全部产品
Search

搜索本产品

    Resource Access Management:Proses evaluasi kebijakan

    文档中心

    Resource Access Management:Proses evaluasi kebijakan

    更新时间:Jul 06, 2025

    Jika identitas Resource Access Management (RAM) memulai permintaan akses sumber daya, proses evaluasi kebijakan dilakukan untuk menentukan apakah permintaan tersebut diizinkan. Identitas RAM mencakup pengguna atau peran RAM. Permintaan dapat diinisialisasi melalui Konsol Manajemen Alibaba Cloud, operasi API, atau CLI. Topik ini menjelaskan proses evaluasi kebijakan dari Alibaba Cloud.

    Ikhtisar

    Alibaba Cloud menyediakan berbagai jenis kebijakan. Proses evaluasi kebijakan lengkap mencakup langkah-langkah berikut:

    1. Alibaba Cloud mengumpulkan semua jenis kebijakan yang terlibat dalam permintaan akses, termasuk kebijakan kontrol, kebijakan sesi, kebijakan berbasis identitas, dan kebijakan berbasis sumber daya.

    2. Alibaba Cloud mengevaluasi kebijakan secara berurutan. Untuk informasi lebih lanjut, lihat bagian Proses Evaluasi Dasar. Setelah mengevaluasi suatu kebijakan, Alibaba Cloud memutuskan apakah akan mengevaluasi kebijakan berikutnya berdasarkan hasil evaluasi tersebut. Evaluasi berlanjut hingga keputusan akhir diperoleh.

    Proses evaluasi dasar

    Semua jenis kebijakan dievaluasi berdasarkan proses evaluasi dasar, seperti yang ditunjukkan pada gambar berikut.

    Aturan Penilaian Internal Kebijakan

    Proses evaluasi dasar mencakup langkah-langkah berikut:

    1. Alibaba Cloud pertama-tama memeriksa apakah kebijakan yang terlibat dalam permintaan mencakup pernyataan Tolak, karena pernyataan Tolak memiliki prioritas lebih tinggi daripada pernyataan Izinkan dalam evaluasi kebijakan.

      • Jika kebijakan mencakup pernyataan Tolak, evaluasi berakhir dengan hasil Tolak Eksplisit.

      • Jika kebijakan tidak mencakup pernyataan Tolak, evaluasi berlanjut.

    2. Alibaba Cloud memeriksa apakah kebijakan mencakup pernyataan Izinkan.

      • Jika kebijakan mencakup pernyataan Izinkan, evaluasi berakhir dengan hasil Izinkan.

      • Jika kebijakan tidak mencakup pernyataan Izinkan, evaluasi berakhir dengan hasil Tolak Implisit.

    Tabel berikut menjelaskan keputusan yang mungkin.

    Keputusan

    Deskripsi

    Izinkan

    Jika kebijakan mencakup pernyataan Izinkan dan bukan pernyataan Tolak, Izinkan dikembalikan.

    Tolak Eksplisit

    Jika kebijakan mencakup pernyataan Tolak, Tolak Eksplisit dikembalikan. Jika kebijakan mencakup baik pernyataan Tolak maupun Izinkan, pernyataan Tolak memiliki prioritas lebih tinggi daripada pernyataan Izinkan. Dalam hal ini, Tolak Eksplisit dikembalikan.

    Tolak Implisit

    Jika kebijakan tidak mencakup pernyataan Izinkan atau Tolak, Tolak Implisit dikembalikan. Secara default, semua permintaan yang dimulai oleh identitas RAM secara implisit ditolak.

    Proses evaluasi standar

    Gambar berikut menunjukkan cara kebijakan dievaluasi dan bagaimana keputusan akhir dibuat.

    Catatan

    Sebagian besar layanan Alibaba Cloud dipisahkan berdasarkan akun Alibaba Cloud. Beberapa layanan mengizinkan akses dalam akun yang sama, sementara beberapa layanan, seperti Object Storage Service (OSS), mendukung akses lintas akun. Proses evaluasi kebijakan berlaku untuk semua kasus.

    Proses Penilaian Lengkap Kebijakan

    Proses evaluasi standar mencakup langkah-langkah berikut:

    1. Evaluasi Kebijakan Kontrol

      Kebijakan kontrol digunakan untuk mengelola batas izin anggota dalam direktori sumber daya. Jika Anda ingin mengakses sumber daya anggota dalam direktori sumber daya dan kebijakan kontrol ada, Alibaba Cloud mengevaluasi kebijakan kontrol berdasarkan proses evaluasi dasar. Untuk informasi lebih lanjut, lihat bagian Proses Evaluasi Dasar. Jika tidak, langkah ini dilewati.

      Alibaba Cloud memutuskan apakah akan mengevaluasi kebijakan berikutnya berdasarkan hasil evaluasi:

      • Jika hasilnya Tolak Eksplisit atau Tolak Implisit, evaluasi berakhir dengan hasil tersebut sebagai keputusan akhir.

      • Jika hasilnya Izinkan, evaluasi berlanjut.

      Penting

      Kebijakan kontrol akses yang dikonfigurasikan dalam direktori sumber daya berlaku untuk semua pengguna RAM dan peran RAM dalam anggota terkait di direktori sumber daya. Namun, kebijakan tersebut tidak berlaku untuk pengguna root dari anggota. Selain itu, akun manajemen direktori sumber daya berada di luar direktori sumber daya dan tidak termasuk dalam cakupan kebijakan kontrol akses.

    2. Evaluasi Kebijakan Sesi

      Kebijakan sesi adalah kebijakan yang dilewatkan sebagai parameter saat membuat sesi sementara secara programatik untuk peran RAM. Untuk membuat sesi peran secara programatik, panggil operasi AssumeRole. Jika peran RAM memulai permintaan akses dan kebijakan sesi ada, Alibaba Cloud mengevaluasi kebijakan sesi berdasarkan proses evaluasi dasar. Untuk informasi lebih lanjut, lihat bagian Proses Evaluasi Dasar. Jika tidak, langkah ini dilewati.

      Alibaba Cloud memutuskan apakah akan mengevaluasi kebijakan berikutnya berdasarkan hasil evaluasi:

      • Jika hasilnya Tolak Eksplisit atau Tolak Implisit, evaluasi berakhir dengan hasil tersebut sebagai keputusan akhir.

      • Jika hasilnya Izinkan, evaluasi berlanjut.

    3. Evaluasi Kebijakan Berbasis Identitas dan Berbasis Sumber Daya

      Kebijakan berbasis identitas dan kebijakan berbasis sumber daya dievaluasi secara bersamaan. Keputusan disimpan sementara dan kemudian digabungkan nanti.

      • Evaluasi Kebijakan Berbasis Identitas

        Untuk pengguna RAM, kebijakan berbasis identitas mencakup kebijakan yang dilampirkan pada pengguna RAM dan kebijakan yang diwarisi dari grup tempat pengguna RAM tersebut berada. Untuk peran RAM, kebijakan berbasis identitas adalah kebijakan yang dilampirkan pada peran RAM. Kebijakan berbasis identitas diklasifikasikan menjadi kebijakan kelas akun dan kebijakan kelas grup sumber daya, dengan granularitas otorisasi yang berbeda. Selama evaluasi, kebijakan kelas akun memiliki prioritas lebih tinggi daripada kebijakan kelas grup sumber daya.

        Proses evaluasi berikut digunakan untuk mengevaluasi kebijakan berbasis identitas:

        1. Alibaba Cloud memeriksa apakah identitas RAM yang memulai permintaan memiliki kebijakan berbasis identitas kelas akun.

          • Jika kebijakan berbasis identitas kelas akun ada, Alibaba Cloud mengevaluasi kebijakan tersebut berdasarkan proses evaluasi dasar. Untuk informasi lebih lanjut, lihat bagian Proses Evaluasi Dasar. Alibaba Cloud memutuskan apakah akan mengevaluasi kebijakan berikutnya berdasarkan hasil evaluasi:

            • Jika hasilnya Tolak Eksplisit atau Izinkan, evaluasi berakhir. Hasil tersebut disimpan sementara sebagai Keputusan A.

            • Jika hasilnya Tolak Implisit, evaluasi berlanjut.

          • Jika tidak ada kebijakan berbasis identitas kelas akun, evaluasi berlanjut.

        2. Alibaba Cloud memeriksa apakah identitas RAM yang memulai permintaan memiliki kebijakan berbasis identitas kelas grup sumber daya.

          • Jika kebijakan berbasis identitas kelas grup sumber daya ada, Alibaba Cloud mengevaluasi kebijakan tersebut berdasarkan proses evaluasi dasar. Untuk informasi lebih lanjut, lihat bagian Proses Evaluasi Dasar. Hasil evaluasi disimpan sementara sebagai Keputusan A.

          • Jika tidak ada kebijakan berbasis identitas kelas grup sumber daya, Tolak Implisit disimpan sebagai Keputusan A.

      • Evaluasi Kebijakan Berbasis Sumber Daya

        Alibaba Cloud memeriksa apakah sumber daya yang akan diakses memiliki kebijakan berbasis sumber daya.

        • Jika kebijakan berbasis sumber daya ada, Alibaba Cloud mengevaluasi kebijakan tersebut berdasarkan proses evaluasi dasar. Untuk informasi lebih lanjut, lihat bagian Proses Evaluasi Dasar. Hasil evaluasi disimpan sementara sebagai Keputusan B.

        • Jika tidak ada kebijakan berbasis sumber daya, Tolak Implisit disimpan sebagai Keputusan B.

        Catatan

        Alibaba Cloud menyediakan kebijakan bucket untuk Bucket OSS dan kebijakan kepercayaan untuk peran RAM. Jika sumber daya yang akan diakses bukan Bucket OSS atau peran RAM, langkah ini dilewati. Keputusan yang dihasilkan dari kebijakan berbasis identitas dianggap sebagai keputusan akhir.

    4. Penggabungan Keputusan

      Alibaba Cloud menggabungkan Keputusan A dan Keputusan B menggunakan logika berikut:

      • Jika hasilnya Tolak Eksplisit, keputusan akhir adalah Tolak Eksplisit. Evaluasi berakhir.

      • Jika hasilnya Izinkan, keputusan akhir adalah Izinkan. Evaluasi berakhir.

      • Jika tidak ada hasil Tolak Eksplisit atau Izinkan, keputusan akhir adalah Tolak Implisit. Evaluasi berakhir.

      Catatan

      • Selain logika di atas, logika penggabungan juga bergantung pada layanan cloud tempat sumber daya yang akan diakses berada. Untuk informasi tentang pengecualian, lihat Proses Evaluasi Kebijakan untuk Mengasumsikan Peran RAM.

      • Jika sumber daya yang akan diakses milik OSS, daftar kontrol akses (ACL) bucket atau ACL objek dievaluasi setelah kebijakan dievaluasi. Untuk informasi lebih lanjut, lihat Otorisasi.

      Jika keputusan akhir adalah Izinkan, permintaan diizinkan. Jika keputusan akhir adalah Tolak Eksplisit atau Tolak Implisit, permintaan ditolak.