Jika entitas tepercaya mencoba mengasumsikan Peran RAM, proses evaluasi kebijakan dilakukan untuk menentukan apakah permintaan tersebut diizinkan. Permintaan dapat diinisialisasi melalui Konsol Manajemen Alibaba Cloud, API, atau CLI. Topik ini menjelaskan proses evaluasi kebijakan yang berlaku saat Anda mengasumsikan peran Resource Access Management (RAM).
Proses evaluasi kebijakan untuk mengasumsikan Peran RAM serupa dengan proses evaluasi kebijakan lainnya, kecuali pada tahap kombinasi keputusan. Jika Anda sudah familiar dengan proses evaluasi kebijakan, Anda hanya perlu membaca bagian Kombinasi Keputusan dari topik ini. Untuk informasi lebih lanjut, lihat Proses Evaluasi Kebijakan.
Saat membuat peran, Anda harus menentukan entitas tepercaya untuk peran tersebut dengan menambahkan kebijakan kepercayaan. Dalam hal ini, kebijakan kepercayaan berlaku berdasarkan sumber daya. Jika entitas tepercaya mengasumsikan Peran RAM, entitas tersebut memerlukan izin yang sesuai. Dalam hal ini, kebijakan kepercayaan berlaku berdasarkan identitas.
Ketika entitas tepercaya mengasumsikan Peran RAM, peran tersebut menjadi sumber daya yang akan diakses. Alibaba Cloud mengevaluasi kebijakan secara berurutan, seperti yang ditunjukkan pada gambar berikut.
Alibaba Cloud mengevaluasi beberapa jenis kebijakan yang terlibat dalam permintaan berdasarkan Proses Evaluasi Dasar. Proses evaluasi kebijakan terdiri dari langkah-langkah berikut:
Evaluasi Kebijakan Kontrol
Kebijakan kontrol memungkinkan Anda mengelola batasan izin folder atau akun anggota dalam direktori sumber daya. Sebagai contoh, jika Peran RAM yang akan diasumsikan termasuk dalam akun anggota di direktori sumber daya dan fitur Control Policy diaktifkan, Alibaba Cloud mengevaluasi kebijakan kontrol berdasarkan Proses Evaluasi Dasar. Jika tidak, langkah ini dilewati.
Alibaba Cloud memutuskan apakah akan mengevaluasi kebijakan berikutnya berdasarkan keputusan:
Jika Explicit Deny atau Implicit Deny dikembalikan, evaluasi berakhir. Keputusan yang dikembalikan adalah keputusan akhir.
Jika Allow dikembalikan, evaluasi dilanjutkan.
Evaluasi Kebijakan Sesi
Kebijakan sesi adalah kebijakan yang Anda lewatkan sebagai parameter ketika secara programatik membuat sesi sementara untuk Peran RAM. Untuk membuat sesi peran secara programatik, panggil operasi API AssumeRole. Jika Peran RAM memulai permintaan akses dan kebijakan sesi ada, Alibaba Cloud mengevaluasi kebijakan sesi berdasarkan Proses Evaluasi Dasar. Jika tidak, langkah ini dilewati.
CatatanJika Anda menerapkan single sign-on (SSO) berbasis peran, kebijakan sesi tidak tersedia. Oleh karena itu, langkah ini dilewati.
Alibaba Cloud memutuskan apakah akan mengevaluasi kebijakan berikutnya berdasarkan keputusan:
Jika Explicit Deny atau Implicit Deny dikembalikan, evaluasi berakhir. Keputusan yang dikembalikan adalah keputusan akhir.
Jika Allow dikembalikan, evaluasi dilanjutkan.
Evaluasi Kebijakan Berbasis Identitas dan Kebijakan Berbasis Sumber Daya
Kebijakan berbasis identitas dan kebijakan berbasis sumber daya dievaluasi secara bersamaan. Keputusan disimpan sementara untuk digabungkan nanti.
Evaluasi Kebijakan Berbasis Identitas
Untuk pengguna RAM, kebijakan berbasis identitas mencakup kebijakan yang dilampirkan pada pengguna RAM dan kebijakan yang diwarisi dari grup tempat pengguna RAM tersebut berada. Untuk peran RAM, kebijakan berbasis identitas adalah kebijakan yang dilampirkan pada peran RAM. Kebijakan berbasis identitas dibagi menjadi kelas akun dan kelas grup sumber daya, yang memiliki granularitas otorisasi berbeda. Kebijakan berbasis identitas kelas akun memiliki prioritas lebih tinggi daripada kelas grup sumber daya selama evaluasi.
CatatanJika Anda menerapkan SSO berbasis peran, login belum selesai dan kebijakan berbasis identitas tidak tersedia. Oleh karena itu, langkah ini dilewati. Keputusan yang dikembalikan oleh kebijakan berbasis sumber daya dianggap sebagai keputusan akhir.
Proses evaluasi berikut digunakan untuk mengevaluasi kebijakan berbasis identitas:
Alibaba Cloud memeriksa apakah Identitas RAM yang memulai permintaan akses memiliki kebijakan berbasis identitas kelas akun.
Jika kebijakan berbasis identitas kelas akun ada, Alibaba Cloud mengevaluasi kebijakan tersebut berdasarkan Proses Evaluasi Dasar. Alibaba Cloud memutuskan apakah akan mengevaluasi kebijakan berikutnya berdasarkan keputusan:
Jika Explicit Deny atau Allow dikembalikan, evaluasi berakhir. Keputusan yang dikembalikan disimpan sementara sebagai Keputusan A.
Jika Implicit Deny dikembalikan, evaluasi dilanjutkan.
Jika kebijakan berbasis identitas kelas akun tidak ada, evaluasi dilanjutkan.
Alibaba Cloud memeriksa apakah Identitas RAM yang memulai permintaan akses memiliki kebijakan berbasis identitas kelas grup sumber daya.
Jika kebijakan berbasis identitas kelas grup sumber daya ada, Alibaba Cloud mengevaluasi kebijakan tersebut berdasarkan Proses Evaluasi Dasar. Keputusan yang dikembalikan disimpan sementara sebagai Keputusan A.
Jika kebijakan berbasis identitas kelas grup sumber daya tidak ada, Implicit Deny disimpan sebagai Keputusan A.
Evaluasi Kebijakan Berbasis Sumber Daya
Alibaba Cloud memeriksa apakah Peran RAM yang akan diasumsikan memiliki kebijakan kepercayaan.
Jika kebijakan berbasis sumber daya ada, Alibaba Cloud mengevaluasi kebijakan tersebut berdasarkan Proses Evaluasi Dasar. Keputusan yang dikembalikan disimpan sementara sebagai Keputusan B.
Jika kebijakan berbasis sumber daya tidak ada, Implicit Deny disimpan sebagai Keputusan B.
Kombinasi Keputusan
Alibaba Cloud menggabungkan Keputusan A dan Keputusan B. Logika kombinasi berbeda dari logika standar Proses Evaluasi Kebijakan. Hanya jika Keputusan A dan Keputusan B keduanya diizinkan, permintaan untuk mengasumsikan Peran RAM diizinkan.
Logika kombinasi berikut digunakan untuk menggabungkan Keputusan A dan Keputusan B:
Jika penolakan eksplisit ada, keputusan akhir adalah Explicit Deny.
Jika Keputusan A dan Keputusan B keduanya diizinkan, keputusan akhir adalah Allow. Evaluasi berakhir.
Selain dua kasus di atas, keputusan akhir adalah Implicit Deny. Evaluasi berakhir.