Cara membuat, menggunakan, dan menghapus pasangan AccessKey, gunakan token STS untuk melakukan panggilan API secara aman - Resource Access Management

Topik ini menjelaskan cara membuat pasangan AccessKey di Resource Access Management (RAM), melihat dan mengambil informasinya, serta menggunakannya untuk mengakses resource Alibaba Cloud, dengan contoh penggunaan Alibaba Cloud CLI.

Penting

Sebagai praktik terbaik, hindari penggunaan pasangan AccessKey jangka panjang untuk mengakses resource Alibaba Cloud secara langsung. Untuk informasi selengkapnya, lihat Praktik terbaik untuk identitas mesin.

Apa itu pasangan AccessKey?

AccessKey pair terdiri dari AccessKey ID dan AccessKey secret. Pasangan AccessKey digunakan terutama untuk mengautentikasi identitas aplikasi atau layanan saat memanggil API Alibaba Cloud.

Pasangan AccessKey dikaitkan dengan RAM user tertentu dan merupakan kredensial jangka panjang. Sebagai kredensial jangka panjang, kredensial ini menimbulkan risiko keamanan tinggi jika terpapar.

Prosedur

Buat pasangan AccessKey untuk RAM user tertentu.
Konfigurasikan Alibaba Cloud CLI dan gunakan pasangan AccessKey untuk memanggil API secara langsung atau tidak langsung.
Hapus konfigurasi kredensial lokal, lalu nonaktifkan dan hapus pasangan AccessKey.

Prasyarat

Buat RAM user. Jangan gunakan Akun Alibaba Cloud Anda untuk membuat pasangan AccessKey.
Sambungkan kebijakan sistem AliyunRAMFullAccess ke RAM user tersebut. Hapus kebijakan ini setelah Anda menyelesaikan tutorial ini.
Instal Alibaba Cloud CLI.

Buat pasangan AccessKey

Masuk ke RAM console. Di panel navigasi sebelah kiri, pilih Identities > Users.
Temukan RAM user target dan klik namanya.
Di tab Authentication, pada bagian AccessKey, klik Create AccessKey.
Catatan
Setiap RAM user dapat memiliki maksimal dua AccessKey pairs. Satu pasangan AccessKey digunakan aktif, dan pasangan kedua hanya dibuat saat Anda perlu melakukan rotasi AccessKey. Jika RAM user saat ini telah mencapai batas tersebut, Anda dapat membuat pasangan AccessKey untuk RAM user lain atau menghapus pasangan AccessKey yang tidak digunakan setelah memastikan aman untuk dilakukan.
Pada kotak dialog konfirmasi yang muncul, pilih CLI, centang I confirm that it is necessary to create an AccessKey, lalu klik Continue.
Ikuti petunjuk di layar untuk menyelesaikan autentikasi multi-faktor (MFA).
Di kotak dialog Create AccessKey, klik Download CSV File untuk menyimpan AccessKey ID dan AccessKey secret. Lalu, klik OK.
Penting
AccessKey secret hanya ditampilkan saat pembuatan dan tidak dapat diambil kembali nanti. Pastikan untuk menyimpannya secara aman.

Gunakan pasangan AccessKey untuk memanggil API

Catatan

Topik ini menggunakan Alibaba Cloud CLI sebagai contoh cara menggunakan pasangan AccessKey. Untuk mempelajari cara menggunakan pasangan AccessKey dalam kode Anda, lihat referensi berikut:

Bagian "Method 2: Use an AccessKey pair" dan "Method 4: Use an AccessKey pair and a RAM role" dalam topik Manage access credentials

Gunakan pasangan AccessKey secara langsung

Metode ini sederhana tetapi menimbulkan risiko, seperti hard-coding kunci atau memberikan izin berlebihan, karena mengonfigurasi pasangan AccessKey secara langsung pada client. Metode ini tidak disarankan untuk lingkungan produksi.

Sambungkan kebijakan AliyunRAMReadOnlyAccess ke RAM user pemilik pasangan AccessKey untuk memberikan akses read-only ke RAM.
1. Masuk ke RAM console. Di panel navigasi sebelah kiri, pilih Identities > Users.
2. Temukan RAM user target dan klik Add Permissions di kolom Actions.
3. Di panel Grant Permission, cari dan pilih kebijakan sistem AliyunRAMReadOnlyAccess, lalu klik OK.
4. Kembali ke halaman Users dan klik nama RAM user target. Di tab Permissions > Individual, verifikasi bahwa kebijakan AliyunRAMReadOnlyAccess ditampilkan.

Buka terminal lokal Anda dan jalankan perintah berikut untuk mengonfigurasi kredensial identitas secara interaktif.
```
aliyun configure --profile AkProfile
```

Ikuti prompt command line untuk memasukkan AccessKey ID dan AccessKey secret yang Anda simpan pada langkah Buat pasangan AccessKey. Lalu, atur region dan bahasa.

Configuring profile 'AkProfile' in 'AK' authenticate mode...
Access Key Id []: <yourAccessKeyID>
Access Key Secret []: <yourAccessKeySecret>
Default Region Id []: cn-shanghai
Default Output Format [json]: json (Only support json)
Default Language [zh|en] en: en
Saving profile[AkProfile] ...Done.

Jika pasangan AccessKey dan konfigurasi lainnya benar, output berikut akan dikembalikan di terminal. Jika terjadi error, hapus kredensial Alibaba Cloud CLI yang tersimpan di cache, periksa konfigurasi, lalu jalankan kembali perintah pada Langkah 2.

Configure Done!!!
..............888888888888888888888 ........=8888888888888888888D=..............
...........88888888888888888888888 ..........D8888888888888888888888I...........
.........,8888888888888ZI: ...........................=Z88D8888888888D..........
.........+88888888 ..........................................88888888D..........
.........+88888888 .......Welcome to use Alibaba Cloud.......O8888888D..........
.........+88888888 ............. ************* ..............O8888888D..........
.........+88888888 .... Command Line Interface(Reloaded) ....O8888888D..........
.........+88888888...........................................88888888D..........
..........D888888888888DO+. ..........................?ND888888888888D..........
...........O8888888888888888888888...........D8888888888888888888888=...........
............ .:D8888888888888888888.........78888888888888888888O ..............

Jalankan perintah berikut untuk menguji panggilan API.

aliyun ram ListUsers --profile AkProfile

Jika konfigurasi benar, perintah akan mengembalikan daftar RAM user. Output-nya mirip dengan berikut:

{
  "IsTruncated": false,
  "RequestId": "B3CDEF9E-A3F4-58B0-80BE-54576991****",
  "Users": {
    "User": [
      {
        "Comments": "",
        "CreateDate": "2025-10-29T02:47:52Z",
        "DisplayName": "username",
        "UpdateDate": "2025-10-29T02:47:52Z",
        "UserId": "20376656170607****",
        "UserName": "username"
      },
      ...
    ]
  }
}

Gunakan pasangan AccessKey secara tidak langsung

Metode ini menggunakan pasangan AccessKey untuk mendapatkan token Security Token Service (STS) sementara dan menggunakannya untuk memanggil API. Metode ini lebih kompleks dalam konfigurasi tetapi mengurangi risiko paparan pasangan AccessKey jangka panjang. Metode ini juga memungkinkan pemberian izin dinamis melalui RAM role, sehingga menjadi pendekatan yang lebih aman.

Sambungkan kebijakan AliyunSTSAssumeRoleAccess ke RAM user untuk memberikan izin memanggil operasi AssumeRole dari layanan STS.
1. Masuk ke RAM console. Di panel navigasi sebelah kiri, pilih Identities > Users.
2. Temukan RAM user target dan klik Add Permissions di kolom Actions.
3. Di panel Grant Permission, cari dan pilih kebijakan sistem AliyunSTSAssumeRoleAccess, lalu klik OK.
4. Kembali ke halaman Users dan klik nama RAM user target. Di tab Permissions > Individual, verifikasi bahwa kebijakan AliyunSTSAssumeRoleAccess ditampilkan.
Buat RAM role dan dapatkan Alibaba Cloud Resource Name (ARN)-nya.
1. Masuk ke RAM console. Di panel navigasi sebelah kiri, pilih Identities > Roles.
2. Di halaman Roles, klik Create Role.
3. Di halaman Create Role, atur Principal Type ke Cloud Account, tentukan Akun Alibaba Cloud, lalu klik OK.
4. Di kotak dialog Create Role, masukkan nama role, misalnya cli-test-role. Klik OK.
5. Di halaman detail role, temukan ARN di bagian Basic Information dan klik Copy.
Sambungkan kebijakan AliyunRAMReadOnlyAccess ke RAM role untuk memberikan akses read-only ke RAM.
Di halaman Roles, klik Grant Permission di kolom Actions dan konfigurasikan izin seperti pada Langkah 1.
Buka terminal lokal Anda dan jalankan perintah berikut untuk mengonfigurasi kredensial identitas secara interaktif.
```
aliyun configure --profile RamRoleArnProfile --mode RamRoleArn
```

Ikuti prompt command line untuk memasukkan ID AccessKey dan Rahasia AccessKey yang Anda simpan pada langkah Buat pasangan AccessKey, serta ARN RAM role yang Anda peroleh pada Langkah 2. Untuk konfigurasi lainnya, lihat contoh berikut.

Configuring profile 'RamRoleArnProfile' in 'RamRoleArn' authenticate mode...
Access Key Id []: <yourAccessKeyID>
Access Key Secret []: <yourAccessKeySecret>
Sts Region []: cn-shanghai
Ram Role Arn []: acs:ram::012345678910****:role/cli-test-role
Role Session Name []: cli-test-role
External ID []: abcd1234
Expired Seconds [900]: 900
Default Region Id []: cn-shanghai
Default Output Format [json]: json (Only support json)
Default Language [zh|en] en: en
Saving profile[RamRoleArnProfile] ...Done.

Configure Done!!!
..............888888888888888888888 ........=8888888888888888888D=..............
...........88888888888888888888888 ..........D8888888888888888888888I...........
.........,8888888888888ZI: ...........................=Z88D8888888888D..........
.........+88888888 ..........................................88888888D..........
.........+88888888 .......Welcome to use Alibaba Cloud.......O8888888D..........
.........+88888888 ............. ************* ..............O8888888D..........
.........+88888888 .... Command Line Interface(Reloaded) ....O8888888D..........
.........+88888888...........................................88888888D..........
..........D888888888888DO+. ..........................?ND888888888888D..........
...........O8888888888888888888888...........D8888888888888888888888=...........
............ .:D8888888888888888888.........78888888888888888888O ..............

Jalankan perintah berikut untuk menguji panggilan API.

aliyun ram ListUsers --profile RamRoleArnProfile

Jika konfigurasi benar, perintah akan mengembalikan daftar RAM user. Output-nya mirip dengan berikut:

{
  "IsTruncated": false,
  "RequestId": "B3CDEF9E-A3F4-58B0-80BE-54576991****",
  "Users": {
    "User": [
      {
        "Comments": "",
        "CreateDate": "2025-10-29T02:47:52Z",
        "DisplayName": "username",
        "UpdateDate": "2025-10-29T02:47:52Z",
        "UserId": "20376656170607****",
        "UserName": "username"
      },
      ...
    ]
  }
}

Hapus kredensial

Hapus kredensial Alibaba Cloud CLI yang tersimpan di cache

Di terminal, jalankan perintah berikut untuk menghapus kredensial yang tersimpan di cache.

Jika Anda mengikuti langkah-langkah pada Gunakan pasangan AccessKey secara langsung, jalankan perintah berikut:
```
aliyun configure delete --profile AkProfile 
```
Jika Anda mengikuti langkah-langkah pada Gunakan pasangan AccessKey secara tidak langsung, jalankan perintah berikut:
```
aliyun configure delete --profile RamRoleArnProfile
```

Nonaktifkan dan hapus pasangan AccessKey

Masuk ke RAM console. Di panel navigasi sebelah kiri, pilih Identities > Users.
Temukan RAM user target dan klik namanya.
Nonaktifkan pasangan AccessKey: Di tab Authentication, pada bagian AccessKey, temukan pasangan AccessKey yang dituju dan klik Disable di kolom Actions. Di kotak dialog Disable yang muncul, klik Disable.
Pindahkan pasangan AccessKey ke Keranjang daur ulang: Temukan pasangan AccessKey target dan klik Delete di kolom Actions. Di kotak dialog Delete, masukkan ID AccessKey saat ini dan klik Move to Recycle Bin.
Hapus pasangan AccessKey secara permanen: Di halaman detail user, pada bagian AccessKey Pair Recycle Bin, temukan pasangan AccessKey target dan klik Delete di kolom Actions. Di kotak dialog Delete, masukkan ID AccessKey saat ini dan klik Delete.

Resource Access Management：Panduan cepat: Buat dan gunakan pasangan AccessKey untuk akses programatik