Resource Access Management：Praktik terbaik untuk identitas dan izin

Praktik terbaik: Akun Alibaba Cloud mirip dengan pengguna root di Linux. Akun ini memiliki izin penuh dan tidak cocok untuk penggunaan sehari-hari. Ikuti praktik terbaik berikut:

1. Buat Pengguna RAM dengan hak istimewa administrator khusus untuk manajemen harian dan operasi teknis.

2. Gunakan akun Alibaba Cloud hanya jika benar-benar diperlukan. Simpan kata sandi dan kredensial terkaitnya, seperti kredensial autentikasi multi-faktor (MFA), secara aman.

3. Lakukan semua operasi harian menggunakan pengguna administrator RAM. Hal ini mencegah eksposur akun Alibaba Cloud di lingkungan kerja sehari-hari.

Tindakan yang direkomendasikan:

• Buat Pengguna RAM individual: Pertama, buat Pengguna RAM dengan izin administrator. Untuk informasi selengkapnya, lihat Buat Pengguna RAM sebagai administrator. Kemudian, buat Pengguna RAM individual untuk setiap anggota organisasi Anda. Untuk informasi selengkapnya, lihat Buat dan otorisasi Pengguna RAM.

• Aktifkan MFA untuk akun Alibaba Cloud Anda: Lakukan penguatan keamanan untuk akun Alibaba Cloud dengan mengikuti petunjuk di Konfigurasi MFA untuk akun. Gunakan akun tersebut hanya jika diperlukan dan simpan kata sandi serta kredensial MFA-nya secara aman.

Praktik terbaik: Untuk identitas manusia, melindungi nama pengguna dan kata sandi sangat penting. Anda dapat meningkatkan keamanan logon melalui beberapa cara. Kata sandi kompleks, rotasi berkala, dan MFA secara signifikan meningkatkan kesulitan peretasan kredensial kata sandi.

Panduan operasional fitur RAM:

• Tingkatkan kompleksitas kata sandi: Tetapkan kebijakan kata sandi untuk Pengguna RAM guna meningkatkan keamanan kata sandi mereka. Anda dapat mengonfigurasi panjang minimum, persyaratan kompleksitas, periode kedaluwarsa (misalnya maksimal 90 hari), dan jumlah percobaan logon ulang.

• Terapkan MFA untuk Pengguna RAM: MFA menyediakan lapisan pertahanan kedua yang kuat selain kata sandi. Fitur ini dapat secara efektif memblokir upaya logon tidak sah bahkan jika kata sandi bocor. Anda dapat mewajibkan semua Pengguna RAM di bawah akun Anda untuk Use MFA For Logon. Untuk informasi selengkapnya, lihat Kelola pengaturan keamanan untuk Pengguna RAM.

Praktik terbaik: Gunakan Single Sign-On (SSO) untuk mendelegasikan otentikasi identitas ke penyedia identitas (IdP) perusahaan terpusat. Hal ini menghindari pemeliharaan sistem kata sandi terpisah di cloud. Selain itu, proses onboarding, offboarding, dan perubahan izin karyawan semuanya dapat dikelola di IdP, sehingga memusatkan manajemen siklus hidup identitas.

Tindakan yang direkomendasikan: Gunakan fitur manajemen SSO dari RAM untuk menghubungkan IdP perusahaan Anda, seperti Active Directory atau Okta, dengan sistem identitas Alibaba Cloud berdasarkan protokol Security Assertion Markup Language (SAML) 2.0 atau OpenID Connect (OIDC). Berdasarkan lingkungan dan kebutuhan logon Anda, konfigurasikan SSO berbasis pengguna atau SSO berbasis peran.

Praktik terbaik: AccessKey permanen berlaku selamanya hingga dihapus secara manual. Jika AccessKey bocor, ancamannya bersifat persisten. Sebaliknya, Token Layanan Keamanan (STS) sementara yang diperoleh dengan mengasumsikan RAM Role akan kedaluwarsa secara otomatis setelah durasi sesi maksimum peran tersebut (diukur dalam jam). Bahkan jika token STS secara tidak sengaja bocor, jendela waktu untuk eksploitasi sangat kecil.

Tindakan yang direkomendasikan: Gunakan solusi tanpa AccessKey, seperti asumsi peran instance ECS, asumsi peran instance kontainer, atau asumsi peran Function Compute, untuk mendapatkan token STS. Pendekatan ini sepenuhnya menghindari eksposur AccessKey. Untuk informasi selengkapnya, lihat Praktik terbaik untuk menggunakan kredensial akses guna mengakses Alibaba Cloud OpenAPI.

Praktik terbaik: Dalam skenario di mana Anda tidak dapat menggunakan STS token, seperti untuk pengembangan dan debugging lokal, Anda mungkin harus menggunakan AccessKey permanen. Dalam kasus ini, hindari menggunakan AccessKey akun Alibaba Cloud Anda. Pastikan setiap AccessKey hanya digunakan untuk satu aplikasi dalam satu lingkungan, dan rotasi secara berkala.

Tindakan yang direkomendasikan:

• Hindari menggunakan AccessKey akun Alibaba Cloud: Dalam skenario di mana Anda harus menggunakan AccessKey, kami menyarankan agar Anda menggunakan AccessKey Pengguna RAM dengan izin yang sesuai.

• Hindari berbagi AccessKey: Buat RAM Users terpisah dan AccessKeys khusus untuk setiap aplikasi dan lingkungan (pengembangan, pengujian, dan produksi). Untuk informasi selengkapnya, lihat Buat AccessKey.

• Berikan hak istimewa minimal: Berikan kebijakan hak istimewa minimal kepada AccessKey yang terkait dengan RAM User untuk skenario tertentu. Secara berkala deteksi izin berlebihan dan kelola pemberian kebijakan sesuai kebutuhan.

• Jangan hard-code kredensial: Jangan pernah menuliskan AccessKey dalam teks biasa di repositori kode. Sebagai gantinya, kelola AccessKey dengan mengonfigurasi variabel lingkungan sistem atau menggunakan manajemen kredensial KMS.

• Pembatasan akses: Konfigurasikan kebijakan akses jaringan untuk membatasi akses AccessKey hanya ke alamat IP tertentu. Untuk informasi selengkapnya, lihat Kebijakan Pembatasan Akses Jaringan AccessKey.

• Segera nonaktifkan dan cabut AccessKey yang tidak aktif: Tetapkan periode tidak aktif maksimum untuk AccessKey kurang dari 365 hari. Periode 90 hari direkomendasikan. Untuk informasi selengkapnya, lihat Kelola pengaturan keamanan Pengguna RAM.

• Monitor dan audit: Gunakan ActionTrail untuk memantau penggunaan AccessKey dan segera mendeteksi perilaku mencurigakan.

Praktik terbaik: Berikan identitas hanya izin minimum yang diperlukan untuk menyelesaikan tugas yang dimaksudkan. Hal ini meminimalkan dampak potensial jika kredensial dicuri.

Tindakan yang direkomendasikan:

• Gunakan kebijakan kustom: Dalam skenario non-administrator, hindari penggunaan kebijakan sistem yang luas, seperti Administrator. Sebagai gantinya, buat kebijakan izin kustom untuk otorisasi detail halus. Dalam kebijakan tersebut, tentukan secara jelas sumber daya (Resource), operasi (Action/NotAction), dan kondisi (Condition).

• Tinjau izin secara berkala: Secara berkala deteksi izin berlebihan dan kelola pemberian kebijakan sesuai kebutuhan.

Praktik terbaik: Sambungkan izin berdasarkan tanggung jawab pekerjaan. Anda dapat menyederhanakan perubahan izin untuk satu RAM User dengan menyesuaikan RAM User Group tempat pengguna tersebut berada. Pendekatan ini meningkatkan efisiensi manajemen dan memastikan konsistensi lintas peran.

Tindakan yang direkomendasikan:

1. Buat grup pengguna RAM: Buat grup pengguna RAM berdasarkan peran pekerjaan dalam organisasi Anda, seperti grup untuk administrator jaringan atau pengembang aplikasi.

2. Konfigurasi kebijakan izin: Berikan izin kepada grup pengguna RAM berdasarkan tanggung jawab pekerjaan, bukan dengan menyambungkan kebijakan langsung ke RAM Users.

Praktik terbaik: Untuk organisasi dengan beberapa akun Alibaba Cloud, gunakan kebijakan kontrol dalam Resource Directory untuk membatasi cakupan izin identitas RAM dalam akun anggota.

Tindakan yang direkomendasikan: Dalam lingkungan multi-akun dengan Direktori Sumber Daya diaktifkan, ketika RAM User atau RAM Role dalam akun anggota mengakses layanan Alibaba Cloud, Alibaba Cloud terlebih dahulu memeriksa kebijakan kontrol, lalu memeriksa izin RAM dalam akun tersebut. Untuk informasi selengkapnya, lihat Kebijakan Kontrol. Sebelum menyambungkan kebijakan kontrol, kami menyarankan agar Anda terlebih dahulu menjalankan pengujian skala kecil untuk memverifikasi bahwa kebijakan tersebut efektif dan berfungsi sesuai harapan. Setelah itu, Anda dapat menyambungkan kebijakan tersebut ke semua node target, seperti folder atau anggota.