Topik ini menjelaskan skenario umum penggunaan Resource Access Management (RAM) untuk membantu Anda mengelola identitas dan izin cloud secara aman dan efisien.
Skenario manajemen operasi
1. Menetapkan izin kepada karyawan perusahaan
Deskripsi skenario:
Berbagi satu Akun Alibaba Cloud di antara banyak karyawan menimbulkan risiko keamanan, seperti operasi yang tidak dapat dilacak dan izin berlebihan. Untuk mengurangi risiko tersebut, Anda harus menetapkan izin berdasarkan tanggung jawab pekerjaan dan sumber daya cloud yang diperlukan.
Solusi:
Anda dapat membuat Pengguna Resource Access Management (RAM) independen untuk setiap karyawan. Kemudian, berikan izin minimum yang diperlukan sesuai tanggung jawab pekerjaan mereka, seperti pengembangan, pengujian, atau operasi dan pemeliharaan (O&M). Anda juga dapat menambahkan pengguna dengan fungsi pekerjaan yang sama ke dalam kelompok pengguna untuk mengelola izin secara batch dan meningkatkan efisiensi.
Manfaat utama:
Akuntabilitas yang jelas: Setiap karyawan masuk dan melakukan operasi menggunakan identitas independen. Semua operasi dapat diaudit dan dilacak.
Keamanan dan kepatuhan: Pengelolaan izin detail halus mengurangi risiko keamanan akibat izin berlebihan atau identitas bersama, sehingga membantu memenuhi persyaratan keamanan dan kepatuhan perusahaan.
Contoh:
Anda dapat menetapkan kebijakan akses sistem yang berbeda untuk insinyur O&M yang berbeda, seperti insinyur O&M mesin virtual dan insinyur O&M jaringan. Untuk informasi selengkapnya, lihat Mengontrol izin beberapa insinyur O&M menggunakan RAM.
Anda dapat menentukan dan menerapkan kebijakan kustom untuk skenario bisnis yang berbeda. Untuk informasi selengkapnya, lihat Kebijakan kustom untuk ECS.
Anda dapat mengonfigurasi kebijakan kustom berdasarkan kondisi akses, seperti sumber permintaan atau tag sumber daya. Untuk informasi selengkapnya, lihat Mengakses Alibaba Cloud dari alamat IP tertentu.
2. Mengisolasi dan memberi otorisasi sumber daya berdasarkan proyek atau lingkungan
Deskripsi skenario:
Satu Akun Alibaba Cloud menjalankan beberapa proyek, seperti Proyek A dan Proyek B, atau beberapa lingkungan, seperti pengembangan dan produksi. Anda harus memastikan bahwa pengembang dari Proyek A tidak dapat mengakses sumber daya Proyek B, serta mencegah semua pengembang mengoperasikan sumber daya di lingkungan produksi.
Solusi:
Anda dapat menggunakan otorisasi berbasis kelompok sumber daya. Buat kelompok sumber daya berdasarkan proyek atau lingkungan, lalu gunakan kondisi kebijakan untuk membatasi pengguna agar hanya dapat mengakses sumber daya dalam kelompok sumber daya tertentu.
Manfaat utama:
Batas tanggung jawab yang jelas: Anda dapat menggunakan fitur kelompok sumber daya untuk membagi izin berdasarkan proyek atau lingkungan. Hal ini memastikan anggota tim hanya dapat mengakses sumber daya yang menjadi tanggung jawab mereka dan memperjelas batas tanggung jawab.
Manajemen biaya detail halus: Mengelola sumber daya berdasarkan kelompok sumber daya juga memberikan dasar untuk alokasi biaya yang tepat.
Pelajari lebih lanjut: Pengelompokan dan otorisasi sumber daya
3. Mengaktifkan kolaborasi dan otorisasi sumber daya lintas akun
Deskripsi skenario:
Sebuah perusahaan perlu memberikan izin secara aman kepada akun Alibaba Cloud lain, seperti mitra atau anak perusahaan, agar mereka dapat mengakses atau mengelola sebagian sumber daya cloud dalam akun perusahaan tanpa berbagi Pasangan Kunci Akses.
Solusi:
Anda dapat mengonfigurasi Peran RAM untuk mengaktifkan otorisasi lintas akun yang aman. Akun tepercaya tidak memerlukan Pasangan Kunci Akses pemberi otorisasi; akun tersebut hanya perlu mengasumsikan peran tersebut untuk mengakses sumber daya.
Manfaat utama:
Aman dan terkendali: Anda dapat menggunakan Peran RAM untuk mengaktifkan otorisasi lintas akun yang aman. Akun tepercaya tidak memerlukan Pasangan Kunci Akses Anda; akun tersebut hanya perlu mengasumsikan peran yang Anda berikan untuk mengakses sumber daya Anda dalam cakupan yang diizinkan.
Pengelolaan izin fleksibel: Anda dapat menyesuaikan izin peran atau mencabut otorisasi kapan saja untuk memastikan berbagi dan kolaborasi sumber daya yang aman dan terkendali.
Kontrol detail halus: Anda dapat membuat peran berbeda untuk mitra berbeda dan memberikan cakupan izin berbeda untuk mencapai pengelolaan detail halus.
Pelajari lebih lanjut: Mengakses sumber daya lintas akun Alibaba Cloud
4. Mengaktifkan login tanpa kata sandi ke Konsol Manajemen Alibaba Cloud
Deskripsi skenario:
Insinyur O&M yang sering masuk ke Konsol Manajemen Alibaba Cloud mungkin menginginkan alternatif yang lebih aman dan nyaman daripada login tradisional berbasis kata sandi, seperti menggunakan fitur biometrik perangkat seperti sidik jari atau pengenalan wajah.
Solusi:
Anda dapat mengaktifkan dan menggunakan passkey untuk login tanpa kata sandi.
Passkey adalah kredensial digital aman yang menyimpan kunci login di perangkat pribadi Anda, seperti ponsel atau komputer, atau di kunci yang dilindungi perangkat keras khusus. Setelah Anda mengaktifkan passkey, kata sandi tidak lagi diperlukan untuk masuk ke Konsol Manajemen Alibaba Cloud. Verifikasi diselesaikan dengan cepat dan aman menggunakan fitur biometrik perangkat, seperti sidik jari atau Face ID, atau PIN perangkat.
Manfaat utama:
Menghilangkan risiko kata sandi: Anda tidak perlu mengingat atau memasukkan kata sandi, sehingga menghindari risiko keamanan seperti kebocoran kata sandi dan kata sandi lemah.
Memperbaiki pengalaman login: Menggunakan biometrik atau kunci yang dilindungi perangkat keras membuat proses login lebih cepat dan nyaman.
Menambah keamanan: Berdasarkan teknologi enkripsi kunci publik standar, passkey menyediakan verifikasi identitas anti-phishing yang efektif, sehingga lebih aman daripada kata sandi tradisional.
Pelajari lebih lanjut: Apa itu passkey?
5. Mengintegrasikan dengan sistem identitas perusahaan untuk mengaktifkan single sign-on (SSO)
Deskripsi skenario:
Sebuah perusahaan ingin karyawannya menggunakan sistem identitas perusahaan yang sudah ada, seperti Active Directory, Microsoft Entra ID, atau Okta, untuk langsung masuk ke Alibaba Cloud. Tujuannya adalah mencapai manajemen identitas terpadu dan single sign-on (SSO), serta menghindari pemeliharaan beberapa set nama pengguna dan kata sandi.
Solusi:
Anda dapat mengonfigurasi SSO berbasis peran atau SSO berbasis pengguna untuk mengintegrasikan penyedia identitas perusahaan (IdP) Anda dengan Alibaba Cloud.
Catatan: Jika perusahaan Anda menggunakan direktori sumber daya untuk mengelola beberapa akun Alibaba Cloud, Anda dapat menggunakan CloudSSO untuk manajemen identitas dan akses terpadu di beberapa akun.
Manfaat utama:
Login disederhanakan: Karyawan cukup masuk sekali ke portal penyedia identitas (IdP) untuk mengakses Alibaba Cloud dan aplikasi lain yang memercayai IdP tersebut. Mereka tidak perlu memelihara beberapa set nama pengguna dan kata sandi.
Kebijakan keamanan terpusat: Kebijakan keamanan perusahaan, seperti autentikasi multi-faktor (MFA), kebijakan kata sandi, dan pembatasan alamat IP, dikonfigurasi dan diberlakukan secara terpusat di tingkat IdP.
Manajemen dan audit terpusat: Anda dapat mengonfigurasi dan mencabut izin pengguna secara terpusat melalui platform manajemen identitas perusahaan yang sudah ada. Hal ini menyinkronkan penerimaan dan pemberhentian karyawan dengan izin cloud, sehingga mengurangi biaya manajemen dan risiko kepatuhan.
Contoh: Contoh SSO berbasis peran menggunakan Microsoft Entra ID
Skenario pengembangan aplikasi
1. Aplikasi di Alibaba Cloud mengakses sumber daya Alibaba Cloud
Deskripsi skenario:
Aplikasi atau layanan yang diterapkan di Alibaba Cloud, seperti pada Instance ECS, kluster kontainer ACK, atau di Function Compute (FC), perlu memanggil API Alibaba Cloud secara aman untuk mengakses sumber daya cloud lain, seperti membaca atau menulis ke OSS atau mengkueri RDS. Pada saat yang sama, Anda harus menghindari hardcoding Pasangan Kunci Akses dalam kode atau konfigurasi.
Solusi:
Anda dapat menggunakan solusi bebas AK untuk mendapatkan token Layanan Token Keamanan (STS) dan menggunakannya untuk memanggil API Alibaba Cloud. Pilih solusi bebas AK yang sesuai berdasarkan lingkungan penerapan aplikasi:
Lingkungan penerapan aplikasi | Solusi bebas AK yang direkomendasikan | Mekanisme inti |
Elastic Compute Service | Peran RAM Instans untuk Instance ECS | Aplikasi mengakses layanan metadata Instance ECS untuk secara otomatis mendapatkan kredensial sementara dari peran yang disambungkan ke instans tersebut. |
Kluster kontainer (ACK) | Peran RAM untuk Akun Layanan (RRSA) | Aplikasi dalam Pod menggunakan token OpenID Connect (OIDC) untuk mengasumsikan peran dan mendapatkan kredensial sementara. |
Function Compute (FC) | Peran RAM untuk Function Compute | Saat fungsi dieksekusi, lingkungan runtime secara otomatis menyuntikkan kredensial sementara dari peran yang terkait dengan fungsi tersebut. |
Nilai inti:
Keamanan aplikasi yang ditingkatkan: Anda dapat memberikan Peran RAM ke sumber daya komputasi seperti Instance ECS, sehingga aplikasi secara otomatis mendapatkan kredensial akses sementara untuk mengakses layanan Alibaba Cloud lainnya.
Penyederhanaan manajemen kunci: Anda dapat menghindari hardcoding dan pengelolaan Pasangan Kunci Akses dalam kode atau konfigurasi, sehingga mengurangi risiko kebocoran kunci dan menyederhanakan O&M.
Rotasi kredensial otomatis: Kredensial sementara diperbarui secara otomatis, sehingga menghilangkan kebutuhan akan manajemen siklus hidup kredensial secara manual.
Contoh:
Jika solusi bebas AK di atas tidak berlaku, Anda dapat mengonfigurasi Pasangan Kunci Akses dalam Variabel lingkungan sistem. Anda juga harus mengonfigurasi kebijakan pembatasan akses jaringan untuk Pasangan Kunci Akses guna membatasi penggunaannya hanya pada lingkungan jaringan tepercaya.
Pelajari lebih lanjut: Praktik terbaik penggunaan kredensial akses untuk memanggil Alibaba Cloud OpenAPI
2. Aplikasi di luar Alibaba Cloud mengakses sumber daya Alibaba Cloud
Deskripsi skenario:
Aplikasi diterapkan di lingkungan non-Alibaba Cloud, seperti pusat data mandiri atau platform cloud lain, dan perlu memanggil API Alibaba Cloud untuk mengakses sumber daya cloud.
Solusi:
Jika aplikasi diintegrasikan dengan penyedia identitas OpenID Connect (OIDC) (IdP), seperti Okta, Anda dapat menggunakan operasi AssumeRoleWithOIDC dari Layanan Token Keamanan Alibaba Cloud (STS) untuk mendapatkan kredensial sementara dengan mengasumsikan Peran RAM. Setelah aplikasi diautentikasi oleh IdP, aplikasi tersebut menggunakan token OIDC yang diperoleh untuk memanggil operasi dan menukarnya dengan kredensial sementara Alibaba Cloud, lalu mengakses sumber daya Alibaba Cloud. Solusi ini tidak mengharuskan Anda menyimpan atau menggunakan Pasangan Kunci Akses dalam program.
Jika solusi di atas tidak berlaku, Anda dapat mengonfigurasi Pasangan Kunci Akses dalam Variabel lingkungan sistem. Anda juga harus mengonfigurasi kebijakan pembatasan akses jaringan untuk Pasangan Kunci Akses guna membatasi penggunaannya hanya pada lingkungan jaringan tepercaya.
Contoh:
Aplikasi di Okta mengakses sumber daya Alibaba Cloud melalui SSO berbasis peran (AssumeRoleWithOIDC): Contoh SSO berbasis peran menggunakan OIDC.
Mengunggah file ke OSS menggunakan Pasangan Kunci Akses: Menggunakan Pasangan Kunci Akses Pengguna RAM untuk mengakses OSS.
Pelajari lebih lanjut: Kebijakan pembatasan akses jaringan untuk Pasangan Kunci Akses
Referensi
Untuk informasi selengkapnya tentang STS dan token STS, lihat Apa itu STS?.