Resource Access Management (RAM) adalah layanan web yang membantu Anda mengontrol akses ke sumber daya Alibaba Cloud secara aman. Dengan RAM, Anda dapat mengelola pengguna secara terpusat, kredensial keamanan seperti access key, serta izin yang mengatur sumber daya cloud mana yang dapat diakses oleh pengguna dan aplikasi.
Billing
RAM tersedia secara gratis. Layanan ini diaktifkan secara default, dan tidak dapat dinonaktifkan.
Mengapa menggunakan RAM?
Saat pertama kali membuat Akun Alibaba Cloud, Anda memulai dengan satu identitas yang memiliki akses penuh ke semua layanan dan sumber daya dalam akun tersebut. Berbagi kredensial akun untuk operasional sehari-hari menimbulkan beberapa risiko keamanan:
Izin berlebihan dan risiko keamanan: Akun Alibaba Cloud memiliki izin tanpa batas. Jika kredensial akun bocor, sumber daya cloud Anda akan terpapar pada risiko keamanan serius.
Kurangnya akuntabilitas: Semua log operasi dikaitkan dengan Akun Alibaba Cloud. Jika terjadi insiden keamanan, Anda tidak dapat melacak tindakan tersebut ke individu tertentu, sehingga audit keamanan dan akuntabilitas menjadi tidak efektif.
Pelanggaran prinsip hak istimewa minimal: Anda tidak dapat memberikan izin "hanya melihat billing" untuk staf keuangan atau izin "hanya beroperasi di lingkungan tertentu" untuk pengembang. Hal ini melanggar prinsip hak istimewa minimal (PoLP).
Sebagai praktik keamanan terbaik, jangan gunakan Akun Alibaba Cloud untuk tugas sehari-hari. Sebagai gantinya, gunakan RAM untuk membuat identitas terpisah bagi orang dan aplikasi, serta berikan hanya izin yang mereka butuhkan.
Fitur utama
Manajemen identitas: Buat dan kelola berbagai jenis identitas, seperti RAM user, RAM user group, dan RAM role.
Otentikasi identitas: Sediakan berbagai metode autentikasi, termasuk password, AccessKey pair, MFA, dan SSO.
Pengelolaan otorisasi: Terapkan kontrol akses detail halus untuk identitas berdasarkan kebijakan.
Federasi identitas: Dukung integrasi dengan IdP perusahaan untuk mencapai manajemen identitas terpadu dan SSO.
Audit akses: Identifikasi izin yang dimiliki oleh identitas RAM dan catat waktu terakhir izin tersebut digunakan.
Identitas, autentikasi, dan otorisasi
RAM menyediakan kerangka kerja untuk mengelola autentikasi dan otorisasi di Alibaba Cloud.
Identitas
Identitas adalah entitas yang dapat meminta untuk melakukan suatu aksi pada sumber daya cloud. Entitas inilah yang diberikan izin. Identitas dalam RAM dapat dipahami dari dua perspektif berbeda: tujuan fungsionalnya dan implementasi teknisnya.
Berdasarkan tujuan fungsional
Terdapat dua jenis utama: identitas manusia dan identitas mesin.
Identitas manusia: Merupakan orang-orang di organisasi Anda—seperti pengembang, insinyur operasi, atau insinyur keamanan—yang biasanya mengakses sumber daya Alibaba Cloud secara interaktif melalui console atau CLI.
Identitas mesin: Merupakan aktor non-manusia, seperti aplikasi atau layanan, yang mengakses sumber daya dan data Alibaba Cloud secara non-interaktif melalui API.
Berdasarkan implementasi teknis
RAM menyediakan tiga jenis identitas: RAM user, RAM user group, dan RAM role.
Jenis identitas | Definisi | Kasus penggunaan |
RAM user |
| Memberikan izin stabil jangka panjang kepada orang, sistem, atau aplikasi tertentu. |
RAM user group |
| Mengelola izin untuk banyak pengguna dengan fungsi pekerjaan yang sama (seperti pengembang dan administrator), menyederhanakan manajemen akses dalam skala besar. |
RAM role |
| Mendelegasikan akses secara aman. Skenario umum meliputi akses cross-account, pemberian izin kepada layanan Alibaba Cloud, dan penerapan federasi identitas. |
Kedua model klasifikasi ini saling melengkapi. Baik RAM user maupun RAM role dapat dikonfigurasi untuk berfungsi sebagai identitas workforce maupun workload.
Akun Alibaba Cloud vs. RAM user
Akun Alibaba Cloud setara dengan root user di Linux. Ini adalah principal dengan hak istimewa tertinggi. RAM user adalah identitas yang Anda buat dalam akun Anda yang memiliki izin spesifik dan kustom. Perbedaan utama di antara keduanya adalah sebagai berikut:
Item | Akun Alibaba Cloud | RAM user |
Peran identitas | Pemilik sumber daya. Memiliki kepemilikan penuh atas semua aset dan izin tertinggi. | Pengguna sumber daya dan layanan. Izin diberikan oleh Akun Alibaba Cloud. RAM user biasanya mewakili orang atau aplikasi tertentu. |
Kepemilikan sumber daya cloud | Ya | Tidak. Sumber daya dimiliki oleh Akun Alibaba Cloud. |
Izin default | Izin penuh. Tidak dapat dibatasi. | Tidak memiliki izin secara default. Harus diberikan izin oleh Akun Alibaba Cloud. |
Penggunaan yang direkomendasikan | Hanya untuk operasi manajemen kunci, seperti otorisasi, pembayaran, dan manajemen akun. | Pengembangan harian, O&M, deployment, dan tugas lainnya. |
Praktik terbaik untuk mengamankan Akun Alibaba Cloud Anda
Buat RAM user dengan hak istimewa administrator khusus untuk manajemen harian dan operasi teknis.
Gunakan Akun Alibaba Cloud Anda hanya saat benar-benar diperlukan. Simpan password dan kredensial terkaitnya, seperti kredensial multi-factor authentication (MFA), secara aman.
Lakukan semua operasi harian menggunakan RAM user administrator. Hal ini mencegah eksposur Akun Alibaba Cloud di lingkungan kerja sehari-hari.
Autentikasi
Autentikasi adalah proses verifikasi kredensial identitas untuk memastikan siapa mereka. Sebelum tindakan apa pun dilakukan, pengguna atau layanan harus diautentikasi terlebih dahulu.
Kredensial hadir dalam berbagai bentuk, seperti username dan password, kode sandi sekali pakai, atau AccessKey pair yang digunakan untuk akses programatik.
Anda dapat meningkatkan keamanan dengan:
Multi-Factor Authentication (MFA): Menambahkan lapisan perlindungan dengan mengharuskan pengguna menyediakan setidaknya dua jenis kredensial berbeda untuk memverifikasi identitas mereka, seperti password yang dikombinasikan dengan kode sandi sekali pakai.
Single sign-on (SSO): Memungkinkan pengguna masuk dengan kredensial perusahaan yang sudah ada melalui penyedia identitas (IdP), sehingga menghilangkan kebutuhan password Alibaba Cloud terpisah.
Otorisasi
Otorisasi adalah proses konfirmasi apakah identitas yang telah diautentikasi memiliki izin untuk mengakses sumber daya tertentu.
Perbedaan utama antara autentikasi dan otorisasi adalah sebagai berikut:
Autentikasi menjawab pertanyaan, "Siapa Anda?" untuk memverifikasi identitas.
Otorisasi menjawab pertanyaan, "Apa yang boleh Anda lakukan?" untuk memberikan atau menolak izin.
Autentikasi selalu dilakukan terlebih dahulu; setelah identitas diverifikasi, aturan otorisasi diperiksa untuk memberikan atau menolak akses.
Di RAM, Anda mengelola akses dengan membuat kebijakan dan menyambungkannya ke identitas, memastikan mereka hanya dapat mengakses sumber daya dan melakukan aksi yang telah Anda izinkan.
Metode autentikasi di RAM
Perbandingan
RAM mendukung berbagai metode autentikasi untuk kasus penggunaan yang berbeda:
Logon Konsol
Metode autentikasi | Definisi | Kasus penggunaan |
Username and password | Sekumpulan kredensial yang digunakan untuk logon ke Konsol. | RAM user melakukan logon ke Konsol untuk operasi interaktif. |
MFA | Lapisan keamanan tambahan di atas autentikasi username dan password. | Digunakan bersama password untuk meningkatkan keamanan logon Konsol. Secara default, semua RAM user wajib melakukan MFA saat logon. |
Passkey | Solusi autentikasi tanpa password berbasis standar FIDO2, memungkinkan pengguna melakukan autentikasi menggunakan biometrik perangkat mereka (seperti Sidik jari atau ID wajah) atau PIN. | Meningkatkan keamanan logon Konsol dengan mencegah serangan password seperti password spraying dan penipuan phishing. Cocok untuk skenario yang memiliki persyaratan keamanan tinggi atau memerlukan login tanpa password. |
SSO | Pengguna melakukan autentikasi melalui IdP perusahaan mereka dan dapat mengakses multiple layanan cloud tepercaya dengan satu kali logon. | Pengguna perusahaan mengakses Alibaba Cloud menggunakan sistem otentikasi identitas yang sudah ada (seperti Microsoft Entra ID atau Okta). |
Programmatic access
Metode autentikasi | Definisi | Kasus penggunaan |
AccessKey pair | AccessKey pair terdiri dari AccessKey ID dan AccessKey secret, yang berfungsi sebagai kredensial jangka panjang untuk RAM user. | Melakukan panggilan programatik dari aplikasi atau layanan. Untuk keamanan yang lebih baik, bila memungkinkan kami merekomendasikan penggunaan kredensial temporary daripada AccessKey pair jangka panjang. |
Security Token Service (STS) token | Kredensial temporary yang diperoleh ketika identitas tepercaya mengasumsikan RAM role. Kredensial ini mencakup AccessKey pair temporary dan security token, memiliki periode validitas terbatas, dan kedaluwarsa secara otomatis. | Metode yang direkomendasikan untuk akses programatik. Ideal untuk skenario seperti akses cross-account, federasi identitas, dan pemberian izin temporary kepada aplikasi, karena meningkatkan keamanan dengan membatasi masa berlaku kredensial. |
Kredensial jangka panjang vs. temporary
Kredensial jangka panjang: Kredensial yang tetap valid dalam jangka panjang kecuali dinonaktifkan, dihapus, atau dimodifikasi secara manual. Contoh: password dan AccessKey pair.
Kredensial temporary: Kredensial dengan periode validitas terbatas (misalnya 15 menit hingga beberapa jam) yang secara otomatis menjadi tidak valid setelah kedaluwarsa. Contoh: STS token.
Kredensial temporary lebih aman daripada kredensial jangka panjang. Jika kredensial jangka panjang bocor, kredensial tersebut dapat digunakan tanpa batas hingga dicabut. Sebaliknya, kredensial temporary memiliki masa berlaku singkat. Bahkan jika bocor, dampaknya terbatas, sehingga mengurangi risiko keamanan. Oleh karena itu, Anda harus memprioritaskan penggunaan kredensial temporary. Untuk informasi lebih lanjut, lihat Praktik terbaik penggunaan kredensial akses untuk memanggil operasi API.
STS token dikeluarkan oleh layanan Alibaba Cloud STS ketika identitas tepercaya mengasumsikan RAM role. Untuk informasi lebih lanjut, lihat Dapatkan kredensial identitas temporary.
Kebijakan di RAM
Setelah identitas diautentikasi, RAM mengevaluasi kebijakan yang disambungkan untuk menentukan apakah identitas tersebut memiliki izin yang diperlukan untuk mengakses sumber daya target. RAM mengikuti prinsip "deny by default": setiap permintaan akses yang tidak secara eksplisit diizinkan secara implisit ditolak.
Jenis kebijakan
Izin dikelola melalui kebijakan, yaitu seperangkat aturan yang mendefinisikan izin. RAM mendukung dua jenis kebijakan berikut:
Kebijakan sistem: Dibuat dan dikelola oleh Alibaba Cloud, kebijakan ini mencakup kasus penggunaan umum, tetapi Anda tidak dapat memodifikasi izin yang didefinisikannya.
Kebijakan kustom: Kebijakan yang dapat Anda buat dan kelola sendiri. Dengan menulis isi kebijakan dalam format JSON, Anda dapat secara tepat mendefinisikan aksi, sumber daya, dan kondisi yang diizinkan atau ditolak untuk kontrol akses detail halus.
Untuk informasi lebih lanjut, lihat Ikhtisar kebijakan.
Cakupan otorisasi
Izin dapat diterapkan pada seluruh Akun Alibaba Cloud atau dibatasi pada proyek dan lingkungan tertentu menggunakan resource groups.
Untuk informasi lebih lanjut, lihat Model kebijakan.
Kontrol akses bersyarat
Anda dapat mencapai kontrol akses detail halus dengan mendefinisikan kondisi dalam kebijakan kustom Anda. Hal ini memungkinkan Anda menerapkan strategi seperti attribute-based access control (ABAC), di mana akses ditentukan dengan mengevaluasi atribut secara real-time. Kasus penggunaan umum meliputi pembatasan permintaan ke Blok CIDR tertentu atau mewajibkan MFA untuk aksi tertentu.
Kondisi dapat mencakup atribut yang ditentukan sistem, seperti atribut identitas, atribut sumber daya, dan atribut lingkungan permintaan, serta atribut kustom seperti tag.
Kondisi hanya dapat dikonfigurasi dalam kebijakan kustom.
Untuk informasi lebih lanjut, lihat Elemen kebijakan.
Federasi identitas
RAM mendukung SSO berbasis protokol SAML 2.0 dan OpenID Connect (OIDC), juga dikenal sebagai federasi identitas.
Mengapa menggunakan federasi identitas?
Di lingkungan IT perusahaan dan multi-cloud, karyawan sering perlu mengakses berbagai sistem internal dan layanan cloud, yang melibatkan pergantian akun secara berkala dan mengingat berbagai password. Hal ini tidak hanya memengaruhi efisiensi operasional tetapi juga meningkatkan risiko keamanan.
Dengan federasi identitas, Anda dapat mengizinkan pengguna dari IdP perusahaan Anda, seperti Microsoft Entra ID atau Okta, untuk login ke Alibaba Cloud menggunakan kredensial yang sudah ada. Pendekatan ini menawarkan keuntungan berikut:
Login yang disederhanakan: Karyawan cukup login sekali ke IdP perusahaan mereka untuk mengakses Alibaba Cloud, menghilangkan kebutuhan memelihara beberapa set username dan password.
Kebijakan keamanan terpusat: Kebijakan keamanan perusahaan (seperti MFA, kebijakan password, dan pembatasan alamat IP) dikonfigurasi dan diberlakukan secara terpusat di tingkat IdP.
Manajemen dan audit terpusat: Akses pengguna dikelola secara terpusat di IdP Anda. Saat karyawan meninggalkan perusahaan, akses mereka ke Alibaba Cloud secara otomatis dicabut, mengurangi beban manajemen dan risiko keamanan.
Metode SSO yang didukung
RAM mendukung dua metode SSO berikut untuk memenuhi kebutuhan kasus penggunaan yang berbeda:
User-based SSO
Metode ini memetakan pengguna dari IdP ke RAM user yang sesuai di Alibaba Cloud. Pengguna kemudian login ke Konsol Manajemen Alibaba Cloud sebagai RAM user yang dipetakan.Role-based SSO
Dengan metode ini, pengguna federasi mengasumsikan RAM role untuk mendapatkan kredensial temporary. Metode ini mendukung akses cross-account dan lebih selaras dengan praktik keamanan terbaik karena menghindari pembuatan kredensial jangka panjang.
Untuk informasi lebih lanjut, lihat Ikhtisar SSO.
Keamanan dan audit
Terapkan praktik terbaik berikut untuk meningkatkan keamanan dan kemampuan diaudit Akun Alibaba Cloud Anda.
Manajemen identitas dan akses
Audit dan tata kelola
Catat aksi dengan ActionTrail: Anda dapat menggunakan ActionTrail untuk mencatat semua aksi yang dilakukan oleh identitas RAM, yang dapat digunakan untuk audit keamanan, tinjauan kepatuhan, dan pelacakan masalah. Untuk informasi lebih lanjut, lihat Gunakan ActionTrail untuk mengkueri event.
Tata kelola identitas dan akses: Anda harus terus-menerus mendeteksi risiko keamanan terkait identitas dan izin, seperti AccessKey pair yang tidak aktif dalam waktu lama atau kebijakan password yang tidak sesuai.
Analisis akses: RAM membantu Anda mengidentifikasi dan menganalisis akses dari Internet dan identitas dengan hak istimewa berlebihan dalam akun Anda, serta memberikan saran tata kelola.
Untuk informasi lebih lanjut, lihat Praktik terbaik manajemen identitas dan akses.