Topik ini menjelaskan cara membuat pengguna Resource Access Management (RAM) dan memberikan izin kepadanya untuk kontrol akses detail halus terhadap sumber daya cloud Anda.
Mengapa menggunakan pengguna RAM?
Akun Alibaba Cloud setara dengan pengguna root di Linux, yaitu principal dengan hak istimewa tertinggi. Jika beberapa karyawan di perusahaan Anda perlu berkolaborasi dalam mengelola sumber daya cloud, Anda dapat membuat beberapa pengguna RAM di bawah akun Alibaba Cloud Anda, lalu memberikan izin minimum yang diperlukan bagi masing-masing pengguna untuk menjalankan tugasnya.
Item | Akun Alibaba Cloud | Pengguna RAM |
Peran identitas | Pemilik sumber daya. Memiliki kepemilikan penuh atas semua aset dan izin tertinggi. | Pengguna sumber daya dan layanan. Izin diberikan oleh akun Alibaba Cloud. Pengguna RAM biasanya mewakili orang atau aplikasi tertentu. |
Kepemilikan sumber daya cloud | Ya | Tidak. Sumber daya dimiliki oleh akun Alibaba Cloud. |
Izin default | Izin penuh. Tidak dapat dibatasi. | Tidak memiliki izin secara default. Harus diberikan izin oleh akun Alibaba Cloud. |
Penggunaan yang direkomendasikan | Hanya untuk operasi manajemen kritis, seperti otorisasi, pembayaran, dan manajemen akun. | Pengembangan harian, O&M, penerapan, dan tugas lainnya. |
Prosedur
Gunakan fitur panduan cepat untuk membuat pengguna RAM dengan izin Auditing Administrator.
Login ke Konsol RAM sebagai pengguna RAM yang telah Anda buat dan selesaikan konfigurasi awal.
Verifikasi bahwa izin telah berhasil diberikan kepada pengguna RAM.
Langkah 1: Buat pengguna RAM
Buat pengguna dan berikan izin secara cepat
Login ke RAM console menggunakan akun Alibaba Cloud Anda.
Pada halaman Overview, klik tab Get Started. Di bagian Cloud functional users, klik Show All Workflows, lalu pilih alur kerja.
Topik ini memberikan contoh alur kerja Auditing Administrator. Seorang Auditing Administrator memiliki akses penuh ke Cloud Config, ActionTrail, dan Simple Log Service (SLS), serta dapat melakukan kueri status semua sumber daya Alibaba Cloud.
Lihat atau ubah parameter.
Anda dapat melihat semua parameter yang telah ditentukan sebelumnya, tetapi hanya dapat mengubah sebagian di antaranya. Parameter yang dapat diubah akan ditampilkan di konsol.
Klik Perform.
Setelah konfigurasi selesai, simpan username dan kata sandi pengguna RAM tersebut.
Anda dapat mengubah konfigurasi pengguna RAM yang dibuat menggunakan fitur panduan cepat. Untuk melakukannya, navigasikan ke menu yang sesuai di Konsol RAM. Untuk informasi lebih lanjut, lihat Ubah informasi dasar pengguna RAM.
Untuk membuat pengguna RAM dan memberikan izin secara manual, lihat Buat pengguna RAM dan Berikan izin kepada pengguna RAM.
Tetapkan alias akun (Direkomendasikan)
Nama login default untuk pengguna RAM adalah <UserName>@<AccountAlias>.onaliyun.com. Dalam format ini, <AccountAlias>.onaliyun.com adalah nama domain default akun Alibaba Cloud, dan <AccountAlias> adalah alias akun. Secara default, alias akun adalah ID akun Alibaba Cloud. Kami merekomendasikan menetapkan alias yang mudah diingat untuk akun Alibaba Cloud Anda guna menyederhanakan proses login pengguna RAM. Alias ini menggantikan ID akun default 16 digit dalam nama login. Untuk hasil terbaik, tetapkan alias ini sebelum Anda membuat pengguna RAM.
Ikuti langkah-langkah berikut untuk mengubah nama domain default:
Login ke RAM console menggunakan akun Alibaba Cloud Anda.
Di panel navigasi sebelah kiri, klik Settings. Pada halaman Settings, klik Domain. Lalu, klik Edit di kolom Actions pada nama domain default.
Hanya akun Alibaba Cloud atau pengguna RAM dengan izin administratif yang dapat menetapkan atau mengubah alias akun.
Setelah alias ditetapkan, perubahan tersebut langsung berlaku. Nama login semua pengguna RAM baru akan menggunakan alias ini secara default.
Langkah 2: Login sebagai pengguna RAM
Pengguna RAM dapat menggunakan tautan berikut untuk login ke konsol. Gunakan tautan login khusus agar tidak perlu memasukkan nama domain default akun.
URL login umum
Gunakan pengguna RAM yang baru dibuat untuk login ke Alibaba Cloud Management Console.
CatatanHalaman login pengguna RAM berbeda dari halaman login akun Alibaba Cloud. Untuk informasi lebih lanjut, lihat Login ke Alibaba Cloud Management Console sebagai pengguna RAM.
URL login khusus
Login ke RAM console. Pada halaman Overview, Anda dapat menemukan URL login untuk pengguna RAM. URL ini memungkinkan mereka login ke Alibaba Cloud Management Console tanpa perlu memasukkan default domain name akun.
Pada halaman RAM User Logon, masukkan username pengguna RAM dan klik Next.
Masukkan kata sandi logon pengguna RAM dan klik Log On.
Saat login pertama kali, Anda harus mengikat perangkat multi-factor authentication (MFA). Pada login berikutnya, Anda akan diminta memasukkan kode MFA. Untuk informasi lebih lanjut, lihat Ikat perangkat MFA ke pengguna RAM.
Atur ulang kata sandi pengguna RAM: Pengguna RAM yang dibuat menggunakan fitur panduan cepat wajib mengatur ulang kata sandinya saat login pertama kali.
Langkah 3: Verifikasi izin pengguna RAM
Auditing Administrator memiliki akses penuh ke Cloud Config, ActionTrail, dan SLS, serta dapat melakukan kueri status semua sumber daya Alibaba Cloud. Bagian ini menggunakan ActionTrail dan RAM sebagai contoh untuk memverifikasi bahwa izin telah diberikan.
Setelah pengguna RAM login ke konsol, arahkan kursor ke foto profil di pojok kanan atas. Kemudian, Anda dapat melihat informasi pengguna RAM tersebut.
Buka ActionTrail console dan lakukan suatu operasi.
Misalnya, di panel navigasi sebelah kiri, pilih untuk melihat catatan event dari semua layanan.
Buka RAM console.
Di panel navigasi sebelah kiri, pilih untuk melihat semua pengguna RAM.
Ulangi langkah-langkah dalam Buat pengguna RAM. Pesan error "Access Denied" akan ditampilkan.
Pemecahan Masalah
Jika terjadi error akses ditolak saat pengguna RAM mencoba mengakses suatu sumber daya, lihat Bagaimana cara memecahkan masalah error akses ditolak?