunakan analisis over-privileged untuk mendeteksi identitas RAM yang over-privileged dalam direktori sumber daya atau akun Alibaba Cloud saat ini. Untuk informasi lebih lanjut, lihat Identifikasi identitas over-privileged.